数据主权制度的制定需进细化区分数据的具体权利规则
2016-04-01 14:35:19
  • 0
  • 0
  • 1

核心观点:(1)网络安全审查制度需持续改进;(2)数据主权制度的制定需进细化区分数据的具体权利规则;(3)苹果解锁门案中利益决定立场。

一、Apple Pay的网络安全思考

我想提醒各位专家,刚才演讲人的发言内容,有一半是可信的,有一半是不可信的。对于Apple Pay的技术原理这部分,讲的很好,对大家都很有用。但是,安不安全的问题,演讲人明显有立场偏见或说误导倾向。因为演讲人既不是实施方案的人,也不是安全测评的人,更不是数据安全检测的人,所以得出Apple Pay在技术上是安全的这样的结论,是不可信的。也请后面的专家不必要再细问演讲人与安全相关的问题。他不是实际操作人,所有的信息都是传来的,不具有可信性。

听完演讲人的介绍,我想提两个具体制度方面的反思。

第一,我们国家的网络安全审查制度到底该怎么建立?刚才演讲人说,ApplePay在上线之前做过方案的评估。但是,落地的时候,是不是按这个方案建设的呢?方案落地后,有没有进一步进行评估和持续监测?就像现在的等级保护评估,原来很多单位不愿意做等保评估。近几年,由于网络安全事故多发,有些单位都很积极地申请等保评估。但是,他们申请等保,不是为了持续提高安全性,而是为了排除对网络安全事故的责任。如果只对方案进行评估,或者只在评估时进行检查,网络安全审查制度最后可能流于形式。因此,我们在设计网络安全审查制度的时候,可能要注重持续改进。这对于等保制度在内的网络安全审查制度,可能是一个十分重要的反思。

第二,我们国家的数据主权制度到底该怎么建立?刚才演讲人说,苹果肯定不会留数据。这是不可信的。如果不留数据,违背了最为基本的信息交换原理。只是,问题是数据存留多久,存留在什么地方,以及在这期间会不会介入非法处理的问题。刚才演讲人提到本地化存储的问题。现在很多人关于数据主权的理解,都是本地化存储。但是,这样的理解太朴素了!比如说,苹果是在上海存放Apple Pay服务器。但是,服务器在本地,就代表数据在本地吗?如果国外也有双线备份呢?如果有人把服务器数据带到国外呢?这些所谓的“数据跨境流动”问题怎么解决?因此,数据主权不要简单理解成本地化存储,实际上应该是指数据的“本地控制权”。我们在考虑数据主权制度的时候,恐怕不能仅仅考虑本地化存储的要求,还要进一步细化区分数据的具体权利规则。比如,收集权,Apple pay苹果能不能收集?苹果解密侦查机关能不能收集,什么时候?收集之后,保管义务、流转限制该怎么规定?当然,还有后续的使用权、删除权,等等。只规定本地化存储,其实是没有任何意义的,或者说是掩耳盗铃。

二、苹果解密的合理性思考

首先我想对左晓栋先生的两个问题进行回应。一是,美国的法律为什么这么模糊,以及美国有没有采用双重网络安全标准?我想,这里有法律体系的问题。很多研究法律的专家应该赞同,美国的法律体系是判例法体系,他们的成文法律只会规定一些基本问题和原则性问题,而他们的法官有造法的功能,可以在实务过程中去形成具体规则。而中国主要是成文法体系,什么规则都是法律规定好,然后司法人员去引用、演绎。这可能就是为什么中美洽谈时,中国可以拿出一堆规定,而美国只会给出很少的法律规定而拿出一大堆相关材料的原因。当然,我不否认,美国可能也有双重标准的嫌疑。第二个是关于监控的问题。其实美国现在已经不是想监控就监控的情况了。在911发生之后爱国者法案确实规定了美国政府部门或者说国家安全部门可以对公民的通信信息进行收集监控。但是,现在已经不是这个情况了。2015年通过的自由法案明确了政府部门不能直接收集公民的通信信息,而应该通过电信部门来收集。也就是说,电信部门应该收集公民的通信信息,政府有需要时可以向电信部门索要。关于监控,这两个法案是有明显变化的。

   苹果解密的合理性问题,我有些想法是与王四新老师不谋而合的,但有些也不一样,尤其是结论。我认为,苹果解密是否合理,要考虑五点:

第一是时间。这是事前的配合行为还是事后的配合行为,是案件发生前的配合行为还是案件发生后的配合行为。如果是事前的配合行为,只有反恐这样的危害国家安全案件才有可能事前配合。如果是一般刑事案件采取事前配合,这就像技术侦查措施。如果是事后配合,这其实就是普通案件的搜查行为。事前是监控,事后是搜查,这是两种性质。

    第二是案情。危害国家安全的反恐案件与危害公民或社会安全的普通刑事案件是不一样的。如果是危害国家安全的反恐案件,则更多要牺牲公民的私权利。但是,如果只是普通刑事案件,则不能过分侵犯公民的私权利。不同案情,打击犯罪和保护私权的优先级别不一样。

    第三是方式。个案配合和整体配合的性质是不同的。个案配合是案件发生后针对某一个案件中涉及的相关人进行调查。由于相关人与个案侦查具有关联性,这意味着相关人必须因为侦查需要而放弃个人隐私权利。这是没有问题的。换句话说,FBI把手机交给苹果解密,解完后还给FBI,这在个案配合中是完全没问题的。但是,如果苹果把解密方法告诉FBI,性质就变为整体配合了。整体配合就可能导致权力的滥用。

第四是范围。简单的说,FBI查的数据是什么?是存储在国内的数据还是存储在国外的数据?是本国公民的数据,还是国外公民的数据?如果是跨境数据或跨国公民,这可能要考虑到国际司法合作的范畴。

第五是能力。刚才王四新老师提到一个细节。本案中,FBI做了一个错误的调查动作,就是修改了icloud的帐户密码。这使得苹果可能无法帮FBI解密,或者解密的投入成本很大。这里,其实就是配合能力的问题。企业只能在能力范围之内帮助配合,侦查部门不能也不该在企业的能力范围之外要求配合。

    最后,是我的推测结论。刚才,王四新老师说苹果肯定赢。我觉得还有一种折中的情形,就是:苹果在个案侦查中应当配合,但由于本案侦查人员的失误行为导致了不能配合,因此本案中苹果无须配合。这种结论也是完全有可能的。

此外,我再和大家讨论一个很有意思的现象。关于苹果解密,不同的人有不同的立场。如果让公权机关来说,他们都支持苹果需要配合,因为不配合犯罪案件都不用查办了。如果不查办,以后再发生案件谁来负责?如果让企业厂商来说,他们都支持苹果不需配合,因为配合就意味着以后人们都不买电子产品和网络服务了。民众的立场,比较复杂。一方面,他们要考虑自己的手机数据信息会不会被侵犯,另一方面又要考虑如果不允许调查如果再次发生犯罪案件谁来负责,尤其是潜在的犯罪受害人有可能就是自己或者自己的家人。

所以,利益决定立场。

 
最新文章
相关阅读