數(shù)據(jù)泄露一直都是數(shù)據(jù)治理領域的長盛不衰的新聞話題。它是懸于企業(yè)頭頂?shù)倪_克摩斯之劍，但又從未真正落下。我國早在2012年，就對數(shù)據(jù)泄露問題作出了法律規(guī)定（詳見后文）。《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》等重要法律中均涉及數(shù)據(jù)泄露問題。然而，數(shù)據(jù)泄露從未停止，反而總能成為頭條新聞，在各類統(tǒng)計盤點中不斷翻新記錄，加劇數(shù)據(jù)焦慮卻又仿佛無計可施。本文在長期跟蹤、觀察數(shù)據(jù)領域法律規(guī)定和數(shù)據(jù)合規(guī)實踐的基礎上，對數(shù)據(jù)泄露問題進行研究探討，以期為解決數(shù)據(jù)泄露問題貢獻一些思路和想法。一、數(shù)據(jù)泄露現(xiàn)狀雖然世界各國均在不斷推進數(shù)據(jù)立法和數(shù)據(jù)保護監(jiān)管行動，但是過去十幾年來，全球范圍內數(shù)據(jù)泄露呈現(xiàn)持續(xù)上升的趨勢。2023年，IBMSecurity發(fā)布的《2023年數(shù)據(jù)泄露成本報告》顯示，2023年數(shù)據(jù)泄露的全球平均成本上升至445萬美元，達到歷史新高，比2022年的435萬美元增加了2.3%，比2020年的386萬美元增加了15.3%。其中，醫(yī)療領域數(shù)據(jù)泄露成本最高，達到1093萬美元，其后是金融、能源、工業(yè)、科技、服務、運輸、教育等行業(yè)，其中金融機構的數(shù)據(jù)泄露平均成本為590萬美元，能源行業(yè)的平均成本為478萬美元，教育行業(yè)的平均成本為365萬美元。根據(jù)威脅獵人（深圳永安在線科技有限公司旗下品牌）發(fā)布的《2023年數(shù)據(jù)泄露風險年度報告》顯示，2023年全網(wǎng)監(jiān)測并分析驗證有效的數(shù)據(jù)泄露事件超過19500起，涉及金融、物流、航旅、電商、汽車等20多個行業(yè)。其中，金融行業(yè)是2023年公民個人信息泄露事件數(shù)量最多的行業(yè)，航旅行業(yè)出現(xiàn)大幅增長，首次進入排名前三。值得反思的是，隨著數(shù)字社會不斷形成和成熟，人們數(shù)據(jù)保護意識持續(xù)提升，企業(yè)也在不斷加大數(shù)據(jù)保護投入，但是數(shù)據(jù)泄露的情況并未好轉，反而似乎在更為惡化。早在三年前的中國互聯(lián)網(wǎng)大會（第二十屆）數(shù)據(jù)安全論壇上，中國信息通信研究院就表示，2020年全球數(shù)據(jù)泄露的數(shù)量就已經(jīng)超過過去15年的總和。彼時，數(shù)據(jù)泄露就成為亟需解決的數(shù)據(jù)安全問題?？墒堑搅私裉欤瑪?shù)據(jù)泄露仍處于上升趨勢，并未因為問題之迫切而得以妥善解決。根據(jù)Verizon《2023年數(shù)據(jù)泄露調查報告》顯示，在調查的幾萬個安全事件中，內部威脅占25%，75%是外部攻擊導致。在外部攻擊中，51%的網(wǎng)絡攻擊涉及到有組織有計劃的犯罪集團?？梢哉f，應對數(shù)據(jù)泄露在“人的因素”方面還有很多工作要做。但是，如何更為準確地認識數(shù)據(jù)泄露并采取合理的行動，可能更為二、何為數(shù)據(jù)泄露？數(shù)據(jù)泄露看似是一個難題，但實際上答案要從謎面中尋找。從字面理解，數(shù)據(jù)泄露可以理解為數(shù)據(jù)的丟失。但是必須注意到，基于數(shù)據(jù)的可復制性、非排他性等特點，數(shù)據(jù)泄露并不必然發(fā)生傳統(tǒng)意義上的丟失。只要數(shù)據(jù)被未經(jīng)授權地訪問、查看、使用、復制或者刪除等，甚至僅僅因為存在漏洞而有被未經(jīng)授權地訪問、查看、使用、復制或者刪除的可能，都屬于數(shù)據(jù)泄露的范疇。國內相關數(shù)據(jù)立法中均對數(shù)據(jù)泄露作出了相關規(guī)定，雖然內涵基本一致，但在表述上有所不同（詳見下表）。實際上，數(shù)據(jù)立法中的“數(shù)據(jù)泄露”的內涵要超出其字面含義。英文中對應數(shù)據(jù)泄露的法律用語是databreach，此處breach有兩種理解，一是出現(xiàn)了缺口，另一是對規(guī)定的違反。按照后一理解，違反的對象應為數(shù)據(jù)的三性，即機密性、完整性和可用性（confidentiality，integrity，availability，CIA）。因此所謂的數(shù)據(jù)泄露，應指數(shù)據(jù)被未經(jīng)授權地訪問、查看、使用、復制或者刪除，以及存在前述情況的可能，導致數(shù)據(jù)的保密性、完整性、可用性受到減損。EDPB在其《關于數(shù)據(jù)泄露通知案例的指南》（Guidelines01/2021onExamplesregardingDataBreachNotification）中及其他相關指南中均指出，數(shù)據(jù)泄露（databreach）主要有三種典型形式：（1）破壞機密性，導致個人信息被未經(jīng)授權或者意外地訪問或者公開；（2）破壞完整性，導致個人信息被未經(jīng)授權或者意外的篡改；（3）破壞可用性，導致個人信息因意外或者未經(jīng)授權地毀損或表：國內相關立法有關數(shù)據(jù)泄露的條款國外立法中選擇breach而非loss，leak或者其他單詞，是因為breach相對具有更豐富的內涵。如，美國加利福尼亞州《數(shù)據(jù)泄露通知法》將breach規(guī)定為對系統(tǒng)安全性（securityofthesystem）的破壞。美國華盛頓州《數(shù)據(jù)泄露通知法》是美國最新的州層面立法，也保持了一致的規(guī)定，同樣是對系統(tǒng)安全性（securityofthesystem）的破壞（breach）。歐盟《隱私和電子通信指令》中將“個人信息泄露”（personaldatabreach）界定為對安全性的破壞所導致的意外或者非法毀壞、損失、篡改，未經(jīng)授權地公開或者訪問。歐盟《個人數(shù)據(jù)泄露通知條例》中也引用了《隱私和電子通信指令》的定義?！锻ㄓ脭?shù)據(jù)保護條例》（GeneralDataProtectionRegulation，GDPR）與《隱私和電子通信指令》一致，規(guī)定“個人數(shù)據(jù)泄露”是指對安全性的破壞，導致意外或非法毀壞、丟失、更改、未經(jīng)授權的公開或者獲取個人數(shù)據(jù)的傳輸、存儲或其他處理行為。更深一層來看，結合國內外規(guī)定綜合理解，databreach所指向的法律制度具有一致性。它不僅是一種對數(shù)據(jù)本身的破壞，而且是一種對安全義務的破壞，結果上表現(xiàn)為數(shù)據(jù)安全狀態(tài)的喪失。這種破壞包括毀壞、丟失、更改、未經(jīng)授權的公開或者獲取個人數(shù)據(jù)的傳輸、存儲或其他處理行為等等，從而產(chǎn)生了breach的實際后果。所以說，數(shù)據(jù)泄露與數(shù)據(jù)安全保障義務密切相關，數(shù)據(jù)泄露在法律意義上指的是破壞了數(shù)據(jù)安全狀態(tài)，而這種破壞可能是因為違反了數(shù)據(jù)安全保障義務所導致的。需要注意的是，兩者之間又不必然具有因果關系。有些企業(yè)在采取了適當?shù)陌踩Ｕ洗胧┖?，仍然不幸地發(fā)生了數(shù)據(jù)泄露事件。因此，世界各國在數(shù)據(jù)立法中廣泛地建立了數(shù)據(jù)泄露通知制度，以此作為應對數(shù)據(jù)泄露的有效法律手段。三、何為數(shù)據(jù)泄露通知制度數(shù)據(jù)泄露通知制度是指當企業(yè)發(fā)生數(shù)據(jù)泄露事件時，按照相關法律法規(guī)和內部政策要求，及時向受影響的用戶、監(jiān)管機構等相關方發(fā)出通知和報告的制度。其主要目的是保護用戶的隱私權和數(shù)據(jù)安全，確保受影響的用戶能夠及時了解泄露事件的情況，采取必要的措施來減少損失和風險。同時，通過向監(jiān)管機構報告，有助于監(jiān)督機構及時了解數(shù)據(jù)泄露事件的情況，加強監(jiān)管和追責。一般而言，數(shù)據(jù)泄露通知制度通常包括以下內容：1.通知對象：包括受影響的用戶、監(jiān)管機構等相關方。2.通知內容：包括泄露事件的基本情況、影響范圍、應對措施、聯(lián)系方式等。3.通知方式：可以通過電子郵件、短信、電話、信函等方式進行通知。4.通知時間：在發(fā)現(xiàn)數(shù)據(jù)泄露事件后，應在合理的時間內向相關方發(fā)出通知。5.報告要求：向監(jiān)管機構報告的要求，包括報告的時間、內容、方式等。如根據(jù)《個人信息保護法》第五十七條第一款的規(guī)定，發(fā)生或者可能發(fā)生個人信息泄露、篡改、丟失的，個人信息處理者應當立即采取補救措施，并通知履行個人信息保護職責的部門和個人。通知應當包括下列事項：（1）發(fā)生或者可能發(fā)生個人信息泄露、篡改、丟失的信息種類、原因和可能造成的危害；（2）個人信息處理者采取的補救措施和個人可以采取的減輕危害的措施；（3）個人信息處理者的聯(lián)系方式。不過，企業(yè)勢必會擔心通知后產(chǎn)生的不利后果，導致承擔嚴格的法律責任。這是制約數(shù)據(jù)泄露通知制度落地的重要情緒因素，也反向造成數(shù)據(jù)泄露持續(xù)成為新聞而又不斷升級加劇。事實上，數(shù)據(jù)泄露通知的制度設計已經(jīng)充分考量了這一問題，需要在實踐中準確把握應用。按照規(guī)范的數(shù)據(jù)泄露通知制度要求，企業(yè)履行通知義務后，反而不應承擔法律責任（需要符合具體場景，詳見后文分析），并能夠更有效地降低企業(yè)和用戶損失。四、數(shù)據(jù)泄露應當承擔什么法律責任？數(shù)據(jù)泄露屬于網(wǎng)絡安全事件的一種。國家網(wǎng)信辦《網(wǎng)絡安全事件報告管理辦法（征求意見稿）》中將重要數(shù)據(jù)泄露、個人信息泄露等列入。歐盟也認為個人數(shù)據(jù)泄露屬于數(shù)據(jù)安全事件。發(fā)生或者可能發(fā)生數(shù)據(jù)泄露時，就會直接觸發(fā)企業(yè)的通知義務。前述列表中的相關法律規(guī)定均規(guī)定了數(shù)據(jù)泄露通知制度（《數(shù)據(jù)安全法》除外），即要求數(shù)據(jù)處理者在發(fā)生或者可能發(fā)生數(shù)據(jù)泄漏時，向主管部門或者用戶報告。數(shù)據(jù)泄露導致數(shù)據(jù)喪失安全狀態(tài)的結果，應該是數(shù)據(jù)處理者并不期望發(fā)生的，或者其發(fā)生已經(jīng)超出了數(shù)據(jù)處理者的控制能力范圍。EDPB《關于個人數(shù)據(jù)泄露通知制度的指南2.0版》（Guidelines9/2022onpersonaldatabreachnotificationunderGDPR，Version2.0）中指出，數(shù)據(jù)泄露的結果是數(shù)據(jù)控制者（datacontroller）不能確保根據(jù)GDPR第5條的要求處理個人數(shù)據(jù)。恰恰是因為數(shù)據(jù)泄露難以絕對避免，而其又具有相當?shù)臄?shù)據(jù)安全風險，所以才對企業(yè)規(guī)定了通知的義務。數(shù)據(jù)泄露通知制度的通知，不具有自首的性質，也不是要求企業(yè)“自證其罪”。它的核心要義是，要求企業(yè)采取通知的行動，獲取主管機關的指導或者資源支持，避免用戶以及企業(yè)自身的進一步損失。總結來說，數(shù)據(jù)治理各方都不應將“數(shù)據(jù)泄露”本身視為違法行為，否則數(shù)據(jù)泄露通知制度就失去了意義，也不具備落地的可能。數(shù)據(jù)泄露通知制度實際上是一種單獨義務，它獨立于數(shù)據(jù)安全保障義務。這一點比較難以理解，在國內也缺乏具體的行業(yè)實踐，但這是準確認識數(shù)據(jù)泄露通知制度的關鍵，也是讓數(shù)據(jù)泄露通知制度真正有效的邏輯起點。具體理解數(shù)據(jù)泄露通知制度的獨立性，需要考慮實踐中可能出現(xiàn)四種情形（見下圖）：（1）履行了數(shù)據(jù)泄露通知義務，也履行了數(shù)據(jù)安全保障義務——不承擔任何法律責任；（2）履行了數(shù)據(jù)泄露通知義務，而數(shù)據(jù)安全保障義務未履行——不產(chǎn)生泄露不通知的法律責任，但要承擔未履行數(shù)據(jù)安全保障義務的法律責任；（3）未履行數(shù)據(jù)泄露通知義務，而履行了數(shù)據(jù)安全保障義務——不承擔數(shù)據(jù)安全保障義務的法律責任，但要承擔不通知的法律責任；（4）未履行數(shù)據(jù)泄露通知義務，也未履行數(shù)據(jù)安全保障義務——既要承擔不通知的法律責任，也要承擔未履行數(shù)據(jù)安全保障義務的法律責任。數(shù)據(jù)泄露通知示意圖（實線箭頭為通知流程，虛線為安全保障義務流程）之所以數(shù)據(jù)泄露通知制度具有獨立性，是因為數(shù)據(jù)泄露本身的風險性，需要在短時間內調動足夠的資源應對安全隱患，避免發(fā)生更惡性的后果。數(shù)據(jù)泄露通知本質上就是信息共享機制，而信息的來源就是企業(yè)。數(shù)據(jù)泄露通知制度應該設置單獨的法律責任（很多數(shù)據(jù)泄露通知制度都有單獨法律責任），以防止企業(yè)擔心通知后產(chǎn)生對己不利的后果，而不采取通知的行動。事實上，全面推進落實數(shù)據(jù)泄露通知制度后，數(shù)據(jù)泄露的不利影響反而會大幅下降，變成常態(tài)化的社會風險事件，由政府、企業(yè)、用戶以及專業(yè)第三方機構共同應對。而不應陷于企業(yè)被動曝光后（或者未被曝光但仍需自行應對）獨自承擔風險后果的非良性循環(huán)局面。五、對企業(yè)的合規(guī)啟發(fā)數(shù)據(jù)泄露仍處于高發(fā)態(tài)勢，但是在數(shù)字社會的發(fā)展和成熟過程中，數(shù)據(jù)泄露不是必然可以被根除的現(xiàn)象。數(shù)據(jù)泄露的發(fā)生與否，取決于企業(yè)數(shù)據(jù)安全保障水平的高低，也表現(xiàn)為攻防雙方的零和博弈。絕對地在法律層面、監(jiān)管層面和輿論層面對數(shù)據(jù)泄露采取絕對禁止性的態(tài)度，未必能夠發(fā)揮應有的效果。我國通過十余年的立法進程，不斷重申、持續(xù)完善數(shù)據(jù)泄露通知制度，這反而更應該是治理數(shù)據(jù)泄露難題的應有之道。值得注意的是，2023年12月，國家網(wǎng)信辦向社會公開征求對《網(wǎng)絡安全事件報告管理辦法（征求意見稿）》的意見，表明主管層面已經(jīng)在著手推動數(shù)據(jù)泄露通知相關制度走向實處。相關企業(yè)也應注意政策走向，特別是要關注數(shù)據(jù)泄露通知制度，根據(jù)自身情況及時作出調整，開展積極的準備工作。建議企業(yè)提升數(shù)據(jù)安全保護意識，確保數(shù)據(jù)安全保障義務落實到位。數(shù)據(jù)安全保障義務需要持續(xù)投入和動態(tài)合規(guī)，且在數(shù)據(jù)泄露通知制度中具有終局性的效果——如果違反了數(shù)據(jù)安全保障義務，則難以免除法律責任。因此，需要按照《數(shù)據(jù)安全法》《個人信息保護法》等規(guī)定做好企業(yè)數(shù)據(jù)合規(guī)工作，特別