提供公交查詢服務(wù)的APP“酷米客”后臺系統(tǒng)數(shù)據(jù)被同類APP“車來了”盜取，損失高達(dá)億元，日前“車來了”已被警方立案。有聲音認(rèn)為公交數(shù)據(jù)是公共數(shù)據(jù)，分享應(yīng)用能更好地服務(wù)社會。那么，此類軟件數(shù)據(jù)共享和保護(hù)的界限究竟在哪里？

建立數(shù)據(jù)分類分級保護(hù)制度

張韜（北京華訊律師事務(wù)所主任）

2014年3月攜程網(wǎng)發(fā)生數(shù)據(jù)泄露事件，部分用戶身份及銀行卡信息被泄露;同年12月，中國鐵路客戶訂票系統(tǒng)數(shù)據(jù)庫遭到黑客攻擊，超過13萬條用戶數(shù)據(jù)信息被泄露。手機(jī)APP軟件廣泛應(yīng)用之前，近年來數(shù)據(jù)盜竊案件已經(jīng)在互聯(lián)網(wǎng)企業(yè)時有發(fā)生。這反映出數(shù)據(jù)信息領(lǐng)域的違法犯罪活動危害大、影響面廣、涉及人數(shù)眾多，而且往往會給用戶造成永久且不可逆的損害。數(shù)據(jù)信息泄露還可能給當(dāng)事人造成二次傷害，比如有不法人員利用獲取的信息進(jìn)行詐騙活動。

在平衡促進(jìn)發(fā)展和保障權(quán)益時，對于數(shù)據(jù)信息應(yīng)當(dāng)遵循先保護(hù)、再合理利用及共享的發(fā)展原則。區(qū)分可交易的商業(yè)數(shù)據(jù)和商業(yè)秘密之間的界限，劃分個人一般信息和個人隱私信息的邊界，之后進(jìn)行分類、分級保護(hù)，這樣的分級尤為重要。

我認(rèn)為，商業(yè)數(shù)據(jù)信息、個人信息如果去身份化后，可以在限定的條件下交換、使用和共享，并不是對所有的商業(yè)數(shù)據(jù)信息和個人信息都要“一刀切”式的禁止分享，而是要根據(jù)相關(guān)數(shù)據(jù)信息的屬性（包括商業(yè)屬性和人身屬性等）、類別、對權(quán)利人造成的影響等多方面對其歸類，再根據(jù)具體的類別給予相應(yīng)保護(hù)。

商業(yè)秘密和個人隱私是必須被保護(hù)的級別。商業(yè)秘密指不為公眾所知悉、具有商業(yè)價值并能為權(quán)利人帶來經(jīng)濟(jì)利益、經(jīng)過了權(quán)利人采取相應(yīng)保密措施的技術(shù)信息和經(jīng)營信息。個人隱私包括自然人的基因信息、病歷資料、健康檢查資料、犯罪記錄、家庭住址、私人活動等。

要看取得數(shù)據(jù)的方式合法與否

龍衛(wèi)球（北京航空航天大學(xué)法學(xué)院院長）

數(shù)據(jù)公開是數(shù)據(jù)時代的一個重要制度，旨在通過促進(jìn)數(shù)據(jù)向社會或公眾開放達(dá)到更加便利、更加公平利用和開發(fā)數(shù)據(jù)的效果。但是，數(shù)據(jù)公開只能在一定的范圍實施：首先，只適用于公共性數(shù)據(jù)，這是指具有公共利益相關(guān)性的數(shù)據(jù)，與私人包括個人、企業(yè)、特定機(jī)構(gòu)自身利益相關(guān)的私密性數(shù)據(jù)，不屬于公開范圍。其次，只適用于公共主體，比如政府部門或者其他承擔(dān)公共事業(yè)的部門，其負(fù)有數(shù)據(jù)公開的義務(wù)，此項義務(wù)與政務(wù)公開、信息公開理論基礎(chǔ)相近。所以非公共部門，包括企業(yè)自己產(chǎn)生或收集的數(shù)據(jù)，通常不屬于數(shù)據(jù)公開的范圍。再次，數(shù)據(jù)公開還存在與其他原則的沖突權(quán)衡問題，數(shù)據(jù)公開必須讓位于數(shù)據(jù)安全、數(shù)據(jù)公平等，比如當(dāng)數(shù)據(jù)公開與數(shù)據(jù)安全存在矛盾時，則不得公開。

APP商業(yè)數(shù)據(jù)，只有屬于公共部門產(chǎn)生、收集的情況下，才具有公開的義務(wù)?！翱崦卓汀钡臄?shù)據(jù)信息具有商業(yè)價值，但只有該企業(yè)處于公共主體或者受公共主體委托的地位，才負(fù)有分享或公開數(shù)據(jù)的義務(wù)。

數(shù)據(jù)資產(chǎn)是數(shù)據(jù)時代企業(yè)的重要資源性財產(chǎn)。一個企業(yè)只有在得到數(shù)據(jù)資產(chǎn)保護(hù)的情況下，才有動力和保障去積極開發(fā)數(shù)據(jù)資源，通過數(shù)據(jù)手段去改進(jìn)生產(chǎn)、經(jīng)營和服務(wù)，最終造福于市場和消費者。

我國既有法律體系在數(shù)據(jù)資產(chǎn)保護(hù)方面總體上存在極大的滯后性。應(yīng)當(dāng)與時俱進(jìn)，加快立法速度，制定一部完善的數(shù)據(jù)基本法，就數(shù)據(jù)主體、數(shù)據(jù)治理、數(shù)據(jù)活動、數(shù)據(jù)關(guān)系、數(shù)據(jù)資產(chǎn)、數(shù)據(jù)安全、數(shù)據(jù)責(zé)任這些基本問題加以合理規(guī)范，確立有關(guān)依據(jù)和行為邊界。

遭遇數(shù)據(jù)被盜，有4種維權(quán)方式

肖颯（北京大成律師事務(wù)所合伙人）

刑法第285條規(guī)定了非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪。

“酷米客”與“車來了”這類APP公司發(fā)生數(shù)據(jù)盜竊案件之前，事實上物流快遞公司已經(jīng)有大量非法獲取計算機(jī)系統(tǒng)數(shù)據(jù)罪的案件。如2013年7月至2014年1月期間，周某通過網(wǎng)絡(luò)購買圓通系統(tǒng)賬號，非法進(jìn)入圓通金剛系統(tǒng)并利用cookie劫持的方式繞過金剛系統(tǒng)權(quán)限認(rèn)證，編寫代碼置于其控制的網(wǎng)站中，從圓通公司系統(tǒng)內(nèi)部盜取快遞單信息出售并非法獲取25萬元。后周某以非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪被判處有期徒刑3年3個月。

在信息網(wǎng)絡(luò)時代，盜取數(shù)字資產(chǎn)在證據(jù)認(rèn)定和保存上我認(rèn)為其實根本沒有難度——只要使用計算機(jī)信息系統(tǒng)，就會留下痕跡;即使數(shù)據(jù)被刪除，司法人員一般也可通過技術(shù)手段對數(shù)據(jù)予以恢復(fù)。當(dāng)然，案件在偵查過程中可能因為網(wǎng)絡(luò)犯罪案件跨區(qū)域廣（許多案件是跨國作案）、作案人多、受害人多而導(dǎo)致搜集和認(rèn)定證據(jù)產(chǎn)生一定困難。

遭遇商業(yè)數(shù)據(jù)被盜取，一般有4種維權(quán)方式，刑事報案（效率高，花費少）、民事追償（可控，但花費大）、談判（如非訴訟糾紛解決機(jī)制）、行政訴訟（解決政府不作為，立案難度大）。實踐中，權(quán)利人往往通過民事訴訟程序維護(hù)自己的合法權(quán)益，通過刑事訴訟程序維權(quán)的案例并不多見。

民事渠道與刑事渠道的難度和結(jié)果應(yīng)該統(tǒng)一起來看。例如，犯罪嫌疑人以非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪被審理時，被害人也可以同時提起刑事附帶民事訴訟。

從多方向入手來保護(hù)數(shù)據(jù)資產(chǎn)

楊超（西安電子科技大學(xué)網(wǎng)絡(luò)與信息安全學(xué)院副教授）

盜取數(shù)據(jù)犯罪的危害和風(fēng)險極大：泄露用戶隱私信息、侵害用戶名譽;侵害用戶利益，如盜取用戶金融賬戶信息，執(zhí)行非法轉(zhuǎn)賬等行為;利用用戶隱私信息給用戶發(fā)送垃圾信息或非法廣告，利用社會工程獲取用戶社會關(guān)系等更詳細(xì)的用戶隱私，為搶劫、勒索等惡性犯罪提供信息;利用盜取的商業(yè)數(shù)據(jù)，分析對手的商業(yè)秘密、惡意搶奪用戶資源，造成不平等競爭，等等。

企業(yè)信息系統(tǒng)存在各種各樣的漏洞，常見的有商業(yè)數(shù)據(jù)未加密存儲、數(shù)據(jù)加密密鑰信息熵值太低、數(shù)據(jù)加密密鑰明文存儲或密鑰文件訪問控制設(shè)置不當(dāng)、數(shù)據(jù)加密參數(shù)設(shè)置不當(dāng)，任何導(dǎo)致系統(tǒng)權(quán)限非法使用的系統(tǒng)漏洞等均可能造成數(shù)據(jù)信息的泄露。

電子商務(wù)中，由于大量數(shù)據(jù)信息采用計算機(jī)進(jìn)行處理、存儲和傳輸，因此對電子商務(wù)企業(yè)的信息安全提出了更高的要求。特別是創(chuàng)新型企業(yè)，更需要重視數(shù)據(jù)知識產(chǎn)權(quán)的保護(hù)。

而對于擁有大量的終端用戶數(shù)據(jù)的手機(jī)APP企業(yè)來講，更應(yīng)該從技術(shù)、管理、法律威懾等多個方向入手來切實保護(hù)其數(shù)據(jù)資產(chǎn)。信息安全管理方法主要包括基礎(chǔ)安全服務(wù)與框架確立、企業(yè)IT系統(tǒng)安全運維策略與方法、企業(yè)安全風(fēng)險管理與合規(guī)三個主要方面。技術(shù)層面，建議企業(yè)要增強(qiáng)用戶身份認(rèn)證方法、設(shè)計合理的訪問控制策略、對數(shù)據(jù)信息的生產(chǎn)、使用、存儲等全生命周期進(jìn)行加密保護(hù)并妥善管理密鑰、設(shè)計備份容災(zāi)策略、嚴(yán)格管理應(yīng)用軟件的業(yè)務(wù)流程安全和開發(fā)應(yīng)用安全。