刑事数据提供义务的要素优化与冲突平衡

随着数字时代快速发展,刑事犯罪技术手段不断升级,传统的犯罪侦查手段不足以满足现实需求,借助网络信息服务提供者提供海量刑事数据成为预防打击犯罪的捷径。因此,法律对网络信息服务提供者新设了相关数据义务并提出更高要求,特别是刑事数据提供义务。本文通过梳理有关网络信息服务提供者的刑事数据提供义务的法律规范,发现当前刑事数据提供义务存在范围概括性、程序宽泛化等问题,进一步引发了网络信息服务提供者数据提供与个人信息保护之间的义务冲突,以及义务履行成本高与收益低之间的利益冲突,导致该项义务履行的实际效能不断弱化。为进一步化解冲突,本文尝试厘清刑事数据提供义务的范围要素,并以敏感性为标准划分数据类型,设想数据提供的场景,两相结合建立条块式的数据分级响应机制。同时,优化刑事数据提供义务程序要素,并就配套建立数据提供义务费用补偿机制提出设想。

生成式人工智能服务提供者的数据安全保护义务研究

明确生成式人工智能服务提供者的数据安全保护义务对于防范生成式人工智能的数据安全风险至关重要。服务提供者处于数据控制者的角色地位、履行数据财产权的社会义务与数据的国家基础性战略资源属性决定服务提供者需要承担数据安全保护义务。服务提供者的数据安全保护义务包括技术安全保障和数据风险管理的事前防范义务与发生数据安全事件后立即采取处置措施并及时告知报告的事后处置义务。为避免服务提供者法律责任的片段化,应注重不同法律责任之间的体系衔接与功能协同。对未履行数据安全保护义务的服务提供者采取结果主义的违法责任模式,有助于激励生成式人工智能产业创新发展,防止陷入“不实施行为即违法”的无边界法律之困境。

“公益数据私人控制”的破解:确立私主体的数据开放义务

全面数据开放是构建数据经济的制度基础,而当前我国地方政府积极探索构建的公共数据开放制度存在明显局限。制度设计者未完全厘清公共数据的实质意涵,造成大量公益数据无法通过公共数据开放制度得以有效流通利用,出现“公益数据私人控制”问题。在数据财产权利义务平衡的框架下,应当科学配置私主体的数据开放义务,以化解“公益数据私人控制”造成的数据流通困局。基于私主体的社会性理论、公众受益权理论以及公益数据的公共价值分析,私主体的数据开放义务得以证立。基于数据类型化的思路,针对完全公益数据,应当通过数据强制开放义务实现其公共价值;针对非完全公益数据,则应当通过激励政策鼓励私主体积极开放自身的数据资源,扩大数据开放范围。在充分发挥数据公共价值的同时,实现私主体利益与公共利益的平衡,更好地实现全面数据开放的制度愿景。

我国企业数据财产交易中民事法律义务研究

企业数据财产交易在实践中不断发展,但数据归属问题、交易主体权利义务责任问题一直没有解决。数据权属不明不断引发数据纠纷,交易主体的权利义务在现行法律中并没有明确规定,以致数据交易主体没有明确的行为指引,企业数据财产交易实践发展与法律保障不足的矛盾愈演愈烈。为此,通过对我国现行立法和司法实践的分析梳理,明确企业数据财产交易中相应主体的义务,为数据交易主体提供可预期的行为指引。

生成式人工智能的数据保护及责任归属问题研究——以ChatGPT为视角展开

当前,以ChatGPT为代表的生成式人工智能已经从单一的数据生成模型过渡到多元的大数据生成模式,并引发了多重法律风险,传统的归责方式不再适用于AI类犯罪。对此,应当重点在生成式人工智能前期抓取数据阶段细化责任,防止“责任堆积”造成的混淆局面。将数据保护和责任归属两者相互融合交叉,结合法律原则,通过“治标又治本”的手段,达到归责完善和保护数据的双重目的。

数据交易服务提供行为的刑法规制

数据交易是数据流通的重要方式,数据交易中心、数据商等第三方中介服务机构,在为数据交易提供便利的同时也容易滋生相应的违法犯罪行为。数据交易服务提供行为的规范属性包括基于提供行为本身所带来的中立性质和为服务者设定义务的前提性要件,该行为具备法律规制的必要性,但是现有的规制模式存在静态保护的局限性、行刑衔接机制不足等困境,因此需要完善规制路径,应当融合软硬法治理机制以应对数据的动态保护模式,在奉行“前置法”先行的同时谨慎认定刑法的介入边界,并可参照前置法数据分级分类保护模式。对数据交易服务提供行为的具体适用罪名则聚焦于帮助信息网络犯罪活动罪以及拒不履行信息网络安全管理义务罪,考量其罪名认定与归责路径。

论刑事诉讼中网络信息业者的数据提供义务

刑事诉讼制度针对案外人设置了一系列协助义务,并在此基础上建立了相应的程序规则和权利保障机制。数字时代的犯罪治理呈现出公私合作不断深化和拓展的趋势,集中体现为网络信息业者等私主体提供数据以协助刑事司法活动的义务的强化和扩张。这种义务的扩张一定程度上突破了传统刑事诉讼的案外人协助义务框架,并形成了传统规则适用的两项主要困境:一是义务强度与义务能力的失衡,二是权力规制与权利保障的失衡。应对上述困境一方面需要回归刑事诉讼案外人协助义务的本质,维持义务设定的补充性、附带性和差异性,另一方面则需要遵循正当程序的实质性要求,理顺公权力运行的外在方式与内在实质之间的关系,同时维持权利底线,避免权利保障机制的虚化,从而在此基础上形成数字时代犯罪治理公私合作模式下网络信息业者提供数据义务的合理边界。

从保密到安全:数据销毁义务的理论逻辑与制度建构

我国现行立法规定了自然人有请求信息处理者删除个人信息的权利,但这并不等于承认数据生命周期的最后环节是“删除”,因为“删除权”是“信息处理的合法性与必要性基础丧失”的必然结果,而“数据销毁”才是“数据归于消灭”的处理流程末端。数据销毁义务的理论基础在于信息保密方式的扩张,即从维持信息保密状态转向维持数据安全风险的可控性。在数据安全风险评估过程中,倘若义务主体无法保障暂时不使用的重要数据和个人信息处于安全状态,则应当采取适当的数据销毁范式降低数据泄露或非法复原的安全风险。在未来立法活动中,我国应当明确数据销毁义务的义务主体、销毁方式和销毁范围等具体制度内容,完成数据安全立法的“最后闭环”。

第三方数据信托:数据控制者义务的困境及其破解

第三方数据信托的提出旨在解决数据控制者面临的合同义务或信义义务双重困境。作为数据主体和数据控制者之间的中介,第三方数据信托机构对数据主体负有信义义务,通过对数据控制者的资质进行筛选,对数据处理活动进行监督,有效平衡数据的保护和利用之间的关系,重建数据市场的信任机制。第三方数据信托的机制构建以明确数据权属和定价为前提,以相关主体、信托标的和实现机制为基本内涵,以建立数据信托机构的准入和监督机制、明晰数据信托机构的基本责任以及引入数据领域的公益诉讼作为法律保障。

论数据处理者的重要数据安全保护义务及刑事责任

数据分类分级保护制度要求对承载国家安全与公共利益的重要数据进行重点保护,而数据处理者正是保障重要数据安全的第一责任主体。数据处理者对于引起数据安全法益侵害危险的原因的控制支配是其居于保护者保证人地位并承担重要数据安全刑事作为义务的实质根据。为督促数据处理者切实履行重要数据安全保护义务、从源头防范日益严重的重要数据安全风险,《刑法》应与《数据安全法》等前置法有效衔接,在恪守谦抑性原则的基础上增设兼具法定犯、纯正不作为犯、义务犯、结果犯等多重属性的拒不履行重要数据安全保护义务罪,构成要件设置要既能填补当前数据安全犯罪的立法漏洞,又合理划定数据处理者承担不作为刑事责任的范围。

论网络平台数据报送义务与用户隐私权的冲突与平衡

履行报送义务是大数据时代网络平台维护公共秩序的应然使命,隐私权保障亦属用户的合理诉求。实践中由于网络平台数据报送义务相关法规不健全、数据报送安全保障不足、用户隐私权边界模糊等原因使得网络平台数据报送义务与用户隐私权产生冲突。平衡二者冲突,需以合法性原则、合目的性原则和合理性原则为指导,综合运用多种手段平衡网络平台数据报送义务与用户隐私权的冲突。具体而言,包括不断细化网络平台数据报送的范围,优化网络平台数据报送的程序规则,厘清用户隐私权内容和边界,精准细化报送目的,加强数据安全保障,建立规范清晰的归责体系。

多元场景视域下数据流通的法律规制

数据产生主体与数据控制主体相分离、多元社会主体对实时产生的数据处于交叉持有的状态,是制约法律规制数据流通的客观现实。需以数据的类型化为基础,根据持有数据主体的不同性质,结合数据流通应用的不同节点,明确具体场景下数据的法律属性,并进一步明确不同主体持有的各类数据在不同流通阶段的数据处理规制模式。我国目前关于数据流通的规范聚焦于个人信息保护,难以应对当前数据类型多样、应用场景繁多、持有主体多元、流通环节较多的客观现实,应遵循“合理的数据分类+数据应用场景→风险评估”的模式,明确不同场景下可流通的数据范围,并构建以信息处理者安全保障义务为核心的法律规制体系。

对外投资中的数据法律责任及风险防范——基于我国主要投资目的地的法律分析

抖音国际因违反数据保护规则遭遇境外投资风险已引发广泛关注。从我国主要投资目的地观察,美国、欧盟、英国在数据保护领域新法新规迭出,同时又存在规则制订主体身份不一、规则义务体系复杂、具体义务标准呈现差异的特征。对数据保护义务的违反将导致对外投资企业承担民事责任、行政责任或刑事责任。而我国当下数据立法与执法水平不高、企业数据伦理异化等原因,常诱发数据法律风险,且呈现出法律风险与技术管制风险、贸易政策风险共振现象。为规避数据法律责任与风险,应提升自身经贸法制水平,推动我国企业在对外投资中遵守目的地国家法律、配合监管执法、充分利用司法、合理捍卫权益。

网络平台的数据合规管理义务及其刑事归责进路

网络平台的数据合规管理义务具有数据犯罪预防和惩治的高效性、义务内容的特定性与数据合规计划成效的关联性,由此决定其具备刑法义务的适格性。针对网络平台违反重要数据合规管理义务的行为,现有刑法罪名难以合理规制。刑事立法应当在提倡以刑事合规计划为核心的修正的组织体责任论以及确定有效刑事合规计划的罪责归咎功能的基础上,通过比例原则系统审查:行为规制是否符合特定刑事政策要求与法益适格条件,不法行为是否违反数据责任伦理与行为主体是否具有监督保证人地位,行为规制能否有效回避法益损害并实现数据合规效益最优化。应在刑法分则第六章第一节扰乱公共秩序罪中增设违反重要数据合规管理义务罪,以全面规制网络平台等数据处理者违反重要数据合规管理义务且情节严重的行为,并助益企业数据合规建设的稳定长远之发展。

智慧城市非智慧困境中公民隐私权保护问题研究

以大数据为依托,以算法为核心的智慧城市建设在极大地提高城市治理能力和便利大众生活的同时,却因对个人信息的过度采集和不当利用加剧了公民个人隐私被侵害的风险。公共领域与个人私密空间边界的模糊和知情同意告知的虚置是重要诱因。面对无所遁形的“数字压迫”,通过搭建信息轨道、完善数字权限管理、保证用户自决权的赋权以及“数字避责”治理来促成“数字人”向“数智人”的转型,是摆脱数据垄断所致的数据控制、平衡智慧城市建设中数据利用与隐私保障之间的价值冲突的因应之举。

网络平台主体识别与义务设定

网络平台主体识别与义务设定是网络治理与规制的基础,而众多的网络平台需要按其规定性进行合理分类。依相关标准,网络平台可分为广义的网络信息媒介平台与电子商务经营者、营利性平台与非营利性平台、平台主体与主体的平台三种学理类型。针对网络平台的共同特点——网络平台主体状况及其对数据与信息的控制、利用的共性行为,依现有法律法规,从网络平台的普遍义务与平台类型的典型义务两方面尝试构建网络平台的义务系统。其中普遍义务包括主体登记与行为许可义务、公示义务和数据义务;典型义务包括安全交易义务、公序公益义务,它们是平台所应负担的积极义务。

澳大利亚数据泄露通知制度及其启示

与大数据的广泛运用如影相随的是数据泄露事件频现,而数据泄露通知制度的重要价值在于其能有效止损,故近年来该制度备受各主要国家的关注。采用文献调研法、文本分析法考察澳大利亚数据泄露通知制度发现,澳大利亚的数据泄露通知制度综合考虑了通知义务人、通知对象、通知时间、触发条件、通知内容、通知方式及通知例外等因素,其信息专员办公室另制定配套指南,使其数据泄露通知制度得以有效实施。我国可汲取澳大利亚的立法经验,在《数据安全法》中明确数据泄露通知制度,合理界定数据泄露通知范围,规范泄露通知的触发流程。

职场监视5.0下劳动者个人数据保护的困境与出路

算法技术促使职场监视进行了5.0升级,由此造成的侵权风险以“数据收集”与“数据处理”为技术路径嵌入算法雇佣决策,凸显劳动者个人数据保护对规制算法技术侵权风险的意义。反观我国劳动者个人数据保护方式,无论是“用人单位的数据治理义务”还是“劳动者的个人数据赋权”在职场监视5.0下均面临诸多困境。基于此,应以数字人权、场景理念、预防原则、比例原则、人对机器的控制以及社会对话等六大基本理念为指引修正“用人单位的数据治理义务”与“劳动者的个人数据赋权”,有效保护劳动者的个人数据。

数据泄露中企业对用户的损害赔偿问题研究

非法抓取、窃取、破坏数据库数据的行为使得数据企业与用户承受了巨大损失。在用户数据权益保护方面,《数据安全法》第27条规定了网络运营者对用户数据的安全保护义务,但如何对用户进行损害赔偿尚不明确。在用户数据权利尚未被立法确认的前提下,可以以《民法典》第1197条、1198条为请求权基础,结合数据经营实践确定“知道或应当知道”、“采取必要措施”以及“违反安全保障(数据安全保护)义务”的具体标准,构建用户数据权益救济框架,使违反义务的企业承担损害赔偿责任。

隐私计算技术:数据流动与数据安全的协同保护规则构建

在推进数据生产要素市场化配置的政策导向下,隐私计算技术凭借异地处理原始数据、量化隐私保护水平等技术优势有效满足了国家现代化治理过程中对于数据安全保障和数据有效使用的双重需求。在该技术尚不成熟的当下,如何为该项技术提供良性发展的制度环境成为亟需解决的法律议题。在明确该技术促进数据安全保障义务转型的法律属性和“服务使用方-服务提供商-数据提供方”的法律关系后,不难发现该技术的监管定位应当是技术标准与法律规则的聚合,即将该项技术以数据协作机制组成部分、技术模式分类监管和再识别风险预防等路径嵌入至现行数据安全立法体系。