大数据交易之信息安全问题的法律规制

富煜

随全球“大数据”技术和应用的发展，我国也跻身该时代潮流。国务院早于2015年发布《促进大数据发展行动纲要》，将大数据发展确立为国家战略。各地纷纷建立大数据交易所以及人工智能的快速发展显示了大数据的重要性。与此同时，频频爆出的数据泄露、数据“裸奔”等数据安全事件更凸显了大数据交易信息安全的重要性。本文将探讨大数据交易信息安全问题的法律规制。

一、大数据和大数据交易

大数据又称“巨量资料”，其特点可以用“4V”概括，即Volume（大量）、Velocity（高速）、Variety（多样）、Value（价值）。“大数据”这个词的概念较模糊，没有一个精确的定义，但是在日常生活中却很常见。例如“智慧城市”就是运用信息和通信技术手段感测、分析、整合城市运行核心系统的各项关键信息，从而对包括民生、环保、公共安全、城市服务、工商业活动在内的各种需求做出智能响应。[1]手机淘宝中的“猜你喜欢”也是通过对用户个人信息收集，将数据传送到后台进行处理分析，不断推送出你感兴趣的商品……

而大数据交易则是将数据本身视为一种可买卖的资源，将对数据的挖掘能力视为一种核心竞争力，从而在大数据交易市场中进行交易活动。例如我国成立的第一家以大数据命名的交易所——貴阳大数据交易所，这是一个面向全国提供数据交易服务的创新型交易场所， 以“开放、规范、安全、可控”为原则，采用“政府指导，社会参与、市场化运作”的模式，旨在促进数据流通，规范数据交易行为，维护数据交易市场秩序，保护数据交易各方合法权益，向社会提供完整的数据交易、结算、交付、安全保障、数据资产管理和融资等综合配套服务。[2]

二、大数据交易面临的信息安全问题

1.大数据交易主体中的信息安全问题

大数据交易的主体主要分为三类：大数据交易平台、大数据买方、大数据卖方。贵阳大数据交易所禁止个人购买交易所的数据，同时在监管不健全的情况下，外资数据买方购买数据之前需要进行资格审查。但大部分大数据交易平台为了增加交易次数是允许自然人作为交易主体进行交易的，交易面更加广泛可能会导致信息泄露较为严重，在信息安全保护方面存在重大隐患。

2.大数据交易客体中的信息安全问题

大数据交易的客体主要包含经过处理的大数据产品，处理包括“预处理”和“数据脱敏”。“预处理”就是在主要的处理过程以前对数据进行清洗，例如将出生日期与年龄不符、冗余等无效信息处理掉，以提高下一步处理信息的效率;“数据脱敏”又称“信息去隐私化”，就是对某些敏感信息通过脱敏规则进行数据的变形，实现敏感隐私数据的可靠保护[3]，如将身份证号、手机号、银行卡号、家庭住址等个人信息进行一定的随机处理，以隐去某些信息，保证数据的隐私性。按照脱敏规则，可以将数据脱敏分为“可恢复性脱敏”和“不可恢复性脱敏”：“可恢复性脱敏”就是数据经过脱敏规则的转化后，还可以经过某些处理还原出原有数据;“不可恢复性脱敏”就是数据经过不可恢复性脱敏之后，将无法还原出原有数据。如果大数据交易采用可恢复性脱敏则无法保证数据的安全性，因此采用不可恢复性脱敏更加合理。但是采取了不可恢复性脱敏技术，个人信息就真的安全了吗？倡导社交文化的企业Salesforce.com推荐首先利用从Facebook、Twitter等上面的应用获取的信息，建立客户的社交化档案，掌握他们的整体形象，从而对人们的追求和期望做出精确的理解。但基本上这里所利用的都是用户自己在网上公开发布的信息，且由于Facebook等服务是推荐实名注册的，因此以这些服务为中心来收集信息，再和客户的真实姓名进行关联，就可以刻画出包括兴趣爱好在内的人物特征。[4]因此即使采取了不可恢复性脱敏技术，还是有可能通过相关信息的整合刻画出人物形象，侵犯个人隐私。

3.大数据交易模式中的信息安全问题

大数据交易的模式主要分为三类：在线数据交易、离线数据交易和托管数据交易。在线数据交易以数据调用接口的形式，由卖方向买方提供数据拷贝进行数据交易，服务平台本身不存储数据（仅对数据进行必要的实时脱敏、清洗、审核和安全测试），而是作为交易渠道为各类用户提供数据服务，实现交易流程管理，数据存在不合法、不合规的安全风险，由于接口不安全、访问控制设置不合理、数据拷贝未加密也会导致交易过程存在数据泄露、非法访问、传输等安全风险;离线数据交易中卖方将数据拷贝到交易平台，由交易平台转移给买方而交易，主要存在非法窃取、泄露、篡改等安全风险;托管数据交易中卖方将数据拷贝至交易平台，买方在交易平台提供的环境内使用数据，而原始数据不发生转移，由于需要经相关数据负责人的批准，办理复制登记手续和复制，因此主要存在用户进行非授权操作的风险。[5]

三、大数据交易的信息安全问题的法律规制

从以上分析可以看出，收集、储存、管理以及交易等各环节都存在信息安全问题。因此在大数据时代之下，信息安全必须被高度重视。

1.数据安全

今天提到数据安全时，应当包括三方面的内容，即：防窃取、防滥用、防误用。[6]首先，通过在计算机上下载安装杀毒软件，可以对计算机中储存的文件进行定期的扫描以及杀毒，并及时对病毒库进行更新和修补，从而达到防窃取的要求。其次，为了确保网络安全控制能够真正得以实现，必须对海量数据进行加密处理，这样就可以将数据转化为密文，从而有效地保证加密后的信息在其传播过程中得到保护，即使发生数据被窃取的情况，非授权人员也不能查看这些被加密的数据，即使是授权人员也无法查看加密前的原数据，以避免数据被误用、滥用。为了保证数据存储的安全性和稳定性，相关的技术人员必须针对各种数据所独有的特点及类型来完成网络信息数据的安全传播。

2.个人隐私安全

在大数据背景下个人很难保护自己的隐私不被泄露，故需通过信息安全技术、企业自律、市场监管保护个人隐私安全，提升个人隐私保护意识，并建立全面的法律体系，从而全方位保护用户个人隐私安全不受非法侵害。

在大数据环境之下，必须有较强的技术和完善的法律制度，才能为人们提供切实有效的依据和强有力的保障，让个人隐私得到更好的保护。目前，我国已有相关法律、法规规定了网络个人信息安全的保护，例如《中华人民共和国网络安全法》中规定了数据收集时应当明确收集的相关事项、审慎评估第三方应用收集数据，并制定网络应急预案;《中华人民共和国民法总则》第一百一十一条规定了自然人的个人信息受法律保护;《中华人民共和国刑法》第二百五十条规定了“侵犯公民个人信息罪”……除此之外，我国还在个人信息安全方面已经着手开展标准建设，例如《个人信息安全规范》（GB/T 35273-2017）中定义了个人信息和个人敏感信息的定义、范畴、使用规范、共享及披露等細节;《信息安全技术公共及商用服务信息系统个人信息保护指南》规定个人敏感信息在收集和利用之前，必须首先获得个人信息主体明确授权，用户可以自行决定是否对外发布信息、发布哪些信息，用户对自己的信息具有一定的可控制性。但是在这个信息高速发展的时代，缺乏综合性网络信息安全基本法，还缺失非法行为的处罚规定，因此还需进一步建设和完善相应的法律体系，增强法律法规的系统性来推动大数据环境下个人隐私保护。

根据公安部网站数据，仅在2016年4至6月的打击整治网络侵犯公民个人信息犯罪专项行动中，全国公安机关就累计查破刑事案件750余起，缴获信息230亿条。现如今因信息泄露导致的各类犯罪数量呈直线式上涨，但是报案人数与泄露信息数量完全不成正比，我认为一方面是公民没有重视信息泄露这件事情可能会造成的严重后果，另一方面是立案难、破案难。我国民法中举证规则是“谁主张，谁举证”，但是公民个人与大数据时代中的数据交易主体明显不处于同一天平，公民很难举证究竟是谁泄露了自己的个人信息，故我认为对于此类案件可适用“举证责任倒置”，强化数据持有主体的责任。相关机关、部门也应加大查处侵犯公民个人信息非法行为力度。这样不仅更有利于保护公民个人的私权利，也为交易平台、各个可以搜集个人信息的企业等主体作出警示，起到预防作用。

四、结语

大数据的交易及应用给我们带来便捷、智能生活的同时，其信息安全问题也必须引起个人、社会、企业的高度重视。笔者建议从提高大数据交易的信息安全技术、完善大数据交易信息安全法律、提升个人隐私安全意识、强化数据持有主体的责任、加大侵犯公民个人信息非法行为的查处力度等等多个途径，多管齐下，构建综合信息安全保护之网。

参考文献：

[1]智慧城市.360百科https：//baike.so.com/doc/3430033-3609895.html

[2]贵阳大数据交易所.百度百科https：//baike.baidu.com/item/，贵阳大数据交易所

[3]数据脱敏.百度百科.https：//baike.baidu.com/item/，数据脱敏

[4]（日）城田真琴著.周自恒译.大数据的冲击.北京：人民邮电出版社，2013

[5]李怡、杨帆、安克万-.《网络安全技术与应用》，2017年10期

[6]杜跃进.《大数据时代的数据安全》.中国信息化周报，2018年12月3日第013版

指导老师：

付霞，法学硕士，武昌首义学院讲师，研究方向为信息安全法律、知识产权法。