APP大數據：共享和保護的分界在哪

提供公交查詢服務的APP“酷米客”后臺系統數據被同類APP“車來了”盜取，損失高達億元，日前“車來了”已被警方立案。有聲音認為公交數據是公共數據，分享應用能更好地服務社會。那么，此類軟件數據共享和保護的界限究竟在哪里？

建立數據分類分級保護制度

張韜（北京華訊律師事務所主任）

2014年3月攜程網發生數據泄露事件，部分用戶身份及銀行卡信息被泄露;同年12月，中國鐵路客戶訂票系統數據庫遭到黑客攻擊，超過13萬條用戶數據信息被泄露。手機APP軟件廣泛應用之前，近年來數據盜竊案件已經在互聯網企業時有發生。這反映出數據信息領域的違法犯罪活動危害大、影響面廣、涉及人數眾多，而且往往會給用戶造成永久且不可逆的損害。數據信息泄露還可能給當事人造成二次傷害，比如有不法人員利用獲取的信息進行詐騙活動。

在平衡促進發展和保障權益時，對于數據信息應當遵循先保護、再合理利用及共享的發展原則。區分可交易的商業數據和商業秘密之間的界限，劃分個人一般信息和個人隱私信息的邊界，之后進行分類、分級保護，這樣的分級尤為重要。

我認為，商業數據信息、個人信息如果去身份化后，可以在限定的條件下交換、使用和共享，并不是對所有的商業數據信息和個人信息都要“一刀切”式的禁止分享，而是要根據相關數據信息的屬性（包括商業屬性和人身屬性等）、類別、對權利人造成的影響等多方面對其歸類，再根據具體的類別給予相應保護。

商業秘密和個人隱私是必須被保護的級別。商業秘密指不為公眾所知悉、具有商業價值并能為權利人帶來經濟利益、經過了權利人采取相應保密措施的技術信息和經營信息。個人隱私包括自然人的基因信息、病歷資料、健康檢查資料、犯罪記錄、家庭住址、私人活動等。

要看取得數據的方式合法與否

龍衛球（北京航空航天大學法學院院長）

數據公開是數據時代的一個重要制度，旨在通過促進數據向社會或公眾開放達到更加便利、更加公平利用和開發數據的效果。但是，數據公開只能在一定的范圍實施：首先，只適用于公共性數據，這是指具有公共利益相關性的數據，與私人包括個人、企業、特定機構自身利益相關的私密性數據，不屬于公開范圍。其次，只適用于公共主體，比如政府部門或者其他承擔公共事業的部門，其負有數據公開的義務，此項義務與政務公開、信息公開理論基礎相近。所以非公共部門，包括企業自己產生或收集的數據，通常不屬于數據公開的范圍。再次，數據公開還存在與其他原則的沖突權衡問題，數據公開必須讓位于數據安全、數據公平等，比如當數據公開與數據安全存在矛盾時，則不得公開。

APP商業數據，只有屬于公共部門產生、收集的情況下，才具有公開的義務。“酷米客”的數據信息具有商業價值，但只有該企業處于公共主體或者受公共主體委托的地位，才負有分享或公開數據的義務。

數據資產是數據時代企業的重要資源性財產。一個企業只有在得到數據資產保護的情況下，才有動力和保障去積極開發數據資源，通過數據手段去改進生產、經營和服務，最終造福于市場和消費者。

我國既有法律體系在數據資產保護方面總體上存在極大的滯后性。應當與時俱進，加快立法速度，制定一部完善的數據基本法，就數據主體、數據治理、數據活動、數據關系、數據資產、數據安全、數據責任這些基本問題加以合理規范，確立有關依據和行為邊界。

遭遇數據被盜，有4種維權方式

肖颯（北京大成律師事務所合伙人）

刑法第285條規定了非法獲取計算機信息系統數據罪。

“酷米客”與“車來了”這類APP公司發生數據盜竊案件之前，事實上物流快遞公司已經有大量非法獲取計算機系統數據罪的案件。如2013年7月至2014年1月期間，周某通過網絡購買圓通系統賬號，非法進入圓通金剛系統并利用cookie劫持的方式繞過金剛系統權限認證，編寫代碼置于其控制的網站中，從圓通公司系統內部盜取快遞單信息出售并非法獲取25萬元。后周某以非法獲取計算機信息系統數據罪被判處有期徒刑3年3個月。

在信息網絡時代，盜取數字資產在證據認定和保存上我認為其實根本沒有難度——只要使用計算機信息系統，就會留下痕跡;即使數據被刪除，司法人員一般也可通過技術手段對數據予以恢復。當然，案件在偵查過程中可能因為網絡犯罪案件跨區域廣（許多案件是跨國作案）、作案人多、受害人多而導致搜集和認定證據產生一定困難。

遭遇商業數據被盜取，一般有4種維權方式，刑事報案（效率高，花費少）、民事追償（可控，但花費大）、談判（如非訴訟糾紛解決機制）、行政訴訟（解決政府不作為，立案難度大）。實踐中，權利人往往通過民事訴訟程序維護自己的合法權益，通過刑事訴訟程序維權的案例并不多見。

民事渠道與刑事渠道的難度和結果應該統一起來看。例如，犯罪嫌疑人以非法獲取計算機信息系統數據罪被審理時，被害人也可以同時提起刑事附帶民事訴訟。

從多方向入手來保護數據資產

楊超（西安電子科技大學網絡與信息安全學院副教授）

盜取數據犯罪的危害和風險極大：泄露用戶隱私信息、侵害用戶名譽;侵害用戶利益，如盜取用戶金融賬戶信息，執行非法轉賬等行為;利用用戶隱私信息給用戶發送垃圾信息或非法廣告，利用社會工程獲取用戶社會關系等更詳細的用戶隱私，為搶劫、勒索等惡性犯罪提供信息;利用盜取的商業數據，分析對手的商業秘密、惡意搶奪用戶資源，造成不平等競爭，等等。

企業信息系統存在各種各樣的漏洞，常見的有商業數據未加密存儲、數據加密密鑰信息熵值太低、數據加密密鑰明文存儲或密鑰文件訪問控制設置不當、數據加密參數設置不當，任何導致系統權限非法使用的系統漏洞等均可能造成數據信息的泄露。

電子商務中，由于大量數據信息采用計算機進行處理、存儲和傳輸，因此對電子商務企業的信息安全提出了更高的要求。特別是創新型企業，更需要重視數據知識產權的保護。

而對于擁有大量的終端用戶數據的手機APP企業來講，更應該從技術、管理、法律威懾等多個方向入手來切實保護其數據資產。信息安全管理方法主要包括基礎安全服務與框架確立、企業IT系統安全運維策略與方法、企業安全風險管理與合規三個主要方面。技術層面，建議企業要增強用戶身份認證方法、設計合理的訪問控制策略、對數據信息的生產、使用、存儲等全生命周期進行加密保護并妥善管理密鑰、設計備份容災策略、嚴格管理應用軟件的業務流程安全和開發應用安全。