以下文章来源于网安寻路人,作者田申
编者按:
引言:
随着数据时代的到来,社会活动与私人生活在数字空间里被投射、延展与洞察;隐私的边界被重新界定,数据成为独立的生产要素,传统的规则体系也在因基于数据的决策而受到深远影响。也正因如此,个人认为“数据法律”不太可能是完全独立的、隔离传统的、自闭环的,而是在传统法律规则上的孕育、生长、嬗变。在思考“数据法律”的问题时,不应当仅关注数据法领域的专有规则,更应当与相关领域的法律规则有机结合,以寻求不同法益之间的价值平衡。 |
1.数据法律领域特征与思维模型建立
地适其物,物得其所——本杰明.富兰克林
从地理历史学的角度看,地理自然环境对民族性的养成起到至关重要的作用。在数据法律领域也是如此,数据法律的形成环境与特点,也将深刻影响数据法律思维的养成。 |
数据法律领域特征 | ||
事实复杂规则宽泛 | 多法律领域交织 | 法律规则技术化 |
参与主体类型多、差异大,数据流动与处理场景复杂多元,同一主体在不同场景、阶段所担负的责任不同,但数据法律规定较为原则,需在具体场景中界定规则的适配性,by case评估场景多。 | 数据法律不足以单独支持对特定业务场景的合规评估,需要其他法律规则支撑,或者需要考虑不同位阶法律价值的冲突与平衡。例如:用户删除权行使需要考虑网络日志留存法定期限的要求。 | 实践中,无论是判定数据处理活动是否合规,还是判断某一技术方案是否可以解决数据合规问题,都离不开对技术的理解。例如:采取TEE的技术方案是否可以避免侵害用户隐私。 |
关键事实认定与梳理能力 | 多重法律价值判断能力 | 跨领域知识迁移能力 |
需要通过构建思维路径来获得一个完整且真实的事实;需要具备“拆解问题的”的能力,从纷繁复杂的数据处理活动中,准确提炼关键事实与细节。 | 需要具备全面思维的能力,避免仅将视野限缩在数据法律内部。在识别关键事实的基础上,从整体上确定不同领域风险,并给出位阶判断。 | 需要在对技术理解的同时,具备将其与法律“连接”的能力。例如:“剪切板”属于“临时存储空间”,而在法律上是否属于“私密空间”则需要根据不同场景界定。 |
数据法律思维模型 | ||
2.搭建认知起点:事实梳理与认定
当你将所有事实摆在面前时,才能伸张正义——朱利安.巴吉尼
对事实的理解与认知,除了对数据收集的类型、处理目的、方式等基础事实进行了解外,更为重要是需要通过结构化的方式去理解事实,去确认需求文档中是否准确描述了与确定法律关系、法律主体、法律责任相关的重要事实。以下有几个重要的方法可以帮助我们更准确掌握事实: |
2.1注重理解业务目标与技术实现逻辑
任何业务需求对数据收集与处理都不是目的,而是实现目的方式。准确理解业务目标,可以为后续的多重法律价值排序奠定基础,而准确理解技术实现逻辑,则有助于真正发现的合规风险。例如,我们在评估数据收集时,不仅要关注收集的字段类型和时机,还要关注有无通过超越权限或绕开权限的方式收集数据;在实现业务功能要调用敏感权限或网络空间时,需要特别关注设备终端中的各类存储空间、剪切板以及网络存储空间的处理和使用情况。再如,不仅要关注业务是否使用了隐私计算技术保护数据处理活动,更要了解在数据处理环节中如何实现阶段化匿名的措施。
2.2注重跨领域话语体系的差异
数据法律评估的对象具有跨学科、跨领域的特点,运营、产品、研发和法务同学在一起开会是我们的工作常态,也不可避免地出现不同知识背景、工作习惯中对相关定义的理解存在差异。例如:“用户”这一定义在法务侧通常理解为“投放市场产品所服务的消费者”,但是在有些业务侧,会将调用其内部接口服务的其他内部团队,也称为“用户”。又如,在研发侧会提到“请求非法”,一般是指“请求不符合服务器端设定的规则”,但这与法律层面的“非法请求”是完全不相干的。
此外,在数据合规评估中,我们会经常遇到很多高频而重要的定义,但是从实践角度观察,各方对于相关定义的范围与边界理解并不完全一致。例如:“公开的个人信息”,是界定为仅非登录可见信息范围,还是可以扩展为登录后可见信息。公开的图像、视频是否要按照“生物识别信息”管理?数据做到何种程度属于匿名?这些由于法律规则粗放导致的模糊边界问题,也造成了对定义理解的不一致。因此,确定事实的过程中,需要对这些影响评估结果的关键定义进行统一或明确。
2.3注重进入对方的话语体系沟通
由于专业的差异,在沟通过程中非常不建议数据法务同学使用类似“是否处理个人信息?”,“是否征求用户同意”等纯法律规则用语,因为我们不能要求业务同学准确理解法律的基础规则,而是要通过我们基于对业务、技术的理解,基于项目需求对事实进行挖掘,并使用对方的话语体系开展沟通。例如:在确定收集数据处理目的情形下,我们可以问:“我们注意到收集参数中包括IP地址,那么这里的IP地址,除了网络层通信传输所必须以外,是否还用于定位位置,模糊归因等目的用途?”
2.4具备制作可视化示意图与数据流图的能力很重要
平时经常开玩笑叫“一言不合就上图”。其实这里主要是指将复杂的业务模块、数据流转过程、数据处理活动相关方通过直观、清晰的方式表达出来,也可以更直观的与业务侧同学沟通。日常评估中,系统架构图、数据时序图、泳道图、决策流程图是使用较为频繁的。根据不同的业务场景与评估重点,选择相应适当的图示类型,将在很大程度上降低理解与沟通成本。
3.搭建认知框架:以“梯次降维”的方式对事实解构分析
直觉和概念构成...我们所有知识的要素——伊曼努尔.康德
逻辑起点:我们需要从宏观方面着眼,以“高维到低维”的顺序,搭建事实分析的框架,对基础事实进行甄别和梳理。这种分析路径的主要目的是:第一,避免在面对需求评估时,直接陷入细节讨论而导致无法全面揭示数据及相关领域法律风险;第二,通过分层思考的方式,将宏观的系统性风险与微观的具体问题进行有机结合,即站在全局思考问题,又能关注关键问题的细节。 |
3.1第一维度:在全局范围识别可能涉及的法律关系
越复杂的网状结构,其间相互联系的模式也越复杂——福瑞特季夫.卡普拉
这是我们思考的起点,在这一维度中,需要站在全局与宏观的层面观察,充分理解数据复杂多元性的特征。这里的宏观观察,不是“眉毛胡子一把抓”,而是将整体风险通过“结构化的方式”呈现出来。其核心在于避免陷入“就事论事的惯性思维”,仅将法律合规问题局限在“个人信息保护合规”的单一维度内。例如,在评估对数据安全保障合规的评估中,需要特别注意数据属性的多样性问题。即:数据的性质可能同时具备多重法律意义:在数据层面,其可以是个人信息、重要数据;隐私层面,可以是通信秘密;在信息层面,又可以是商业秘密、知识产权的不可分载体。在这一维度中,最为重要的事情就是:【法律关系梳理全面】与【明确核心法律关系】。例如,在评估内容互通的场景中,内容会兼具个人信息与作品属性,在规划授权逻辑时,就可以适配这个场景中最贴近的法律关系。
3.2第二维度:识别与分析法律冲突与价值位阶
只有西斯族才会非黑即白——《星球大战:西斯的复仇》
在梳理事实的过程中,要判断不同法律风险的等级与紧要程度,在可能存在“义务冲突”的情形下做出准确的价值判断。虽然当前《个人信息保护法》《数据安全法》《网络安全法》为代表的数据法律受关注度高,但是就当前而言,这些仍是对现有社会关系在数字时代所呈现出的新问题的回应与补充。数据法律有其独特的规则体系,但是这些规则又深刻与相关部门法律衔接、交互、融合。
在实践中,我们通常会遇到三大类型的冲突,即:【数据处理者追求正当利益与用户个人合法利益的冲突】、【数据法律与其他法律的规则冲突】、【平台上多法律主体的合法利益冲突】
在面对不同领域的规则与利益冲突在数据处理场景中交汇时,需要根据下列规则来进行判断,其中不乏有些已经超越了经典的法理学定义。例如,在数据法律规则与传统领域法律规则冲突时,要避免直接套用“特殊法优于一般法规则”。因为,一方面数据法律是对传统法律规则在数字场景的回应与补充,另一方面,数据法律是对数字社会一般规则的总和,在这个意义上,数据法律可能才是“一般法”。
平台正当利益VS个⼈合法权益 | 数据法律规则VS其他法律规则 | 平台⽣态内利益相关⽅间利益冲突 |
数据处理⽬的的边界是否可以包容新的业务场景 数据处理与提供服务之间的合理边界范围 反作弊等基于平台⾃⾝利益的数据处理合理范围 | 个⼈信息权益⾏使与数据留存限制之间的冲突 最⼩必要原则与安全保障原则之间的冲突 数据跨境、取证规则与域外法律规则之间的冲突 | 平台与⽣态参与⽅之间数据归属冲突 平台与⽣态参与⽅基于数据的竞争冲突 平台与⽣态参与⽅为追逐共同利益共同处理数据 |
“平衡测试”:追逐利益不得损害⽤⼾个⼈权益 | 避免套⽤“特殊法优于⼀般 法”逻辑,以最⾼法益保护 优先为判断 | 公平竞争底线;数据要素归 属的界定;共同处理者 的“平衡测试” |
3.3 第三维度:识别各方所处法律角色与责任边界
没有人是完全无辜的,有的只是不同程度的责任——史迪格.拉森
需求相关方所处的法律角色与地位,将决定其在不同法律关系中所承担的义务和相应的权利,其中要特别注意同一主体,在不同场景中可能居于不同的法律地位和角色。例如:企业办公通讯软件在toc服务和tob服务场景下,在数据合规领域中分处不同法律角色。此外,不同法律关系中的角色在同一主体上也可以叠加,比如AI智能体开放平台为开发者提供相应开发、接入能力,则平台的会同时扮演多重角色:即是数据法律关系中的受托处理者也是民事法律关系中的契约主体,又是承担平台责任的相关主体,还是可能承担提供具体服务领域中相关角色。
在实践中,我们需要通过【是否独立决策数据处理目的、方式】、【是否委托内部/外部实体、产品、业务处理数据】、【共同处理或委托处理方相关基本情况,是否存在合规或安全隐患】等判断数据主体在业务活动中的法律地位与责任边界。这不仅有赖于业务侧的输入,更需要对业务场景有一定理解和认识,以更准确的识别业务方忽略的、可能影响责任归属的关键问题。例如,需要能够识别识别AI智能体相关开放能力的提供方,以及对开放能力责任边界的厘清。此外,识别各方所处的法律角色,不仅仅是在发法理层面作出判断,更重要的是通过协议约定、规则公示等方式,确定责任分担与归属。
3.4第四维度:深入事实细节分析具体法律风险与应对措施
度量即认知——恩斯特.冯.西门子
在这一维度中,对于事实的挖掘和分析需要分别从各个场景的法律关系入手,深入厘清具体法律关系中的关键事实问题,并根据专业和经验做出评估。
如果说前两个维度考验的是数据法律人的宏观思考能力,那么在这一维度中则更考验对法律合规细节问题的处理能力,这里对我们的核心要求就是吃准具体法律规则的精髓,能够准确识别出风险,并且可以主动给出合规的方案,或者帮助启发业务侧向合规方向提出修订方案。
•在这一环节,可以通过制定结构化评估表单和相应的分析流程,对各具体评估要素重点予以明确,这也是我们日常在评估过程中惯常使用的一种策略。例如,对于处理“敏感个信息“,我们可以以结构化方式拆解问题:
是否可以获得单独同意: ○如果可以获得授权,需明确该场景下获取授权的基线要求; ○如果当前方案无法获得授权,需分析原因是缺少交互场景,还是合规成本过高,并给出在该实现获取授权的具体方式 是否可以做到“匿名化”处理: ○业务目标是否具备不识别个体为前提,具备“匿名化“处理的空间; ○在该业务场景下,“匿名化”方案是否可行且监管侧大概率可认可。 是否具备无需获得单独同意的法定条件: ○如果无需获得授权,需谨慎判断是否具有充分的事实与法理基础。 ○如果论证确实无需授权,需给出符合法定条件收集数据的具体方式。 |
4.思维的终局:追求实践可落地不过分追求理论周延
“和逻辑相对的有常识,或更好的一些说法:还有近情和精神”——林语堂
在前文中,我们基于实践经验与逻辑体系推导出一套数据法律思维的理论模型,成体系的思维模式固然重要,但是一切思维与理论都需要结合客观具体情景给出适当的判断,理想的状态自然是认知逻辑与实践落地的兼容,但实践中往往很难达到理想的状态:在数据共同处理场景中,强势甲方往往不会接受理论上正确的法律关系界定;在履行相关义务过程中,由于规则的宽泛,履职尽责的标准可能不断变化,总存在“未尽到合理责任”的风险;在利益冲突的情形下,何种法益在当时的情境下是“更应当优先被保护的”,也许永远不会有标准答案。
在实践中,永远没有“最优解”,只有“在当时的情境下最不坏的选择”。在坚持底线原则的基础上,与当下做适度的妥协和变通,才是处理多元与复杂问题的必要态度。做到这一点,我们可以通过“三个参照系”(历史评估参照系、行业实践参照系、执法判例参照系)对通过逻辑与思维模型推演的结论进行“校准”,以确保最终给出在基本符合法律要求前提下,业务可以落地推进的方案。
历史评估参照系 | ⾏业实践参照系 | 执法判例参照系 |
历史评估近似需求是否可以完全复⽤,注重审查所处评估历史背景和业务需求是否有较⼤变动,既要避免前后评估意⻅不⼀致,也要避免简单复制历史意⻅,⽽忽视现实需求的差异。 | ⾏业内是否有类似需求的 实现⽅式,国内外行业类似功能的合规落地⽅案情 况。如有类似场景,需进⼀步分析落地⽅案所处历史背景、法律环境、业务形态、⾏业地位等综合因素,避免简单对⽐。 | 执法案例可以从监管部⻔ 的指引日常总结的合规指引中进⾏检索。判例的检索要具备全球视野,在中国和主要法域内进⾏检索。此外,对于本业务自身曾涉及的诉讼与执法案例需要重点关注 |
意见的延续性与一致性 | 适当的合规方案 | 勿导前车之鉴与闭门造车 |
其实这篇笔记是是近年来一直思考与酝酿的话题,但总觉得很难以适当的方式将这些表达出来,直到近期与组内的年轻同学交流,她们向我提出了“数据法务应该如何思考”的问题。我现场回答并不太好,不太成体系,因此就将多年前的提纲再翻找出来并成文交付,哪怕是仍然不太满意,但也许这篇随笔也算是“当前情景下最不坏的选择”吧。后续,随着认知的深入和表达的提升,我也会对这篇笔记持续更新。
写在最后的话:
当雨过天晴,我便能看清所有挡在我面前的拦路虎——约翰.纳什
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...