数据存储环节的风险与法律适用

北京金网科律师事务所 2024-08-01 10:03:33

最近在浙江金华发生的特斯拉Model Y坠崖事故,由于行车记录仪数据在关键时刻消失,引起了公众的广泛关注和讨论。这起事故中,遇难夫妇的车辆在盘山公路上冲出路面,翻滚了三十多米后停下,两人经抢救无效死亡。家属提出了几个疑点,包括车辆高速行驶、没有刹车痕迹、以及行车记录仪数据的消失。特斯拉方面表示行车记录仪是否会自动保存严重安全事件录像取决于几个因素(例如力的大小、气囊是否展开等),并不保证能记录所有严重安全事件。目前,这起事故的详细原因和行车记录仪数据消失的具体情况仍在调查中。

数据存储的重要性

数据在信息社会中的重要性不亚于石油在工业社会中的作用。数据是一种驱动力,无论是对于智能汽车产业还是医疗健康产业等,公共和私营企业都需要数据资源的支持才能存在并进行发展迭代。

数据存储使得信息能够被长期保存并传承至未来,无论是个人文件、企业记录还是文化遗产,存储这些数据对于知识的积累和传递至关重要。企业和组织依赖数据存储来保存交易记录、市场趋势、客户偏好等信息,这些数据是做出明智商业决策的基础,许多行业需要遵守特定的数据保留法规,而正确存储数据是满足这些法律要求的关键,例如金融服务和医疗保健行业;其次,数据存储还提供了保护敏感和个人信息的能力,通过加密和安全措施来防止未授权访问和数据泄露。有效的数据存储系统可以提高数据检索的速度,从而提高工作效率并节约成本。在自然灾害或技术故障的情况下,存储的数据副本可以帮助快速恢复系统和数据,减少业务中断。数据存储还是推动云计算、大数据、人工智能等新技术发展的基础。这些技术的进步又反过来推动数据存储技术的创新。

而在法律领域,尤其在法律诉讼中,存储的数据可以作为证据使用,对确定事实和责任有重要作用,当发生数据泄露和网络攻击事件时,数据存储的安全性成为保护个人隐私和企业机密的关键。

数据存储的法律框架

1、国际法律框架

通用数据保护条例(GDPR,General Data Protection Regulation)是欧盟的一项数据保护法规,于2018年5月25日正式生效。该条例的目的是为了统一欧盟内部的数据保护法律,加强对个人数据的保护,并赋予个人更多的控制权。GDPR适用于所有处理欧盟居民个人数据的公司,无论这些公司是否位于欧盟境内。GDPR规定了数据处理的基本原则,包括合法性、公平性、透明性、数据最小化、准确性、存储限制、完整性和保密性。条例强化了个人对其数据的权利,包括知情权、访问权、更正权、被遗忘权(即数据删除权)、数据可携带权以及反对自动化决策的权利:GDPR明确了数据控制者和处理者的责任。数据控制者负责确定数据处理的目的和方式,而数据处理者则是代表控制者处理数据的实体。

在某些情况下,组织在进行数据处理前需要进行数据保护影响评估,以识别和减轻可能对个人隐私造成的风险。GDPR要求在发生数据泄露的情况下,必须在72小时内向相关数据保护机构报告,并在可能的情况下通知受影响的个人。GDPR对跨境数据传输设定了严格的规定,包括对第三国数据保护水平的要求。违反GDPR规定可能导致高达全球年营业额4%的罚款。此外,还可能面临公众信任损失和声誉损害的风险。

GDPR的实施对全球数据保护法律和实践产生了深远的影响,促使许多国家和地区更新了自己的数据保护法规,以与GDPR保持一致。企业也必须重新审视和调整其数据管理策略,以确保合规。

2、国内法律框架

我国有《个人信息保护法》、《数据安全法》和《网络安全法》三大数据法律。另外还有《网络数据处理安全规范》《信息安全技术 个人信息安全规范》《网络数据安全标准》《汽车数据管理规定》等法规和规章。这些法律旨在促进数据保护,并明确了合规法律机制、合规要求和合规程序。

数据存储环节关注要点

1、数据加密

数据加密是一种重要的安全措施,它通过对存储在硬盘、数据库或其他介质中的数据进行加密,将数据转换成密文来保护数据的机密性和完整性,确保只有授权的用户才能访问和解密数据,其次保护敏感数据,只有拥有正确密钥的用户才能访问和解密数据,防止未授权访问。数据加密是信息安全的核心技术之一,广泛应用于各种场景,包括保护个人隐私、商业秘密和国家安全等。

2、访问控制和权限管理

电子数据的访问控制和权限管理是确保信息安全的关键措施,它涉及授权用户对电子数据的访问和操作。正确的访问控制和权限管理可以防止未授权访问、数据泄露和数据滥用。

访问控制包括身份验证和授权,确定经过身份验证的用户是否有权访问特定的资源或执行特定的操作。

访问控制的实现技术通常包括设立防火墙和网络安全,控制对网络资源的访问,防止未授权的外部访问。控制操作系统访问如Windows、Linux和macOS提供的用户账户和文件权限设置。控制应用程序访问以及应用程序内部的权限管理,如数据库管理系统(DBMS)的访问控制。

3、数据泄露的预防和应对

人工智能的应用基础是把网络上大量的数据汇聚后,再次分散到个体用户,人工智能大语言模型的应用需要大量数据的支持,其在“学习”大量文本语料的构建过程中存在各种各样的数据源合规风险。在通过自动识别算法、网络爬虫等技术方式通过互 联网等公开渠道获取数据时,其对于个人数据的收集边界是模糊的。在此过程中所涉及数据的保护将面临不可控的风险。这一行为可以通过《中华人民共和国反不正当竞争法》第十二条的规定,不得对其他经营者依法提供的网上产品和服务进行妨碍、破坏;《中华人民共和国个人信息保护法》的规定,个人信息处理者取得个人同意后才可以处理个人信息,等来进行预防和规制。

同时,智能系统通常需要收集和分析用户的个人数据以提供个性化的服务。这可能会涉及到用户隐私权的保护问题,特别是在处理敏感个人信息时,可能被恶意利用收集敏感信息或传播不安全内容,如果存在虚假、违法的内容可能会引发欺骗、偏见等行为的发生,无意中生成侵犯个人隐私权或侵犯他人知识产权,引发与其相关的多个法律领域的问题,另外,存储和分析用户数据可能会吸引黑客攻击,造成数据泄露或滥用。除个人信息收集场景之外,在获取文本语料时,还可能会因为未征得权利人许可复制、改变或者传播而涉嫌侵犯他人知识产权。以上情况可以根据《中华人民共和国刑法》第二百九十一条规定的“编造、故意传播虚假信息罪”和《互联网信息服务管理办法》第十五条,以及《著作权法》的相关规定进行预防和规制。

数据保留与删除政策

在中国,数据的保留与删除政策主要受到《中华人民共和国网络安全法》、《中华人民共和国数据安全法》)、《中华人民共和国个人信息保护法》等相关法律法规的约束。这些法律法规规定了数据处理的基本原则和要求,以及个人信息保护的标准。

根据《个人信息保护法》,个人信息处理者应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。个人信息处理者不得超范围收集个人信息,不得违反法律、行政法规的规定和双方的约定处理个人信息。

《网络安全法》规定了网络运营者对用户信息的保护责任,包括确保用户信息的安全,并在法律法规规定的期限内保留用户日志信息。

《数据安全法》规定了数据处理的基本原则,要求数据处理者采取措施保护数据安全,防止数据泄露、篡改、丢失。

另外,金融机构通常需要根据《中华人民共和国反洗钱法》等法律规定,保留交易记录等数据一定期限。电信服务提供商需要根据《中华人民共和国电信条例》等规定,保留用户通信记录一定期限。医疗机构需要根据《中华人民共和国档案法》和《医疗机构管理条例》等规定,保留患者病历一定期限。

对于数据删除,《个人信息保护法》赋予了个人对自己的个人信息享有删除权,即“被遗忘权”。根据《个人信息保护法》,个人信息处理者在处理个人信息时,应当遵循合法、正当、必要的原则,且处理目的达成后,应当及时删除个人信息。个人也有权要求个人信息处理者删除其个人信息。个人信息处理者应当定期或者按规定处理、删除不符合保留期限或者不需要再保留的个人信息。一旦发生数据泄露,个人信息处理者应当立即采取补救措施,并通知相关部门和个人。

事故调查中数据存储的作用

数据作为证据的合法性、完整性与证据可靠性

就合法性而言,根据《刑事诉讼法》和《民事诉讼法》规定,证据必须通过合法手段采集,不得侵犯公民的合法权益,非法采集的证据可能会被法庭排除,不得作为定案的根据。《电子签名法》和《网络安全法》确认了电子数据的法律效力,但必须符合法律规定的方式采集和保存。

就完整性而言,《网络安全法》要求网络运营者采取技术措施和其他必要措施确保网络数据安全和完整。《电子签名法》规定了电子数据认证的要求,以确保电子数据的完整性和可靠性。

就可靠性而言,《刑事诉讼法》和《民事诉讼法》要求证据必须真实,不得伪造、变造;

证据必须充分,能够证明案件的事实;证据必须合法采集,不得违反法律规定;证据必须与案件事实有关联,能够证明案件中的争议问题。

目前,我国针对电子数据证据的法律规制,主要依靠各领域的诉讼程序法及相关司法解释。在刑事诉讼领域,《刑事诉讼法》规定了用于证明案件事实的证据类型,其中第八项“视听 资料、电子数据”系在刑事诉讼法律层面首次将“电子数据”正式确定为法定的证据类型之一,给予了电子数据证据的合法地位。《最高人民法院关于适用〈中华人民共和国刑事诉讼法〉的解释》提出,收集原始储存为原则,提取电子数据为例外,明确规定电子数据证据的审查要求。此外,由两高一部等机关颁布的相关司法解释则进一步明确了电子数据的概念及具体类型,在重申上述原则的基础上规范刑事诉讼中的审查工作。

在民事和行政诉讼领域,《民事诉讼法》第六十六条第六项、《行政诉讼法》第三十三条第四项同样将“电子数据”规定为证据类型,并且强调“一 切证据必须查证属实,才能成为认定事实的根据”。此外,相关司法解释也对电子数据证据的类 型以及审查作了进一步的扩展和要求。

随着网络的发展与社会进步,电子数据的涵义也将越来越广泛,而现行法律规定中虽没有列尽电子数据证据的具体形式,但上述规定却意味着所有证据均有其脆弱性,因此都必须“查证属实”,依此逻辑,电子数据证据只要“查证属实”,就能够和其他证据一样作为起诉依据。

特斯拉坠崖事故中,行车记录仪的数据在事故调查和法律诉讼中可能被用作证据。这要求这些数据必须按照一定的法律程序收集、保存和呈现,以确保其证据的有效性、合法性、完整性、关联性。这起事故中,行车记录仪数据的缺失增加了事故调查的难度,并引发了公众对特斯拉车型安全性的担忧。为了防止数据缺失,保护电子数据的完整性,需要严格控制访问控制和身份验证,通过实施强密码策略和多因素身份验证以及强加密算法等措施来保护存储和传输中的数据。同时使用防火墙、入侵检测系统和入侵防御系统来保护网络边界,定期更新和修补系统软件,以防止安全漏洞。另外要定期备份数据,并确保备份数据的安全性。数据恢复计划,以便在数据丢失或损坏时能够迅速恢复。特斯拉作为数据第三方,应加强第三方风险管理,对与第三方共享数据的情况进行风险评估,确保第三方遵守数据保护标准和协议,从数据的创建、使用、存储到最终销毁,全程实施数据保护措施。

通过实施这些措施,可以显著提高其数据的安全性,并减少数据泄露和其他安全事件的风险。

0 阅读:0