日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

為了應對疫情肆虐對經濟的影響，“新基建”被視為是紓困的良藥。新基建圍繞著人員流動（新能源汽車）、能源流動（特高壓）與數據流動（5G、數據中心、人工智能）展開部署，而數據無疑是其中跑得最快的。

此外，在2020年4月《關于構建更加完善的要素市場化配置體制機制的意見》中也提出“加快培育數據要素市場”。

疫情之下，數據在國民經濟中扮演著愈發重要的角色，數據合規也隨之成為顯學，成為法律工作者的新航道。

法律是法律工作者開展數據合規工作的出發點。如果網絡安全與數據保護沒有被上升為法律義務，那么網絡安全與數據保護可能會成為信息安全人員的專利。

- 1 -

數據合規到底在保護什么？

開展數據合規工作，法律工作者尤其需要了解法律究竟在保護什么。在中國，《網絡安全法》中將網絡安全定義為：

“通過采取必要措施，防范對網絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網絡處于穩定可靠運行的狀態，以及保障網絡數據的完整性、保密性、可用性的能力。”

 

實際上，法律從網絡與數據兩個維度定義了網絡安全：

因此，在數據合規工作中，圍繞著網絡與數據誕生了“網絡運營者”與“數據控制者”兩大責任主體。

網絡運營者是《網絡安全法》中最為重要的主體，幾乎所有的法律義務都圍繞著網絡運營者展開。而數據控制者的概念被GDPR所發揚光大，在國家標準《個人信息安全規范》就頻繁使用個人信息控制者的概念，甚至在《民法典（草案）》中也使用了個人信息控制者的概念。

當傳統的所有權圍繞著占有、使用、收益與處分進行構建，數據的權利也有可能圍繞著保密性、完整性與可用性進行構建。

在很多爭議與案件中，數據被作為一項新的法益進行保護，傳統知識產權的規則受到了巨大的挑戰。在2016年7月公開征求意見的《民法總則（草案）》中，“數據信息”一度被認為是一項知識產權，這樣的分類無疑將拓展原有知識產權的外延，豐富知識產權的內容。

但是在《民法總則》正式通過的文本中，因為該設置爭議過大而取消了這樣的規定。對于知識產權中的著作權，與數據在一定程度上會有交叉之處，如對具有原創性的數據庫的保護，一方面可以作為匯編作品進行保護，另一方面并不妨礙其作為數據而具有利益，二者并行不悖 。

此外，在“淘寶（中國）軟件有限公司訴安徽美景信息科技有限公司不正當競爭案”中，法院一方面承認了淘寶公司對“生意參謀”享有數據權益，另一方面又否認這種數據權益是財產所有權。法院并沒有直接回答這種數據權益到底是什么。在“浙江淘寶網絡有限公司訴杜某等網絡侵權責任糾紛案”中，淘寶的評分系統被認識是一項數據權益，法院認為：

“數據是指具有可分析性、可統計性、有使用價值的信息的總和，不僅包括原生數據，即計算機直接產生的數據，也包括這些數據被記錄，儲存，編輯，計算后形成的具有使用價值的衍生數據，淘寶網評價系統即在此列。”

 

這個判決在某種程度上突破評價系統的范疇，讓數據能延展的邊界不可限量?？梢哉f，所有互聯網上的內容都可以被認為是數據，進而得到數據層面的保護。但更關鍵的問題在于，數據保護的是什么，是保密性、完整性與可用性嗎？

- 2 -

數據合規的立法缺失

法律工作者介入數據合規不得不面對的難題是法律匱乏。尤其是和數據并立的其他生產要素相比。無論是資本還是人力資源的法律法規都密如蛛網，但數據合規領域只有《網絡安全法》《消費者權益保護法》加上若干部門規章以及一些推薦性的國家標準，在《民法總則》與《民法典（草案）》中關于數據保護只有語焉不詳的一條，甚至在執法活動中都需要把尚未生效的國家標準拿出來“說事兒”，可見這一領域法規貧乏到何種程度。

法律法規的匱乏直接帶來了不確定性，這是所有交易與經營活動的大敵。當我們在買賣貨物、雇傭人員、投融資時，很多條款我們可以不在合同中進行約定，因為《物權法》《合同法》《勞動法》《公司法》等一連串的法律法規會為法律關系“兜底”。

但在數據合規領域進行數據共享，就不得不對事無巨細將所有數據傳輸的技術細節轉化為合同的法言法語，用大量附件來描述數據共享過程，否則連合同標的都難以確定。

對于數據合規，“法律不夠標準來湊”，當然可以指導合規措施的落地，但在另一些領域卻是一件非常危險的事。

比如在《個人信息告知同意指南（征求意見稿）》中，第六章“免于告知同意的情形”是一個非常“危險”的章節，該章節提出了個人信息控制者收集、使用個人信息的，需以適當方式告知個人信息主體目的，但無需征得個人信息主體的明示同意若干情形，其中包括學術研究、簽訂或履行協議所必須、新聞報道所必需等情形。在《個人信息安全規范》中也同樣有“5.4 征得授權同意的例外”的規定。

這些條款之所以危險，是因為法律并未規定這些情形是法律的例外，作為推薦性標準并沒有權限設定法律的例外條件，更無法得到法院的認可。

中國因為《網絡安全法》的制定，讓很多傳統意義上信息安全管理的措施、標準直接上升為法律義務，并且將網絡安全與數據保護并立，共同體現于《網絡安全法》中。對比在歐盟或美國，網絡安全與數據保護往往會由不同的法律負責（這是一個相當大的話題），比如GDPR就主要關注數據保護問題，未深入涉及網絡安全的內容，因此在中國開展數據合規工作更需要技術能力的支持，不只是對法律條文的理解。

- 3 -

面對數據合規“難題”，我們能做些什么

1. 合同

合同是法律工作者堅守不變的戰場。

一份好的數據協議是商業訴求、技術架構與法律合力的結果，尤其是需要反映數據的真實流向。

在數據合規領域，數據流與法律關系不一致是最常見的矛盾之一。比如可以見到跨國公司的中國分支機構與總部簽署數據使用協議，因為稅務原因合同約定數據控制者是歐洲公司，但歐洲公司可能只是空殼，實際卻為美國直接公司控制維護數據，這會給數據的傳輸帶來巨大的隱患，讓《網絡安全法》、GDPR以及美國法律都有管轄機會，徒增合規成本。

起草一份與數據流動相符的協議并不是一件容易的工作，涉及明確數據類型、設計數據跨境方案、部署安全措施的部署、控制數據再次利用等法律工作者不常涉足的領域。

在另一個視角下，隱私政策與用戶協議可以說是網絡空間內用戶與廠商之間法律關系的基礎。

盡管“告知-同意”是我國個人信息收集、使用的基石，但現狀往往是用戶既不知情，也沒法不同意。隱私政策與用戶協議長期得不到重視，對隱私政策的關注也是因為近年來多部門開始檢查就App個人信息保護問題進行重點檢查。盡管用戶被一次次要求點擊“我已閱讀并同意”用戶協議與隱私政策，但從來沒有人指望用戶真的去讀，這兩份文件更像是寫給監管機構的“自白書”。

因此，在很大程度上隱私政策與用戶協議并沒有起到連接用戶與廠商的作用，而這樣的斷層是法律工作者必須正視的現狀，也是數據合規工作的驅動力。

2. 證據

除了寫合同以外，證據也是法律工作者的主場。

數據合規的一項基本原則就是可責性（Accountability），數據合規措施要能經得起檢驗，尤其是法庭的檢驗，各種文檔要能夠作為證據在法庭上使用。

無論是龐理鵬訴東航案還是申瑾訴攜程案，法庭均認為公司相對個人具有更強的舉證義務，需要證明自己已經妥善保護數據。這不是一項容易的工作，比如證明個人信息保護中的用戶“同意”就是一項非常棘手的任務，即當消費者起訴時，廠商如何證明消費者已經點擊過“同意”，憑著公證的截圖恐怕不能證明。

另外，如何讓留存了六個月的網絡日志成為能夠在法庭上使用的電子數據，并且確保真實性、合法性、關聯性，也是法律工作者能夠介入的工作。

3. 訴訟

訴訟當然是法律工作者最不能退讓的戰場。

因為數據是一項新生法益，所以讓圍繞著數據的糾紛處理起來變數曾生，很多數據合規領域里面重要的規則就脫胎于訴訟。

比如“新浪微博訴脈脈案”中的“三重授權原則”，比如“龐理鵬訴東航、去哪兒網案”中的企業責任，又比如“大眾點評訴百度案”里數據利用的規則。這些開創性的案件為數據合規提供了清晰的指引，是法律不充實情況下企業行動的海圖。

- 4 -

與其他利益相關方積極合作

任何機構開展網絡安全與數據保護工作，法律都只是諸多動因之一，法律風險更像是網絡安全事件的“次生災難”，GDPR的高額罰款與《網絡安全法》的停業整頓固然嚇人，但網絡安全事件本身就足夠嚇人。

因此法律在數據合規領域并非萬能，有著自己的邊界，但法律工作者不僅需要處理好自己這“一畝三分地”，也需要與鄰居打好交道。

在數據合規工作中，有太多的利益相關方：

（《麥肯錫的數字業務與安全策略》，機械工業出版社2016年版，p.XII）

法律工作者需要與IT人員、信息安全人員、開發人員、市場人員等諸多利益相關方進行廣泛的溝通。溝通的基礎除了法律、市場、還有技術。很多合規措施，需要落實到技術方案中。法律工作者如果希望從這樣的溝通中獲取有效信息，那么就需要對網絡空間內的技術有著深刻的理解。

關于網絡法最極端的說法是“代碼就是法律”，雖然很多學者并不贊同，但技術的重要性可見一斑。在數據合規領域，無法繞開非對稱加密、匿名、假名、聯邦計算、邊緣計算、SDK這些乍聽上去“不明覺厲”的技術名詞，但這些名詞要么意味著解決方案，要么意味著需要“痛擊”的隱患。

在物理空間中，用非法律的手段解決法律問題早已司空見慣，比如加高的圍墻、換裝防盜門有時比物權理論更能有效保護我們的家園，在香煙上印刷吸煙警示圖片比抓捕違法吸煙者更能實現控煙的目的。技術的進步給了維護權利更多方案，比如防盜門比木門更能保護住家的安全，128位的加密比64位的加密更能保護數據的安全。

最為重要的，是法律工作者需要明白技術能夠幫我們解決什么樣的法律問題。可用的邊緣計算、差分隱私、聯邦計算等新興技術能夠在多大程度幫我們解決風險。簡而言之，是法律工作者需要對自己武器庫中的武器有所了解。

除了需要對技術本身的理解，大量信息安全領域的管理經驗也是值得重點借鑒的內容。在網絡安全與數據保護領域，需要大量借鑒信安標委制定的國家標準。這些國家標準，往往是由信息安全領域的單位起草，內容會頻繁借鑒信息安全領域的方法論。

比如戴明環（PDCA，plan-do-check-act）的理念被廣泛運用于信息安全管理，體現于大量國際標準、國家標準中。信息安全作為一個專門領域有著數十年的積累，形成了大量的方法論、工具與模型。這些模型沒有理由被忽視。

- 5 -

嘗試深入數據前沿工作

我幾年前就開始建議法律人去學點編程。學習編程未必是要去和程序員搶工作（如果能搶到當然更好），只是因為動手實驗是掌握一個領域必不可少的途徑，未嘗聞不做實驗也能學好物理化學的。

當法律工作者寫過數據庫，知道數據如何訪問、添加、刪除，一定會對合同中該怎么描述數據處理有更深的認識；當法律工作者了解TCP協議為什么是“三次握手”，一定會對網絡架構如何決定責任的劃分有更深的認識；當法律工作者用Wireshark看過網絡傳輸的數據包，也一定會對如何發現電子證據有新的想法。

但學習編程、學習技術總是知易行難。如果能夠獲得一兩個認證，也是極有說服力的。比如中國信息安全測評中心組織的注冊信息安全專業人員（CISP）資格證就很適合法律工作者，五天的脫產培訓可以系統地學習信息安全的理念。

此外，國際隱私專業人員協會（iapp）的CIPM和CIPT認證也在隱私保護方面極有幫助，可以系統性地學習如何構建隱私保護體系以及落實通過設計保護隱私（Privacy by Design）。在數據合規領域，國內已經不斷地有法律工作者獲得此類認證，未來是否會成為數據合規法律工作者的標配也未可知。

數據是一項新型資源，某種程度上比石油更有價值（尤其是考慮到當前的油價……），數據合規是因此而生的一項新興業務，具有蓬勃的生命力。在我們大步邁入數字文明之時，數據合規自然也成為值得探索的新的邊疆。.