每經記者:可楊 每經編輯:楊夏
近日,國內首例非法呼叫伺服器API介面獲取數據予以交易轉賣案件塵埃落定。
微博平台的營運者北京微夢創科網路技術有限公司(以下簡稱微夢公司)訴廣州簡亦迅資訊科技有限公司(以下簡稱簡亦迅公司)及簡亦迅公司深圳分公司不正當競爭糾紛案二審公開宣判,駁回上訴,廣東省高級人民法院(以下簡稱廣東高院)裁決維持原判:全額支持微夢公司訴請賠償經濟損失2000萬元。
廣東高院審理查明,簡亦迅公司在每次抓取微博數據時,均透過變換IP地址和微博使用者帳號等技術手段,以規避微博伺服器的反抓取數據防護措施,其經營的iDataAPI網站對外售賣的微博數據不但完全覆蓋了微博網頁上的相應展示內容,還包含大量微博平台營運管理過程產生的後台服務數據,以及微夢公司的大數據產品「微指數」,呼叫次數高達21.79億余次,並根據使用者呼叫數據介面次數收取相應費用。
數位經濟加速向前,數據安全問題也越來越成為社會關切的焦點。數位時代,法律與技術成為保障數據安全的雙重透鏡:法律將如何保障數據安全,技術又如何成為數據安全的屏障?
圖片來源:視覺中國
國內首例非法數據抓取交易案終審審判
近日,國內首例非法呼叫伺服器API介面獲取數據予以交易轉賣案件塵埃落定。
廣東高院審理認為,微夢公司對依法依規持有的微博數據享有自主管控、合法利用並獲取經濟利益的權益,簡亦迅公司透過不斷變換IP地址、微博使用者帳號等方式向微博伺服器發出數據請求,騙取了微博伺服器向使用者端傳輸數據的專用數據介面的呼叫許可權,獲取了其本無權呼叫的大量微博後台數據,並予以直接轉賣獲利,有違公平、誠信原則和商業道德,擾亂了數據市場競爭秩序,嚴重損害了微夢公司和消費者合法權益,構成反不正當競爭法第二條規定的不正當競爭行為。
廣東高院還在發文時提到,根據iData API網站公布的呼叫微博數據次數超過21億次,按照收費標準中位數1元/100次計算,可得簡亦迅公司非法收入超過2179.79萬元,結合簡亦迅公司實施不正當競爭行為型別多、采用惡意技術手段、持續時間長、呼叫微博數據規模巨大、損害後果嚴重,以及采用混淆服務來源或經營關系的方式宣傳其侵權服務等因素,故對微夢公司訴請賠償的2000萬元予以全額支持。
圖片來源:廣東高院官網
對於本次案件,微夢公司代理律師己任律師事務所律師張翰雄在接受【每日經濟新聞】記者書面采訪時稱,本案在適用反不正當競爭法的過程中,除保護企業對其合法依規積累大數據資源所享有的合法權益以外,重點考量了被訴不正當競爭行為對消費者權益、社會公共利益、數據行業健康有序發展的影響。
「我們認為,這裏面體現出的,對使用者私密、數據安全等問題的關註,將對整個數據市場的參與者起到重要的引導和教育作用,使整個行業關註到對數據資源的開發、積累、套用需要關註數據安全、消費者權益、遵守法律法規和商業道德,堅守誠信底線。」張翰雄表示。
張翰雄還說道,本案對違規獲取和使用數據行為作出明確的侵權認定,對於市場而言無疑是一劑強心針。
一方面,這類技術手段一般都比較隱匿,本案固定被告相關數據獲取行為的具體技術手段確實耗費了企業很大精力,對這類行為的維權難度很大。而本案透過對證據規則恰如其分地運用,對企業未來針對類似行為的維權提供了參考和信心,同時也對整個市場產生警示和教育作用,實作法律對市場和技術套用行為的引導和治理,使市場和行業更加明確自身競爭行為邊界。
另一方面,針對數據的非法獲取和使用行為,主要依照【反不正當競爭法】【個人資訊保護法】【數據安全法】【網路安全法】【刑法】等法律法規加以規制。不同法律的側重點各異。本案即是適用反不正當競爭法保護企業數據權益,維護數據市場競爭秩序的一個典型案例。
基於這一案件的思考,張翰雄認為,面對層出不窮的利用技術手段的違法侵權行為,需要在法律的引領下,采用「法律+技術」的方法論實作有效維權。本案中,認定被告不正當獲取數據手段的取證,即是「法律+技術」的最佳體現之一。當然,這要求權利人需要有較強的舉證和維權能力,也需要投入相當大的維權資源。他認為,本案法院對於當事人盡力舉證的鼓勵和認可,無疑對維權增添了信心。另外,由於技術手段高度復雜、隱匿、變化速度快,靈活正當及時地運用法律程式,也對維權具有重要意義,如民事訴訟中的證據保全、行為保全程式、技術調查、書證提出命令等,或者采用先行(註:行政訴訟)後民、先刑後民的方式形成「組合拳」,都是可資參考的法律手段。
法律之劍:需盡快完善數據產權制度法律體系
隨著技術的迅速發展,數據的價值日益顯現,與此同時,數據安全問題也引發關註——未來,法律應當如何適應與應對新興技術帶來的挑戰,以保障個人私密和企業數據的完整性?
墾丁(廣州)律師事務所聯合創始人、國際數據管理協會DAMA中國專家成員陳雙在接受【每日經濟新聞】記者采訪時表示:「本案(指‘國內首例涉數據抓取交易不正當競爭糾紛案’)之所以引發業內人士的重點關註,主要來自兩方面聲音——一方面,過度保護平台企業數據權益可能會造成數據壟斷,阻礙數據要素流通;另一方面,一味地鼓勵數據交易而忽略數據產品形成的合法合規性又會縱容數據黑灰產市場發展,擾亂市場秩序。」
陳雙表示,目前,全國各大數據交易所都有數據產品上架的合規審查流程,對數據來源和數據獲取路徑的合法性有一定的審查監管。但活躍的場外數據交易市場仍然監管缺位,主要還是靠個案判例中厘清合規邊界和規則。
陳雙建議,監管政策應充分考量數據有序流通的重要價值,對場外數據交易建立數據流通和利用的合規標準和政策指引,引導市場主體規範數據開發、利用、交易行為。同時,在個案中審慎分析研判獲取數據目的和使用數據行為的正當性、獲取數據的手段和方式合法性,對違法行為給予否定性評價並加大違法行為的處罰力度。從而實作數據場內場外交易合規監管的有效銜接,促進數據要素市場的健康有序發展。
圖片來源:視覺中國
目前,中國對於數據權益的保護基本上仍是在【反不正當競爭法】【著作權法】【專利法】的法律框架下實作。陳雙在采訪中也談到,由於數據具有可復制、無形性等特征,在數據權益保護上,傳統的法律規則往往會增加了數據權利主體舉證的難度和成本,對各數據權利主體相關權益界定也存在極大困難,不利於啟用數據要素的價值。
此前,為了更好地保護數據各方權利主體使數據價值發揮作為生成要素的作用,【中共中央 國務院關於構建數據基礎制度更好發揮數據要素作用的意見】提出了「三權分置新型產權制度」,即數據資源持有權、數據加工使用權、數據產品經營權等產權的分置執行機制,為啟用數據要素價值創造和價值實作提供基礎性制度保障。
陳雙談到,目前「數據三權分置產權制度」仍是政策層面的指引,尚未上升成為法律,所以不能直接成為法院裁判的依據,尤其是面對著透過新型技術手段侵犯數據權益的認定上,傳統領域的法律規則變得難以全面覆蓋,所以需要盡快完善數據產權制度法律體系,以適應數位經濟時代下的數據權益新型保護規則。
數位經濟時代,數據的價值不斷顯現,使用者應當如何應對可能發生的數據安全問題?
陳雙建議,根據【個人資訊保護法】,使用者有權透過【私密政策】【使用者協定】等文本界面知曉數據處理者的身份、數據處理的目的、方式、範圍等,有權自主選擇是否同意數據處理者收集、使用、處理、轉讓其個人資訊,有權拒絕或撤回其同意,有權存取、更正、刪除其個人資訊,也有權投訴、舉報數據處理者的違法行為。確保使用者的個人資訊收集和處理行為獲得其本人知情同意及授權。
陳雙表示,數據處理者對個人數據可以加工並使用的前提是在充分告知個人使用者並獲得授權同意的情況下方可開展,在滿足合規的前提下,國家支持數據處理者依法依規行使數據套用相關權利,促進數據使用價值復用與充分利用,促進數據使用權交換和市場化流通。但使用者個人也建立安全合規意識,對於違背自身意願收集、超範圍收集或者對個人資訊濫用、盜用的情形,使用者應積極、主動向監管部門進行投訴、舉報。
技術護航:數據黑產猖獗,合規與安全需實作全生命周期覆蓋
技術的高速叠代為數據安全的保護帶來了全新的挑戰,但與此同時,除了法規的保護之外,技術在維護數據安全方面同樣起著至關重要的角色。
以上述案件為例,簡亦迅公司被控非法呼叫微博伺服器向使用者端傳輸數據的API(應用程式編程介面),抓取了大量微博後台數據予以儲存,並透過其經營的iDataAPI網站對外售賣。
奇安信的數據安全專家在接受【每日經濟新聞】記者采訪時表示,隨著數位經濟的發展,API作為對外提供數據服務的主流通道,在API爆發式增長的環境下對外也產生了大量的暴露面和攻擊面,對於API的安全防護而言,傳統的安全防護裝置無法解決API安全的問題,因為從防護的維度和防護的模型均已經發生了質的變化,另外目前大多數使用者對於API安全的建設均處於一個盲區,如何梳理清楚API資產,看清API風險、如何進行防護成為當前使用者的主要痛點。
對於API安全的防護體系,奇安信認為應該從API安全全生命周期來看,可以將API分為設計、開發、測試、執行、上線、釋出、下線等幾個流程,這幾個流程可以拆分為事前、事中和事後三個階段。
在事前階段,也就是開發設計和測試階段,可以透過管理體系制定相關的管理制度來對開發進行約束,將API的漏洞風險在開發側進行閉環;在上線執行階段,需要建立一套完整的技術體系,從資產管理、安全檢測、安全分析、安全防護形成一套閉環的監測手段;API的評估處置以及下線階段,我們需要建立完整的營運體系針對API進行常態的營運,針對風險的API以及未知的API進行處置,當遇到API安全風險事件的時候有相關的應急響應手段。
圖片來源:視覺中國
大數據時代,個體、組織和國家所產生的數據將行為主體的敏感資訊、自身權益以及經濟價值等置於更加透明的位置,這導致數據黑產開始猖獗。根據奇安信威脅情報中心的監測發現,僅僅是2022年1月到10月,就有超過950億條的中國境內機構數據在海外被非法交易,其中60%的數據泄露事件泄露的是公民個人資訊,約有570多億條,這就相當於14億中國人,在2022年,平均每人泄露了41條個人資訊。
在AIGC時代,生成式人工智慧在企業使用者中風靡的同時,其帶來的數據安全與私密風險也受到業內的強烈關切。前述數據安全專家表示:「據統計,使用ChatGPT的員工中大多數會泄露數據,其中11%的數據為企業商業機密。」
新技術、新場景層出不窮,數據安全合規建設也成為一項非常復雜的工程。
奇安信數據安全專家認為,僅建立制度和管理層面的靜態體系是遠遠不夠的,必須借助技術手段實作覆蓋數據全生命周期和業務全流程的安全與合規管控,實作動態以及持續性的實質性合規。
具體來說,有三個方面需要落實:首先,企業需要評估自身是否存在特殊性,有無重要數據,在此基礎上,再開展數據分類分級、做有針對性地保護(比如加密、隔離儲存等),從而確保重要數據處理合法合規。其次,需要關註個人資訊的合規和安全工作,厘清個人數據的儲存和使用情況,並根據具體情況做合規性的評估,輔以有效的安全保護技術手段和策略(包括但不限於脫敏、設定存取控制以及傳輸加密等),從實質結果上避免出現類似數據泄露等侵害個人和公共利益的數據安全事故。此外,企業需要根據自身業務情況開展專項數據合規工作。如AI大模型行業相關的企業,需要關註是否涉及演算法備案以及其他大模型領域的特殊性合規問題等。
奇安信數據安全專家還表示,企業要結合自身的實際情況,定期開展數據安全以及合規風險評估和建設工作,借助技術手段,將數據合規和安全貫穿於數據處理活動的全過程,確保在合法合規的框架下,充分釋放數據要素的價值。
(每經記者 楊煜 對本文亦有貢獻)
每日經濟新聞
