国内首例涉数据抓取交易不正当竞争纠纷案终审宣判 数字经济时代,数据安全问题何解?-北极星网

国内首例涉数据抓取交易不正当竞争纠纷案终审宣判 数字经济时代,数据安全问题何解?

  每经记者可杨

  近日,国内首例非法调用服务器API接口获取数据予以交易转卖案件尘埃落定。

  微博平台的运营者北京微梦创科网络技术有限公司(以下简称微梦公司)诉广州简亦迅信息科技有限公司(以下简称简亦迅公司)及简亦迅公司深圳分公司不正当竞争纠纷案二审公开宣判,驳回上诉,广东省高级人民法院(以下简称广东高院)裁决维持原判:全额支持微梦公司诉请赔偿经济损失2000万元。

  广东高院审理查明,简亦迅公司在每次抓取微博数据时,均通过变换IP地址和微博用户账号等技术手段,以规避微博服务器的反抓取数据防护措施,其经营的iDataAPI网站对外售卖的微博数据不但完全覆盖了微博网页上的相应展示内容,还包含大量微博平台运营管理过程产生的后台服务数据,以及微梦公司的大数据产品“微指数”,调用次数高达21.79亿余次,并根据用户调用数据接口次数收取相应费用。

  数字经济加速向前,数据安全问题也越来越成为社会关切的焦点。数字时代,法律与技术成为保障数据安全的双重透镜:法律将如何保障数据安全,技术又如何成为数据安全的屏障?

  国内首例非法数据抓取交易案终审审判

  近日,国内首例非法调用服务器API接口获取数据予以交易转卖案件尘埃落定。

  广东高院审理认为,微梦公司对依法依规持有的微博数据享有自主管控、合法利用并获取经济利益的权益,简亦迅公司通过不断变换IP地址、微博用户账号等方式向微博服务器发出数据请求,骗取了微博服务器向用户端传输数据的专用数据接口的调用权限,获取了其本无权调用的大量微博后台数据,并予以直接转卖获利,有违公平、诚信原则和商业道德,扰乱了数据市场竞争秩序,严重损害了微梦公司和消费者合法权益,构成反不正当竞争法第二条规定的不正当竞争行为。

  广东高院还在发文时提到,根据iData API网站公布的调用微博数据次数超过21亿次,按照收费标准中位数1元/100次计算,可得简亦迅公司非法收入超过2179.79万元,结合简亦迅公司实施不正当竞争行为类型多、采用恶意技术手段、持续时间长、调用微博数据规模巨大、损害后果严重,以及采用混淆服务来源或经营关系的方式宣传其侵权服务等因素,故对微梦公司诉请赔偿的2000万元予以全额支持。

  图片来源:广东高院官网

  对于本次案件,微梦公司代理律师己任律师事务所律师张翰雄在接受《每日经济新闻》记者书面采访时称,本案在适用反不正当竞争法的过程中,除保护企业对其合法依规积累大数据资源所享有的合法权益以外,重点考量了被诉不正当竞争行为对消费者权益、社会公共利益、数据行业健康有序发展的影响。

  “我们认为,这里面体现出的,对用户隐私、数据安全等问题的关注,将对整个数据市场的参与者起到重要的引导和教育作用,使整个行业关注到对数据资源的开发、积累、应用需要关注数据安全、消费者权益、遵守法律法规和商业道德,坚守诚信底线。”张翰雄表示。

  张翰雄还说道,本案对违规获取和使用数据行为作出明确的侵权认定,对于市场而言无疑是一剂强心针。

  一方面,这类技术手段一般都比较隐匿,本案固定被告相关数据获取行为的具体技术手段确实耗费了企业很大精力,对这类行为的维权难度很大。而本案通过对证据规则恰如其分地运用,对企业未来针对类似行为的维权提供了参考和信心,同时也对整个市场产生警示和教育作用,实现法律对市场和技术应用行为的引导和治理,使市场和行业更加明确自身竞争行为边界。

  另一方面,针对数据的非法获取和使用行为,主要依照《反不正当竞争法》《个人信息保护法》《数据安全法》《网络安全法》《刑法》等法律法规加以规制。不同法律的侧重点各异。本案即是适用反不正当竞争法保护企业数据权益,维护数据市场竞争秩序的一个典型案例。

  基于这一案件的思考,张翰雄认为,面对层出不穷的利用技术手段的违法侵权行为,需要在法律的引领下,采用“法律+技术”的方法论实现有效维权。本案中,认定被告不正当获取数据手段的取证,即是“法律+技术”的最佳体现之一。当然,这要求权利人需要有较强的举证和维权能力,也需要投入相当大的维权资源。他认为,本案法院对于当事人尽力举证的鼓励和认可,无疑对维权增添了信心。另外,由于技术手段高度复杂、隐匿、变化速度快,灵活正当及时地运用法律程序,也对维权具有重要意义,如民事诉讼中的证据保全、行为保全程序、技术调查、书证提出命令等,或者采用先行(注:行政诉讼)后民、先刑后民的方式形成“组合拳”,都是可资参考的法律手段。

  法律之剑:需尽快完善数据产权制度法律体系

  随着技术的迅速发展,数据的价值日益显现,与此同时,数据安全问题也引发关注——未来,法律应当如何适应与应对新兴技术带来的挑战,以保障个人隐私和企业数据的完整性?

  垦丁(广州)律师事务所联合创始人、国际数据管理协会DAMA中国专家成员陈双在接受《每日经济新闻》记者采访时表示:“本案(指‘国内首例涉数据抓取交易不正当竞争纠纷案’)之所以引发业内人士的重点关注,主要来自两方面声音——一方面,过度保护平台企业数据权益可能会造成数据垄断,阻碍数据要素流通;另一方面,一味地鼓励数据交易而忽略数据产品形成的合法合规性又会纵容数据黑灰产市场发展,扰乱市场秩序。”

  陈双表示,目前,全国各大数据交易所都有数据产品上架的合规审查流程,对数据来源和数据获取路径的合法性有一定的审查监管。但活跃的场外数据交易市场仍然监管缺位,主要还是靠个案判例中厘清合规边界和规则。

  陈双建议,监管政策应充分考量数据有序流通的重要价值,对场外数据交易建立数据流通和利用的合规标准和政策指引,引导市场主体规范数据开发、利用、交易行为。同时,在个案中审慎分析研判获取数据目的和使用数据行为的正当性、获取数据的手段和方式合法性,对违法行为给予否定性评价并加大违法行为的处罚力度。从而实现数据场内场外交易合规监管的有效衔接,促进数据要素市场的健康有序发展。

  目前,我国对于数据权益的保护基本上仍是在《反不正当竞争法》《著作权法》《专利法》的法律框架下实现。陈双在采访中也谈到,由于数据具有可复制、无形性等特征,在数据权益保护上,传统的法律规则往往会增加了数据权利主体举证的难度和成本,对各数据权利主体相关权益界定也存在极大困难,不利于激活数据要素的价值。

  此前,为了更好地保护数据各方权利主体使数据价值发挥作为生成要素的作用,《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》提出了“三权分置新型产权制度”,即数据资源持有权、数据加工使用权、数据产品经营权等产权的分置运行机制,为激活数据要素价值创造和价值实现提供基础性制度保障。

  陈双谈到,目前“数据三权分置产权制度”仍是政策层面的指引,尚未上升成为法律,所以不能直接成为法院裁判的依据,尤其是面对着通过新型技术手段侵犯数据权益的认定上,传统领域的法律规则变得难以全面覆盖,所以需要尽快完善数据产权制度法律体系,以适应数字经济时代下的数据权益新型保护规则。

  数字经济时代,数据的价值不断显现,用户应当如何应对可能发生的数据安全问题?

  陈双建议,根据《个人信息保护法》,用户有权通过《隐私政策》《用户协议》等文本界面知晓数据处理者的身份、数据处理的目的、方式、范围等,有权自主选择是否同意数据处理者收集、使用、处理、转让其个人信息,有权拒绝或撤回其同意,有权访问、更正、删除其个人信息,也有权投诉、举报数据处理者的违法行为。确保用户的个人信息收集和处理行为获得其本人知情同意及授权。

  陈双表示,数据处理者对个人数据可以加工并使用的前提是在充分告知个人用户并获得授权同意的情况下方可开展,在满足合规的前提下,国家支持数据处理者依法依规行使数据应用相关权利,促进数据使用价值复用与充分利用,促进数据使用权交换和市场化流通。但用户个人也建立安全合规意识,对于违背自身意愿收集、超范围收集或者对个人信息滥用、盗用的情形,用户应积极、主动向监管部门进行投诉、举报。

  技术护航:数据黑产猖獗,合规与安全需实现全生命周期覆盖

  技术的高速迭代为数据安全的保护带来了全新的挑战,但与此同时,除了法规的保护之外,技术在维护数据安全方面同样起着至关重要的角色。

  以上述案件为例,简亦迅公司被控非法调用微博服务器向用户端传输数据的API(应用程序编程接口),抓取了大量微博后台数据予以存储,并通过其经营的iDataAPI网站对外售卖。

  奇安信的数据安全专家在接受《每日经济新闻》记者采访时表示,随着数字经济的发展,API作为对外提供数据服务的主流通道,在API爆发式增长的环境下对外也产生了大量的暴露面和攻击面,对于API的安全防护而言,传统的安全防护设备无法解决API安全的问题,因为从防护的维度和防护的模型均已经发生了质的变化,另外目前大多数用户对于API安全的建设均处于一个盲区,如何梳理清楚API资产,看清API风险、如何进行防护成为当前用户的主要痛点。

  对于API安全的防护体系,奇安信认为应该从API安全全生命周期来看,可以将API分为设计、开发、测试、运行、上线、发布、下线等几个流程,这几个流程可以拆分为事前、事中和事后三个阶段。

  在事前阶段,也就是开发设计和测试阶段,可以通过管理体系制定相关的管理制度来对开发进行约束,将API的漏洞风险在开发侧进行闭环;在上线运行阶段,需要建立一套完整的技术体系,从资产管理、安全检测、安全分析、安全防护形成一套闭环的监测手段;API的评估处置以及下线阶段,我们需要建立完整的运营体系针对API进行常态的运营,针对风险的API以及未知的API进行处置,当遇到API安全风险事件的时候有相关的应急响应手段。

  大数据时代,个体、组织和国家所产生的数据将行为主体的敏感信息、自身权益以及经济价值等置于更加透明的位置,这导致数据黑产开始猖獗。根据奇安信威胁情报中心的监测发现,仅仅是2022年1月到10月,就有超过950亿条的中国境内机构数据在海外被非法交易,其中60%的数据泄露事件泄露的是公民个人信息,约有570多亿条,这就相当于14亿中国人,在2022年,平均每人泄露了41条个人信息。

  在AIGC时代,生成式人工智能在企业用户中风靡的同时,其带来的数据安全与隐私风险也受到业内的强烈关切。前述数据安全专家表示:“据统计,使用ChatGPT的员工中大多数会泄露数据,其中11%的数据为企业商业机密。”

  新技术、新场景层出不穷,数据安全合规建设也成为一项非常复杂的工程。

  奇安信数据安全专家认为,仅建立制度和管理层面的静态体系是远远不够的,必须借助技术手段实现覆盖数据全生命周期和业务全流程的安全与合规管控,实现动态以及持续性的实质性合规。

  具体来说,有三个方面需要落实:首先,企业需要评估自身是否存在特殊性,有无重要数据,在此基础上,再开展数据分类分级、做有针对性地保护(比如加密、隔离存储等),从而确保重要数据处理合法合规。其次,需要关注个人信息的合规和安全工作,厘清个人数据的存储和使用情况,并根据具体情况做合规性的评估,辅以有效的安全保护技术手段和策略(包括但不限于脱敏、设置访问控制以及传输加密等),从实质结果上避免出现类似数据泄露等侵害个人和公共利益的数据安全事故。此外,企业需要根据自身业务情况开展专项数据合规工作。如AI大模型行业相关的企业,需要关注是否涉及算法备案以及其他大模型领域的特殊性合规问题等。

  奇安信数据安全专家还表示,企业要结合自身的实际情况,定期开展数据安全以及合规风险评估和建设工作,借助技术手段,将数据合规和安全贯穿于数据处理活动的全过程,确保在合法合规的框架下,充分释放数据要素的价值。

  (每经记者杨煜对本文亦有贡献)