文 | 方禹,中国信息通信研究院互联网法律研究中心主任

本文原载于《经贸法律评论》2022年第5期“学科前沿”栏目。此处为方便阅读,略去注释。P91-P108

目录

一、数据泄露通知制度的构建逻辑

二、数据泄露的表述陷阱及教义学统一

三、数据泄露通知制度中的安全保障义务

四、数据泄露通知义务的独立性及其理解

五、数据泄露通知义务归责时的过错考量

六、延论

引言

数字技术对个人信息的利用日益活跃而丰富,由此对个人权益产生的风险持续提升因而备受关注。美国学者洛丽·安德鲁斯(Lori Andrews)认为,这个时代的科学技术让人们不得安宁,面对科技的不断入侵,保护个人权利从而使人们过上充实的社会生活的需要从来如此迫切。区别于传统的隐私,个人信息的供给对数字技术的发展尤为关键。梅夏英教授指出,在历史上绝大多数时段,信息一直处在公共领域,且社会长时间处于信息饥渴状态。就保护之法益及手段而言,个人信息保护应当不同于传统的隐私保护,周汉华教授专门讨论了个人信息保护和隐私权之间的关系。隐私保护在于隐私之不被刺探、窥视等,而个人信息保护在于个人信息之不被非法利用。以笔者浅见,前者近似于美国法的right of privacy,后者更类似于美国法的right of publicity。个人信息是数字社会人们生产生活的身份符号和享受数字化红利的前提条件。百度公司董事长兼首席执行官李彦宏曾称“中国的消费者在隐私保护的前提下,很多时候是愿意以一定的个人数据授权使用,去换取更加便捷的服务”,这一说法曾引起争议,而王利明教授则认为“这种说法也不无道理”,关键要实现信息数据的流通和个人信息权利保护之间的平衡。高富平教授指出,个人信息是社会交往、社会治理的工具;个人需要运用一些信息来标识其为社会中的某个人,而社会也需要利用信息来识别某个特定个人。但是,个人信息的利用不应产生对个人利益的损害。张新宝教授指出,问题解决的关键在于个人信息保护与利用的利益衡量。王利明教授指出,个人信息被不当使用,甚至造成信息的泄露,给信息权利人造成了损害。这种损害,或者从预防视角理解为风险,主要包括两种情形,即滥用和泄露。滥用之规制,主要是通过目的限制的思路,赋予个人相关法律上认可的权益保护手段,苛以处理者相关义务和责任,引入行政干预手段,防范滥用发生的可能。滥用和合理利用之间的区别是一个边界问题,可以通过制度安排对个人信息处理者滥用冲动予以规范和制约。相反,数据泄露则应是各方所不愿发生的个人信息安全事件,理性上希望避免其发生,而实际上很难绝对避免。陆雪梅、古春生、董明星等从成因角度对数据泄露问题进行了研究和调查,总结来说,泄露原因主要包括内部管理和外部攻击两个维度。从内部看,防范数据泄露属于风险预防问题,企业往往需要考量成本收益的平衡,姜宇泽、陈诗洋指出,企业进行数据安全改造,会影响业务系统现有功能,增加企业投入,“同时,数据安全技术改造属于新兴技术领域,目前企业可参考的成熟技术方案及实践案例较少,企业顾虑较大”。从外部看,病毒感染、黑客攻击、漏洞入侵等都可能造成数据泄露,而这本身就是攻防技术升级迭代的交替过程,理论上很难保证绝对意义上的数据安全。由此也可以理解,“作为强化数据保护的有效手段,数据泄露通知制度被各国立法广泛采用”,而很少有直接禁止数据泄露的法律规定,也就是说鲜有直接将发生(或者发现)数据泄露的客观事实作为法律归责理由的立法规定,而是要求发生数据泄露时必须履行通知义务,并作为一项强制性规定要求相应主体遵守。

数据泄露持续发生给数据治理带来很大挑战。2021年7月28日,IBM Security公布《2021年数据泄露成本报告》,每次数据泄露事件平均为公司带来424万美元的损失。分析公司Canalys发布最新报告称,仅2020年一年,被盗数据记录的数量就已超过之前15年来的总和。如何规制数据泄露,成为数据治理制度设计的重要部分,特别是个人信息保护相关立法中。有关数据泄露的讨论,从数据泄露的成因、机理、攻防、损害等角度形成了很多文献资料,尤其是针对医疗、金融等数据泄露高发领域。有关数据泄露通知制度的研究论述也比较丰富,何波对数据泄露通知制度的国内情况进行了系统梳理;赵淑钰、伦一从数据泄露通知制度本身如何完善进行了论述,并从比较法角度完整地介绍了主体、对象、条件、程序、内容和处罚等方面的经验和启示。崔聪聪副教授研究了数据泄露的界定方法,分析了数据泄露通知制度的法理和功能。钟其炎在细分领域对电子健康档案信息泄露通知制度进行了比较法分析。陶乾、宋春雨围绕企业数据泄露现状、责任认定以及法律规范完善等方面进行了讨论。有关研究基本已经对数据泄露通知制度的运行机制、构成要件等作出了充分论述,特别是在完善数据泄露通知制度方面提出了不少有益观点和建议。总体来看,既有成果实现了对数据泄露通知制度进行正向维度建构。问题在于,多数研究论述均默认了数据泄露通知制度存在即为合理的预设前提,进而探讨如何完善数据泄露通知制度的细节。那么,为何选择数据泄露通知而非直接禁止数据泄露,由此产生了理论基础层面的问题,需要思考构建数据泄露通知制度的深层逻辑和实践意义,分析为何构建数据泄露通知而非数据泄露禁止制度,为何只有数据泄露需要通知而没有对其他数据安全事件设置通知义务。讨论这些问题,反过来有助于厘清数据泄露通知制度的构建思路,以更深刻地理解数据泄露通知制度设计之逻辑,并对其进行正向建构完善。

数据治理讨论中通常容易产生一个认知误区,即数据泄露通知制度的目的是直接防止数据泄露,这也符合常识上对数据泄露问题的理解。然而,数据泄露通知制度所具备的创新性内涵,是认识了数据泄露的客观存在,而采取间接防范的一项制度设计。数据泄露通知制度的潜在功能,是建立在数据利用和安全保障平衡思路之上的风险防控机制。国外数据泄露通知立法实践十分多见,我国也分步分散构建了数据泄露通知制度。但是,根据各类统计,数据泄露事件不断发生,且有逐年上升趋势。问题不在于制度本身,而是如何理解该制度。笔者旨在对数据泄露通知制度的内涵和外延进行结构化分析,以作出准确的判断并形成合理的实施进路。

一、数据泄露通知制度的构建逻辑

发生(或者发现)数据泄露,会触发报告义务,这是数据泄露通知制度核心的程序性要求。实际上是对数据控制主体附加的一项单独义务,Philip Howard和Kris Erickson认为数据泄露通知制度是一种次生效应(secondary effects)。其具体要求非常简单清晰,即发生(或者发现)数据泄露时,需要向主管机关、用户等进行报告。2002年,美国加利福尼亚州《数据泄露通知法》首次确定了数据泄露通知制度。目前,美国各州都已经出台了各自的数据泄露通知法。欧盟、澳大利亚等国家和地区,以及我国基本都建立了数据泄露通知制度。

从制度设计逻辑而言,数据泄露通知制度不应当是对违法行为的自我纠正,否则数据泄露通知制度就变成了完全意义上的强制性“自首”要求,很容易在具体实践过程中被架空,降低法实施的可期待性,陷入法理性逻辑陷阱。构建数据泄露通知制度,意味着对受害者设置了强制性义务。这种义务设置之所以具有法理上的正当性,应该寻源于风险预防原则的理论基础。苏宇指出风险预防原则具有四个构成要素:危害预期、不确定性、预防措施和证明机制。数据泄露具有危害预期和不确定性,通知本身是一种预防措施,而泄露主体能够证明泄露不会造成损害的可以免于承担通知义务,如《中华人民共和国个人信息保护法》(下称《个人信息保护法》)第57条第2款中规定“个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人”。数据泄露事件中,数据控制主体所受到的损失必然延伸到数据主体、公共利益以及国家利益。崔聪聪副教授认为,数据泄露事件,不仅危及个人人身和财产安全,也会对公共安全和国家安全造成威胁。数据泄露通知制度可以理解为监管主体与被监管对象之间进行风险分摊的制度设计,通过数据泄露来触发监管和资源投入,实现行政力量精准介入,同时能够提示用户采取必要防护措施。Lillian Ablon等认为,数据泄露通知制度既能促使用户采取行动来降低损失,也能敦促企业投入更多资源来保障数据安全。美国各州规定数据泄露通知义务,是为了让消费者保护自己免受进一步的损害,同时能够聚焦发生泄露的公司(shine a light on the breached company)。诚如美国布兰代斯大法官所言,公开是现代社会及工业疾病的救生药,阳光是最好的防腐剂。数据控制主体具有发现能力、及时补救、传递信息的优势,通过法律制度要求其强制履行通知义务,符合比较优势和损失最小化,以及法经济学的实践和理论意义。结合立法学考虑,增加通知义务对于数据控制主体的成本负担相对不大(特别是对主管机关的报告义务,耗费成本较小),很多数据泄露通知制度相关规定中,也充分考虑了对用户进行逐一通知的成本,允许通过公告、电子邮件等方式通知用户。反过来说,数据泄露通知制度对基于数据作为要素运行的社会系统的正外部性很强,能够发挥重要的基础性制度价值。

首先,完善的数据泄露通知制度极大程度上弥补了监管发现成本高昂的实际问题。数据泄露事件的隐蔽性非常强,往往不会立即、当然地造成用户的直接性损失,从监管侧和用户侧发现数据泄露事实的概率极低。事实上,数据发生泄露后,会导致数据进入黑色产业链,有可能通过较长的链条来分发到不同的违法主体手中,分散性地对用户权益造成损害。反向追溯机制难以形成,锁定数据泄露源头的成本较大。完全依靠无具体目标、普遍覆盖的执法检查机制,发现数据泄露的概率十分低,成本投入相对较高。这正是为什么让人感觉数据泄露事件的初次发现通常都由媒体报道,而少见于执法检查活动。Lillian Ablon等指出,媒体在发现数据泄露中的作用十分明显,并且这一趋势还会持续。设置数据泄露通知义务,可以将被动式执法检查转化为主动式执法检查。执法机构以数据泄露通知为线索开展定向检查,能够大幅度缩小执法检查范围,针对特定主体的数据安全状态进行检查,而不是频繁地、广泛地对大量主体进行日常性检查,来发现可能存在的泄露事实。以《中华人民共和国网络安全法》(下称《网络安全法》)为例,其适用主体是网络运营者,包括网络的所有者、管理者和网络服务提供者,覆盖了相当宽泛范围的主体。监管机构为实现《网络安全法》有关数据安全保障义务的监管职责,需要构建庞大的检查体系,投入较高的成本和资源。同时,各个主体的性质、规模存在差异,逐一检查并作出是否合规的判断,十分困难。如果采取数据泄露通知制度,就可以有效缩小监督检查范围,实现精准式、敏捷式监管。当然,为了保证数据泄露通知义务的有效履行,就有必要对不履行通知义务的主体处以严厉的惩罚,以刚性法律责任的设置来确保其实施。

其次,数据泄露通知制度能够反向促进企业选择适宜的数据安全保障措施。传统合规动作的强规则依赖性与网络领域立法天然模糊性之间的矛盾不易协调。从合规侧来说,强烈需要明确、清晰、可执行的规则来判断具体活动是否合规。从监管侧来说,囿于网络动态性、变化性等固有特点,很难通过法律条款给出高度抽象性同时兼具指引性的普适性规则,实践中往往需要制定配套性法规或者更细化的标准来试图描述法律要求之精确边界。可是,这种努力可能进一步加剧了这种矛盾的紧张性。网络管理需要应对动态性、行业性的挑战,一刀切的法律规定及措施常常为人诟病,但立法本身就具有刚性,以及追求确定性、准确性的特点。这决定了通过立法渠道(广义上可以理解为规则路径)只能给出一致性的标准,来保证被执行的统一性和稳定性。如前文所述,确保数据安全义务得以妥善履行,实为法益之目标。如果通过立法来要求企业履行数据安全保障义务,势必要给出明确的制度要求或者指南标准。立法是对社会关系的抽象归纳并纳入法律关系调整的过程,具有普遍适用的应然特点,法律规定必须兼顾不同规模被监管对象的差异状况,那么最终能够得以执行的法律条款一定处于行业水平的平均线。于是产生的问题是,对于大企业来说要求过低,而对小企业来说要求过高,操作性受到挑战。正视法律刚性和调整对象动态性的特点,就需要合理设置刚性的着力点,来取得两者之间的平衡与协调。如果刚性设置指向应该履行何种安全保障义务,就会出现难以统一的状态,或者选择比较笼统的表述方法。以某项立法工作为例,需要对从事相关服务的人员数量作出要求,起草时规定从业人员数量不得少于××人。调研论证过程中发现,××(数量)人的规定对于大企业来说几乎没有门槛,但是对于中小企业来说,人力资源成本大幅上升。立法最终出台时,规定为与服务相匹配的从业人员数量。虽然通过笼统的规定,能够概括性解决不同企业之间的差异情况,但是实际上在具体执行过程中,仍然需要通过其他方式来解释和明确多少数量的从业人员是与服务相匹配的。当然,该部立法时间较早,对互联网认识和管理的水平处于初步阶段,所以对刚性着力点的选择难以跳出传统式管理思维。就数据安全本身而言,场景化、动态化风险产生路径不同,预期能力始终落后于技术发展能力,难以给出统一的数据安全解决方案。

最后,数据泄露通知制度可以缓解监管与被监管之间的紧张状态。一般而言,不能期待被调整对象对法律的理解超越底线思维,法无禁止即可为。如果不采取数据泄露通知的制度设计,势必需要对数据安全保障义务作出细致、明确的规定。这对立法挑战相对较大,落入规则抽象性和强规则依赖性的循环陷阱。即便能确定普遍适用的法律要求,也难以适应不同企业的差异状况。可以合理推论,企业基于成本收益考量,大概率会选择与法律要求相一致的数据安全措施,而不会选择更符合企业情况的措施——即使这样的措施与企业的规模、水平等更为一致。相反,利用数据泄露通知的制度设计,可以期待企业,特别是大型企业(商誉重视程度较高)为了避免履行数据泄露通知义务,会尽最大能力防止数据泄露,而非维持中等或平均水平的数据安全保障措施。周汉华教授指出,信息控制者面临的安全挑战压力是现实的,也是巨大的,个人数据泄露会造成声誉、法律责任承担与客户流失等影响。潘静指出,声誉机制能够一定程度上威慑企业行为以防止机会主义动机,现代工商业的“陌生人交易”使得各方处于高度的信息不对称状态,企业过往行为构成企业印象的重要印记,声誉作为重要的公众认知,具有很强的信号显示作用。

二、数据泄露的表述陷阱及教义学统一

从字面理解,数据泄露是指数据发生非正当性转移(不论是否有实际的物理转移),脱离合法的、应有的控制范围。涉及数据治理(特别是个人信息保护领域)的法律制度中,数据泄露通知制度具有广泛的认知基础。然而,对数据泄露的概念理解,普遍存在法律内涵和常识理解之间的冲突。

中文的“数据泄露”,通过一个有形动作“泄露”来表述无形对象“数据”,容易产生对“数据泄露”的狭义化理解,导致调整范围的不周延。从英文看,数据泄露对应的词汇是data breach。牛津词典中对“breach”一词有多种释义:(1)(对法规等的)违背,违犯(a failure to do something that must be done by law);(2)破坏,辜负(an action that breaks an agreement to behave in a particular way);(3)(关系的)中断,终止(a break in a relationship between people or countries);(4)突破口,缺口,窟窿(an opening that is created during a military attack or by strong winds or seas)。对比中文“泄露”一词,释义(4)可能比较接近——由于产生了“缺口”而造成了泄露。但是,data loss和data leak也同样有泄露之意,Thomas J. Holt等在Data Thieves in Action一书中还使用了“data theft”的表述。国外立法中选择breach而非loss,leak或者其他单词,应当是因为breach相对具有更准确的内涵。美国加利福尼亚州《数据泄露通知法》将breach规定为对系统安全性(security of the system)的破坏。美国华盛顿州《数据泄露通知法》是美国最新的州层面立法,也保持了一致的规定,同样是对系统安全性(security of the system)的破坏(breach)。欧盟《隐私和电子通信指令》中将“个人信息泄露”(personal data breach)界定为对安全性的破坏所导致的意外或者非法毁坏、损失、篡改,未经授权地公开或者访问。欧盟《个人数据泄露通知条例》中也引用了《隐私和电子通信指令》的定义。《一般数据保护条例》(General Data Protection Regulation,GDPR)与《隐私和电子通信指令》一致,规定“个人数据泄露”是指对安全性的破坏,导致意外或非法毁坏、丢失、更改、未经授权的公开或者获取个人数据的传输、存储或其他处理行为。这与ISO/IEC 27040的定义也相当一致。从各类规定来看,对data breach的界定比较统一,都是指一种对安全义务的破坏,结果上表现为数据安全状态的丧失。这种破坏包括“毁坏、丢失、更改、未经授权的公开或者获取个人数据的传输、存储或其他处理行为”,从而产生了“泄露”(注意这是中文表述,国外文献均强调breach)的实际后果。据此推论,前述释义(2)比较接近数据安全角度的理解。与data leak和data loss不相同,data leak强调的是客观的动作——外泄,data loss强调的是客观的后果——损失,这种损失可能既包括经济损失,也包括数据本身的丧失或者损坏。

检索可见,国内立法中没有直接使用“数据泄露”一词来构建数据泄露通知制度,也没有对“数据泄露”作出明确的法律界定,但是制度本身是客观存在的,即发生数据泄露、毁损、丢失等情形时应当向主管部门报告并通知用户。2012年,《全国人民代表大会常务委员会关于加强网络信息保护的决定》中表述的是“泄露、毁损、丢失”。2013年,《电信和互联网用户个人信息保护规定》中表述的同样是“泄露、毁损、丢失”。而《中华人民共和国消费者权益保护法》中表述的是“泄露、丢失”。2016年,《网络安全法》中表述的是“泄露、毁损、丢失”。比较法视野下,国内与国外关于“数据泄露”表现形态的描述基本一致,但是从中文语境上看,这些表述显然也超出了“泄露”的内涵——“毁损、丢失”等是与“泄露”相并列的。不过,2020年公布的《个人信息保护法(一次审议稿)》第50条以及2021年公布的《个人信息保护法(二次审议稿)》第51条规定了个人信息处理者负有“防止未经授权的访问以及个人信息泄露或者被窃取、篡改、删除”的义务。《个人信息保护法(二次审议稿)》第56条中规定“个人信息处理者发现个人信息泄露的,……”,相比而言,第56条排除了第51条中的“未经授权的访问”“窃取”“篡改”“删除”等情形,而仅限于泄露。相较于上述前法所规定的“泄露、毁损、丢失”,《个人信息保护法(一次审议稿)》在安全保障义务方面保留了“泄露”,同时将“毁损、丢失”等改为“未经授权的访问”“窃取”“篡改”“删除”等,而在数据泄露通知制度(第56条)中限缩了范围,仅限于“泄露”(此处应为狭义理解)一种情形,与前法的数据泄露通知要求并不一致,同时相较于域外法,也小于data breach的内涵。最终出台的《个人信息保护法》对此进行了修正,在第51条(安全保障义务)中规定为“防止未经授权的访问以及个人信息泄露、篡改、丢失”,在第57条(数据泄露通知)中规定“发生或者可能发生个人信息泄露、篡改、丢失的”,虽然没有将“未经授权的访问”纳入数据泄露通知制度之中,但基本取得了统一,反映了立法者的最终态度。

反过来说,数据泄露通知制度中的“数据泄露”,应当是对数据安全义务的破坏(breach),否则就应当归类至其他的违法行为。比如,违反了用户知情权的要求,未取得用户同意而收集个人信息,就没有相应设置通知义务而要求企业报告相关情况。从国内法律体系来看数据泄露,立法中实际出现了差异性的表述现象,而实质内涵指向同一法律制度,有必要进行法教义学意义的抽象归纳,形成规范理解和统一认知。数据泄露是网络安全语境下的现象,应为网络安全事件的一种。所谓安全事件,就是对处于安全状态的影响和减损,产生非预期性后果。信息安全中的机密性、完整性和可用性(confidentiality,integrity,availability,CIA)三要素,也可以适用于数据安全事件。也就是说,数据安全事件打破了机密性、完整性和可用性的正常状态。复言之,数据安全保障就是要确保个人数据处于不被未经授权访问、收集、使用、披露、复制、修改或者处置的状态,存储个人数据的相关存储介质或者设备不会丢失或损毁。立法中,通过抽象或者具体(取决于立法位阶、环境等综合因素)的数据安全保障义务,来表达维持数据安全状态的规则性要求。

从比较法视角看,中文将data breach翻译为“数据泄露”,并没有实现完整意义的本意呈现,导致与其制度内涵不符的偏解。法律制度上的数据泄露并非局限于物理动作的“泄露”。中文仅用“泄露”一词,不足以在语义上完全覆盖这些破坏性行为。也就是说,对“数据泄露”字面意义的理解无法全面反映其内涵。梳理国外有关数据泄露的相关法律规定,其中都有“disclosure”一词,按照牛津词典的释义,“disclosure”的解释是“the act of making something known or public that was previously secret or private”。可见,GDPR和ISO对数据泄露的界定均为对隐秘信息的获知,而非物理控制。梅夏英教授也进一步指出,个人信息保护、信息安全都是纯粹的信息问题,所谓信息,是“人对于该等数据的读取和解读”。“数据泄露”属于语言习惯学的表述,其本质关切是信息的隐秘性,而非数据本身的静态性。“数据泄露”因而应当是对数据控制合理可期待性的违反,使得数据被期待范围以外所获取、知悉甚至是篡改等,影响数据安全状态。国内立法中使用的“泄露、篡改、毁损”等词语才相对完整地反映了“data breach”的内涵。这一表述也被国内大多数立法所采用,从而也可以一定程度上理解立法者没有直接在法律文本中仅仅使用“数据泄露”一词来概括数据泄露通知制度的用意。

基于数据特性,数据泄露主要表现为两种方式,一种是数据被非法获取;另一种是数据被非法访问。前者关注的是数据物理可控性,后者关注的是数据内容可控性。梅夏英教授认为数据具有非客体性,缺乏民事客体所要求的独立性。数据所承载的信息,而非数据本身应当成为法益所要求规范的对象。因此,将数据泄露限定为物理性质上的转移,会出现不周延的情况。由于非法访问等所造成的数据被不当共享的情况,也应当被认定为数据泄露。

通过前述比较归纳,可以得出初步的结论,数据泄露通知制度是指对数据安全保障义务的违反(breach)而产生的法律义务,其结果表现形式是数据安全状态被破坏,发生了数据泄露、篡改、毁损以及非经授权访问等干扰数据正常控制状态的情形,甚至从扩大解释的角度还可以包括数据存储介质不能处于正常运行状态的情形。

三、数据泄露通知制度中的安全保障义务

明确了数据泄露所指是对数据安全保障义务的一种违反,就需要进一步讨论何谓数据安全保障义务,以及何种情形视为违反。数据安全保障义务从立法意义层面,是对“数据安全状态”的具象化表达,一般包含丰富内容。张凌寒副教授以平台为对象对数据安全保障义务进行了分析提炼,认为数据安全保障义务包括数据安全管理制度、履行个人信息权利保护义务、监管配合义务等三个维度,且平台的数据安全保障义务是“我国10余年来多部法律法规、政策性文件累积而成的一个内涵丰富、动态发展、规范层次多样的制度体系”。李晗副教授认为,网上银行信息安全保障义务主要是指保障用户个人金融信息的保密性、完整性、可控性和不可否认性。其中,保密性、完整性、可控性应该也可以适用于网上银行以外的其他主体。《网络安全法》中将“网络安全”定义为“是指通过采取必要措施,防范对网络的供给、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力”。《中华人民共和国数据安全法》(下称《数据安全法》)将“数据安全”界定为“通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力”,也强调了数据安全是对一种持续性状态的维持,而非仅仅是某种静态的确定性结果。2019年,爱尔兰数据保护委员会发布的《个人数据泄露通知指南》中将“个人数据泄露”界定为,对个人数据的保密性、完整性或可用性产生负面影响的事件,包括个人数据被遗失、销毁、损毁或非法披露包括有人未经正当授权访问或传输个人数据,个人数据通过勒索软件被加密、意外丢失、销毁而变得不可用等。2021年,新加坡个人数据保护委员会(The Personal Data Protection Commission of Singapore,PDPC)发布的《数据泄露管理通知指南》中将“personal data breach”界定为未经授权访问、收集、使用、披露、复制、修改或者处置个人数据的行为,以及在很可能发生未经授权访问、收集、使用、披露、复制、修改或者处置个人数据的场景下,存储个人数据的相关存储介质或者设备丢失或损毁的情况。PDPC对数据泄露的全面性界定也可以视为反向对数据安全保障义务的描述。在网络法的语境下,数据安全保障义务应当被视为一项广泛而抽象的法律义务。就守法而言,法律规定也给出了相应的措施性要求,如《数据安全法》第四章对“数据安全保护义务”进行了规定,《个人信息保护法》第五章对“个人信息处理者的义务”进行了规定。具体执行层面,需要根据证明责任来确定安全保障义务之违反与数据泄露之间存在因果关系。鉴于数据泄露通知制度主要可能引起行政法律责任,按照行政法逻辑,应由监管部门确定违反的事实。当然,企业是否具备安全保障的能力,以及所采取的措施是否能够维持安全的状态,应当尊重并赋予行政机关合理的裁量空间。

四、数据泄露通知义务的独立性及其理解

理解数据泄露通知义务的独立性是实施数据泄露通知制度的关键,这一表述比较抽象,但却是数据泄露通知制度发挥实际效果的精髓。简言之,数据泄露通知必须建立在数据泄露不可避免的前提之上,而不是不发生数据泄露。数据泄露通知不等于数据安全保障义务得以履行,而数据安全保障义务之妥当履行,也不能豁免数据泄露通知义务。

网络治理的内涵在很大程度上已经阶段性地发展为数据治理。前述认为数据治理大致应包括两个主要问题,防止数据滥用和防止数据泄露。防止数据滥用需要明确、可执行的规则来规范企业的数据活动,以划定滥用与合理利用之间的界限,比如说“知情—同意”机制中,收集个人数据需要用户同意,并告知目的、范围和方式。这些规则的集合就构成了实质意义上的企业数据处理活动操作手册。对于何谓滥用的认识相对比较清晰——违反用户的真实意愿,或者违反合法、正当、必要以及诚信的原则。防止数据泄露却无法通过操作指引的方式实现,因为数据泄露本身是不可能被绝对避免的。这就会陷入一个法律上的困境,企业严格遵守法律规定但仍然造成了社会利益的损失,应该如何设置法律责任。换言之,应该如何进行合理的制度设计,使得可以从机制上对数据安全保障义务的履行情况进行可标准化的监督。

数据泄露通知制度即在一定程度上实现了此种制度设计,实际上构建了一种数据安全保障义务的检视机制,建立起相对抽象、模糊的内部数据安全保障体系与缺乏具像目标、资源受限的行政监管之间的桥梁,将需要主观评价高低程度(安全保障义务履行效果)的问题转变成相对明确的是非题(是否进行了数据泄露通知)。简言之,数据泄露通知制度创造了立法层面对执法活动的制度供给,对数据治理具有直接的现实意义。

进一步来说,数据泄露通知制度兼具自我证明和自我检举的效果。自我证明也就是充分履行了安全保障义务之后,仍然意外地发生了数据泄露事件,主动选择向主管部门开放监管,以证明其与数据泄露事件之间的无因果联系,从而得以实现法律责任上的不构成或者豁免。自我检举是迫于避免承担数据泄露通知义务所产生的法律责任而不得不向主管部门提供自身的违法线索,主管部门经核查安全保障义务履行情况后,予以相应的处罚,但同时不产生数据泄露不通知的法律责任。对此,简单图示如图1。其中,实线箭头为数据泄露通知法律义务路径,虚线箭头为数据安全保障义务路径。

循此逻辑,立法中应当对数据泄露通知义务和数据安全保障义务相区分。我国《网络安全法》第42条第2款同时规定了数据安全保障义务和数据泄露通知义务两项义务,在法律责任中进行了统一归责,实际上并没有作区分处理。立法意义上,对数据泄露后的四种情形不作区分:(1)履行了数据泄露通知义务,也履行了数据安全保障义务;(2)履行了数据泄露通知义务,而数据安全保障义务未履行;(3)未履行数据泄露通知义务,而履行了数据安全保障义务;(4)未履行数据泄露通知义务,也未履行数据安全保障义务。这在实践中可能形成数据泄露等同于数据安全保障义务未履行的效果,难免陷入“自首”式合规的困境。

GDPR对数据泄露通知义务进行了单独规定,第33条规定了数据泄露通知义务;与之相区分的是第32条,规定了数据安全保障义务。这就在一定程度上不会给该两项义务分别考量的执法实践产生法律障碍。GDPR执法实践中,发生数据泄露后,如果没有履行通知义务,则产生违反第33条的法律责任,同时仍应检查数据控制者对第32条的遵守情况;如果履行了通知义务,则不产生违反第33条的法律责任,但同时应检查数据控制者对第32条的遵守情况,如是否按照第32.1(d)条的要求进行了定期检测(regularly testing,assessing and evaluating),从而确定数据控制者是否应当承担违反第32条的法律责任,即便是其已经履行了通知义务,该两条法律义务也并行而互不形成制约。我国《个人信息保护法(一次审议稿)》第55条和《个人信息保护法(二次审议稿)》第56条,以及最终通过的《个人信息保护法》第57条中虽然在实体部分规定了数据泄露通知义务,并且对数据安全保障义务和数据泄露通知义务进行了区分,也对通知义务作了相对细化的规定,但是两次审议稿均未对其单独设置法律责任。《个人信息保护法》第66条对“违反本法规定处理个人信息”和“处理个人信息未履行本法规定的个人信息保护义务”两种情形规定了法律责任,由第4条第2款对“处理”的界定可知,其并不包含“通知”的情形,而个人信息保护义务与数据泄露通知义务是两项独立义务,第66条之规定并不能当然地覆盖数据泄露通知的情形。这在未来适用数据泄露通知法律制度而确定法律责任时,想必需要更深入地进行法解释学研究,或者通过执法实践考虑是否混同或分别处理两种法律责任。

比较而言,其他有关法律规定在实体部分并未区分数据泄露通知义务和数据安全保障义务,可以理解为前述的等同意义。《中华人民共和国民法典》第1038条第1款规定,信息处理者不得泄露或者篡改其收集、存储的个人信息。2020年《数据安全法(草案一次审议稿)》和2021年《数据安全法(草案二次审议稿)》均对“造成大量数据泄露”的情形直接规定了法律责任。从法律制度设计上,相当于否认了数据泄露通知制度的独立地位,事实上可以理解为对构建数据泄露通知制度的消极态度。最终审议通过的《数据安全法》坚持了二审稿表述,如果严格按照数据泄露通知制度来理解,实施过程中就有必要进行立法解释,将第45条处罚“造成大量数据泄露等严重后果”的前提,理解为该条所称“开展数据处理活动的组织、个人不履行本法……规定的数据安全保护义务的”,从而确定该法律责任的内涵是对数据安全保障义务的惩罚,而非对数据泄露本身的处罚。或者换个角度理解,《数据安全法》本意上并未考虑引入数据泄露通知制度,自然也没有按照数据泄露通知的路径来回应数据泄露问题。

按照前文浅述,鉴于数据泄露通知制度的独立性,数据泄露通知义务的履行并不意味着数据安全保障义务的豁免。一般而言,数据泄露发生后,发生数据泄露的主体履行通知义务后(对主管机关),主管机关应发起对数据安全保障义务的检查机制,判断数据泄露的发生是否由数据安全保障义务履行不到位所导致。如果数据安全保障义务已经充分履行,则发生泄露的主体不应承担相应的法律责任(或应减少责任),但仍应按照法律要求采取相应的补救措施。如果数据安全保障义务未能得到充分履行,则应当追究数据安全保障义务所对应的法律责任。Lillian Ablon等认为,数据泄露通知制度除了帮助消费者减轻他们可能受到的损害的作用之外,还能够促使企业为数据安全和风险防控增加投入。

从立法层面而言,数据安全保障义务很难通过量化的指标来释明,同时也不可能要求所有的遵循主体统一适用过于精细化的标准。不同的主体基于服务、规模、技术等条件,采取安全保障措施的做法也不应相同。以匿名化措施为例,2021年4月,欧盟EDPS和西班牙数据保护局AEPD联合发布的《关于匿名化的十个误解》中就指出,同样的匿名化措施未必能适应所有的主体而产生相同的积极效果。该报告以纳税数据为例,瑞典的纳税数据对公众开放,而西班牙的纳税数据仅向特定的少数群体开放,因此如果瑞典采取与西班牙同等水平的匿名化措施就是不适宜的。报告认为,瑞典纳税数据的受众更为广泛,潜在的数据安全风险更大,瑞典应该采取更高标准的匿名化措施。如何确定数据安全保障水平也应基于同样的逻辑,立法上只能给出原则性、目标性的要求,而具体的实施路径应当由企业根据自身具体情况来设计。但是,实践中企业基于合规需要,仍然期待监管机关能够给出确定、可操作的指引,来确保合规动作的完成。实际上,这本身就是矛盾的命题。监管机关在判断安全保障义务是否履行妥当时,只能按照法益之目标以及相对概括性的法律要求,就特定主体在特定环境下的义务履行情况进行判断,进而形成“一事一议”的具体结论。

笔者试图进一步从司法实践中的两个判例,来直观理解数据泄露与数据安全保障义务之间的关系。庞某诉北京趣拿信息技术有限公司(下称趣拿公司)、中国东方航空股份有限公司(下称东航)隐私权纠纷一案中,庞某购买机票后遭遇诈骗,认为趣拿、东航泄露其个人信息。法院认为东航、趣拿公司存在泄露庞某隐私信息的高度可能,同时进一步审理东航、趣拿公司是否能反证推翻该高度可能。法院基于三点理由认为不能推翻:一是东航和趣拿公司不能证明本案中庞某的信息泄露的确是归因于他人;二是不能证明本案中庞某的信息泄露可能是因为难以预料的黑客攻击;三是不能证明庞某的信息泄露可能是其自身或鲁超(受庞某委托购买机票)所为。据此,法院终审判决东航和趣拿公司存在泄露庞某隐私信息的高度可能,并且存在过错,应当承担侵犯隐私权的相应侵权责任。此案中,法院认定数据泄露事实,继而查明被告是否能够反证推翻高度可能性,实际上就是对被告是否充分履行数据安全保障义务的检视。从案件材料看,趣拿公司、东航不能提供有力的证明材料来反映其安全保障能力,相当于承担了未充分履行数据安全保障义务的不利后果。

与之相反,方某诉北京金色世纪商旅网络科技股份有限公司(下称金色世纪公司)、中国东方航空集团有限公司(下称东航集团公司)、中国东方航空股份有限公司(下称东航股份公司)合同纠纷一案中,方某同样因为购买机票遭遇诈骗,法院经审理认为,金色世纪公司和东航股份公司均存在泄露信息的高度可能,进而进一步审查被告的安全保障义务。其中,法院认为,被告东航股份公司提交了一系列证据证明其针对可查看订单信息的“东航B2C会员专区后台管理系统”进行了数据脱敏设置,确保任何人都无法通过该系统查询到订单信息所对应的订票人身份证号、手机号及联系人手机号;并制定了严密的安全管理制度,对数据存储安全进行专门认证、执行个人信息保护和数据安全方面最严格的国际规范等。相反,金色世纪公司并未提交相关证明材料。最终,法院判决金色世纪公司承担相应的法律后果。

通过两案对比发现,在数据泄露事实成立的情况下,是否承担不利法律后果的重要考量因素是数据安全保障义务是否得以履行。如何确定安全保障义务是否履行,需要通过泄露主体提供的证明材料来具体裁量。两案中被告对数据安全保障义务的证明力度有所差异,法院作出了不同的判断;甚至在同一案(方某案)中,法院对不同被告是否履行安全保障义务,也会根据情况得出相反的结论。

行政管理过程中,可以参考形成类似的执法进路。收到数据泄露通知后,监管部门即对泄露主体进行数据安全检查,基于提供的材料判断履行数据安全保障义务是否充分,并进行相应地法律归责。发生数据泄露而未通知的,监管部门发现数据泄露情况,即可依据数据泄露通知的法律义务对不通知行为进行处罚,同时也应对泄露主体进行数据安全检查,判断是否也要承担数据安全保障义务履行不到位的法律后果。进一步来说,数据安全保障义务之内涵会随着时间、技术水平等发展而不断丰富,监管机构基于时下标准对发生泄露主体的数据安全保障义务进行检查后,发现并无数据安全保障义务履行不到位的情况,就意味着既有的数据安全保障义务之内涵已经不适应当前网络发展环境,抑或对特定主体的要求已经过低,需要进行适时调整。

当然,行政裁量的灵活性、相对主观性并不意味着立法的永恒不确定性。网络环境对法律关系的构成,以及法律概念的内涵和外延等都形成了挑战,受技术发展变化和认识水平的限制,我们可能不得不经历一段在不确定性中寻找解决方案的历史阶段。不过,通过前述两个司法案例,仍然可以抽象归纳出一些对数据安全保障义务的考量因素,转化为确定的法律要求,实现相应的法律指引功能。

五、数据泄露通知义务归责时的过错考量

进一步厘清数据泄露通知制度内涵,需要考量数据泄露通知义务的主观性,也是更深入回答是否应当对数据泄露直接进行处罚的问题。数据泄露有可能是意外事件造成的,即企业已经尽最大可能,仍然没有避免数据泄露,如黑客攻击等;同时,也有可能是因为主观过错造成的,如因为权限设置不当、安全措施不够等由内发生数据外泄。对数据泄露通知制度进行归责时,有必要考虑构成要件中是否应当纳入主观因素,来确定过错责任。

如果数据泄露以期待泄露发生的主观意志为构成要件,那么由于故意或者过失而导致的泄露,就属于数据泄露;不以主观故意为构成要件的,则以是否发生了泄露的事实为标准,界定数据泄露。“泄露”的中文语义是“不应该让人知道的事情让人知道了”。英语中,data leak可以理解为是对客观事实的描述,而data breach则包含了主观上违反规范性要求的因素。从发生数据持有者的角度而言,数据泄露通知制度中的数据泄露不应当具有主观性。刁胜先、何琪将个人数据泄露区分为“意外或非法毁损、丢失、更改”和“未经同意而被公开或访问”两种情形,认为前者不必以故意为要件,后者属于行为,通常为故意使然。可以合理理解,其所称故意使然,应为攻击者所故意,而非数据持有者的故意。数据泄露所造成的不利后果,对于数据控制主体而言,应当是受害者,而非获益者。例如,2019年10月,爱尔兰数据保护委员会发布的《GDPR下的个人数据泄露通知实用指南》中要求数据控制主体在发生数据泄露时确定自身是否是安全事件(如网络攻击)的受害者。就受害者而言,对数据泄露不具有主观故意性是关键构成要件之一。前述GDPR对个人信息泄露的定性,也是以“违反安全规定”为前提。前述ISO/IEC 27040的定义同样是以违反安全义务为前提(compromise of security)。那么,数据泄露的法律定性应当以不具有主观故意性为要件。数据泄露是在数据控制主体主观不希望的情况下发生的非正当性数据控制权转移。内部人员操作不当、工作人员非法出售或者提供数据等,也不能代表数据主体作为法人或其他主体的主观意愿,不应当具有主观故意性。根据IBM和Ponemon Institute发布的2020年数据泄露成本报告显示,52%的数据泄露是由外部人员恶意造成的(如网络攻击),48%是由于系统故障或人为错误造成的。这些数据泄露从原因上来看,都并非泄露主体主观上所希望的。Lillian Ablon等认为,数据泄露在美国是一个老生常谈的话题,主要是恶意的、非故意的或者意外事件的结果,而这种“恶意”指的是黑客攻击、设备被窃等,而非数据持有者的恶意。

数据泄露通知制度不应要求泄露主体“自证其罪”。从另一个角度看,如果存在主观故意的要件,行为性质就发生了变化。数据持有者有意地将其所掌握的数据提供给另一主体,就已经符合转移的特征,属于数据转移。此时需要考量转移行为是否合法,进而界定为合法转移或者非法转移,并在构成非法转移的情形下追究法律责任,而不产生由于履行安全保障义务不到位而导致数据泄露的法律责任,当然也不会激活数据泄露通知的法律义务。从法期待性角度看,如果主观上本身具有数据泄露的目的,要求其履行数据泄露通知义务就会失去现实意义,不能保证法律的有效实施。那么,制度设计上宜采用过错推定模式,发生数据泄露后,泄露主体即产生证明自己无过错的责任,这也正是监管机构检查其数据安全保障义务是否履行时应有的内容,从而确定归责结果。

脸书(Facebook)公司“数据门”丑闻中,剑桥公司通过脸书设置的用户信息共享规则而取得数据,脸书公司所设置的共享规则并无转移用户信息的本意,也无滥用用户信息的主观恶意,所以该数据丑闻并不应该被定性为数据泄露事件。美国联邦贸易委员会(FTC)对脸书公司作出50亿美元的罚款,实际上是对其“欺诈消费者”行为的处罚。近年来,网络黑产所滋生的一些所谓的“数据泄露”事件,均由内部人员非法实施,导致个人信息等外泄。这类事件是否应当纳入法律视野的数据泄露事件,还是应当通过其他的法律义务进行归责,以保证整体法律制度设计的严密性和逻辑性,值得进一步思考和论证。

六、延论

从理论意义上来看,数据泄露通知制度属于程序性义务,通过程序法设计来实现实体性法益追求。但是,数据泄露通知制度设计之新颖性,对传统执法、守法理念客观上存在冲击和挑战,其本身也需要更丰富的制度供给来保障其实施。根据数据泄露通知制度的机理判断,虽然对用户的通知也十分必要,但是数据泄露通知制度更为深层的意义是整合社会资源来共同应对数据安全所固有的不可根除性风险,因此建立监管机构和被监管对象之间的有效连接是构建数据泄露通知制度的关键。数据保护机构(Data Protection Agency,DPA)和数据保护负责人(Data Protection Officer,DPO)需要形成常态化的沟通联系机制,这也正是一些国家和地区采取的数据登记注册制度。数据登记注册制度对于数据泄露通知制度而言,虽然不是充分要件,但却是非常必要的。符合一定条件的数据处理活动,应当按照程序以备案的形式向DPA登记。进而,DPA负责企业内部数据安全保障义务,在发生数据泄露时向DPO报告(同时也应通知用户)。DPA负责接收数据泄露通知,同时也负责对数据安全保障义务之履行情况进行检查。更甚一步,DPA也应综合数据泄露通知和数据安全保障义务履行的具体情况,不断更新指引企业履行数据安全保障义务的要求和水平。

责任编辑:许可 汪友年

声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。