生成式人工智能服务提供者的数据安全保护义务研究

明确生成式人工智能服务提供者的数据安全保护义务对于防范生成式人工智能的数据安全风险至关重要。服务提供者处于数据控制者的角色地位、履行数据财产权的社会义务与数据的国家基础性战略资源属性决定服务提供者需要承担数据安全保护义务。服务提供者的数据安全保护义务包括技术安全保障和数据风险管理的事前防范义务与发生数据安全事件后立即采取处置措施并及时告知报告的事后处置义务。为避免服务提供者法律责任的片段化,应注重不同法律责任之间的体系衔接与功能协同。对未履行数据安全保护义务的服务提供者采取结果主义的违法责任模式,有助于激励生成式人工智能产业创新发展,防止陷入“不实施行为即违法”的无边界法律之困境。

论数据处理者的重要数据安全保护义务及刑事责任

数据分类分级保护制度要求对承载国家安全与公共利益的重要数据进行重点保护,而数据处理者正是保障重要数据安全的第一责任主体。数据处理者对于引起数据安全法益侵害危险的原因的控制支配是其居于保护者保证人地位并承担重要数据安全刑事作为义务的实质根据。为督促数据处理者切实履行重要数据安全保护义务、从源头防范日益严重的重要数据安全风险,《刑法》应与《数据安全法》等前置法有效衔接,在恪守谦抑性原则的基础上增设兼具法定犯、纯正不作为犯、义务犯、结果犯等多重属性的拒不履行重要数据安全保护义务罪,构成要件设置要既能填补当前数据安全犯罪的立法漏洞,又合理划定数据处理者承担不作为刑事责任的范围。

论金融监管者的数据安全保护义务

金融监管数据作为独立的数据类型,其安全保护具有特殊性。金融监管科技的发展,使金融监管者的数据控制权日益扩张,金融监管者须为此承担数据安全保护义务。其宪法依据在于金融监管者作为履行国家职能的公权数据处理者,应对数据承担全面的国家保护义务。为金融监管者设定数据安全保护义务也是全面规范金融监管权力、提升金融监管质效、维护金融安全与经济秩序、保障数据权益的合法性要求。针对金融监管者的数据安全保护义务,可从维护国家经济安全与市场竞争秩序的多重价值维度进行观察。金融监管者应当识别重要数据,采取全周期的数据风险防控措施,建立数据风险预警与应急处置机制,保障监管算法的安全。金融监管数据的跨境流动须被严格规制。

数据泄露中企业对用户的损害赔偿问题研究

非法抓取、窃取、破坏数据库数据的行为使得数据企业与用户承受了巨大损失。在用户数据权益保护方面,《数据安全法》第27条规定了网络运营者对用户数据的安全保护义务,但如何对用户进行损害赔偿尚不明确。在用户数据权利尚未被立法确认的前提下,可以以《民法典》第1197条、1198条为请求权基础,结合数据经营实践确定“知道或应当知道”、“采取必要措施”以及“违反安全保障(数据安全保护)义务”的具体标准,构建用户数据权益救济框架,使违反义务的企业承担损害赔偿责任。

企业数据权利与用户信息权利的冲突与协调--以数据安全保护为背景

虽然我国《民法典》第127条肯定了数据为财产权益,但学界对数据权益保护的规则争议较大,相应的民事规则暂时处于缺位状态。在我国规范网络行为的立法中,并未区分"信息"与"数据"概念,从而产生了两套规范体系。若赋予企业对数据的支配性权利则其不可避免地与用户信息权利及信息所内涵的基础权利产生冲突。数据安全保护规则体系的构建需要厘清企业数据权利与用户信息权利的关系。用户信息权利属于用户的基础权利在信息层面的请求权集合,企业对由用户信息转化而来的数据的权利则来自于用户对其在数据应用层面的授权,而非信息所代表的基础权利的转让。因此,企业在行使其数据权利时应当对用户信息内涵的基础权利尽到安全保护义务,兼顾企业数据权利与用户信息权利的保障。