每日經濟新聞 2024-01-20 17:19:08
◎近日,國內首例非法調用服務器API接口獲取數據予以交易轉賣案件塵埃落定。
◎微夢公司代理律師己任律師事務所律師張翰雄在接受《每日經濟新聞》記者書面采訪時稱,本案在適用反不正當競爭法的過程中,除保護企業對其合法依規積累大數據資源所享有的合法權益以外,重點考量了被訴不正當競爭行為對消費者權益、社會公共利益、數據行業健康有序發展的影響。
每經記者 可楊 每經編輯 楊夏
近日,國內首例非法調用服務器API接口獲取數據予以交易轉賣案件塵埃落定。
微博平臺的運營者北京微夢創科網絡技術有限公司(以下簡稱微夢公司)訴廣州簡亦迅信息科技有限公司(以下簡稱簡亦迅公司)及簡亦迅公司深圳分公司不正當競爭糾紛案二審公開宣判,駁回上訴,廣東省高級人民法院(以下簡稱廣東高院)裁決維持原判:全額支持微夢公司訴請賠償經濟損失2000萬元。
廣東高院審理查明,簡亦迅公司在每次抓取微博數據時,均通過變換IP地址和微博用戶賬號等技術手段,以規避微博服務器的反抓取數據防護措施,其經營的iDataAPI網站對外售賣的微博數據不但完全覆蓋了微博網頁上的相應展示內容,還包含大量微博平臺運營管理過程產生的后臺服務數據,以及微夢公司的大數據產品“微指數”,調用次數高達21.79億余次,并根據用戶調用數據接口次數收取相應費用。
數字經濟加速向前,數據安全問題也越來越成為社會關切的焦點。數字時代,法律與技術成為保障數據安全的雙重透鏡:法律將如何保障數據安全,技術又如何成為數據安全的屏障?
近日,國內首例非法調用服務器API接口獲取數據予以交易轉賣案件塵埃落定。
廣東高院審理認為,微夢公司對依法依規持有的微博數據享有自主管控、合法利用并獲取經濟利益的權益,簡亦迅公司通過不斷變換IP地址、微博用戶賬號等方式向微博服務器發出數據請求,騙取了微博服務器向用戶端傳輸數據的專用數據接口的調用權限,獲取了其本無權調用的大量微博后臺數據,并予以直接轉賣獲利,有違公平、誠信原則和商業道德,擾亂了數據市場競爭秩序,嚴重損害了微夢公司和消費者合法權益,構成反不正當競爭法第二條規定的不正當競爭行為。
廣東高院還在發文時提到,根據iData API網站公布的調用微博數據次數超過21億次,按照收費標準中位數1元/100次計算,可得簡亦迅公司非法收入超過2179.79萬元,結合簡亦迅公司實施不正當競爭行為類型多、采用惡意技術手段、持續時間長、調用微博數據規模巨大、損害后果嚴重,以及采用混淆服務來源或經營關系的方式宣傳其侵權服務等因素,故對微夢公司訴請賠償的2000萬元予以全額支持。
對于本次案件,微夢公司代理律師己任律師事務所律師張翰雄在接受《每日經濟新聞》記者書面采訪時稱,本案在適用反不正當競爭法的過程中,除保護企業對其合法依規積累大數據資源所享有的合法權益以外,重點考量了被訴不正當競爭行為對消費者權益、社會公共利益、數據行業健康有序發展的影響。
“我們認為,這里面體現出的,對用戶隱私、數據安全等問題的關注,將對整個數據市場的參與者起到重要的引導和教育作用,使整個行業關注到對數據資源的開發、積累、應用需要關注數據安全、消費者權益、遵守法律法規和商業道德,堅守誠信底線。”張翰雄表示。
張翰雄還說道,本案對違規獲取和使用數據行為作出明確的侵權認定,對于市場而言無疑是一劑強心針。
一方面,這類技術手段一般都比較隱匿,本案固定被告相關數據獲取行為的具體技術手段確實耗費了企業很大精力,對這類行為的維權難度很大。而本案通過對證據規則恰如其分地運用,對企業未來針對類似行為的維權提供了參考和信心,同時也對整個市場產生警示和教育作用,實現法律對市場和技術應用行為的引導和治理,使市場和行業更加明確自身競爭行為邊界。
另一方面,針對數據的非法獲取和使用行為,主要依照《反不正當競爭法》《個人信息保護法》《數據安全法》《網絡安全法》《刑法》等法律法規加以規制。不同法律的側重點各異。本案即是適用反不正當競爭法保護企業數據權益,維護數據市場競爭秩序的一個典型案例。
基于這一案件的思考,張翰雄認為,面對層出不窮的利用技術手段的違法侵權行為,需要在法律的引領下,采用“法律+技術”的方法論實現有效維權。本案中,認定被告不正當獲取數據手段的取證,即是“法律+技術”的最佳體現之一。當然,這要求權利人需要有較強的舉證和維權能力,也需要投入相當大的維權資源。他認為,本案法院對于當事人盡力舉證的鼓勵和認可,無疑對維權增添了信心。另外,由于技術手段高度復雜、隱匿、變化速度快,靈活正當及時地運用法律程序,也對維權具有重要意義,如民事訴訟中的證據保全、行為保全程序、技術調查、書證提出命令等,或者采用先行(注:行政訴訟)后民、先刑后民的方式形成“組合拳”,都是可資參考的法律手段。
隨著技術的迅速發展,數據的價值日益顯現,與此同時,數據安全問題也引發關注——未來,法律應當如何適應與應對新興技術帶來的挑戰,以保障個人隱私和企業數據的完整性?
墾?。◤V州)律師事務所聯合創始人、國際數據管理協會DAMA中國專家成員陳雙在接受《每日經濟新聞》記者采訪時表示:“本案(指‘國內首例涉數據抓取交易不正當競爭糾紛案’)之所以引發業內人士的重點關注,主要來自兩方面聲音——一方面,過度保護平臺企業數據權益可能會造成數據壟斷,阻礙數據要素流通;另一方面,一味地鼓勵數據交易而忽略數據產品形成的合法合規性又會縱容數據黑灰產市場發展,擾亂市場秩序。”
陳雙表示,目前,全國各大數據交易所都有數據產品上架的合規審查流程,對數據來源和數據獲取路徑的合法性有一定的審查監管。但活躍的場外數據交易市場仍然監管缺位,主要還是靠個案判例中厘清合規邊界和規則。
陳雙建議,監管政策應充分考量數據有序流通的重要價值,對場外數據交易建立數據流通和利用的合規標準和政策指引,引導市場主體規范數據開發、利用、交易行為。同時,在個案中審慎分析研判獲取數據目的和使用數據行為的正當性、獲取數據的手段和方式合法性,對違法行為給予否定性評價并加大違法行為的處罰力度。從而實現數據場內場外交易合規監管的有效銜接,促進數據要素市場的健康有序發展。
目前,我國對于數據權益的保護基本上仍是在《反不正當競爭法》《著作權法》《專利法》的法律框架下實現。陳雙在采訪中也談到,由于數據具有可復制、無形性等特征,在數據權益保護上,傳統的法律規則往往會增加了數據權利主體舉證的難度和成本,對各數據權利主體相關權益界定也存在極大困難,不利于激活數據要素的價值。
此前,為了更好地保護數據各方權利主體使數據價值發揮作為生成要素的作用,《中共中央 國務院關于構建數據基礎制度更好發揮數據要素作用的意見》提出了“三權分置新型產權制度”,即數據資源持有權、數據加工使用權、數據產品經營權等產權的分置運行機制,為激活數據要素價值創造和價值實現提供基礎性制度保障。
陳雙談到,目前“數據三權分置產權制度”仍是政策層面的指引,尚未上升成為法律,所以不能直接成為法院裁判的依據,尤其是面對著通過新型技術手段侵犯數據權益的認定上,傳統領域的法律規則變得難以全面覆蓋,所以需要盡快完善數據產權制度法律體系,以適應數字經濟時代下的數據權益新型保護規則。
數字經濟時代,數據的價值不斷顯現,用戶應當如何應對可能發生的數據安全問題?
陳雙建議,根據《個人信息保護法》,用戶有權通過《隱私政策》《用戶協議》等文本界面知曉數據處理者的身份、數據處理的目的、方式、范圍等,有權自主選擇是否同意數據處理者收集、使用、處理、轉讓其個人信息,有權拒絕或撤回其同意,有權訪問、更正、刪除其個人信息,也有權投訴、舉報數據處理者的違法行為。確保用戶的個人信息收集和處理行為獲得其本人知情同意及授權。
陳雙表示,數據處理者對個人數據可以加工并使用的前提是在充分告知個人用戶并獲得授權同意的情況下方可開展,在滿足合規的前提下,國家支持數據處理者依法依規行使數據應用相關權利,促進數據使用價值復用與充分利用,促進數據使用權交換和市場化流通。但用戶個人也建立安全合規意識,對于違背自身意愿收集、超范圍收集或者對個人信息濫用、盜用的情形,用戶應積極、主動向監管部門進行投訴、舉報。
技術的高速迭代為數據安全的保護帶來了全新的挑戰,但與此同時,除了法規的保護之外,技術在維護數據安全方面同樣起著至關重要的角色。
以上述案件為例,簡亦迅公司被控非法調用微博服務器向用戶端傳輸數據的API(應用程序編程接口),抓取了大量微博后臺數據予以存儲,并通過其經營的iDataAPI網站對外售賣。
奇安信的數據安全專家在接受《每日經濟新聞》記者采訪時表示,隨著數字經濟的發展,API作為對外提供數據服務的主流通道,在API爆發式增長的環境下對外也產生了大量的暴露面和攻擊面,對于API的安全防護而言,傳統的安全防護設備無法解決API安全的問題,因為從防護的維度和防護的模型均已經發生了質的變化,另外目前大多數用戶對于API安全的建設均處于一個盲區,如何梳理清楚API資產,看清API風險、如何進行防護成為當前用戶的主要痛點。
對于API安全的防護體系,奇安信認為應該從API安全全生命周期來看,可以將API分為設計、開發、測試、運行、上線、發布、下線等幾個流程,這幾個流程可以拆分為事前、事中和事后三個階段。
在事前階段,也就是開發設計和測試階段,可以通過管理體系制定相關的管理制度來對開發進行約束,將API的漏洞風險在開發側進行閉環;在上線運行階段,需要建立一套完整的技術體系,從資產管理、安全檢測、安全分析、安全防護形成一套閉環的監測手段;API的評估處置以及下線階段,我們需要建立完整的運營體系針對API進行常態的運營,針對風險的API以及未知的API進行處置,當遇到API安全風險事件的時候有相關的應急響應手段。
大數據時代,個體、組織和國家所產生的數據將行為主體的敏感信息、自身權益以及經濟價值等置于更加透明的位置,這導致數據黑產開始猖獗。根據奇安信威脅情報中心的監測發現,僅僅是2022年1月到10月,就有超過950億條的中國境內機構數據在海外被非法交易,其中60%的數據泄露事件泄露的是公民個人信息,約有570多億條,這就相當于14億中國人,在2022年,平均每人泄露了41條個人信息。
在AIGC時代,生成式人工智能在企業用戶中風靡的同時,其帶來的數據安全與隱私風險也受到業內的強烈關切。前述數據安全專家表示:“據統計,使用ChatGPT的員工中大多數會泄露數據,其中11%的數據為企業商業機密。”
新技術、新場景層出不窮,數據安全合規建設也成為一項非常復雜的工程。
奇安信數據安全專家認為,僅建立制度和管理層面的靜態體系是遠遠不夠的,必須借助技術手段實現覆蓋數據全生命周期和業務全流程的安全與合規管控,實現動態以及持續性的實質性合規。
具體來說,有三個方面需要落實:首先,企業需要評估自身是否存在特殊性,有無重要數據,在此基礎上,再開展數據分類分級、做有針對性地保護(比如加密、隔離存儲等),從而確保重要數據處理合法合規。其次,需要關注個人信息的合規和安全工作,厘清個人數據的存儲和使用情況,并根據具體情況做合規性的評估,輔以有效的安全保護技術手段和策略(包括但不限于脫敏、設置訪問控制以及傳輸加密等),從實質結果上避免出現類似數據泄露等侵害個人和公共利益的數據安全事故。此外,企業需要根據自身業務情況開展專項數據合規工作。如AI大模型行業相關的企業,需要關注是否涉及算法備案以及其他大模型領域的特殊性合規問題等。
奇安信數據安全專家還表示,企業要結合自身的實際情況,定期開展數據安全以及合規風險評估和建設工作,借助技術手段,將數據合規和安全貫穿于數據處理活動的全過程,確保在合法合規的框架下,充分釋放數據要素的價值。
(每經記者 楊煜 對本文亦有貢獻)
封面圖片來源:視覺中國-VCG211101835839
如需轉載請與《每日經濟新聞》報社聯系。
未經《每日經濟新聞》報社授權,嚴禁轉載或鏡像,違者必究。
讀者熱線:4008890008
特別提醒:如果我們使用了您的圖片,請作者與本站聯系索取稿酬。如您不希望作品出現在本站,可聯系我們要求撤下您的作品。
歡迎關注每日經濟新聞APP