數字時代元數據的安全問題及法律應對*

朱莉欣，李元元

（西交蘇州信息安全法學所，江蘇 蘇州 215123）

0 引 言

元數據（Metadata）——關于數據的數據（Data about Data），主要是描述數據屬性的信息，用來支持如指示存儲位置、歷史數據、資源查找、文件記錄等功能。雖然元數據不直接包含主信息，并且與信息內容的區別在幾十年前比較明顯，但隨著大數據時代的來臨，收集和分析數據技術的進步和普及，通過數據匯聚，從元數據能夠推導出的信息越來越多。元數據和信息內容之間的界限日益模糊，在某些情況下，元數據的記載比主信息內容本身更真實。比如，一個人可以在信息內容中描述自己的特征，但這個人的購買數據、社交網絡和位置數據則可以暴露出他真正的喜好習慣，甚至揭示他想隱藏的內容。如今，不包含信息主內容的元數據安全問題變得敏感起來，對個人如此，對國家安全、執法機構和企業而言同樣也是如此。

2013年，愛德華·斯諾登泄露的情報披露了美國國家安全局（National Security Agency，NSA）和全球主要數字公司收集數據的規模和復雜程度，引發了對元數據的關注，也引發了安全與隱私、公開與封閉、問責與保密之間平衡的大辯論。2015年10月，澳大利亞聯邦政府通過了一項有爭議的《強制保留元數據法》，要求電信公司在兩年內保留客戶的元數據，明顯將國家安全置于其他利益之上，雖然法案聲明元數據不包括通話及郵件內容、網站記錄等任何個人隱私的內容，但此舉仍引發不少爭議。此前許多國家也討論過相似法案，都因違憲而被拒絕，且大部分網絡運營商也表示，儲存元數據的成本很高，費用最終仍會轉嫁到消費者和納稅人身上[1]。這一系列的事件指出，在大數據時代，如何從宏觀上更好地開發利用數據資源的同時，從微觀的元數據角度守護數據安全，正成為當前新時代又一重要命題。

1 元數據對國家安全的意義

元數據是情報之源，元數據的使用也是雙刃劍。一方面，收集大規模元數據，可以在海量的流量分析基礎上，推導出核心數據和有關國家秘密的信息，這給國家的保密制度帶來更多風險和挑戰，如何規制對元數據的情報監控從而平衡國家安全維護和公民基本權利保障成為數據時代當前各個國家和地區亟待解決的問題。另一方面，也可以用元數據構建出分析對象的社交網絡，制止危害國家安全的行為。例如，國家安全機關對元數據進行情報監控，分析元數據流量，能夠發現恐怖分子用來招募、計劃和執行襲擊的社交網絡，對危害國家安全的行為進行打擊，是網絡時代國家安全保障、刑事調查和緊急情況應對的現代化必要工具，是必要且不得已之偵查手段[2]。

從作戰角度看，對通信和交通的元數據分析還可以產生具有即時戰術價值的情報。美國國家安全局前局長邁克爾·海登（Michael Hayden）曾嚴肅地說：“我們根據元數據殺人。”即美國已經在使用元數據和移動跟蹤技術來選擇和確定無人機在世界各地的打擊目標。在這種情況下，實時顯示地理位置的元數據相當于提供攻擊者實施攻擊的目標數據。考慮到現代戰爭的特點，這種精準打擊的戰術常常會對被打擊的國家帶來極具威懾力的后果。

2 元數據對執法機構的影響

要體現和規范元數據的保護和分享價值，需要給執法機構以相應的授權，并對這種權力進行規范。首先，海量的元數據收集、分析給執法機構提供了更多偵查犯罪行為的方法和手段，特別是對網絡犯罪而言。例如，在低風險和高回報的誘惑下，一些機構和犯罪組織通過創建僵尸網絡，利用它們竊取數據、勒索資金、發送垃圾郵件，并使未來的破壞成為可能。而僵尸網絡需要大規模的流量分析來完成檢測、映射和消除。這就要求保護大型網絡的國家執法機構必須大量收集元數據，以發現、處理僵尸網絡。另外，發生了網絡事故的網絡運營者需要描述網絡安全事件，必須解釋記錄的元數據。網絡路由器、防火墻、網絡和電子郵件服務器、臺式電腦甚至手持設備都是記錄元數據的潛在來源。因此，在很多情況下，執法機構收集、使用元數據是必要的，這一權力應該得到立法保障。

其次，元數據協助執法制度將打破數據加密技術帶來的黑暗。新技術不斷沖破傳統的情報收集體制和格局，引起執法能力被弱化的“黑暗時代”[3]，執法機構運用傳統的調查手段已經很難對采取數據加密技術的犯罪證據進行監控，出于對個人信息保護的原則也不能隨意要求披露密鑰或者破解內容數據，而對不包含主數據內容的元數據的相關執法則變得容易得多。縱觀美歐等國關于元數據執法的經驗，建立協助執法手段，以法定方式規定元數據范圍，既能隔離內容數據以保護隱私，也可限定網絡服務商協助執法的義務成本。基于元數據執法價值考慮，設定兩年的留存期限最具合理性，由政府承擔部分元數據留存能力建設、規定技術供應商義務協助執法等，有助于破解因加密技術不斷發展給執法機構帶來的“黑暗”。

3 元數據與個人權利

隨著大數據時代的來臨，通過對人們使用手機、電腦等設備或者電子郵件、社交網絡、搜索引擎等服務產生的海量元數據進行匯聚分析，可以輕易地掌握使用者關于個人信仰、偏好及行為舉止等詳細信息。無論是出于國家安全目的的監控，抑或商業目的的數據抓取，都涉及使用者的基本權利[4]。在我國法律體系中，元數據和個人的兩項權利有著密切的聯系。一是關于通信自由和通信秘密的權利。《憲法》第四十條規定，“中華人民共和國公民的通信自由和通信秘密受法律的保護。除因國家安全或者追查刑事犯罪的需要，由公安機關或者檢察機關依照法律規定的程序對通信進行檢查外，任何組織或者個人不得以任何理由侵犯公民的通信自由和通信秘密。”雖然一般理解，元數據是內容以外的數據，但就通信而言，公民說了些什么內容，可能沒有這個人在什么時候、在什么地方、對誰說這些話所包含的信息更真實、重要。那么，對元數據的收集和分析涉及個人通信自由，也應合法處理并予以保護。二是元數據還與個人信息權有著密切的聯系。例如，一個人的位置信息、購買記錄和金融交易記錄等，這些信息和個人信息保護法律有關。《個人信息保護法》第二十八條規定，“敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息”。而這里的如宗教信仰、特定身份、醫療健康、行蹤軌跡等，都可以通過元數據分析推導出來。

正是基于這樣的聯系，依據《數據安全法》《個人信息保護法》等相關法律，數據處理者對數據保護應當精細化，注重元數據的保護。而相應的，執法機構對元數據的安全執法也應當注意，不能侵犯通信自由、通信秘密和個人敏感信息。

4 元數據安全的法律思考

元數據涉及國家安全和個人權益，它是數據安全風險管理中重要的一環，其涉及的安全問題不容忽視。對元數據的收集和利用也是“依法治網”中的重要問題，執法如果不規范會侵犯相關的合法權益，造成權力濫用。概括地說，缺乏元數據的法律規定，不僅會導致國家秘密、重要數據和個人通信自由及敏感信息得不到真正的保護，也會使元數據暴露的大量敏感信息被濫用，從而危害國家、企業和個人的合法權益。因此，建議從以下幾個方面完善相關立法以有效應對元數據的安全問題。

4.1 立法監控和保護涉及國家秘密的元數據

如前所述，元數據在數字時代下可以成為情報之源，涉及國家秘密的元數據如果不予以保護，那么就等于國家的保密制度中出現了一個漏洞。近年來，一些地理數據、航空數據和水文數據被傳出國外，給國家安全帶來很大隱患，應當引起我們警醒。大數據時代，我國保守秘密法律制度的保密規范對象除人、密、涉密載體、涉密信息系統、涉密場所和活動外，還應該延續至涉密數據，尤其是涉密元數據，因此，立法上對涉及國家安全的元數據進行監控和保護勢在必行。

目前對于元數據監控和保護的規則散存于《國家安全法》《國家情報法》《刑事訴訟法》《反恐法》、公安機關辦案規則，以及檢察機關辦案程序等效力層級不一的法律文件中，具有層級低、碎片化的特點[2]。比如，2016年由最高人民法院、最高人民檢察院、公安部印發的《關于辦理刑事案件收集提取和審查判斷電子數據若干問題的規定》以規范性文件的方式規定了對通信內容和元數據進行提取，但是這一法律文件既不屬于司法解釋，也不屬于行政規章，其正當性存在爭議。當前，我國并沒有就元數據網絡監控出臺專門的法律規定，通過行政手段進行規制本就與依法治網的原則相抵觸，在這方面可參考澳大利亞對元數據立法的元原則，將元數據與通信內容區分開，根據隱私敏感度和執法價值，對元數據監控采用更加靈活的審批制度，在具體制度設計上借鑒歐美等國家相關經驗，將保護涉密元數據的內容更好體現在保密法制度中，進一步完善相關的法律法規。

4.2 將元數據納入數據分類分級管理和保護制度

在元數據建設方面，美國走在了世界前列，其元數據建設呈現出以下特點：一是政策保障，發表備忘錄《開放數據政策：將信息作為資產管理》，該備忘錄是美國政府數據資產管理的綱領性文件，其“元數據”方案廣泛適用于聯邦政府、地方政府和非政府組織。二是元數據標準化和規范化，建立通用核心元數據標準方案，規定元數據各元素的格式和類型。三是本土化，引進只適用于美國聯邦政府的元數據元素并支持數據標準的元素，對元素進行嚴格分類。

我國近些年在數據建設上也已開始加快追趕世界各國的腳步，在2021年通過的《數據安全法》里提出了對數據全生命周期各環節的安全保護義務，也構建了數據分級分類保護的基本法律制度，《數據安全法》的落地，為元數據分類分級管理和保護提供了思路和解決方案。而在具體實施中，我們還應該關注元數據在整個生命周期中的安全保護，并且將元數據納入數據安全管理制度中，將元數據與通信內容獨立開來，根據隱私程度和數據價值，對元數據的儲存、保留、轉移做出靈活的審批制度，在加強數據管理的同時，充分尊重市場主體的自由行為，充分保護國家安全、個人隱私和產業利益。事實上，元數據是企業等組織數據資源的應用字典和操作指南，也是組織開展數據治理的一個基礎，數據元數據管理有利于統一數據口徑、標明數據方位、分析數據關系、管理數據變更，是實現數據自服務、推動數據化運營的可行路線。開發數據資源離不開元數據管理，未來元數據的安全管理將會越來越重要，需要立法提早謀劃。在專門法律出臺前，也可先通過設立行業標準、應用指南等形式對元數據保護做出指引，包括元數據的可攜帶權問題，以積累立法經驗。

4.3 規范對元數據的執法行動

在我國的法律體系中，較長一段時間對于執法機關搜集情報與維護國家安全的監控幾無法律規范，黨的十八大以來，黨中央提出總體國家安全觀戰略，關于信息領域執法的法治化程度開始受到越來越多的關注，信息領域中執法機關搜集情報的監控等也具備了一定的法律依據。比如，2015年公布的《國家安全法》列明了情報搜集的機關，并對情報收集工作設定了合法性原則，此處的“依法”即主要是指2017年通過的《中華人民共和國國家情報法》。2015年通過的《中華人民共和國反恐怖主義法》第四十五條規定，“因反恐怖情報信息工作需要，經過嚴格的批準手續，可以采取技術偵察措施”。2016年通過的《中華人民共和國網絡安全法》規定，“網絡運營者不低于六個月的留存用戶網絡日志的義務以及對公安機關、國家安全機關開展技術偵查與其他信息監控工作提供技術支持與協助的義務”。這些法律都對信息領域的執法問題提供了法律依據。

值得進一步研究的是，由于缺乏元數據的執法規定，收集和利用元數據職權不明、程序不清，在現實中引發了很多疑問。因此建議，在立法中不僅明確元數據的保護責任，同時也應明確執法人員對元數據的執法權力和權限。我國《國家情報法》《密碼法》《國家安全法》和《網絡安全法》等法律對網絡服務者協助執法義務做出了概括性規定，具有保守性和防御性特點[5]，在可操作性和實施效率方面存在很大缺陷，既不利于執法能力現代化，也無法對西方日益擴張的主動攻擊型情報政策進行戰略對沖[6]。在現在缺乏具體立法依據的情況下，可以先根據《國家安全法》《網絡安全法》《數據安全法》和《個人信息保護法》等法律的相關規定，修訂完善《保守國家秘密法》，通過內部規章、政策文件等形式，為執法人員訪問元數據提供規范工具和指導，明確針對元數據的行政執法程序、執法權限，并對執法行為予以適當的監督。條件成熟時再上升為法律，以實現國家安全和個人信息安全的共同保護和數據共享。

5 結 語

隨著大數據時代的發展、信息化程度的進一步深化，不包含主信息內容的元數據的價值進一步顯現，元數據的安全問題也逐漸受到關注，元數據保護的相關立法迫在眉睫。立法必須根據技術的發展而適時調整，在總體國家安全觀的前提下，應盡快建立完善的元數據保護制度，設定執法機關對元數據的限制和監督，要求元數據保護立法必須符合比例原則，為數據產業安全發展提供充分的保障，在平衡好國家安全與公民權利的同時，發揮好法律的規制和保障作用。