朱莉欣，李元元

（西交蘇州信息安全法學(xué)所，江蘇 蘇州 215123）

0 引 言

元數(shù)據(jù)（Metadata）——關(guān)于數(shù)據(jù)的數(shù)據(jù)（Data about Data），主要是描述數(shù)據(jù)屬性的信息，用來支持如指示存儲位置、歷史數(shù)據(jù)、資源查找、文件記錄等功能。雖然元數(shù)據(jù)不直接包含主信息，并且與信息內(nèi)容的區(qū)別在幾十年前比較明顯，但隨著大數(shù)據(jù)時代的來臨，收集和分析數(shù)據(jù)技術(shù)的進步和普及，通過數(shù)據(jù)匯聚，從元數(shù)據(jù)能夠推導(dǎo)出的信息越來越多。元數(shù)據(jù)和信息內(nèi)容之間的界限日益模糊，在某些情況下，元數(shù)據(jù)的記載比主信息內(nèi)容本身更真實。比如，一個人可以在信息內(nèi)容中描述自己的特征，但這個人的購買數(shù)據(jù)、社交網(wǎng)絡(luò)和位置數(shù)據(jù)則可以暴露出他真正的喜好習(xí)慣，甚至揭示他想隱藏的內(nèi)容。如今，不包含信息主內(nèi)容的元數(shù)據(jù)安全問題變得敏感起來，對個人如此，對國家安全、執(zhí)法機構(gòu)和企業(yè)而言同樣也是如此。

2013年，愛德華·斯諾登泄露的情報披露了美國國家安全局（National Security Agency，NSA）和全球主要數(shù)字公司收集數(shù)據(jù)的規(guī)模和復(fù)雜程度，引發(fā)了對元數(shù)據(jù)的關(guān)注，也引發(fā)了安全與隱私、公開與封閉、問責(zé)與保密之間平衡的大辯論。2015年10月，澳大利亞聯(lián)邦政府通過了一項有爭議的《強制保留元數(shù)據(jù)法》，要求電信公司在兩年內(nèi)保留客戶的元數(shù)據(jù)，明顯將國家安全置于其他利益之上，雖然法案聲明元數(shù)據(jù)不包括通話及郵件內(nèi)容、網(wǎng)站記錄等任何個人隱私的內(nèi)容，但此舉仍引發(fā)不少爭議。此前許多國家也討論過相似法案，都因違憲而被拒絕，且大部分網(wǎng)絡(luò)運營商也表示，儲存元數(shù)據(jù)的成本很高，費用最終仍會轉(zhuǎn)嫁到消費者和納稅人身上[1]。這一系列的事件指出，在大數(shù)據(jù)時代，如何從宏觀上更好地開發(fā)利用數(shù)據(jù)資源的同時，從微觀的元數(shù)據(jù)角度守護數(shù)據(jù)安全，正成為當前新時代又一重要命題。

1 元數(shù)據(jù)對國家安全的意義

元數(shù)據(jù)是情報之源，元數(shù)據(jù)的使用也是雙刃劍。一方面，收集大規(guī)模元數(shù)據(jù)，可以在海量的流量分析基礎(chǔ)上，推導(dǎo)出核心數(shù)據(jù)和有關(guān)國家秘密的信息，這給國家的保密制度帶來更多風(fēng)險和挑戰(zhàn)，如何規(guī)制對元數(shù)據(jù)的情報監(jiān)控從而平衡國家安全維護和公民基本權(quán)利保障成為數(shù)據(jù)時代當前各個國家和地區(qū)亟待解決的問題。另一方面，也可以用元數(shù)據(jù)構(gòu)建出分析對象的社交網(wǎng)絡(luò)，制止危害國家安全的行為。例如，國家安全機關(guān)對元數(shù)據(jù)進行情報監(jiān)控，分析元數(shù)據(jù)流量，能夠發(fā)現(xiàn)恐怖分子用來招募、計劃和執(zhí)行襲擊的社交網(wǎng)絡(luò)，對危害國家安全的行為進行打擊，是網(wǎng)絡(luò)時代國家安全保障、刑事調(diào)查和緊急情況應(yīng)對的現(xiàn)代化必要工具，是必要且不得已之偵查手段[2]。

從作戰(zhàn)角度看，對通信和交通的元數(shù)據(jù)分析還可以產(chǎn)生具有即時戰(zhàn)術(shù)價值的情報。美國國家安全局前局長邁克爾·海登（Michael Hayden）曾嚴肅地說：“我們根據(jù)元數(shù)據(jù)殺人?！奔疵绹呀?jīng)在使用元數(shù)據(jù)和移動跟蹤技術(shù)來選擇和確定無人機在世界各地的打擊目標。在這種情況下，實時顯示地理位置的元數(shù)據(jù)相當于提供攻擊者實施攻擊的目標數(shù)據(jù)?？紤]到現(xiàn)代戰(zhàn)爭的特點，這種精準打擊的戰(zhàn)術(shù)常常會對被打擊的國家?guī)順O具威懾力的后果。

2 元數(shù)據(jù)對執(zhí)法機構(gòu)的影響

要體現(xiàn)和規(guī)范元數(shù)據(jù)的保護和分享價值，需要給執(zhí)法機構(gòu)以相應(yīng)的授權(quán)，并對這種權(quán)力進行規(guī)范。首先，海量的元數(shù)據(jù)收集、分析給執(zhí)法機構(gòu)提供了更多偵查犯罪行為的方法和手段，特別是對網(wǎng)絡(luò)犯罪而言。例如，在低風(fēng)險和高回報的誘惑下，一些機構(gòu)和犯罪組織通過創(chuàng)建僵尸網(wǎng)絡(luò)，利用它們竊取數(shù)據(jù)、勒索資金、發(fā)送垃圾郵件，并使未來的破壞成為可能。而僵尸網(wǎng)絡(luò)需要大規(guī)模的流量分析來完成檢測、映射和消除。這就要求保護大型網(wǎng)絡(luò)的國家執(zhí)法機構(gòu)必須大量收集元數(shù)據(jù)，以發(fā)現(xiàn)、處理僵尸網(wǎng)絡(luò)。另外，發(fā)生了網(wǎng)絡(luò)事故的網(wǎng)絡(luò)運營者需要描述網(wǎng)絡(luò)安全事件，必須解釋記錄的元數(shù)據(jù)。網(wǎng)絡(luò)路由器、防火墻、網(wǎng)絡(luò)和電子郵件服務(wù)器、臺式電腦甚至手持設(shè)備都是記錄元數(shù)據(jù)的潛在來源。因此，在很多情況下，執(zhí)法機構(gòu)收集、使用元數(shù)據(jù)是必要的，這一權(quán)力應(yīng)該得到立法保障。

其次，元數(shù)據(jù)協(xié)助執(zhí)法制度將打破數(shù)據(jù)加密技術(shù)帶來的黑暗。新技術(shù)不斷沖破傳統(tǒng)的情報收集體制和格局，引起執(zhí)法能力被弱化的“黑暗時代”[3]，執(zhí)法機構(gòu)運用傳統(tǒng)的調(diào)查手段已經(jīng)很難對采取數(shù)據(jù)加密技術(shù)的犯罪證據(jù)進行監(jiān)控，出于對個人信息保護的原則也不能隨意要求披露密鑰或者破解內(nèi)容數(shù)據(jù)，而對不包含主數(shù)據(jù)內(nèi)容的元數(shù)據(jù)的相關(guān)執(zhí)法則變得容易得多?？v觀美歐等國關(guān)于元數(shù)據(jù)執(zhí)法的經(jīng)驗，建立協(xié)助執(zhí)法手段，以法定方式規(guī)定元數(shù)據(jù)范圍，既能隔離內(nèi)容數(shù)據(jù)以保護隱私，也可限定網(wǎng)絡(luò)服務(wù)商協(xié)助執(zhí)法的義務(wù)成本?；谠獢?shù)據(jù)執(zhí)法價值考慮，設(shè)定兩年的留存期限最具合理性，由政府承擔(dān)部分元數(shù)據(jù)留存能力建設(shè)、規(guī)定技術(shù)供應(yīng)商義務(wù)協(xié)助執(zhí)法等，有助于破解因加密技術(shù)不斷發(fā)展給執(zhí)法機構(gòu)帶來的“黑暗”。

3 元數(shù)據(jù)與個人權(quán)利

隨著大數(shù)據(jù)時代的來臨，通過對人們使用手機、電腦等設(shè)備或者電子郵件、社交網(wǎng)絡(luò)、搜索引擎等服務(wù)產(chǎn)生的海量元數(shù)據(jù)進行匯聚分析，可以輕易地掌握使用者關(guān)于個人信仰、偏好及行為舉止等詳細信息。無論是出于國家安全目的的監(jiān)控，抑或商業(yè)目的的數(shù)據(jù)抓取，都涉及使用者的基本權(quán)利[4]。在我國法律體系中，元數(shù)據(jù)和個人的兩項權(quán)利有著密切的聯(lián)系。一是關(guān)于通信自由和通信秘密的權(quán)利。《憲法》第四十條規(guī)定，“中華人民共和國公民的通信自由和通信秘密受法律的保護。除因國家安全或者追查刑事犯罪的需要，由公安機關(guān)或者檢察機關(guān)依照法律規(guī)定的程序?qū)νㄐ胚M行檢查外，任何組織或者個人不得以任何理由侵犯公民的通信自由和通信秘密?！彪m然一般理解，元數(shù)據(jù)是內(nèi)容以外的數(shù)據(jù)，但就通信而言，公民說了些什么內(nèi)容，可能沒有這個人在什么時候、在什么地方、對誰說這些話所包含的信息更真實、重要。那么，對元數(shù)據(jù)的收集和分析涉及個人通信自由，也應(yīng)合法處理并予以保護。二是元數(shù)據(jù)還與個人信息權(quán)有著密切的聯(lián)系。例如，一個人的位置信息、購買記錄和金融交易記錄等，這些信息和個人信息保護法律有關(guān)?！秱€人信息保護法》第二十八條規(guī)定，“敏感個人信息是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息”。而這里的如宗教信仰、特定身份、醫(yī)療健康、行蹤軌跡等，都可以通過元數(shù)據(jù)分析推導(dǎo)出來。

正是基于這樣的聯(lián)系，依據(jù)《數(shù)據(jù)安全法》《個人信息保護法》等相關(guān)法律，數(shù)據(jù)處理者對數(shù)據(jù)保護應(yīng)當精細化，注重元數(shù)據(jù)的保護。而相應(yīng)的，執(zhí)法機構(gòu)對元數(shù)據(jù)的安全執(zhí)法也應(yīng)當注意，不能侵犯通信自由、通信秘密和個人敏感信息。

4 元數(shù)據(jù)安全的法律思考

元數(shù)據(jù)涉及國家安全和個人權(quán)益，它是數(shù)據(jù)安全風(fēng)險管理中重要的一環(huán)，其涉及的安全問題不容忽視。對元數(shù)據(jù)的收集和利用也是“依法治網(wǎng)”中的重要問題，執(zhí)法如果不規(guī)范會侵犯相關(guān)的合法權(quán)益，造成權(quán)力濫用。概括地說，缺乏元數(shù)據(jù)的法律規(guī)定，不僅會導(dǎo)致國家秘密、重要數(shù)據(jù)和個人通信自由及敏感信息得不到真正的保護，也會使元數(shù)據(jù)暴露的大量敏感信息被濫用，從而危害國家、企業(yè)和個人的合法權(quán)益。因此，建議從以下幾個方面完善相關(guān)立法以有效應(yīng)對元數(shù)據(jù)的安全問題。

4.1 立法監(jiān)控和保護涉及國家秘密的元數(shù)據(jù)

如前所述，元數(shù)據(jù)在數(shù)字時代下可以成為情報之源，涉及國家秘密的元數(shù)據(jù)如果不予以保護，那么就等于國家的保密制度中出現(xiàn)了一個漏洞。近年來，一些地理數(shù)據(jù)、航空數(shù)據(jù)和水文數(shù)據(jù)被傳出國外，給國家安全帶來很大隱患，應(yīng)當引起我們警醒。大數(shù)據(jù)時代，我國保守秘密法律制度的保密規(guī)范對象除人、密、涉密載體、涉密信息系統(tǒng)、涉密場所和活動外，還應(yīng)該延續(xù)至涉密數(shù)據(jù)，尤其是涉密元數(shù)據(jù)，因此，立法上對涉及國家安全的元數(shù)據(jù)進行監(jiān)控和保護勢在必行。

目前對于元數(shù)據(jù)監(jiān)控和保護的規(guī)則散存于《國家安全法》《國家情報法》《刑事訴訟法》《反恐法》、公安機關(guān)辦案規(guī)則，以及檢察機關(guān)辦案程序等效力層級不一的法律文件中，具有層級低、碎片化的特點[2]。比如，2016年由最高人民法院、最高人民檢察院、公安部印發(fā)的《關(guān)于辦理刑事案件收集提取和審查判斷電子數(shù)據(jù)若干問題的規(guī)定》以規(guī)范性文件的方式規(guī)定了對通信內(nèi)容和元數(shù)據(jù)進行提取，但是這一法律文件既不屬于司法解釋，也不屬于行政規(guī)章，其正當性存在爭議。當前，我國并沒有就元數(shù)據(jù)網(wǎng)絡(luò)監(jiān)控出臺專門的法律規(guī)定，通過行政手段進行規(guī)制本就與依法治網(wǎng)的原則相抵觸，在這方面可參考澳大利亞對元數(shù)據(jù)立法的元原則，將元數(shù)據(jù)與通信內(nèi)容區(qū)分開，根據(jù)隱私敏感度和執(zhí)法價值，對元數(shù)據(jù)監(jiān)控采用更加靈活的審批制度，在具體制度設(shè)計上借鑒歐美等國家相關(guān)經(jīng)驗，將保護涉密元數(shù)據(jù)的內(nèi)容更好體現(xiàn)在保密法制度中，進一步完善相關(guān)的法律法規(guī)。

4.2 將元數(shù)據(jù)納入數(shù)據(jù)分類分級管理和保護制度

在元數(shù)據(jù)建設(shè)方面，美國走在了世界前列，其元數(shù)據(jù)建設(shè)呈現(xiàn)出以下特點：一是政策保障，發(fā)表備忘錄《開放數(shù)據(jù)政策：將信息作為資產(chǎn)管理》，該備忘錄是美國政府數(shù)據(jù)資產(chǎn)管理的綱領(lǐng)性文件，其“元數(shù)據(jù)”方案廣泛適用于聯(lián)邦政府、地方政府和非政府組織。二是元數(shù)據(jù)標準化和規(guī)范化，建立通用核心元數(shù)據(jù)標準方案，規(guī)定元數(shù)據(jù)各元素的格式和類型。三是本土化，引進只適用于美國聯(lián)邦政府的元數(shù)據(jù)元素并支持數(shù)據(jù)標準的元素，對元素進行嚴格分類。

我國近些年在數(shù)據(jù)建設(shè)上也已開始加快追趕世界各國的腳步，在2021年通過的《數(shù)據(jù)安全法》里提出了對數(shù)據(jù)全生命周期各環(huán)節(jié)的安全保護義務(wù)，也構(gòu)建了數(shù)據(jù)分級分類保護的基本法律制度，《數(shù)據(jù)安全法》的落地，為元數(shù)據(jù)分類分級管理和保護提供了思路和解決方案。而在具體實施中，我們還應(yīng)該關(guān)注元數(shù)據(jù)在整個生命周期中的安全保護，并且將元數(shù)據(jù)納入數(shù)據(jù)安全管理制度中，將元數(shù)據(jù)與通信內(nèi)容獨立開來，根據(jù)隱私程度和數(shù)據(jù)價值，對元數(shù)據(jù)的儲存、保留、轉(zhuǎn)移做出靈活的審批制度，在加強數(shù)據(jù)管理的同時，充分尊重市場主體的自由行為，充分保護國家安全、個人隱私和產(chǎn)業(yè)利益。事實上，元數(shù)據(jù)是企業(yè)等組織數(shù)據(jù)資源的應(yīng)用字典和操作指南，也是組織開展數(shù)據(jù)治理的一個基礎(chǔ)，數(shù)據(jù)元數(shù)據(jù)管理有利于統(tǒng)一數(shù)據(jù)口徑、標明數(shù)據(jù)方位、分析數(shù)據(jù)關(guān)系、管理數(shù)據(jù)變更，是實現(xiàn)數(shù)據(jù)自服務(wù)、推動數(shù)據(jù)化運營的可行路線。開發(fā)數(shù)據(jù)資源離不開元數(shù)據(jù)管理，未來元數(shù)據(jù)的安全管理將會越來越重要，需要立法提早謀劃。在專門法律出臺前，也可先通過設(shè)立行業(yè)標準、應(yīng)用指南等形式對元數(shù)據(jù)保護做出指引，包括元數(shù)據(jù)的可攜帶權(quán)問題，以積累立法經(jīng)驗。

4.3 規(guī)范對元數(shù)據(jù)的執(zhí)法行動

在我國的法律體系中，較長一段時間對于執(zhí)法機關(guān)搜集情報與維護國家安全的監(jiān)控幾無法律規(guī)范，黨的十八大以來，黨中央提出總體國家安全觀戰(zhàn)略，關(guān)于信息領(lǐng)域執(zhí)法的法治化程度開始受到越來越多的關(guān)注，信息領(lǐng)域中執(zhí)法機關(guān)搜集情報的監(jiān)控等也具備了一定的法律依據(jù)。比如，2015年公布的《國家安全法》列明了情報搜集的機關(guān)，并對情報收集工作設(shè)定了合法性原則，此處的“依法”即主要是指2017年通過的《中華人民共和國國家情報法》。2015年通過的《中華人民共和國反恐怖主義法》第四十五條規(guī)定，“因反恐怖情報信息工作需要，經(jīng)過嚴格的批準手續(xù)，可以采取技術(shù)偵察措施”。2016年通過的《中華人民共和國網(wǎng)絡(luò)安全法》規(guī)定，“網(wǎng)絡(luò)運營者不低于六個月的留存用戶網(wǎng)絡(luò)日志的義務(wù)以及對公安機關(guān)、國家安全機關(guān)開展技術(shù)偵查與其他信息監(jiān)控工作提供技術(shù)支持與協(xié)助的義務(wù)”。這些法律都對信息領(lǐng)域的執(zhí)法問題提供了法律依據(jù)。

值得進一步研究的是，由于缺乏元數(shù)據(jù)的執(zhí)法規(guī)定，收集和利用元數(shù)據(jù)職權(quán)不明、程序不清，在現(xiàn)實中引發(fā)了很多疑問。因此建議，在立法中不僅明確元數(shù)據(jù)的保護責(zé)任，同時也應(yīng)明確執(zhí)法人員對元數(shù)據(jù)的執(zhí)法權(quán)力和權(quán)限。我國《國家情報法》《密碼法》《國家安全法》和《網(wǎng)絡(luò)安全法》等法律對網(wǎng)絡(luò)服務(wù)者協(xié)助執(zhí)法義務(wù)做出了概括性規(guī)定，具有保守性和防御性特點[5]，在可操作性和實施效率方面存在很大缺陷，既不利于執(zhí)法能力現(xiàn)代化，也無法對西方日益擴張的主動攻擊型情報政策進行戰(zhàn)略對沖[6]。在現(xiàn)在缺乏具體立法依據(jù)的情況下，可以先根據(jù)《國家安全法》《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》和《個人信息保護法》等法律的相關(guān)規(guī)定，修訂完善《保守國家秘密法》，通過內(nèi)部規(guī)章、政策文件等形式，為執(zhí)法人員訪問元數(shù)據(jù)提供規(guī)范工具和指導(dǎo)，明確針對元數(shù)據(jù)的行政執(zhí)法程序、執(zhí)法權(quán)限，并對執(zhí)法行為予以適當?shù)谋O(jiān)督。條件成熟時再上升為法律，以實現(xiàn)國家安全和個人信息安全的共同保護和數(shù)據(jù)共享。

5 結(jié) 語

隨著大數(shù)據(jù)時代的發(fā)展、信息化程度的進一步深化，不包含主信息內(nèi)容的元數(shù)據(jù)的價值進一步顯現(xiàn)，元數(shù)據(jù)的安全問題也逐漸受到關(guān)注，元數(shù)據(jù)保護的相關(guān)立法迫在眉睫。立法必須根據(jù)技術(shù)的發(fā)展而適時調(diào)整，在總體國家安全觀的前提下，應(yīng)盡快建立完善的元數(shù)據(jù)保護制度，設(shè)定執(zhí)法機關(guān)對元數(shù)據(jù)的限制和監(jiān)督，要求元數(shù)據(jù)保護立法必須符合比例原則，為數(shù)據(jù)產(chǎn)業(yè)安全發(fā)展提供充分的保障，在平衡好國家安全與公民權(quán)利的同時，發(fā)揮好法律的規(guī)制和保障作用。