每日經(jīng)濟(jì)新聞 2024-01-20 17:19:08
◎近日,國內(nèi)首例非法調(diào)用服務(wù)器API接口獲取數(shù)據(jù)予以交易轉(zhuǎn)賣案件塵埃落定。
◎微夢(mèng)公司代理律師己任律師事務(wù)所律師張翰雄在接受《每日經(jīng)濟(jì)新聞》記者書面采訪時(shí)稱,本案在適用反不正當(dāng)競(jìng)爭法的過程中,除保護(hù)企業(yè)對(duì)其合法依規(guī)積累大數(shù)據(jù)資源所享有的合法權(quán)益以外,重點(diǎn)考量了被訴不正當(dāng)競(jìng)爭行為對(duì)消費(fèi)者權(quán)益、社會(huì)公共利益、數(shù)據(jù)行業(yè)健康有序發(fā)展的影響。
每經(jīng)記者 可楊 每經(jīng)編輯 楊夏
近日,國內(nèi)首例非法調(diào)用服務(wù)器API接口獲取數(shù)據(jù)予以交易轉(zhuǎn)賣案件塵埃落定。
微博平臺(tái)的運(yùn)營者北京微夢(mèng)創(chuàng)科網(wǎng)絡(luò)技術(shù)有限公司(以下簡稱微夢(mèng)公司)訴廣州簡亦迅信息科技有限公司(以下簡稱簡亦迅公司)及簡亦迅公司深圳分公司不正當(dāng)競(jìng)爭糾紛案二審公開宣判,駁回上訴,廣東省高級(jí)人民法院(以下簡稱廣東高院)裁決維持原判:全額支持微夢(mèng)公司訴請(qǐng)賠償經(jīng)濟(jì)損失2000萬元。
廣東高院審理查明,簡亦迅公司在每次抓取微博數(shù)據(jù)時(shí),均通過變換IP地址和微博用戶賬號(hào)等技術(shù)手段,以規(guī)避微博服務(wù)器的反抓取數(shù)據(jù)防護(hù)措施,其經(jīng)營的iDataAPI網(wǎng)站對(duì)外售賣的微博數(shù)據(jù)不但完全覆蓋了微博網(wǎng)頁上的相應(yīng)展示內(nèi)容,還包含大量微博平臺(tái)運(yùn)營管理過程產(chǎn)生的后臺(tái)服務(wù)數(shù)據(jù),以及微夢(mèng)公司的大數(shù)據(jù)產(chǎn)品“微指數(shù)”,調(diào)用次數(shù)高達(dá)21.79億余次,并根據(jù)用戶調(diào)用數(shù)據(jù)接口次數(shù)收取相應(yīng)費(fèi)用。
數(shù)字經(jīng)濟(jì)加速向前,數(shù)據(jù)安全問題也越來越成為社會(huì)關(guān)切的焦點(diǎn)。數(shù)字時(shí)代,法律與技術(shù)成為保障數(shù)據(jù)安全的雙重透鏡:法律將如何保障數(shù)據(jù)安全,技術(shù)又如何成為數(shù)據(jù)安全的屏障?
近日,國內(nèi)首例非法調(diào)用服務(wù)器API接口獲取數(shù)據(jù)予以交易轉(zhuǎn)賣案件塵埃落定。
廣東高院審理認(rèn)為,微夢(mèng)公司對(duì)依法依規(guī)持有的微博數(shù)據(jù)享有自主管控、合法利用并獲取經(jīng)濟(jì)利益的權(quán)益,簡亦迅公司通過不斷變換IP地址、微博用戶賬號(hào)等方式向微博服務(wù)器發(fā)出數(shù)據(jù)請(qǐng)求,騙取了微博服務(wù)器向用戶端傳輸數(shù)據(jù)的專用數(shù)據(jù)接口的調(diào)用權(quán)限,獲取了其本無權(quán)調(diào)用的大量微博后臺(tái)數(shù)據(jù),并予以直接轉(zhuǎn)賣獲利,有違公平、誠信原則和商業(yè)道德,擾亂了數(shù)據(jù)市場(chǎng)競(jìng)爭秩序,嚴(yán)重?fù)p害了微夢(mèng)公司和消費(fèi)者合法權(quán)益,構(gòu)成反不正當(dāng)競(jìng)爭法第二條規(guī)定的不正當(dāng)競(jìng)爭行為。
廣東高院還在發(fā)文時(shí)提到,根據(jù)iData API網(wǎng)站公布的調(diào)用微博數(shù)據(jù)次數(shù)超過21億次,按照收費(fèi)標(biāo)準(zhǔn)中位數(shù)1元/100次計(jì)算,可得簡亦迅公司非法收入超過2179.79萬元,結(jié)合簡亦迅公司實(shí)施不正當(dāng)競(jìng)爭行為類型多、采用惡意技術(shù)手段、持續(xù)時(shí)間長、調(diào)用微博數(shù)據(jù)規(guī)模巨大、損害后果嚴(yán)重,以及采用混淆服務(wù)來源或經(jīng)營關(guān)系的方式宣傳其侵權(quán)服務(wù)等因素,故對(duì)微夢(mèng)公司訴請(qǐng)賠償?shù)?000萬元予以全額支持。
對(duì)于本次案件,微夢(mèng)公司代理律師己任律師事務(wù)所律師張翰雄在接受《每日經(jīng)濟(jì)新聞》記者書面采訪時(shí)稱,本案在適用反不正當(dāng)競(jìng)爭法的過程中,除保護(hù)企業(yè)對(duì)其合法依規(guī)積累大數(shù)據(jù)資源所享有的合法權(quán)益以外,重點(diǎn)考量了被訴不正當(dāng)競(jìng)爭行為對(duì)消費(fèi)者權(quán)益、社會(huì)公共利益、數(shù)據(jù)行業(yè)健康有序發(fā)展的影響。
“我們認(rèn)為,這里面體現(xiàn)出的,對(duì)用戶隱私、數(shù)據(jù)安全等問題的關(guān)注,將對(duì)整個(gè)數(shù)據(jù)市場(chǎng)的參與者起到重要的引導(dǎo)和教育作用,使整個(gè)行業(yè)關(guān)注到對(duì)數(shù)據(jù)資源的開發(fā)、積累、應(yīng)用需要關(guān)注數(shù)據(jù)安全、消費(fèi)者權(quán)益、遵守法律法規(guī)和商業(yè)道德,堅(jiān)守誠信底線。”張翰雄表示。
張翰雄還說道,本案對(duì)違規(guī)獲取和使用數(shù)據(jù)行為作出明確的侵權(quán)認(rèn)定,對(duì)于市場(chǎng)而言無疑是一劑強(qiáng)心針。
一方面,這類技術(shù)手段一般都比較隱匿,本案固定被告相關(guān)數(shù)據(jù)獲取行為的具體技術(shù)手段確實(shí)耗費(fèi)了企業(yè)很大精力,對(duì)這類行為的維權(quán)難度很大。而本案通過對(duì)證據(jù)規(guī)則恰如其分地運(yùn)用,對(duì)企業(yè)未來針對(duì)類似行為的維權(quán)提供了參考和信心,同時(shí)也對(duì)整個(gè)市場(chǎng)產(chǎn)生警示和教育作用,實(shí)現(xiàn)法律對(duì)市場(chǎng)和技術(shù)應(yīng)用行為的引導(dǎo)和治理,使市場(chǎng)和行業(yè)更加明確自身競(jìng)爭行為邊界。
另一方面,針對(duì)數(shù)據(jù)的非法獲取和使用行為,主要依照《反不正當(dāng)競(jìng)爭法》《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》《刑法》等法律法規(guī)加以規(guī)制。不同法律的側(cè)重點(diǎn)各異。本案即是適用反不正當(dāng)競(jìng)爭法保護(hù)企業(yè)數(shù)據(jù)權(quán)益,維護(hù)數(shù)據(jù)市場(chǎng)競(jìng)爭秩序的一個(gè)典型案例。
基于這一案件的思考,張翰雄認(rèn)為,面對(duì)層出不窮的利用技術(shù)手段的違法侵權(quán)行為,需要在法律的引領(lǐng)下,采用“法律+技術(shù)”的方法論實(shí)現(xiàn)有效維權(quán)。本案中,認(rèn)定被告不正當(dāng)獲取數(shù)據(jù)手段的取證,即是“法律+技術(shù)”的最佳體現(xiàn)之一。當(dāng)然,這要求權(quán)利人需要有較強(qiáng)的舉證和維權(quán)能力,也需要投入相當(dāng)大的維權(quán)資源。他認(rèn)為,本案法院對(duì)于當(dāng)事人盡力舉證的鼓勵(lì)和認(rèn)可,無疑對(duì)維權(quán)增添了信心。另外,由于技術(shù)手段高度復(fù)雜、隱匿、變化速度快,靈活正當(dāng)及時(shí)地運(yùn)用法律程序,也對(duì)維權(quán)具有重要意義,如民事訴訟中的證據(jù)保全、行為保全程序、技術(shù)調(diào)查、書證提出命令等,或者采用先行(注:行政訴訟)后民、先刑后民的方式形成“組合拳”,都是可資參考的法律手段。
隨著技術(shù)的迅速發(fā)展,數(shù)據(jù)的價(jià)值日益顯現(xiàn),與此同時(shí),數(shù)據(jù)安全問題也引發(fā)關(guān)注——未來,法律應(yīng)當(dāng)如何適應(yīng)與應(yīng)對(duì)新興技術(shù)帶來的挑戰(zhàn),以保障個(gè)人隱私和企業(yè)數(shù)據(jù)的完整性?
墾?。◤V州)律師事務(wù)所聯(lián)合創(chuàng)始人、國際數(shù)據(jù)管理協(xié)會(huì)DAMA中國專家成員陳雙在接受《每日經(jīng)濟(jì)新聞》記者采訪時(shí)表示:“本案(指‘國內(nèi)首例涉數(shù)據(jù)抓取交易不正當(dāng)競(jìng)爭糾紛案’)之所以引發(fā)業(yè)內(nèi)人士的重點(diǎn)關(guān)注,主要來自兩方面聲音——一方面,過度保護(hù)平臺(tái)企業(yè)數(shù)據(jù)權(quán)益可能會(huì)造成數(shù)據(jù)壟斷,阻礙數(shù)據(jù)要素流通;另一方面,一味地鼓勵(lì)數(shù)據(jù)交易而忽略數(shù)據(jù)產(chǎn)品形成的合法合規(guī)性又會(huì)縱容數(shù)據(jù)黑灰產(chǎn)市場(chǎng)發(fā)展,擾亂市場(chǎng)秩序。”
陳雙表示,目前,全國各大數(shù)據(jù)交易所都有數(shù)據(jù)產(chǎn)品上架的合規(guī)審查流程,對(duì)數(shù)據(jù)來源和數(shù)據(jù)獲取路徑的合法性有一定的審查監(jiān)管。但活躍的場(chǎng)外數(shù)據(jù)交易市場(chǎng)仍然監(jiān)管缺位,主要還是靠個(gè)案判例中厘清合規(guī)邊界和規(guī)則。
陳雙建議,監(jiān)管政策應(yīng)充分考量數(shù)據(jù)有序流通的重要價(jià)值,對(duì)場(chǎng)外數(shù)據(jù)交易建立數(shù)據(jù)流通和利用的合規(guī)標(biāo)準(zhǔn)和政策指引,引導(dǎo)市場(chǎng)主體規(guī)范數(shù)據(jù)開發(fā)、利用、交易行為。同時(shí),在個(gè)案中審慎分析研判獲取數(shù)據(jù)目的和使用數(shù)據(jù)行為的正當(dāng)性、獲取數(shù)據(jù)的手段和方式合法性,對(duì)違法行為給予否定性評(píng)價(jià)并加大違法行為的處罰力度。從而實(shí)現(xiàn)數(shù)據(jù)場(chǎng)內(nèi)場(chǎng)外交易合規(guī)監(jiān)管的有效銜接,促進(jìn)數(shù)據(jù)要素市場(chǎng)的健康有序發(fā)展。
目前,我國對(duì)于數(shù)據(jù)權(quán)益的保護(hù)基本上仍是在《反不正當(dāng)競(jìng)爭法》《著作權(quán)法》《專利法》的法律框架下實(shí)現(xiàn)。陳雙在采訪中也談到,由于數(shù)據(jù)具有可復(fù)制、無形性等特征,在數(shù)據(jù)權(quán)益保護(hù)上,傳統(tǒng)的法律規(guī)則往往會(huì)增加了數(shù)據(jù)權(quán)利主體舉證的難度和成本,對(duì)各數(shù)據(jù)權(quán)利主體相關(guān)權(quán)益界定也存在極大困難,不利于激活數(shù)據(jù)要素的價(jià)值。
此前,為了更好地保護(hù)數(shù)據(jù)各方權(quán)利主體使數(shù)據(jù)價(jià)值發(fā)揮作為生成要素的作用,《中共中央 國務(wù)院關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見》提出了“三權(quán)分置新型產(chǎn)權(quán)制度”,即數(shù)據(jù)資源持有權(quán)、數(shù)據(jù)加工使用權(quán)、數(shù)據(jù)產(chǎn)品經(jīng)營權(quán)等產(chǎn)權(quán)的分置運(yùn)行機(jī)制,為激活數(shù)據(jù)要素價(jià)值創(chuàng)造和價(jià)值實(shí)現(xiàn)提供基礎(chǔ)性制度保障。
陳雙談到,目前“數(shù)據(jù)三權(quán)分置產(chǎn)權(quán)制度”仍是政策層面的指引,尚未上升成為法律,所以不能直接成為法院裁判的依據(jù),尤其是面對(duì)著通過新型技術(shù)手段侵犯數(shù)據(jù)權(quán)益的認(rèn)定上,傳統(tǒng)領(lǐng)域的法律規(guī)則變得難以全面覆蓋,所以需要盡快完善數(shù)據(jù)產(chǎn)權(quán)制度法律體系,以適應(yīng)數(shù)字經(jīng)濟(jì)時(shí)代下的數(shù)據(jù)權(quán)益新型保護(hù)規(guī)則。
數(shù)字經(jīng)濟(jì)時(shí)代,數(shù)據(jù)的價(jià)值不斷顯現(xiàn),用戶應(yīng)當(dāng)如何應(yīng)對(duì)可能發(fā)生的數(shù)據(jù)安全問題?
陳雙建議,根據(jù)《個(gè)人信息保護(hù)法》,用戶有權(quán)通過《隱私政策》《用戶協(xié)議》等文本界面知曉數(shù)據(jù)處理者的身份、數(shù)據(jù)處理的目的、方式、范圍等,有權(quán)自主選擇是否同意數(shù)據(jù)處理者收集、使用、處理、轉(zhuǎn)讓其個(gè)人信息,有權(quán)拒絕或撤回其同意,有權(quán)訪問、更正、刪除其個(gè)人信息,也有權(quán)投訴、舉報(bào)數(shù)據(jù)處理者的違法行為。確保用戶的個(gè)人信息收集和處理行為獲得其本人知情同意及授權(quán)。
陳雙表示,數(shù)據(jù)處理者對(duì)個(gè)人數(shù)據(jù)可以加工并使用的前提是在充分告知個(gè)人用戶并獲得授權(quán)同意的情況下方可開展,在滿足合規(guī)的前提下,國家支持?jǐn)?shù)據(jù)處理者依法依規(guī)行使數(shù)據(jù)應(yīng)用相關(guān)權(quán)利,促進(jìn)數(shù)據(jù)使用價(jià)值復(fù)用與充分利用,促進(jìn)數(shù)據(jù)使用權(quán)交換和市場(chǎng)化流通。但用戶個(gè)人也建立安全合規(guī)意識(shí),對(duì)于違背自身意愿收集、超范圍收集或者對(duì)個(gè)人信息濫用、盜用的情形,用戶應(yīng)積極、主動(dòng)向監(jiān)管部門進(jìn)行投訴、舉報(bào)。
技術(shù)的高速迭代為數(shù)據(jù)安全的保護(hù)帶來了全新的挑戰(zhàn),但與此同時(shí),除了法規(guī)的保護(hù)之外,技術(shù)在維護(hù)數(shù)據(jù)安全方面同樣起著至關(guān)重要的角色。
以上述案件為例,簡亦迅公司被控非法調(diào)用微博服務(wù)器向用戶端傳輸數(shù)據(jù)的API(應(yīng)用程序編程接口),抓取了大量微博后臺(tái)數(shù)據(jù)予以存儲(chǔ),并通過其經(jīng)營的iDataAPI網(wǎng)站對(duì)外售賣。
奇安信的數(shù)據(jù)安全專家在接受《每日經(jīng)濟(jì)新聞》記者采訪時(shí)表示,隨著數(shù)字經(jīng)濟(jì)的發(fā)展,API作為對(duì)外提供數(shù)據(jù)服務(wù)的主流通道,在API爆發(fā)式增長的環(huán)境下對(duì)外也產(chǎn)生了大量的暴露面和攻擊面,對(duì)于API的安全防護(hù)而言,傳統(tǒng)的安全防護(hù)設(shè)備無法解決API安全的問題,因?yàn)閺姆雷o(hù)的維度和防護(hù)的模型均已經(jīng)發(fā)生了質(zhì)的變化,另外目前大多數(shù)用戶對(duì)于API安全的建設(shè)均處于一個(gè)盲區(qū),如何梳理清楚API資產(chǎn),看清API風(fēng)險(xiǎn)、如何進(jìn)行防護(hù)成為當(dāng)前用戶的主要痛點(diǎn)。
對(duì)于API安全的防護(hù)體系,奇安信認(rèn)為應(yīng)該從API安全全生命周期來看,可以將API分為設(shè)計(jì)、開發(fā)、測(cè)試、運(yùn)行、上線、發(fā)布、下線等幾個(gè)流程,這幾個(gè)流程可以拆分為事前、事中和事后三個(gè)階段。
在事前階段,也就是開發(fā)設(shè)計(jì)和測(cè)試階段,可以通過管理體系制定相關(guān)的管理制度來對(duì)開發(fā)進(jìn)行約束,將API的漏洞風(fēng)險(xiǎn)在開發(fā)側(cè)進(jìn)行閉環(huán);在上線運(yùn)行階段,需要建立一套完整的技術(shù)體系,從資產(chǎn)管理、安全檢測(cè)、安全分析、安全防護(hù)形成一套閉環(huán)的監(jiān)測(cè)手段;API的評(píng)估處置以及下線階段,我們需要建立完整的運(yùn)營體系針對(duì)API進(jìn)行常態(tài)的運(yùn)營,針對(duì)風(fēng)險(xiǎn)的API以及未知的API進(jìn)行處置,當(dāng)遇到API安全風(fēng)險(xiǎn)事件的時(shí)候有相關(guān)的應(yīng)急響應(yīng)手段。
大數(shù)據(jù)時(shí)代,個(gè)體、組織和國家所產(chǎn)生的數(shù)據(jù)將行為主體的敏感信息、自身權(quán)益以及經(jīng)濟(jì)價(jià)值等置于更加透明的位置,這導(dǎo)致數(shù)據(jù)黑產(chǎn)開始猖獗。根據(jù)奇安信威脅情報(bào)中心的監(jiān)測(cè)發(fā)現(xiàn),僅僅是2022年1月到10月,就有超過950億條的中國境內(nèi)機(jī)構(gòu)數(shù)據(jù)在海外被非法交易,其中60%的數(shù)據(jù)泄露事件泄露的是公民個(gè)人信息,約有570多億條,這就相當(dāng)于14億中國人,在2022年,平均每人泄露了41條個(gè)人信息。
在AIGC時(shí)代,生成式人工智能在企業(yè)用戶中風(fēng)靡的同時(shí),其帶來的數(shù)據(jù)安全與隱私風(fēng)險(xiǎn)也受到業(yè)內(nèi)的強(qiáng)烈關(guān)切。前述數(shù)據(jù)安全專家表示:“據(jù)統(tǒng)計(jì),使用ChatGPT的員工中大多數(shù)會(huì)泄露數(shù)據(jù),其中11%的數(shù)據(jù)為企業(yè)商業(yè)機(jī)密。”
新技術(shù)、新場(chǎng)景層出不窮,數(shù)據(jù)安全合規(guī)建設(shè)也成為一項(xiàng)非常復(fù)雜的工程。
奇安信數(shù)據(jù)安全專家認(rèn)為,僅建立制度和管理層面的靜態(tài)體系是遠(yuǎn)遠(yuǎn)不夠的,必須借助技術(shù)手段實(shí)現(xiàn)覆蓋數(shù)據(jù)全生命周期和業(yè)務(wù)全流程的安全與合規(guī)管控,實(shí)現(xiàn)動(dòng)態(tài)以及持續(xù)性的實(shí)質(zhì)性合規(guī)。
具體來說,有三個(gè)方面需要落實(shí):首先,企業(yè)需要評(píng)估自身是否存在特殊性,有無重要數(shù)據(jù),在此基礎(chǔ)上,再開展數(shù)據(jù)分類分級(jí)、做有針對(duì)性地保護(hù)(比如加密、隔離存儲(chǔ)等),從而確保重要數(shù)據(jù)處理合法合規(guī)。其次,需要關(guān)注個(gè)人信息的合規(guī)和安全工作,厘清個(gè)人數(shù)據(jù)的存儲(chǔ)和使用情況,并根據(jù)具體情況做合規(guī)性的評(píng)估,輔以有效的安全保護(hù)技術(shù)手段和策略(包括但不限于脫敏、設(shè)置訪問控制以及傳輸加密等),從實(shí)質(zhì)結(jié)果上避免出現(xiàn)類似數(shù)據(jù)泄露等侵害個(gè)人和公共利益的數(shù)據(jù)安全事故。此外,企業(yè)需要根據(jù)自身業(yè)務(wù)情況開展專項(xiàng)數(shù)據(jù)合規(guī)工作。如AI大模型行業(yè)相關(guān)的企業(yè),需要關(guān)注是否涉及算法備案以及其他大模型領(lǐng)域的特殊性合規(guī)問題等。
奇安信數(shù)據(jù)安全專家還表示,企業(yè)要結(jié)合自身的實(shí)際情況,定期開展數(shù)據(jù)安全以及合規(guī)風(fēng)險(xiǎn)評(píng)估和建設(shè)工作,借助技術(shù)手段,將數(shù)據(jù)合規(guī)和安全貫穿于數(shù)據(jù)處理活動(dòng)的全過程,確保在合法合規(guī)的框架下,充分釋放數(shù)據(jù)要素的價(jià)值。
(每經(jīng)記者 楊煜 對(duì)本文亦有貢獻(xiàn))
封面圖片來源:視覺中國-VCG211101835839
如需轉(zhuǎn)載請(qǐng)與《每日經(jīng)濟(jì)新聞》報(bào)社聯(lián)系。
未經(jīng)《每日經(jīng)濟(jì)新聞》報(bào)社授權(quán),嚴(yán)禁轉(zhuǎn)載或鏡像,違者必究。
讀者熱線:4008890008
特別提醒:如果我們使用了您的圖片,請(qǐng)作者與本站聯(lián)系索取稿酬。如您不希望作品出現(xiàn)在本站,可聯(lián)系我們要求撤下您的作品。
歡迎關(guān)注每日經(jīng)濟(jì)新聞APP