数字时代元数据的安全问题及法律应对

元数据（Metadata）——关于数据的数据（Data about Data），主要是描述数据属性的信息，用来支持如指示存储位置、历史数据、资源查找、文件记录等功能。虽然元数据不直接包含主信息，并且与信息内容的区别在几十年前比较明显，但随着大数据时代的来临，收集和分析数据技术的进步和普及，通过数据汇聚，从元数据能够推导出的信息越来越多。元数据和信息内容之间的界限日益模糊，在某些情况下，元数据的记载比主信息内容本身更真实。比如，一个人可以在信息内容中描述自己的特征，但这个人的购买数据、社交网络和位置数据则可以暴露出他真正的喜好习惯，甚至揭示他想隐藏的内容。如今，不包含信息主内容的元数据安全问题变得敏感起来，对个人如此，对国家安全、执法机构和企业而言同样也是如此。

2013 年，爱德华·斯诺登泄露的情报披露了美国国家安全局（National Security Agency，NSA）和全球主要数字公司收集数据的规模和复杂程度，引发了对元数据的关注，也引发了安全与隐私、公开与封闭、问责与保密之间平衡的大辩论。2015 年 10 月，澳大利亚联邦政府通过了一项有争议的《强制保留元数据法》，要求电信公司在两年内保留客户的元数据，明显将国家安全置于其他利益之上，虽然法案声明元数据不包括通话及邮件内容、网站记录等任何个人隐私的内容，但此举仍引发不少争议。此前许多国家也讨论过相似法案，都因违宪而被拒绝，且大部分网络运营商也表示，储存元数据的成本很高，费用最终仍会转嫁到消费者和纳税人身上 。这一系列的事件指出，在大数据时代，如何从宏观上更好地开发利用数据资源的同时，从微观的元数据角度守护数据安全，正成为当前新时代又一重要命题。

元数据是情报之源，元数据的使用也是双刃剑。一方面，收集大规模元数据，可以在海量的流量分析基础上，推导出核心数据和有关国家秘密的信息，这给国家的保密制度带来更多风险和挑战，如何规制对元数据的情报监控从而平衡国家安全维护和公民基本权利保障成为数据时代当前各个国家和地区亟待解决的问题。另一方面，也可以用元数据构建出分析对象的社交网络，制止危害国家安全的行为。例如，国家安全机关对元数据进行情报监控，分析元数据流量，能够发现恐怖分子用来招募、计划和执行袭击的社交网络，对危害国家安全的行为进行打击，是网络时代国家安全保障、刑事调查和紧急情况应对的现代化必要工具，是必要且不得已之侦查手段 。

从 作 战 角 度 看， 对 通 信 和 交 通 的 元 数 据分析还可以产生具有即时战术价值的情报。美国 国 家 安 全 局 前 局 长 迈 克 尔· 海 登（Michael Hayden）曾严肃地说：“我们根据元数据杀人。”即美国已经在使用元数据和移动跟踪技术来选择和确定无人机在世界各地的打击目标。在这种情况下，实时显示地理位置的元数据相当于提供攻击者实施攻击的目标数据。考虑到现代战争的特点，这种精准打击的战术常常会对被打击的国家带来极具威慑力的后果。

要体现和规范元数据的保护和分享价值，需要给执法机构以相应的授权，并对这种权力进行规范。首先，海量的元数据收集、分析给执法机构提供了更多侦查犯罪行为的方法和手段，特别是对网络犯罪而言。例如，在低风险和高回报的诱惑下，一些机构和犯罪组织通过创建僵尸网络，利用它们窃取数据、勒索资金、发送垃圾邮件，并使未来的破坏成为可能。而僵尸网络需要大规模的流量分析来完成检测、映射和消除。这就要求保护大型网络的国家执法机构必须大量收集元数据，以发现、处理僵尸网络。另外，发生了网络事故的网络运营者需要描述网络安全事件，必须解释记录的元数据。网络路由器、防火墙、网络和电子邮件服务器、台式电脑甚至手持设备都是记录元数据的潜在来源。因此，在很多情况下，执法机构收集、使用元数据是必要的，这一权力应该得到立法保障。

其次，元数据协助执法制度将打破数据加密技术带来的黑暗。新技术不断冲破传统的情报收集体制和格局，引起执法能力被弱化的“黑暗时代”，执法机构运用传统的调查手段已经很难对采取数据加密技术的犯罪证据进行监控，出于对个人信息保护的原则也不能随意要求披露密钥或者破解内容数据，而对不包含主数据内容的元数据的相关执法则变得容易得多。纵观美欧等国关于元数据执法的经验，建立协助执法手段，以法定方式规定元数据范围，既能隔离内容数据以保护隐私，也可限定网络服务商协助执法的义务成本。基于元数据执法价值考虑，设定两年的留存期限最具合理性，由政府承担部分元数据留存能力建设、规定技术供应商义务协助执法等，有助于破解因加密技术不断发展给执法机构带来的“黑暗”。

随着大数据时代的来临，通过对人们使用手机、电脑等设备或者电子邮件、社交网络、搜索引擎等服务产生的海量元数据进行汇聚分析，可以轻易地掌握使用者关于个人信仰、偏好及行为举止等详细信息。无论是出于国家安全目的的监控，抑或商业目的的数据抓取，都涉及使用者的基本权利。在我国法律体系中，元数据和个人的两项权利有着密切的联系。一是关于通信自由和通信秘密的权利。《宪法》第四十条规定，“中华人民共和国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要，由公安机关或者检察机关依照法律规定的程序对通信进行检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。”虽然一般理解，元数据是内容以外的数据，但就通信而言，公民说了些什么内容，可能没有这个人在什么时候、在什么地方、对谁说这些话所包含的信息更真实、重要。那么，对元数据的收集和分析涉及个人通信自由，也应合法处理并予以保护。二是元数据还与个人信息权有着密切的联系。例如，一个人的位置信息、购买记录和金融交易记录等，这些信息和个人信息保护法律有关。《个人信息保护法》第二十八条规定，“敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息”。而这里的如宗教信仰、特定身份、医疗健康、行踪轨迹等，都可以通过元数据分析推导出来。

正是基于这样的联系，依据《数据安全法》《个人信息保护法》等相关法律，数据处理者对数据保护应当精细化，注重元数据的保护。而相应的，执法机构对元数据的安全执法也应当注意，不能侵犯通信自由、通信秘密和个人敏感信息。

4.1　立法监控和保护涉及国家秘密的元数据

如前所述，元数据在数字时代下可以成为情报之源，涉及国家秘密的元数据如果不予以保护，那么就等于国家的保密制度中出现了一个漏洞。近年来，一些地理数据、航空数据和水文数据被传出国外，给国家安全带来很大隐患，应当引起我们警醒。大数据时代，我国保守秘密法律制度的保密规范对象除人、密、涉密载体、涉密信息系统、涉密场所和活动外，还应该延续至涉密数据，尤其是涉密元数据，因此，立法上对涉及国家安全的元数据进行监控和保护势在必行。

目前对于元数据监控和保护的规则散存于《国家安全法》《国家情报法》《刑事诉讼法》《反恐法》、公安机关办案规则，以及检察机关办案程序等效力层级不一的法律文件中，具有层级低、碎片化的特点。比如，2016 年由最高人民法院、最高人民检察院、公安部印发的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》以规范性文件的方式规定了对通信内容和元数据进行提取，但是这一法律文件既不属于司法解释，也不属于行政规章，其正当性存在争议。当前，我国并没有就元数据网络监控出台专门的法律规定，通过行政手段进行规制本就与依法治网的原则相抵触，在这方面可参考澳大利亚对元数据立法的元原则，将元数据与通信内容区分开，根据隐私敏感度和执法价值，对元数据监控采用更加灵活的审批制度，在具体制度设计上借鉴欧美等国家相关经验，将保护涉密元数据的内容更好体现在保密法制度中，进一步完善相关的法律法规。

4.2　将元数据纳入数据分类分级管理和保护制度

在元数据建设方面，美国走在了世界前列，其元数据建设呈现出以下特点：一是政策保障，发表备忘录《开放数据政策：将信息作为资产管理》，该备忘录是美国政府数据资产管理的纲领性文件，其“元数据”方案广泛适用于联邦政府、地方政府和非政府组织。二是元数据标准化和规范化，建立通用核心元数据标准方案，规定元数据各元素的格式和类型。三是本土化，引进只适用于美国联邦政府的元数据元素并支持数据标准的元素，对元素进行严格分类。

我国近些年在数据建设上也已开始加快追赶世界各国的脚步，在 2021 年通过的《数据安全法》里提出了对数据全生命周期各环节的安全保护义务，也构建了数据分级分类保护的基本法律制度，《数据安全法》的落地，为元数据分类分级管理和保护提供了思路和解决方案。而在具体实施中，我们还应该关注元数据在整个生命周期中的安全保护，并且将元数据纳入数据安全管理制度中，将元数据与通信内容独立开来，根据隐私程度和数据价值，对元数据的储存、保留、转移做出灵活的审批制度，在加强数据管理的同时，充分尊重市场主体的自由行为，充分保护国家安全、个人隐私和产业利益。事实上，元数据是企业等组织数据资源的应用字典和操作指南，也是组织开展数据治理的一个基础，数据元数据管理有利于统一数据口径、标明数据方位、分析数据关系、管理数据变更，是实现数据自服务、推动数据化运营的可行路线。开发数据资源离不开元数据管理，未来元数据的安全管理将会越来越重要，需要立法提早谋划。在专门法律出台前，也可先通过设立行业标准、应用指南等形式对元数据保护做出指引，包括元数据的可携带权问题，以积累立法经验。

4.3　规范对元数据的执法行动

在我国的法律体系中，较长一段时间对于执法机关搜集情报与维护国家安全的监控几无法律规范，党的十八大以来，党中央提出总体国家安全观战略，关于信息领域执法的法治化程度开始受到越来越多的关注，信息领域中执法机关搜集情报的监控等也具备了一定的法律依 据。比 如，2015 年 公 布 的《 国 家 安 全 法》列明了情报搜集的机关，并对情报收集工作设定了合法性原则，此处的“依法”即主要是指2017 年通过的《中华人民共和国国家情报法》。2015 年通过的《中华人民共和国反恐怖主义法》第四十五条规定，“因反恐怖情报信息工作需要，经过严格的批准手续，可以采取技术侦察措施”。2016 年通过的《中华人民共和国网络安全法》规定，“网络运营者不低于六个月的留存用户网络日志的义务以及对公安机关、国家安全机关开展技术侦查与其他信息监控工作提供技术支持与协助的义务”。这些法律都对信息领域的执法问题提供了法律依据。

值得进一步研究的是，由于缺乏元数据的执法规定，收集和利用元数据职权不明、程序不清，在现实中引发了很多疑问。因此建议，在立法中不仅明确元数据的保护责任，同时也应明确执法人员对元数据的执法权力和权限。我国《国家情报法》《密码法》《国家安全法》和《网络安全法》等法律对网络服务者协助执法义务做出了概括性规定，具有保守性和防御性特点 ，在可操作性和实施效率方面存在很大缺陷，既不利于执法能力现代化，也无法对西方日益扩张的主动攻击型情报政策进行战略对冲。在现在缺乏具体立法依据的情况下，可以先根据《国家安全法》《网络安全法》《数据安全法》和《个人信息保护法》等法律的相关规定，修订完善《保守国家秘密法》，通过内部规章、政策文件等形式，为执法人员访问元数据提供规范工具和指导，明确针对元数据的行政执法程序、执法权限，并对执法行为予以适当的监督。条件成熟时再上升为法律，以实现国家安全和个人信息安全的共同保护和数据共享。

随着大数据时代的发展、信息化程度的进一步深化，不包含主信息内容的元数据的价值进一步显现，元数据的安全问题也逐渐受到关注，元数据保护的相关立法迫在眉睫。立法必须根据技术的发展而适时调整，在总体国家安全观的前提下，应尽快建立完善的元数据保护制度，设定执法机关对元数据的限制和监督，要求元数据保护立法必须符合比例原则，为数据产业安全发展提供充分的保障，在平衡好国家安全与公民权利的同时，发挥好法律的规制和保障作用。