联邦贸易委员会法(FTCA),消费者保护法,禁止不公平或欺骗行为,并应用于离线和在线隐私和数据安全政策。 金融服务现代化法(FSMA),规定金融信息的收集, 使用和披露。 健康保险流通与责任法(HIPAA),规定医疗信息的收集, 使用和披露。 公平信用报告法(FCRA),适用于使用消费者报告的机构(如贷款机构)和提供消费者报告信息的机构(如信用卡公司)。 电话用户保护法(TCPA),规范收集和使用电子邮件地址和电话号码。 电子通信隐私法(ECPA)和预防电脑欺诈和滥用法(CFAA),分别规范拦截电子通信和篡改计算机内容。可见,由网络数据驱动的“网络法律”,所规范和适用的场景和范围不尽相同,但又存在法条的相互关联和参照的交叉法则(Two-Pronged Test)。因而,“网络法律”是跨领域的立法和司法程序,且需要不断地补充、修正和完善,包括术语的定义和解释。 三、网络数据之“术语”及其合规性 英文与中文都有多义词汇,其含义往往不仅需要结合上下文解释,而且还需要有专业的知识和实践的经验。尤其是,随着互联网的快速发展,某些关键的英文单词和词汇被重新标准化定义,修正或赋予专业的表达。 美国参谋长联席会议副主席詹姆斯·卡特赖特(James Cartwright)在发布网络空间战专用术语词典的备忘录中强调:网络领域的某些单词已不能够详细表述任务集的细微差别,专业词典是作为在所有与网络相关的文档、指令、作战理念和出版物中规范术语的起点。相关术语定义和解释的摘录如下:
1)数据(Data),以规范化数值或字符集合的方式,提供 事实、概念或指令的表示形式(适合人工或自动手段进行通信、解释或处理)。来源:美国国土安全部专业术语词典。 2)元数据(Metadata),对具体数据段的描述及其所有关联属性的信息。(备注: 元数据表示资源的来源、特征、时间、地点、原因和方式。最为一般的解释是描述数据的数据。) 来源:美国国土安全部专业术语词典。 3)信息(Information),是可利用形式的数据,通常以有意图的方式进行处理,组织,结构化或呈现(人类赋予数据以使用的已知惯例的含义表示)。来源:美国国土安全部专业术语词典。 4)情报(Intelligence),分析和综合具有战术,行动或战略 价值的信息。来源:美国国土安全部专业术语词典。 5)数据元素(Data Element),(1)建立在标准结构上的基本信息单元,具有特定含义和不同单位或数值的。(2)在电子记录中,涉及具体的信息项目的字符或字节的组合,例如姓名,地址或年龄。来源:美国国防部专业术语词典。 6)信息环境(Information Environment),对信息收集、处理、传播或行动的个人、组织和系统的集合。来源:美国国防部专业术语词典。 7)‘网信’空间(Cyberspace),全球范围的信息环境(数字化信息通过计算机网络传递的概念环境), 由相互依存的信息技术基础设施网络和存储数据组成, 包括互联网、电信网络、计算机系统以及嵌入式处理器和控制器,通过网络系统和相关的物理基础设施来存储,修改和交换数据。来源:美国国防部专业术语词典。 8)网络(Network),执行某一功能的信息交换或相互交互。来源:美国国土安全部专业术语词典。 9)互联网(Internet),可公开访问网站(Web)内容的网络。来源:美国国土安全部专业术语词典。 10)‘网际’或‘网信’(Cyber),与计算机文化特点相关的信息技术和虚拟现实。(来源:北约网络协同防务合作中心(CCDCOE)-牛津字典。)参考专业术语定义以及网络和互联网的关系和现状,必须 定位和区分网络(Network)、互联网(Internet)、‘网际’(Cyber): 图2 国际标准:‘网际’安全与其他安全领域的关联关系(来源:Guidelines for Cybersecurity,ISO/IEC27032,2012) 其中,网络(Network)一般指的是电信网络(或计算机网络、物理网络),而‘网际’(Cyber)既与网络(Network)有交集,且覆盖的范围更为宽泛。因此,Network和Cyber同译为“网络” 不仅造成概念混淆、混乱,而且缺失合规性(或成为“术语陷阱”)。 建议考虑:Cyber结合上下文译为“网际”或“网信”,以应对 “网络边界”的挑战,包括合规边界、管辖边界、治理边界:
1)弥补传统网络(Network)、互联网(Internet)、应用(App)之间存在的空白(缺失),定位和显现法律的合规边界; 2)Cyerspace,或译为“网信空间”,是由全球化的物理网络、 网络数据、网络行为的三个维度所组成(来源:美国参谋长联席会议的军事教义“信息战”,JP3-13,2012-11),而这个信息环境不可避免地存在主权的管辖边界。 3)网络数据的核心问题是数据保护,而基于网络数据的立法司法的多边对等执行直接涉及政策的治理边界。四、网络数据之“数据”及其合规性 在网络环境中,数据与信息必须有效地差分(分类)和区分(聚类),“跨界内容删除”(Cross-Border Content Takedown)是目前国际社会正在热议的主题之一。 在网络应用中,数据不再仅仅局限于“记录”的过程和动作,而数据的多源和多元的涌现使得数据有了“生命力”(例如,脸书Facebook的数据泄露丑闻),“跨界访问用户数据”(Cross-Border Access to User Data)是目前国际社会正在研讨的另一主题。 图3 全球互联网及管辖政策网络的研讨主题(2016-2019) 事实上,网络数据对于传统意义的“客观性”和“工具性”,已经或正在发生颠覆性的变化。 1)从法律的角度,GDPR规定:
在存储或处理个人数据之前, 需要得到个人的有效认可。个人认可包括所收集的数据和将用于的目的,也包括营销和其他形式的通信交流。 任何处理欧盟内个人数据的公司应对数据负责, 数据的管理者与数据的处理者同责,而无论公司位于何处。因而,GDPR强制(迫使)在数据属主(用户)、数据管理者和数据处理者之间形成了一种“非零和”的合作博弈。 2)网络数据的“客观性”之转基因 GDPR对规定“所有IP 地址应作为个人数据处理”的解释是:在动态IP 地址的情况下,个人每次连接到网络时IP地址都会发生了变化,但是网络服务提供商(ISP) 有一个暂时的动态IP 地址记录(日志), 并知道IP 地址已被分配给谁。 虽然原始产生的网络数据是客观的,但是不可避免人为影响的介入,导致衍生或派生出新的网络数据(如习惯、喜好);由于滥用、失窃、泄露就可能形成变异的网络数据(如模仿、克隆),使原有网络数据的真实性出现了“转基因”。例如,在机器学习领域中的一类模型:生成对抗网络,其目的和效果不仅超越了网络数据的客观性,而且还可能超越人们对现实的已知能力。 任何网络数据集合都是稀疏的,或“客观”网络数据存在局限性。 3)对网络数据的“工具性”之商榷 网络数据,不管是产生、应用和被利用,或是可以相互独立存在的集合体,都是由信息技术赋予其动态的“生命力”,并挖掘出其价值。曾几何时,网络数据被诟病为“信息孤岛”、“数字垃圾”,而并不具备任何“工具性”特征。一旦网络数据的“客观性”不复存在,其功能和作用就需要被重新审视。因此,为了认知网络数据、了解网络数据,需要理念、方法和技术能力的不断提升,包括:普适性的理论基础和阶段性的经验推断。例如:
香农(Shannon)定理给出,信道信息传送速率的上限(比特每秒)和信道信噪比及带宽的关系。香农定理可以解释现代各种无线制式由于带宽不同,所支持的单载波最大吞吐量的不同。 摩尔(Moore)定律提出,当价格不变时,集成电路上可容纳的元器件的数目,约每隔18-24个月便会增加一倍,性能也将提升一倍。但是,摩尔定律不同于香农定理的严格证明,摩尔定律应该被认为是观测或推测,而不是一个自然或物理定理。 网络数据的“工具性”基于理论基础、先验和认知,以及合规。 五、归纳总结 网络数据驱动了“网络法律”,网络法律指的是跨边界、跨领域、跨学科、跨(业务)应用所形成多边的法律网络(Networking),以及适用于更为广泛的交叉法则(Two-Pronged Test),而司法 不再仅仅是依照于一个法规、或若干法条的解释。 网络数据所需的合规性(包括政策和策略以及多边和对等),首先需要有对专业术语的理解和共识,避免或缓解由于“术语 相异”而造成的“术语陷阱”。 网络数据存在的稀疏性,成为机器学习、数据挖掘等新技术的目标和聚焦点,需要理念、方法和技术能力的不断提升,尤其是加强对基础理论的研究和积累。 主权和管辖是有界的;治理和管理是有界的,但法律和司法是跨界的;技术和理论是跨界的;业务和应用是跨界的,因此对网络数据合规性的相关研究和认知必须明确地定义和定位边界。 (来源:昆仑策网【原创】)