◎近日����,國內(nèi)首例非法調(diào)用服務(wù)器API接口獲取數(shù)據(jù)予以交易轉(zhuǎn)賣案件塵埃落定。
◎微夢公司代理律師己任律師事務(wù)所律師張翰雄在接受《每日經(jīng)濟(jì)新聞》記者書面采訪時稱���,本案在適用反不正當(dāng)競爭法的過程中��,除保護(hù)企業(yè)對其合法依規(guī)積累大數(shù)據(jù)資源所享有的合法權(quán)益以外��,重點考量了被訴不正當(dāng)競爭行為對消費者權(quán)益���、社會公共利益、數(shù)據(jù)行業(yè)健康有序發(fā)展的影響����。
每經(jīng)記者 可楊 每經(jīng)編輯 楊夏
近日��,國內(nèi)首例非法調(diào)用服務(wù)器API接口獲取數(shù)據(jù)予以交易轉(zhuǎn)賣案件塵埃落定。
微博平臺的運營者北京微夢創(chuàng)科網(wǎng)絡(luò)技術(shù)有限公司(以下簡稱微夢公司)訴廣州簡亦迅信息科技有限公司(以下簡稱簡亦迅公司)及簡亦迅公司深圳分公司不正當(dāng)競爭糾紛案二審公開宣判���,駁回上訴����,廣東省高級人民法院(以下簡稱廣東高院)裁決維持原判:全額支持微夢公司訴請賠償經(jīng)濟(jì)損失2000萬元�����。
廣東高院審理查明�,簡亦迅公司在每次抓取微博數(shù)據(jù)時,均通過變換IP地址和微博用戶賬號等技術(shù)手段����,以規(guī)避微博服務(wù)器的反抓取數(shù)據(jù)防護(hù)措施,其經(jīng)營的iDataAPI網(wǎng)站對外售賣的微博數(shù)據(jù)不但完全覆蓋了微博網(wǎng)頁上的相應(yīng)展示內(nèi)容�,還包含大量微博平臺運營管理過程產(chǎn)生的后臺服務(wù)數(shù)據(jù),以及微夢公司的大數(shù)據(jù)產(chǎn)品“微指數(shù)”����,調(diào)用次數(shù)高達(dá)21.79億余次,并根據(jù)用戶調(diào)用數(shù)據(jù)接口次數(shù)收取相應(yīng)費用�。
數(shù)字經(jīng)濟(jì)加速向前,數(shù)據(jù)安全問題也越來越成為社會關(guān)切的焦點���。數(shù)字時代����,法律與技術(shù)成為保障數(shù)據(jù)安全的雙重透鏡:法律將如何保障數(shù)據(jù)安全,技術(shù)又如何成為數(shù)據(jù)安全的屏障�?
圖片來源:視覺中國
國內(nèi)首例非法數(shù)據(jù)抓取交易案終審審判
近日����,國內(nèi)首例非法調(diào)用服務(wù)器API接口獲取數(shù)據(jù)予以交易轉(zhuǎn)賣案件塵埃落定。
廣東高院審理認(rèn)為����,微夢公司對依法依規(guī)持有的微博數(shù)據(jù)享有自主管控、合法利用并獲取經(jīng)濟(jì)利益的權(quán)益�,簡亦迅公司通過不斷變換IP地址、微博用戶賬號等方式向微博服務(wù)器發(fā)出數(shù)據(jù)請求�,騙取了微博服務(wù)器向用戶端傳輸數(shù)據(jù)的專用數(shù)據(jù)接口的調(diào)用權(quán)限,獲取了其本無權(quán)調(diào)用的大量微博后臺數(shù)據(jù)�,并予以直接轉(zhuǎn)賣獲利,有違公平����、誠信原則和商業(yè)道德,擾亂了數(shù)據(jù)市場競爭秩序����,嚴(yán)重?fù)p害了微夢公司和消費者合法權(quán)益���,構(gòu)成反不正當(dāng)競爭法第二條規(guī)定的不正當(dāng)競爭行為。
廣東高院還在發(fā)文時提到���,根據(jù)iData API網(wǎng)站公布的調(diào)用微博數(shù)據(jù)次數(shù)超過21億次�,按照收費標(biāo)準(zhǔn)中位數(shù)1元/100次計算���,可得簡亦迅公司非法收入超過2179.79萬元�����,結(jié)合簡亦迅公司實施不正當(dāng)競爭行為類型多���、采用惡意技術(shù)手段、持續(xù)時間長�、調(diào)用微博數(shù)據(jù)規(guī)模巨大、損害后果嚴(yán)重��,以及采用混淆服務(wù)來源或經(jīng)營關(guān)系的方式宣傳其侵權(quán)服務(wù)等因素�,故對微夢公司訴請賠償?shù)?000萬元予以全額支持。
圖片來源:廣東高院官網(wǎng)
對于本次案件��,微夢公司代理律師己任律師事務(wù)所律師張翰雄在接受《每日經(jīng)濟(jì)新聞》記者書面采訪時稱,本案在適用反不正當(dāng)競爭法的過程中�,除保護(hù)企業(yè)對其合法依規(guī)積累大數(shù)據(jù)資源所享有的合法權(quán)益以外,重點考量了被訴不正當(dāng)競爭行為對消費者權(quán)益�、社會公共利益、數(shù)據(jù)行業(yè)健康有序發(fā)展的影響����。
“我們認(rèn)為,這里面體現(xiàn)出的�,對用戶隱私����、數(shù)據(jù)安全等問題的關(guān)注,將對整個數(shù)據(jù)市場的參與者起到重要的引導(dǎo)和教育作用����,使整個行業(yè)關(guān)注到對數(shù)據(jù)資源的開發(fā)、積累��、應(yīng)用需要關(guān)注數(shù)據(jù)安全��、消費者權(quán)益��、遵守法律法規(guī)和商業(yè)道德�,堅守誠信底線�����。”張翰雄表示�����。
張翰雄還說道�����,本案對違規(guī)獲取和使用數(shù)據(jù)行為作出明確的侵權(quán)認(rèn)定�,對于市場而言無疑是一劑強(qiáng)心針����。
一方面,這類技術(shù)手段一般都比較隱匿���,本案固定被告相關(guān)數(shù)據(jù)獲取行為的具體技術(shù)手段確實耗費了企業(yè)很大精力��,對這類行為的維權(quán)難度很大����。而本案通過對證據(jù)規(guī)則恰如其分地運用�����,對企業(yè)未來針對類似行為的維權(quán)提供了參考和信心,同時也對整個市場產(chǎn)生警示和教育作用�,實現(xiàn)法律對市場和技術(shù)應(yīng)用行為的引導(dǎo)和治理,使市場和行業(yè)更加明確自身競爭行為邊界����。
另一方面,針對數(shù)據(jù)的非法獲取和使用行為��,主要依照《反不正當(dāng)競爭法》《個人信息保護(hù)法》《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》《刑法》等法律法規(guī)加以規(guī)制�����。不同法律的側(cè)重點各異�����。本案即是適用反不正當(dāng)競爭法保護(hù)企業(yè)數(shù)據(jù)權(quán)益����,維護(hù)數(shù)據(jù)市場競爭秩序的一個典型案例�����。
基于這一案件的思考,張翰雄認(rèn)為����,面對層出不窮的利用技術(shù)手段的違法侵權(quán)行為,需要在法律的引領(lǐng)下���,采用“法律+技術(shù)”的方法論實現(xiàn)有效維權(quán)����。本案中���,認(rèn)定被告不正當(dāng)獲取數(shù)據(jù)手段的取證�����,即是“法律+技術(shù)”的最佳體現(xiàn)之一��。當(dāng)然�,這要求權(quán)利人需要有較強(qiáng)的舉證和維權(quán)能力�����,也需要投入相當(dāng)大的維權(quán)資源���。他認(rèn)為���,本案法院對于當(dāng)事人盡力舉證的鼓勵和認(rèn)可����,無疑對維權(quán)增添了信心�����。另外���,由于技術(shù)手段高度復(fù)雜��、隱匿�、變化速度快�,靈活正當(dāng)及時地運用法律程序���,也對維權(quán)具有重要意義����,如民事訴訟中的證據(jù)保全��、行為保全程序、技術(shù)調(diào)查�����、書證提出命令等�����,或者采用先行(注:行政訴訟)后民����、先刑后民的方式形成“組合拳”,都是可資參考的法律手段�。
法律之劍:需盡快完善數(shù)據(jù)產(chǎn)權(quán)制度法律體系
隨著技術(shù)的迅速發(fā)展,數(shù)據(jù)的價值日益顯現(xiàn)��,與此同時�����,數(shù)據(jù)安全問題也引發(fā)關(guān)注——未來��,法律應(yīng)當(dāng)如何適應(yīng)與應(yīng)對新興技術(shù)帶來的挑戰(zhàn)�����,以保障個人隱私和企業(yè)數(shù)據(jù)的完整性?
墾?��。◤V州)律師事務(wù)所聯(lián)合創(chuàng)始人���、國際數(shù)據(jù)管理協(xié)會DAMA中國專家成員陳雙在接受《每日經(jīng)濟(jì)新聞》記者采訪時表示:“本案(指‘國內(nèi)首例涉數(shù)據(jù)抓取交易不正當(dāng)競爭糾紛案’)之所以引發(fā)業(yè)內(nèi)人士的重點關(guān)注,主要來自兩方面聲音——一方面����,過度保護(hù)平臺企業(yè)數(shù)據(jù)權(quán)益可能會造成數(shù)據(jù)壟斷,阻礙數(shù)據(jù)要素流通��;另一方面����,一味地鼓勵數(shù)據(jù)交易而忽略數(shù)據(jù)產(chǎn)品形成的合法合規(guī)性又會縱容數(shù)據(jù)黑灰產(chǎn)市場發(fā)展,擾亂市場秩序�。”
陳雙表示,目前�,全國各大數(shù)據(jù)交易所都有數(shù)據(jù)產(chǎn)品上架的合規(guī)審查流程,對數(shù)據(jù)來源和數(shù)據(jù)獲取路徑的合法性有一定的審查監(jiān)管�����。但活躍的場外數(shù)據(jù)交易市場仍然監(jiān)管缺位�����,主要還是靠個案判例中厘清合規(guī)邊界和規(guī)則��。
陳雙建議�,監(jiān)管政策應(yīng)充分考量數(shù)據(jù)有序流通的重要價值,對場外數(shù)據(jù)交易建立數(shù)據(jù)流通和利用的合規(guī)標(biāo)準(zhǔn)和政策指引�����,引導(dǎo)市場主體規(guī)范數(shù)據(jù)開發(fā)�����、利用��、交易行為��。同時���,在個案中審慎分析研判獲取數(shù)據(jù)目的和使用數(shù)據(jù)行為的正當(dāng)性�����、獲取數(shù)據(jù)的手段和方式合法性���,對違法行為給予否定性評價并加大違法行為的處罰力度���。從而實現(xiàn)數(shù)據(jù)場內(nèi)場外交易合規(guī)監(jiān)管的有效銜接,促進(jìn)數(shù)據(jù)要素市場的健康有序發(fā)展���。
圖片來源:視覺中國
目前�,我國對于數(shù)據(jù)權(quán)益的保護(hù)基本上仍是在《反不正當(dāng)競爭法》《著作權(quán)法》《專利法》的法律框架下實現(xiàn)����。陳雙在采訪中也談到,由于數(shù)據(jù)具有可復(fù)制�����、無形性等特征�����,在數(shù)據(jù)權(quán)益保護(hù)上�,傳統(tǒng)的法律規(guī)則往往會增加了數(shù)據(jù)權(quán)利主體舉證的難度和成本,對各數(shù)據(jù)權(quán)利主體相關(guān)權(quán)益界定也存在極大困難�,不利于激活數(shù)據(jù)要素的價值��。
此前��,為了更好地保護(hù)數(shù)據(jù)各方權(quán)利主體使數(shù)據(jù)價值發(fā)揮作為生成要素的作用,《中共中央 國務(wù)院關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見》提出了“三權(quán)分置新型產(chǎn)權(quán)制度”����,即數(shù)據(jù)資源持有權(quán)、數(shù)據(jù)加工使用權(quán)����、數(shù)據(jù)產(chǎn)品經(jīng)營權(quán)等產(chǎn)權(quán)的分置運行機(jī)制,為激活數(shù)據(jù)要素價值創(chuàng)造和價值實現(xiàn)提供基礎(chǔ)性制度保障�。
陳雙談到,目前“數(shù)據(jù)三權(quán)分置產(chǎn)權(quán)制度”仍是政策層面的指引�,尚未上升成為法律,所以不能直接成為法院裁判的依據(jù)�����,尤其是面對著通過新型技術(shù)手段侵犯數(shù)據(jù)權(quán)益的認(rèn)定上���,傳統(tǒng)領(lǐng)域的法律規(guī)則變得難以全面覆蓋��,所以需要盡快完善數(shù)據(jù)產(chǎn)權(quán)制度法律體系�����,以適應(yīng)數(shù)字經(jīng)濟(jì)時代下的數(shù)據(jù)權(quán)益新型保護(hù)規(guī)則�。
數(shù)字經(jīng)濟(jì)時代,數(shù)據(jù)的價值不斷顯現(xiàn)�,用戶應(yīng)當(dāng)如何應(yīng)對可能發(fā)生的數(shù)據(jù)安全問題?
陳雙建議���,根據(jù)《個人信息保護(hù)法》��,用戶有權(quán)通過《隱私政策》《用戶協(xié)議》等文本界面知曉數(shù)據(jù)處理者的身份���、數(shù)據(jù)處理的目的、方式��、范圍等��,有權(quán)自主選擇是否同意數(shù)據(jù)處理者收集�、使用、處理��、轉(zhuǎn)讓其個人信息,有權(quán)拒絕或撤回其同意,有權(quán)訪問��、更正���、刪除其個人信息,也有權(quán)投訴��、舉報數(shù)據(jù)處理者的違法行為����。確保用戶的個人信息收集和處理行為獲得其本人知情同意及授權(quán)��。
陳雙表示���,數(shù)據(jù)處理者對個人數(shù)據(jù)可以加工并使用的前提是在充分告知個人用戶并獲得授權(quán)同意的情況下方可開展���,在滿足合規(guī)的前提下,國家支持?jǐn)?shù)據(jù)處理者依法依規(guī)行使數(shù)據(jù)應(yīng)用相關(guān)權(quán)利�����,促進(jìn)數(shù)據(jù)使用價值復(fù)用與充分利用���,促進(jìn)數(shù)據(jù)使用權(quán)交換和市場化流通�。但用戶個人也建立安全合規(guī)意識�����,對于違背自身意愿收集、超范圍收集或者對個人信息濫用���、盜用的情形�����,用戶應(yīng)積極�����、主動向監(jiān)管部門進(jìn)行投訴����、舉報����。
技術(shù)護(hù)航:數(shù)據(jù)黑產(chǎn)猖獗,合規(guī)與安全需實現(xiàn)全生命周期覆蓋
技術(shù)的高速迭代為數(shù)據(jù)安全的保護(hù)帶來了全新的挑戰(zhàn)�����,但與此同時,除了法規(guī)的保護(hù)之外����,技術(shù)在維護(hù)數(shù)據(jù)安全方面同樣起著至關(guān)重要的角色。
以上述案件為例��,簡亦迅公司被控非法調(diào)用微博服務(wù)器向用戶端傳輸數(shù)據(jù)的API(應(yīng)用程序編程接口)�����,抓取了大量微博后臺數(shù)據(jù)予以存儲����,并通過其經(jīng)營的iDataAPI網(wǎng)站對外售賣���。
奇安信的數(shù)據(jù)安全專家在接受《每日經(jīng)濟(jì)新聞》記者采訪時表示����,隨著數(shù)字經(jīng)濟(jì)的發(fā)展�����,API作為對外提供數(shù)據(jù)服務(wù)的主流通道����,在API爆發(fā)式增長的環(huán)境下對外也產(chǎn)生了大量的暴露面和攻擊面�����,對于API的安全防護(hù)而言�����,傳統(tǒng)的安全防護(hù)設(shè)備無法解決API安全的問題�����,因為從防護(hù)的維度和防護(hù)的模型均已經(jīng)發(fā)生了質(zhì)的變化�����,另外目前大多數(shù)用戶對于API安全的建設(shè)均處于一個盲區(qū)�,如何梳理清楚API資產(chǎn)����,看清API風(fēng)險、如何進(jìn)行防護(hù)成為當(dāng)前用戶的主要痛點�����。
對于API安全的防護(hù)體系,奇安信認(rèn)為應(yīng)該從API安全全生命周期來看�,可以將API分為設(shè)計、開發(fā)���、測試�����、運行��、上線���、發(fā)布、下線等幾個流程����,這幾個流程可以拆分為事前����、事中和事后三個階段。
在事前階段���,也就是開發(fā)設(shè)計和測試階段�,可以通過管理體系制定相關(guān)的管理制度來對開發(fā)進(jìn)行約束,將API的漏洞風(fēng)險在開發(fā)側(cè)進(jìn)行閉環(huán)�;在上線運行階段,需要建立一套完整的技術(shù)體系�,從資產(chǎn)管理、安全檢測���、安全分析���、安全防護(hù)形成一套閉環(huán)的監(jiān)測手段;API的評估處置以及下線階段�����,我們需要建立完整的運營體系針對API進(jìn)行常態(tài)的運營��,針對風(fēng)險的API以及未知的API進(jìn)行處置�,當(dāng)遇到API安全風(fēng)險事件的時候有相關(guān)的應(yīng)急響應(yīng)手段。
圖片來源:視覺中國
大數(shù)據(jù)時代�����,個體�����、組織和國家所產(chǎn)生的數(shù)據(jù)將行為主體的敏感信息、自身權(quán)益以及經(jīng)濟(jì)價值等置于更加透明的位置��,這導(dǎo)致數(shù)據(jù)黑產(chǎn)開始猖獗����。根據(jù)奇安信威脅情報中心的監(jiān)測發(fā)現(xiàn),僅僅是2022年1月到10月��,就有超過950億條的中國境內(nèi)機(jī)構(gòu)數(shù)據(jù)在海外被非法交易��,其中60%的數(shù)據(jù)泄露事件泄露的是公民個人信息�����,約有570多億條�����,這就相當(dāng)于14億中國人�,在2022年,平均每人泄露了41條個人信息���。
在AIGC時代,生成式人工智能在企業(yè)用戶中風(fēng)靡的同時���,其帶來的數(shù)據(jù)安全與隱私風(fēng)險也受到業(yè)內(nèi)的強(qiáng)烈關(guān)切����。前述數(shù)據(jù)安全專家表示:“據(jù)統(tǒng)計,使用ChatGPT的員工中大多數(shù)會泄露數(shù)據(jù)�����,其中11%的數(shù)據(jù)為企業(yè)商業(yè)機(jī)密��。”
新技術(shù)�、新場景層出不窮,數(shù)據(jù)安全合規(guī)建設(shè)也成為一項非常復(fù)雜的工程����。
奇安信數(shù)據(jù)安全專家認(rèn)為,僅建立制度和管理層面的靜態(tài)體系是遠(yuǎn)遠(yuǎn)不夠的�,必須借助技術(shù)手段實現(xiàn)覆蓋數(shù)據(jù)全生命周期和業(yè)務(wù)全流程的安全與合規(guī)管控,實現(xiàn)動態(tài)以及持續(xù)性的實質(zhì)性合規(guī)��。
具體來說�����,有三個方面需要落實:首先����,企業(yè)需要評估自身是否存在特殊性��,有無重要數(shù)據(jù)����,在此基礎(chǔ)上��,再開展數(shù)據(jù)分類分級�、做有針對性地保護(hù)(比如加密、隔離存儲等)�,從而確保重要數(shù)據(jù)處理合法合規(guī)。其次�����,需要關(guān)注個人信息的合規(guī)和安全工作����,厘清個人數(shù)據(jù)的存儲和使用情況,并根據(jù)具體情況做合規(guī)性的評估���,輔以有效的安全保護(hù)技術(shù)手段和策略(包括但不限于脫敏����、設(shè)置訪問控制以及傳輸加密等)�,從實質(zhì)結(jié)果上避免出現(xiàn)類似數(shù)據(jù)泄露等侵害個人和公共利益的數(shù)據(jù)安全事故。此外����,企業(yè)需要根據(jù)自身業(yè)務(wù)情況開展專項數(shù)據(jù)合規(guī)工作。如AI大模型行業(yè)相關(guān)的企業(yè)�,需要關(guān)注是否涉及算法備案以及其他大模型領(lǐng)域的特殊性合規(guī)問題等。
奇安信數(shù)據(jù)安全專家還表示�����,企業(yè)要結(jié)合自身的實際情況�,定期開展數(shù)據(jù)安全以及合規(guī)風(fēng)險評估和建設(shè)工作,借助技術(shù)手段�����,將數(shù)據(jù)合規(guī)和安全貫穿于數(shù)據(jù)處理活動的全過程���,確保在合法合規(guī)的框架下���,充分釋放數(shù)據(jù)要素的價值。
(每經(jīng)記者 楊煜 對本文亦有貢獻(xiàn))
封面圖片來源:視覺中國-VCG211101835839
