不識(shí)廬山真面目只緣身在此山中-數(shù)據(jù)泄露是一個(gè)難題還是錯(cuò)題

數(shù)據(jù)泄露一直都是數(shù)據(jù)治理領(lǐng)域的長(zhǎng)盛不衰的新聞話題。它是懸于企業(yè)頭頂?shù)倪_(dá)克摩斯之劍，但又從未真正落下。我國(guó)早在2012年，就對(duì)數(shù)據(jù)泄露問(wèn)題作出了法律規(guī)定（詳見(jiàn)后文）?！毒W(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等重要法律中均涉及數(shù)據(jù)泄露問(wèn)題。然而，數(shù)據(jù)泄露從未停止，反而總能成為頭條新聞，在各類統(tǒng)計(jì)盤點(diǎn)中不斷翻新記錄，加劇數(shù)據(jù)焦慮卻又仿佛無(wú)計(jì)可施。本文在長(zhǎng)期跟蹤、觀察數(shù)據(jù)領(lǐng)域法律規(guī)定和數(shù)據(jù)合規(guī)實(shí)踐的基礎(chǔ)上，對(duì)數(shù)據(jù)泄露問(wèn)題進(jìn)行研究探討，以期為解決數(shù)據(jù)泄露問(wèn)題貢獻(xiàn)一些思路和想法。一、數(shù)據(jù)泄露現(xiàn)狀雖然世界各國(guó)均在不斷推進(jìn)數(shù)據(jù)立法和數(shù)據(jù)保護(hù)監(jiān)管行動(dòng)，但是過(guò)去十幾年來(lái)，全球范圍內(nèi)數(shù)據(jù)泄露呈現(xiàn)持續(xù)上升的趨勢(shì)。2023年，IBMSecurity發(fā)布的《2023年數(shù)據(jù)泄露成本報(bào)告》顯示，2023年數(shù)據(jù)泄露的全球平均成本上升至445萬(wàn)美元，達(dá)到歷史新高，比2022年的435萬(wàn)美元增加了2.3%，比2020年的386萬(wàn)美元增加了15.3%。其中，醫(yī)療領(lǐng)域數(shù)據(jù)泄露成本最高，達(dá)到1093萬(wàn)美元，其后是金融、能源、工業(yè)、科技、服務(wù)、運(yùn)輸、教育等行業(yè)，其中金融機(jī)構(gòu)的數(shù)據(jù)泄露平均成本為590萬(wàn)美元，能源行業(yè)的平均成本為478萬(wàn)美元，教育行業(yè)的平均成本為365萬(wàn)美元。根據(jù)威脅獵人（深圳永安在線科技有限公司旗下品牌）發(fā)布的《2023年數(shù)據(jù)泄露風(fēng)險(xiǎn)年度報(bào)告》顯示，2023年全網(wǎng)監(jiān)測(cè)并分析驗(yàn)證有效的數(shù)據(jù)泄露事件超過(guò)19500起，涉及金融、物流、航旅、電商、汽車等20多個(gè)行業(yè)。其中，金融行業(yè)是2023年公民個(gè)人信息泄露事件數(shù)量最多的行業(yè)，航旅行業(yè)出現(xiàn)大幅增長(zhǎng)，首次進(jìn)入排名前三。值得反思的是，隨著數(shù)字社會(huì)不斷形成和成熟，人們數(shù)據(jù)保護(hù)意識(shí)持續(xù)提升，企業(yè)也在不斷加大數(shù)據(jù)保護(hù)投入，但是數(shù)據(jù)泄露的情況并未好轉(zhuǎn)，反而似乎在更為惡化。早在三年前的中國(guó)互聯(lián)網(wǎng)大會(huì)（第二十屆）數(shù)據(jù)安全論壇上，中國(guó)信息通信研究院就表示，2020年全球數(shù)據(jù)泄露的數(shù)量就已經(jīng)超過(guò)過(guò)去15年的總和。彼時(shí)，數(shù)據(jù)泄露就成為亟需解決的數(shù)據(jù)安全問(wèn)題?？墒堑搅私裉?，數(shù)據(jù)泄露仍處于上升趨勢(shì)，并未因?yàn)閱?wèn)題之迫切而得以妥善解決。根據(jù)Verizon《2023年數(shù)據(jù)泄露調(diào)查報(bào)告》顯示，在調(diào)查的幾萬(wàn)個(gè)安全事件中，內(nèi)部威脅占25%，75%是外部攻擊導(dǎo)致。在外部攻擊中，51%的網(wǎng)絡(luò)攻擊涉及到有組織有計(jì)劃的犯罪集團(tuán)?？梢哉f(shuō)，應(yīng)對(duì)數(shù)據(jù)泄露在“人的因素”方面還有很多工作要做。但是，如何更為準(zhǔn)確地認(rèn)識(shí)數(shù)據(jù)泄露并采取合理的行動(dòng)，可能更為二、何為數(shù)據(jù)泄露？數(shù)據(jù)泄露看似是一個(gè)難題，但實(shí)際上答案要從謎面中尋找。從字面理解，數(shù)據(jù)泄露可以理解為數(shù)據(jù)的丟失。但是必須注意到，基于數(shù)據(jù)的可復(fù)制性、非排他性等特點(diǎn)，數(shù)據(jù)泄露并不必然發(fā)生傳統(tǒng)意義上的丟失。只要數(shù)據(jù)被未經(jīng)授權(quán)地訪問(wèn)、查看、使用、復(fù)制或者刪除等，甚至僅僅因?yàn)榇嬖诼┒炊斜晃唇?jīng)授權(quán)地訪問(wèn)、查看、使用、復(fù)制或者刪除的可能，都屬于數(shù)據(jù)泄露的范疇。國(guó)內(nèi)相關(guān)數(shù)據(jù)立法中均對(duì)數(shù)據(jù)泄露作出了相關(guān)規(guī)定，雖然內(nèi)涵基本一致，但在表述上有所不同（詳見(jiàn)下表）。實(shí)際上，數(shù)據(jù)立法中的“數(shù)據(jù)泄露”的內(nèi)涵要超出其字面含義。英文中對(duì)應(yīng)數(shù)據(jù)泄露的法律用語(yǔ)是databreach，此處breach有兩種理解，一是出現(xiàn)了缺口，另一是對(duì)規(guī)定的違反。按照后一理解，違反的對(duì)象應(yīng)為數(shù)據(jù)的三性，即機(jī)密性、完整性和可用性（confidentiality，integrity，availability，CIA）。因此所謂的數(shù)據(jù)泄露，應(yīng)指數(shù)據(jù)被未經(jīng)授權(quán)地訪問(wèn)、查看、使用、復(fù)制或者刪除，以及存在前述情況的可能，導(dǎo)致數(shù)據(jù)的保密性、完整性、可用性受到減損。EDPB在其《關(guān)于數(shù)據(jù)泄露通知案例的指南》（Guidelines01/2021onExamplesregardingDataBreachNotification）中及其他相關(guān)指南中均指出，數(shù)據(jù)泄露（databreach）主要有三種典型形式：（1）破壞機(jī)密性，導(dǎo)致個(gè)人信息被未經(jīng)授權(quán)或者意外地訪問(wèn)或者公開(kāi)；（2）破壞完整性，導(dǎo)致個(gè)人信息被未經(jīng)授權(quán)或者意外的篡改；（3）破壞可用性，導(dǎo)致個(gè)人信息因意外或者未經(jīng)授權(quán)地毀損或表：國(guó)內(nèi)相關(guān)立法有關(guān)數(shù)據(jù)泄露的條款國(guó)外立法中選擇breach而非loss，leak或者其他單詞，是因?yàn)閎reach相對(duì)具有更豐富的內(nèi)涵。如，美國(guó)加利福尼亞州《數(shù)據(jù)泄露通知法》將breach規(guī)定為對(duì)系統(tǒng)安全性（securityofthesystem）的破壞。美國(guó)華盛頓州《數(shù)據(jù)泄露通知法》是美國(guó)最新的州層面立法，也保持了一致的規(guī)定，同樣是對(duì)系統(tǒng)安全性（securityofthesystem）的破壞（breach）。歐盟《隱私和電子通信指令》中將“個(gè)人信息泄露”（personaldatabreach）界定為對(duì)安全性的破壞所導(dǎo)致的意外或者非法毀壞、損失、篡改，未經(jīng)授權(quán)地公開(kāi)或者訪問(wèn)。歐盟《個(gè)人數(shù)據(jù)泄露通知條例》中也引用了《隱私和電子通信指令》的定義。《通用數(shù)據(jù)保護(hù)條例》（GeneralDataProtectionRegulation，GDPR）與《隱私和電子通信指令》一致，規(guī)定“個(gè)人數(shù)據(jù)泄露”是指對(duì)安全性的破壞，導(dǎo)致意外或非法毀壞、丟失、更改、未經(jīng)授權(quán)的公開(kāi)或者獲取個(gè)人數(shù)據(jù)的傳輸、存儲(chǔ)或其他處理行為。更深一層來(lái)看，結(jié)合國(guó)內(nèi)外規(guī)定綜合理解，databreach所指向的法律制度具有一致性。它不僅是一種對(duì)數(shù)據(jù)本身的破壞，而且是一種對(duì)安全義務(wù)的破壞，結(jié)果上表現(xiàn)為數(shù)據(jù)安全狀態(tài)的喪失。這種破壞包括毀壞、丟失、更改、未經(jīng)授權(quán)的公開(kāi)或者獲取個(gè)人數(shù)據(jù)的傳輸、存儲(chǔ)或其他處理行為等等，從而產(chǎn)生了breach的實(shí)際后果。所以說(shuō)，數(shù)據(jù)泄露與數(shù)據(jù)安全保障義務(wù)密切相關(guān)，數(shù)據(jù)泄露在法律意義上指的是破壞了數(shù)據(jù)安全狀態(tài)，而這種破壞可能是因?yàn)檫`反了數(shù)據(jù)安全保障義務(wù)所導(dǎo)致的。需要注意的是，兩者之間又不必然具有因果關(guān)系。有些企業(yè)在采取了適當(dāng)?shù)陌踩Ｕ洗胧┖?，仍然不幸地發(fā)生了數(shù)據(jù)泄露事件。因此，世界各國(guó)在數(shù)據(jù)立法中廣泛地建立了數(shù)據(jù)泄露通知制度，以此作為應(yīng)對(duì)數(shù)據(jù)泄露的有效法律手段。三、何為數(shù)據(jù)泄露通知制度數(shù)據(jù)泄露通知制度是指當(dāng)企業(yè)發(fā)生數(shù)據(jù)泄露事件時(shí)，按照相關(guān)法律法規(guī)和內(nèi)部政策要求，及時(shí)向受影響的用戶、監(jiān)管機(jī)構(gòu)等相關(guān)方發(fā)出通知和報(bào)告的制度。其主要目的是保護(hù)用戶的隱私權(quán)和數(shù)據(jù)安全，確保受影響的用戶能夠及時(shí)了解泄露事件的情況，采取必要的措施來(lái)減少損失和風(fēng)險(xiǎn)。同時(shí)，通過(guò)向監(jiān)管機(jī)構(gòu)報(bào)告，有助于監(jiān)督機(jī)構(gòu)及時(shí)了解數(shù)據(jù)泄露事件的情況，加強(qiáng)監(jiān)管和追責(zé)。一般而言，數(shù)據(jù)泄露通知制度通常包括以下內(nèi)容：1.通知對(duì)象：包括受影響的用戶、監(jiān)管機(jī)構(gòu)等相關(guān)方。2.通知內(nèi)容：包括泄露事件的基本情況、影響范圍、應(yīng)對(duì)措施、聯(lián)系方式等。3.通知方式：可以通過(guò)電子郵件、短信、電話、信函等方式進(jìn)行通知。4.通知時(shí)間：在發(fā)現(xiàn)數(shù)據(jù)泄露事件后，應(yīng)在合理的時(shí)間內(nèi)向相關(guān)方發(fā)出通知。5.報(bào)告要求：向監(jiān)管機(jī)構(gòu)報(bào)告的要求，包括報(bào)告的時(shí)間、內(nèi)容、方式等。如根據(jù)《個(gè)人信息保護(hù)法》第五十七條第一款的規(guī)定，發(fā)生或者可能發(fā)生個(gè)人信息泄露、篡改、丟失的，個(gè)人信息處理者應(yīng)當(dāng)立即采取補(bǔ)救措施，并通知履行個(gè)人信息保護(hù)職責(zé)的部門和個(gè)人。通知應(yīng)當(dāng)包括下列事項(xiàng)：（1）發(fā)生或者可能發(fā)生個(gè)人信息泄露、篡改、丟失的信息種類、原因和可能造成的危害；（2）個(gè)人信息處理者采取的補(bǔ)救措施和個(gè)人可以采取的減輕危害的措施；（3）個(gè)人信息處理者的聯(lián)系方式。不過(guò)，企業(yè)勢(shì)必會(huì)擔(dān)心通知后產(chǎn)生的不利后果，導(dǎo)致承擔(dān)嚴(yán)格的法律責(zé)任。這是制約數(shù)據(jù)泄露通知制度落地的重要情緒因素，也反向造成數(shù)據(jù)泄露持續(xù)成為新聞而又不斷升級(jí)加劇。事實(shí)上，數(shù)據(jù)泄露通知的制度設(shè)計(jì)已經(jīng)充分考量了這一問(wèn)題，需要在實(shí)踐中準(zhǔn)確把握應(yīng)用。按照規(guī)范的數(shù)據(jù)泄露通知制度要求，企業(yè)履行通知義務(wù)后，反而不應(yīng)承擔(dān)法律責(zé)任（需要符合具體場(chǎng)景，詳見(jiàn)后文分析），并能夠更有效地降低企業(yè)和用戶損失。四、數(shù)據(jù)泄露應(yīng)當(dāng)承擔(dān)什么法律責(zé)任？數(shù)據(jù)泄露屬于網(wǎng)絡(luò)安全事件的一種。國(guó)家網(wǎng)信辦《網(wǎng)絡(luò)安全事件報(bào)告管理辦法（征求意見(jiàn)稿）》中將重要數(shù)據(jù)泄露、個(gè)人信息泄露等列入。歐盟也認(rèn)為個(gè)人數(shù)據(jù)泄露屬于數(shù)據(jù)安全事件。發(fā)生或者可能發(fā)生數(shù)據(jù)泄露時(shí)，就會(huì)直接觸發(fā)企業(yè)的通知義務(wù)。前述列表中的相關(guān)法律規(guī)定均規(guī)定了數(shù)據(jù)泄露通知制度（《數(shù)據(jù)安全法》除外），即要求數(shù)據(jù)處理者在發(fā)生或者可能發(fā)生數(shù)據(jù)泄漏時(shí)，向主管部門或者用戶報(bào)告。數(shù)據(jù)泄露導(dǎo)致數(shù)據(jù)喪失安全狀態(tài)的結(jié)果，應(yīng)該是數(shù)據(jù)處理者并不期望發(fā)生的，或者其發(fā)生已經(jīng)超出了數(shù)據(jù)處理者的控制能力范圍。EDPB《關(guān)于個(gè)人數(shù)據(jù)泄露通知制度的指南2.0版》（Guidelines9/2022onpersonaldatabreachnotificationunderGDPR，Version2.0）中指出，數(shù)據(jù)泄露的結(jié)果是數(shù)據(jù)控制者（datacontroller）不能確保根據(jù)GDPR第5條的要求處理個(gè)人數(shù)據(jù)。恰恰是因?yàn)閿?shù)據(jù)泄露難以絕對(duì)避免，而其又具有相當(dāng)?shù)臄?shù)據(jù)安全風(fēng)險(xiǎn)，所以才對(duì)企業(yè)規(guī)定了通知的義務(wù)。數(shù)據(jù)泄露通知制度的通知，不具有自首的性質(zhì)，也不是要求企業(yè)“自證其罪”。它的核心要義是，要求企業(yè)采取通知的行動(dòng)，獲取主管機(jī)關(guān)的指導(dǎo)或者資源支持，避免用戶以及企業(yè)自身的進(jìn)一步損失?？偨Y(jié)來(lái)說(shuō)，數(shù)據(jù)治理各方都不應(yīng)將“數(shù)據(jù)泄露”本身視為違法行為，否則數(shù)據(jù)泄露通知制度就失去了意義，也不具備落地的可能。數(shù)據(jù)泄露通知制度實(shí)際上是一種單獨(dú)義務(wù)，它獨(dú)立于數(shù)據(jù)安全保障義務(wù)。這一點(diǎn)比較難以理解，在國(guó)內(nèi)也缺乏具體的行業(yè)實(shí)踐，但這是準(zhǔn)確認(rèn)識(shí)數(shù)據(jù)泄露通知制度的關(guān)鍵，也是讓數(shù)據(jù)泄露通知制度真正有效的邏輯起點(diǎn)。具體理解數(shù)據(jù)泄露通知制度的獨(dú)立性，需要考慮實(shí)踐中可能出現(xiàn)四種情形（見(jiàn)下圖）：（1）履行了數(shù)據(jù)泄露通知義務(wù)，也履行了數(shù)據(jù)安全保障義務(wù)——不承擔(dān)任何法律責(zé)任；（2）履行了數(shù)據(jù)泄露通知義務(wù)，而數(shù)據(jù)安全保障義務(wù)未履行——不產(chǎn)生泄露不通知的法律責(zé)任，但要承擔(dān)未履行數(shù)據(jù)安全保障義務(wù)的法律責(zé)任；（3）未履行數(shù)據(jù)泄露通知義務(wù)，而履行了數(shù)據(jù)安全保障義務(wù)——不承擔(dān)數(shù)據(jù)安全保障義務(wù)的法律責(zé)任，但要承擔(dān)不通知的法律責(zé)任；（4）未履行數(shù)據(jù)泄露通知義務(wù)，也未履行數(shù)據(jù)安全保障義務(wù)——既要承擔(dān)不通知的法律責(zé)任，也要承擔(dān)未履行數(shù)據(jù)安全保障義務(wù)的法律責(zé)任。數(shù)據(jù)泄露通知示意圖（實(shí)線箭頭為通知流程，虛線為安全保障義務(wù)流程）之所以數(shù)據(jù)泄露通知制度具有獨(dú)立性，是因?yàn)閿?shù)據(jù)泄露本身的風(fēng)險(xiǎn)性，需要在短時(shí)間內(nèi)調(diào)動(dòng)足夠的資源應(yīng)對(duì)安全隱患，避免發(fā)生更惡性的后果。數(shù)據(jù)泄露通知本質(zhì)上就是信息共享機(jī)制，而信息的來(lái)源就是企業(yè)。數(shù)據(jù)泄露通知制度應(yīng)該設(shè)置單獨(dú)的法律責(zé)任（很多數(shù)據(jù)泄露通知制度都有單獨(dú)法律責(zé)任），以防止企業(yè)擔(dān)心通知后產(chǎn)生對(duì)己不利的后果，而不采取通知的行動(dòng)。事實(shí)上，全面推進(jìn)落實(shí)數(shù)據(jù)泄露通知制度后，數(shù)據(jù)泄露的不利影響反而會(huì)大幅下降，變成常態(tài)化的社會(huì)風(fēng)險(xiǎn)事件，由政府、企業(yè)、用戶以及專業(yè)第三方機(jī)構(gòu)共同應(yīng)對(duì)。而不應(yīng)陷于企業(yè)被動(dòng)曝光后（或者未被曝光但仍需自行應(yīng)對(duì)）獨(dú)自承擔(dān)風(fēng)險(xiǎn)后果的非良性循環(huán)局面。五、對(duì)企業(yè)的合規(guī)啟發(fā)數(shù)據(jù)泄露仍處于高發(fā)態(tài)勢(shì)，但是在數(shù)字社會(huì)的發(fā)展和成熟過(guò)程中，數(shù)據(jù)泄露不是必然可以被根除的現(xiàn)象。數(shù)據(jù)泄露的發(fā)生與否，取決于企業(yè)數(shù)據(jù)安全保障水平的高低，也表現(xiàn)為攻防雙方的零和博弈。絕對(duì)地在法律層面、監(jiān)管層面和輿論層面對(duì)數(shù)據(jù)泄露采取絕對(duì)禁止性的態(tài)度，未必能夠發(fā)揮應(yīng)有的效果。我國(guó)通過(guò)十余年的立法進(jìn)程，不斷重申、持續(xù)完善數(shù)據(jù)泄露通知制度，這反而更應(yīng)該是治理數(shù)據(jù)泄露難題的應(yīng)有之道。值得注意的是，2023年12月，國(guó)家網(wǎng)信辦向社會(huì)公開(kāi)征求對(duì)《網(wǎng)絡(luò)安全事件報(bào)告管理辦法（征求意見(jiàn)稿）》的意見(jiàn)，表明主管層面已經(jīng)在著手推動(dòng)數(shù)據(jù)泄露通知相關(guān)制度走向?qū)嵦?。相關(guān)企業(yè)也應(yīng)注意政策走向，特別是要關(guān)注數(shù)據(jù)泄露通知制度，根據(jù)自身情況及時(shí)作出調(diào)整，開(kāi)展積極的準(zhǔn)備工作。建議企業(yè)提升數(shù)據(jù)安全保護(hù)意識(shí)，確保數(shù)據(jù)安全保障義務(wù)落實(shí)到位。數(shù)據(jù)安全保障義務(wù)需要持續(xù)投入和動(dòng)態(tài)合規(guī)，且在數(shù)據(jù)泄露通知制度中具有終局性的效果——如果違反了數(shù)據(jù)安全保障義務(wù)，則難以免除法律責(zé)任。因此，需要按照《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等規(guī)定做好企業(yè)數(shù)據(jù)合規(guī)工作，特別