今天小編分享的财經經驗:國内首例涉數據抓取交易不正當競争糾紛案終審宣判 數字經濟時代,數據安全問題何解?,歡迎閲讀。
近日,國内首例非法調用伺服器 API 接口獲取數據予以交易轉賣案件塵埃落定。
微博平台的運營者北京微夢創科網絡技術有限公司(以下簡稱微夢公司)訴廣州簡亦迅信息科技有限公司(以下簡稱簡亦迅公司)及簡亦迅公司深圳分公司不正當競争糾紛案二審公開宣判,駁回上訴,廣東省高級人民法院(以下簡稱廣東高院)裁決維持原判:全額支持微夢公司訴請賠償經濟損失 2000 萬元。
廣東高院審理查明,簡亦迅公司在每次抓取微博數據時,均通過變換 IP 地址和微博用户賬号等技術手段,以規避微博伺服器的反抓取數據防護措施,其經營的 iDataAPI 網站對外售賣的微博數據不但完全覆蓋了微博網頁上的相應展示内容,還包含大量微博平台運營管理過程產生的後台服務數據,以及微夢公司的大數據產品 " 微指數 ",調用次數高達 21.79 億餘次,并根據用户調用數據接口次數收取相應費用。
數字經濟加速向前,數據安全問題也越來越成為社會關切的焦點。數字時代,法律與技術成為保障數據安全的雙重透鏡:法律将如何保障數據安全,技術又如何成為數據安全的屏障?
圖片來源:視覺中國
國内首例非法數據抓取交易案終審審判
廣東高院審理認為,微夢公司對依法依規持有的微博數據享有自主管控、合法利用并獲取經濟利益的權益,簡亦迅公司通過不斷變換 IP 地址、微博用户賬号等方式向微博伺服器發出數據請求,騙取了微博伺服器向用户端傳輸數據的專用數據接口的調用權限,獲取了其本無權調用的大量微博後台數據,并予以直接轉賣獲利,有違公平、誠信原則和商業道德,擾亂了數據市場競争秩序,嚴重損害了微夢公司和消費者合法權益,構成反不正當競争法第二條規定的不正當競争行為。
廣東高院還在發文時提到,根據 iData API 網站公布的調用微博數據次數超過 21 億次,按照收費标準中位數 1 元 /100 次計算,可得簡亦迅公司非法收入超過 2179.79 萬元,結合簡亦迅公司實施不正當競争行為類型多、采用惡意技術手段、持續時間長、調用微博數據規模巨大、損害後果嚴重,以及采用混淆服務來源或經營關系的方式宣傳其侵權服務等因素,故對微夢公司訴請賠償的 2000 萬元予以全額支持。
圖片來源:廣東高院官網
對于本次案件,微夢公司代理律師己任律師事務所律師張翰雄在接受《每日經濟新聞》記者書面采訪時稱,本案在适用反不正當競争法的過程中,除保護企業對其合法依規積累大數據資源所享有的合法權益以外,重點考量了被訴不正當競争行為對消費者權益、社會公共利益、數據行業健康有序發展的影響。
" 我們認為,這裏面體現出的,對用户隐私、數據安全等問題的關注,将對整個數據市場的參與者起到重要的引導和教育作用,使整個行業關注到對數據資源的開發、積累、應用需要關注數據安全、消費者權益、遵守法律法規和商業道德,堅守誠信底線。" 張翰雄表示。
張翰雄還説道,本案對違規獲取和使用數據行為作出明确的侵權認定,對于市場而言無疑是一劑強心針。
一方面,這類技術手段一般都比較隐匿,本案固定被告相關數據獲取行為的具體技術手段确實耗費了企業很大精力,對這類行為的維權難度很大。而本案通過對證據規則恰如其分地運用,對企業未來針對類似行為的維權提供了參考和信心,同時也對整個市場產生警示和教育作用,實現法律對市場和技術應用行為的引導和治理,使市場和行業更加明确自身競争行為邊界。
另一方面,針對數據的非法獲取和使用行為,主要依照《反不正當競争法》《個人信息保護法》《數據安全法》《網絡安全法》《刑法》等法律法規加以規制。不同法律的側重點各異。本案即是适用反不正當競争法保護企業數據權益,維護數據市場競争秩序的一個典型案例。
基于這一案件的思考,張翰雄認為,面對層出不窮的利用技術手段的違法侵權行為,需要在法律的引領下,采用 " 法律 + 技術 " 的方法論實現有效維權。本案中,認定被告不正當獲取數據手段的取證,即是 " 法律 + 技術 " 的最佳體現之一。當然,這要求權利人需要有較強的舉證和維權能力,也需要投入相當大的維權資源。他認為,本案法院對于當事人盡力舉證的鼓勵和認可,無疑對維權增添了信心。另外,由于技術手段高度復雜、隐匿、變化速度快,靈活正當及時地運用法律程式,也對維權具有重要意義,如民事訴訟中的證據保全、行為保全程式、技術調查、書證提出命令等,或者采用先行(注:行政訴訟)後民、先刑後民的方式形成 " 組合拳 ",都是可資參考的法律手段。
法律之劍:需盡快完善數據產權制度法律體系
随着技術的迅速發展,數據的價值日益顯現,與此同時,數據安全問題也引發關注——未來,法律應當如何适應與應對新興技術帶來的挑戰,以保障個人隐私和企業數據的完整性?
墾丁(廣州)律師事務所聯合創始人、國際數據管理協會 DAMA 中國專家成員陳雙在接受《每日經濟新聞》記者采訪時表示:" 本案(指‘國内首例涉數據抓取交易不正當競争糾紛案’)之所以引發業内人士的重點關注,主要來自兩方面聲音——一方面,過度保護平台企業數據權益可能會造成數據壟斷,阻礙數據要素流通;另一方面,一味地鼓勵數據交易而忽略數據產品形成的合法合規性又會縱容數據黑灰產市場發展,擾亂市場秩序。"
陳雙表示,目前,全國各大數據交易所都有數據產品上架的合規審查流程,對數據來源和數據獲取路徑的合法性有一定的審查監管。但活躍的場外數據交易市場仍然監管缺位,主要還是靠個案判例中厘清合規邊界和規則。
陳雙建議,監管政策應充分考量數據有序流通的重要價值,對場外數據交易建立數據流通和利用的合規标準和政策指引,引導市場主體規範數據開發、利用、交易行為。同時,在個案中審慎分析研判獲取數據目的和使用數據行為的正當性、獲取數據的手段和方式合法性,對違法行為給予否定性評價并加大違法行為的處罰力度。從而實現數據場内場外交易合規監管的有效銜接,促進數據要素市場的健康有序發展。
圖片來源:視覺中國
目前,我國對于數據權益的保護基本上仍是在《反不正當競争法》《著作權法》《專利法》的法律框架下實現。陳雙在采訪中也談到,由于數據具有可復制、無形性等特征,在數據權益保護上,傳統的法律規則往往會增加了數據權利主體舉證的難度和成本,對各數據權利主體相關權益界定也存在極大困難,不利于激活數據要素的價值。
此前,為了更好地保護數據各方權利主體使數據價值發揮作為生成要素的作用,《中共中央 國務院關于構建數據基礎制度更好發揮數據要素作用的意見》提出了 " 三權分置新型產權制度 ",即數據資源持有權、數據加工使用權、數據產品經營權等產權的分置運行機制,為激活數據要素價值創造和價值實現提供基礎性制度保障。
陳雙談到,目前 " 數據三權分置產權制度 " 仍是政策層面的指引,尚未上升成為法律,所以不能直接成為法院裁判的依據,尤其是面對着通過新型技術手段侵犯數據權益的認定上,傳統領網域的法律規則變得難以全面覆蓋,所以需要盡快完善數據產權制度法律體系,以适應數字經濟時代下的數據權益新型保護規則。
數字經濟時代,數據的價值不斷顯現,用户應當如何應對可能發生的數據安全問題?
陳雙建議,根據《個人信息保護法》,用户有權通過《隐私政策》《用户協定》等文本界面知曉數據處理者的身份、數據處理的目的、方式、範圍等,有權自主選擇是否同意數據處理者收集、使用、處理、轉讓其個人信息,有權拒絕或撤回其同意,有權訪問、更正、删除其個人信息,也有權投訴、舉報數據處理者的違法行為。确保用户的個人信息收集和處理行為獲得其本人知情同意及授權。
陳雙表示,數據處理者對個人數據可以加工并使用的前提是在充分告知個人用户并獲得授權同意的情況下方可開展,在滿足合規的前提下,國家支持數據處理者依法依規行使數據應用相關權利,促進數據使用價值復用與充分利用,促進數據使用權交換和市場化流通。但用户個人也建立安全合規意識,對于違背自身意願收集、超範圍收集或者對個人信息濫用、盜用的情形,用户應積極、主動向監管部門進行投訴、舉報。
技術護航:數據黑產猖獗,合規與安全需實現全生命周期覆蓋
技術的高速迭代為數據安全的保護帶來了全新的挑戰,但與此同時,除了法規的保護之外,技術在維護數據安全方面同樣起着至關重要的角色。
以上述案件為例,簡亦迅公司被控非法調用微博伺服器向用户端傳輸數據的 API(應用程式編程接口),抓取了大量微博後台數據予以存儲,并通過其經營的 iDataAPI 網站對外售賣。
奇安信的數據安全專家在接受《每日經濟新聞》記者采訪時表示,随着數字經濟的發展,API 作為對外提供數據服務的主流通道,在 API 爆發式增長的環境下對外也產生了大量的暴露面和攻擊面,對于 API 的安全防護而言,傳統的安全防護設備無法解決 API 安全的問題,因為從防護的維度和防護的模型均已經發生了質的變化,另外目前大多數用户對于 API 安全的建設均處于一個盲點,如何梳理清楚 API 資產,看清 API 風險、如何進行防護成為當前用户的主要痛點。
對于 API 安全的防護體系,奇安信認為應該從 API 安全全生命周期來看,可以将 API 分為設計、開發、測試、運行、上線、發布、下線等幾個流程,這幾個流程可以拆分為事前、事中和事後三個階段。
在事前階段,也就是開發設計和測試階段,可以通過管理體系制定相關的管理制度來對開發進行約束,将 API 的漏洞風險在開發側進行閉環;在上線運行階段,需要建立一套完整的技術體系,從資產管理、安全檢測、安全分析、安全防護形成一套閉環的監測手段;API 的評估處置以及下線階段,我們需要建立完整的運營體系針對 API 進行常态的運營,針對風險的 API 以及未知的 API 進行處置,當遇到 API 安全風險事件的時候有相關的應急響應手段。
圖片來源:視覺中國
大數據時代,個體、組織和國家所產生的數據将行為主體的敏感信息、自身權益以及經濟價值等置于更加透明的位置,這導致數據黑產開始猖獗。根據奇安信威脅情報中心的監測發現,僅僅是 2022 年 1 月到 10 月,就有超過 950 億條的中國境内機構數據在海外被非法交易,其中 60% 的數據泄露事件泄露的是公民個人信息,約有 570 多億條,這就相當于 14 億中國人,在 2022 年,平均每人泄露了 41 條個人信息。
在 AIGC 時代,生成式人工智能在企業用户中風靡的同時,其帶來的數據安全與隐私風險也受到業内的強烈關切。前述數據安全專家表示:" 據統計,使用 ChatGPT 的員工中大多數會泄露數據,其中 11% 的數據為企業商業機密。"
新技術、新場景層出不窮,數據安全合規建設也成為一項非常復雜的工程。
奇安信數據安全專家認為,僅建立制度和管理層面的靜态體系是遠遠不夠的,必須借助技術手段實現覆蓋數據全生命周期和業務全流程的安全與合規管控,實現動态以及持續性的實質性合規。
具體來説,有三個方面需要落實:首先,企業需要評估自身是否存在特殊性,有無重要數據,在此基礎上,再開展數據分類分級、做有針對性地保護(比如加密、隔離存儲等),從而确保重要數據處理合法合規。其次,需要關注個人信息的合規和安全工作,厘清個人數據的存儲和使用情況,并根據具體情況做合規性的評估,輔以有效的安全保護技術手段和策略(包括但不限于脱敏、設定訪問控制以及傳輸加密等),從實質結果上避免出現類似數據泄露等侵害個人和公共利益的數據安全事故。此外,企業需要根據自身業務情況開展專項數據合規工作。如 AI 大模型行業相關的企業,需要關注是否涉及算法備案以及其他大模型領網域的特殊性合規問題等。
奇安信數據安全專家還表示,企業要結合自身的實際情況,定期開展數據安全以及合規風險評估和建設工作,借助技術手段,将數據合規和安全貫穿于數據處理活動的全過程,确保在合法合規的框架下,充分釋放數據要素的價值。
(每經記者 楊煜 對本文亦有貢獻)
每日經濟新聞
