■算法治理

□  丁健琮

近年來，我國數(shù)字經(jīng)濟持續(xù)創(chuàng)新迭代，推動社會經(jīng)濟高速發(fā)展，與此同時，高價值的數(shù)據(jù)資產(chǎn)也被很多不法分子覬覦，大規(guī)模數(shù)據(jù)安全事件屢有發(fā)生。

典型的就是2020年新浪微博數(shù)據(jù)泄露事件。2020年3月4日，有暗網(wǎng)用戶發(fā)布了一則名為“5.38億微博用戶綁定手機號數(shù)據(jù)，其中1.72億有賬號基本信息”的交易信息，售價1388美元，泄露數(shù)據(jù)包括新浪微博用戶的手機號、用戶ID、賬號昵稱、頭像、粉絲數(shù)等。當月24日，工信部在官網(wǎng)發(fā)布消息，針對新浪微博因用戶查詢接口被惡意調(diào)用導(dǎo)致App數(shù)據(jù)泄露問題，工信部網(wǎng)絡(luò)安全管理局于3月21日對新浪微博相關(guān)負責人進行了問詢約談。

因為與隱私有關(guān)的數(shù)據(jù)信息對個人的生命財產(chǎn)安全影響巨大，我國立法機關(guān)在構(gòu)建我國網(wǎng)絡(luò)安全法律體系的過程中，高度重視對數(shù)據(jù)安全事件的處置。近年來，陸續(xù)出臺的網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法、反電信網(wǎng)絡(luò)詐騙法等與數(shù)據(jù)安全合規(guī)有關(guān)的法律法規(guī)，對于企業(yè)主動通報或公布數(shù)據(jù)泄露事件均作出了明確規(guī)定。

例如，網(wǎng)絡(luò)安全法第二十二條要求，網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者發(fā)現(xiàn)其網(wǎng)絡(luò)產(chǎn)品、服務(wù)存在安全缺陷、漏洞等風險時，應(yīng)當立即采取補救措施，按照規(guī)定及時告知用戶并向有關(guān)主管部門報告；數(shù)據(jù)安全法第二十九條規(guī)定，發(fā)生數(shù)據(jù)安全事件時，應(yīng)當立即采取處置措施，按照規(guī)定及時告知用戶并向有關(guān)主管部門報告；反電信網(wǎng)絡(luò)詐騙法第二十六條第二款規(guī)定，互聯(lián)網(wǎng)服務(wù)提供者依照本法規(guī)定對有關(guān)涉詐信息、活動進行監(jiān)測時，發(fā)現(xiàn)涉詐違法犯罪線索、風險信息的，應(yīng)當依照國家有關(guān)規(guī)定，根據(jù)涉詐風險類型、程度情況移送公安、金融、電信、網(wǎng)信等部門。

國外很多大企業(yè)都有主動通報數(shù)據(jù)安全事件的先例。今年10月11日，豐田汽車在一份聲明中表示，有29.6萬名接受T-connect服務(wù)的客戶資料可能已經(jīng)被泄露，時間跨度從2017年12月一直持續(xù)到今年9月15日，泄露信息包括電子郵箱地址和客戶編號等。今年5月，通用汽車曾發(fā)布聲明稱，其注意到今年4月11日至29日期間，部分在線客戶賬戶出現(xiàn)了可疑登錄，導(dǎo)致在未經(jīng)用戶授權(quán)的情況下，客戶的獎勵積分被兌換成了禮品卡。而在2021年6月，大眾汽車也曾表示，有將近330萬名客戶或潛在買家的數(shù)據(jù)遭泄露，信息包含姓名、地址、手機號碼、郵件等。大眾汽車稱該事件是由于其供應(yīng)商在2019年8月至2021年5月期間將客戶數(shù)據(jù)“未經(jīng)保護”地留在互聯(lián)網(wǎng)上造成的。從上述3起數(shù)據(jù)泄露事件的公告情況看，涉事企業(yè)主體均在發(fā)現(xiàn)數(shù)據(jù)泄露事件后1個月左右主動公布了事件相關(guān)情況以及調(diào)查進展。但我國實踐中，甚少有企業(yè)主動公開發(fā)現(xiàn)或查明的數(shù)據(jù)安全事件。中外企業(yè)之所以有如此差異，主要存在三方面原因。

一是違法責任較輕，導(dǎo)致企業(yè)存在僥幸心理。

我國數(shù)據(jù)安全法第四十五條規(guī)定，違反本法第二十九條規(guī)定的，可以處以責令改正、警告以及罰款等行政處罰，最嚴重的處罰是200萬元以下罰款和吊銷營業(yè)執(zhí)照。與之相對比，英國數(shù)據(jù)隱私監(jiān)管機構(gòu)曾于2019年以違反歐盟GDPR為由，對國際連鎖酒店集團萬豪開出過9900萬英鎊的罰單，執(zhí)法力度可見一斑。如果我國不能建立與數(shù)據(jù)泄露造成的后果相適應(yīng)的處罰標準，作為經(jīng)營主體的企業(yè)不可避免地會滋生僥幸心理，回避履行數(shù)據(jù)安全相關(guān)的法律義務(wù)。

二是缺乏獎勵機制，導(dǎo)致企業(yè)傾向于瞞報漏報。

在缺乏嚴厲處罰的同時，我國法律對于企業(yè)積極主動履行合規(guī)義務(wù)同樣缺乏獎勵機制。企業(yè)在決定是否主動公布數(shù)據(jù)安全事件時，不僅會考慮監(jiān)管壓力，還會考慮網(wǎng)民、投資者等多方面的態(tài)度和觀感，因此，執(zhí)法機關(guān)需要在給企業(yè)施加壓力的同時給予足夠的獎勵，以抵消企業(yè)對負面事件影響企業(yè)形象、投資價值的擔憂。例如，反電信網(wǎng)絡(luò)詐騙法第四十六條第二款規(guī)定，電信業(yè)務(wù)經(jīng)營者、銀行業(yè)金融機構(gòu)、非銀行支付機構(gòu)、互聯(lián)網(wǎng)服務(wù)提供者等違反本法規(guī)定，造成他人損害的，依照《中華人民共和國民法典》等法律的規(guī)定承擔民事責任；第四十七條規(guī)定，人民檢察院在履行反電信網(wǎng)絡(luò)詐騙職責中，對于侵害國家利益和社會公共利益的行為，可以依法向人民法院提起公益訴訟。執(zhí)法機關(guān)可以根據(jù)上述條文出臺相應(yīng)政策，規(guī)定只要主動報送數(shù)據(jù)安全事件，企業(yè)可以免除在相關(guān)事件中的行政和民事責任，不再提起公益訴訟。免除民事責任、避免公益訴訟風險等獎勵措施將有效引導(dǎo)企業(yè)積極主動履行數(shù)據(jù)合規(guī)義務(wù)。

三是政企合作機制有待建立和優(yōu)化。

為了支撐企業(yè)積極履行數(shù)據(jù)合規(guī)義務(wù)，政企之間建立順暢的信息流通和反饋機制必不可少。目前，政企之間關(guān)于數(shù)據(jù)合規(guī)和安全情況的報送缺乏規(guī)范化、制度化的流通渠道，不同政府部門之間同樣如此。我國網(wǎng)絡(luò)安全法規(guī)定，網(wǎng)絡(luò)安全的主管機關(guān)包括網(wǎng)信、電信、公安等部門，無論是要保證處罰措施嚴格有力，還是確保激勵機制落實到位，都離不開主管機關(guān)之間的信息同步和協(xié)同配合。因此，建議網(wǎng)絡(luò)安全的主管機關(guān)建立統(tǒng)一的數(shù)據(jù)安全事件報送平臺，以該平臺的數(shù)據(jù)作為對企業(yè)履行法定數(shù)據(jù)合規(guī)義務(wù)獎懲的重要依據(jù)，避免因部門不同導(dǎo)致重復(fù)處罰、執(zhí)法尺度差距過大等不利于企業(yè)履行數(shù)據(jù)合規(guī)義務(wù)的情形。