信息化觀察網(wǎng)

在全球數(shù)字經(jīng)濟發(fā)展的大背景下，數(shù)據(jù)已經(jīng)成為最具價值的生產(chǎn)要素之一，被公認為二十一世紀的“新石油”和“新黃金”。與此同時，數(shù)據(jù)安全成為重要的議題，數(shù)據(jù)泄露問題成為數(shù)據(jù)企業(yè)當前面臨的最大挑戰(zhàn)，而專門圍繞企業(yè)數(shù)據(jù)泄露法律防治展開的研究較少。企業(yè)數(shù)據(jù)泄露問題的現(xiàn)狀如何、企業(yè)數(shù)據(jù)泄露的責任如何界定、既有法律規(guī)范如何完善，都是亟須關(guān)注和研究的問題。

一、企業(yè)數(shù)據(jù)泄露的現(xiàn)狀：原因、危害及治理困境

企業(yè)數(shù)據(jù)是企業(yè)在經(jīng)營活動中所持有、控制的以符號或代碼形式表現(xiàn)出來的數(shù)據(jù)，主要包括企業(yè)的原生數(shù)據(jù)和衍生數(shù)據(jù)。與個人數(shù)據(jù)、公共數(shù)據(jù)不同，企業(yè)數(shù)據(jù)具有顯著的稀缺性和經(jīng)濟價值，屬于企業(yè)的無形資產(chǎn)。當數(shù)據(jù)權(quán)利人的數(shù)據(jù)信息未經(jīng)其允許被公開時，即發(fā)生了數(shù)據(jù)泄露。歐盟《通用數(shù)據(jù)保護條例》（GDPR）給出了全面和準確的數(shù)據(jù)泄露定義，其中第四條規(guī)定，數(shù)據(jù)泄露指違反數(shù)據(jù)在傳輸、存儲或者進行其他處理時的安全原則引發(fā)的數(shù)據(jù)被意外或者非法破壞、丟失、更改、未經(jīng)授權(quán)披露和訪問。多數(shù)的數(shù)據(jù)泄露行為屬于侵害數(shù)據(jù)安全的行為。

目前，企業(yè)發(fā)生數(shù)據(jù)泄露的原因多種多樣，不僅有企業(yè)員工利用職務(wù)便利故意或者過失造成的數(shù)據(jù)泄露，也有因企業(yè)儲存數(shù)據(jù)的服務(wù)器或者企業(yè)員工的電腦客戶端遭到黑客攻擊而引發(fā)的數(shù)據(jù)泄露。由于目前全球已建立多個規(guī)模化的數(shù)據(jù)中心，企業(yè)收集和處理的數(shù)據(jù)，較之前相比，更容易成為黑客攻擊的對象，導(dǎo)致大量的企業(yè)數(shù)據(jù)泄露后流入黑灰產(chǎn)鏈條中。而且，當前企業(yè)泄露的數(shù)據(jù)往往在暗網(wǎng)上完成交易，并通過比特幣等數(shù)字貨幣完成支付，而數(shù)字貨幣的追蹤難度很大，也在一定程度上增加了數(shù)據(jù)泄漏治理的難度。就數(shù)據(jù)泄露發(fā)生的環(huán)節(jié)而言，既有數(shù)據(jù)采集端，也有數(shù)據(jù)傳輸端和數(shù)據(jù)使用端。根據(jù)天際友盟的統(tǒng)計，造成數(shù)據(jù)泄露的常見原因主要為供應(yīng)鏈第三方泄露，尤其是在新冠肺炎疫情期間，供應(yīng)鏈第三方數(shù)據(jù)泄露事件發(fā)生頻繁。隨著物聯(lián)網(wǎng)、云計算等新技術(shù)與大數(shù)據(jù)的融合發(fā)展，數(shù)據(jù)企業(yè)持有海量的數(shù)據(jù)。作為網(wǎng)絡(luò)服務(wù)的特殊產(chǎn)業(yè)形態(tài)，云存儲服務(wù)中的數(shù)據(jù)泄露問題也需要引起關(guān)注。

數(shù)據(jù)泄露帶來的損失涉及多個方面，不僅會給商業(yè)數(shù)據(jù)的權(quán)利人帶來重大經(jīng)濟損失，而且對企業(yè)的聲譽及核心競爭力也將產(chǎn)生不可估量的減損。當數(shù)據(jù)集合包含個人信息時，也可能會造成個人隱私泄露和名譽損害。此外，被泄露的數(shù)據(jù)為違法分子進行經(jīng)濟詐騙提供了便利。2016年“徐玉玉案”的源頭便是掌握考生信息的企業(yè)網(wǎng)站受到黑客攻擊所致，包含十萬余條考生個人信息數(shù)據(jù)泄露，教訓慘痛。

目前，企業(yè)數(shù)據(jù)泄露的治理在法律層面存在多重困境：其一，企業(yè)數(shù)據(jù)泄露的責任界定不清晰。網(wǎng)絡(luò)服務(wù)運營商、數(shù)據(jù)存儲服務(wù)商、企業(yè)內(nèi)部員工以及企業(yè)外部第三方之間的責任劃分不清晰，刑事責任、行政責任、民事責任具體如何適用法律規(guī)范不明確。其二，各國關(guān)于企業(yè)數(shù)據(jù)泄露的法律體系不同，對企業(yè)數(shù)據(jù)泄露的界定標準、責任承擔及域外適用等規(guī)定不統(tǒng)一。其三，泄露企業(yè)數(shù)據(jù)的違法成本、犯罪成本較低，遠遠低于企業(yè)的防范成本，對相關(guān)責任主體的威懾不足。其四，企業(yè)通過訴訟或者仲裁的方式處理企業(yè)數(shù)據(jù)泄露事件的周期較長，不利于及時止損。

二、企業(yè)數(shù)據(jù)泄露的法律適用：責任主體與責任界定

目前，我國已頒布的與數(shù)據(jù)安全相關(guān)的法律規(guī)范主要包括：2012年頒布的《全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》、2013年頒布的《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》、2013年修正的《消費者權(quán)益保護法》、2021年開始實施的《刑法修正案（十一）》、2016年公布的《網(wǎng)絡(luò)安全法》、2021年開始實施的《民法典》，以及正在制定過程中的“數(shù)據(jù)安全法”“個人信息保護法”“數(shù)據(jù)安全管理辦法”等。同時，也有已經(jīng)頒布的《天津市數(shù)據(jù)安全管理辦法（暫行）》《貴州省大數(shù)據(jù)安全保障條例》等地方規(guī)范性文件。

當企業(yè)數(shù)據(jù)泄露是因其員工為謀求不正當利益故意或者在業(yè)務(wù)往來中的工作過失造成時，一方面，企業(yè)作為數(shù)據(jù)的持有人，可以基于《勞動合同法》向員工主張賠償。此外，《反不正當競爭法》亦對違法獲取、披露、使用其他企業(yè)商業(yè)秘密的行為予以規(guī)制。當數(shù)據(jù)泄露因供應(yīng)鏈第三方的原因造成時，企業(yè)數(shù)據(jù)的權(quán)利人可以追究供應(yīng)鏈第三方相應(yīng)的違約、侵權(quán)等法律責任。另一方面，企業(yè)基于其存儲、收集信息的行為承擔相應(yīng)的數(shù)據(jù)安全保護義務(wù)，因企業(yè)數(shù)據(jù)泄露，給數(shù)據(jù)所含有的個人信息對應(yīng)個體造成民事權(quán)利損害的，持有數(shù)據(jù)的企業(yè)應(yīng)承擔民事責任。

當數(shù)據(jù)泄露是因為數(shù)據(jù)持有企業(yè)遭到違法分子網(wǎng)絡(luò)攻擊導(dǎo)致時，涉及的是數(shù)據(jù)持有企業(yè)、數(shù)據(jù)存儲服務(wù)提供商、網(wǎng)絡(luò)攻擊者三方的責任劃分。首先，最容易界定的是網(wǎng)絡(luò)攻擊者的責任。《民法典》第一百二十七條已明確規(guī)定企業(yè)持有的數(shù)據(jù)是民事權(quán)利的客體，受法律保護，網(wǎng)絡(luò)攻擊者的攻擊行為導(dǎo)致數(shù)據(jù)持有企業(yè)發(fā)生數(shù)據(jù)泄露，應(yīng)當承擔民事侵權(quán)責任。情節(jié)嚴重的，網(wǎng)絡(luò)攻擊者還須承擔非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪、破壞計算機信息系統(tǒng)罪、侵犯公民個人信息罪等刑事責任。另外，由于企業(yè)持有的衍生數(shù)據(jù)在符合法定要件的情況下可以成為知識產(chǎn)權(quán)的權(quán)利客體，網(wǎng)絡(luò)攻擊者亦可能構(gòu)成侵犯著作權(quán)罪、侵犯商業(yè)秘密罪等。

在因網(wǎng)絡(luò)安全事件導(dǎo)致的數(shù)據(jù)泄露事件中，通常情況下，數(shù)據(jù)持有企業(yè)亦難咎其責。企業(yè)在對海量個人數(shù)據(jù)收集、處理、控制的過程中，負有數(shù)據(jù)安全保護義務(wù)?！睹穹ǖ洹返谝磺Я闳藯l第二款、《消費者權(quán)益保護法》第二十九條第二款、《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》第四條、《網(wǎng)絡(luò)安全法》第二十一條與第四十二條第二款，均規(guī)定了企業(yè)確保數(shù)據(jù)安全、防止數(shù)據(jù)泄露的義務(wù)。確保數(shù)據(jù)安全的義務(wù)有兩方面的要求，一方面，企業(yè)應(yīng)當確保數(shù)據(jù)不被損壞、遺失、丟失，不發(fā)生物理損失；另一方面，企業(yè)應(yīng)當確保數(shù)據(jù)不被泄露、侵入或者發(fā)生其他類似情形。根據(jù)《網(wǎng)絡(luò)安全法》的規(guī)定，作為網(wǎng)絡(luò)運營者的企業(yè)對收集、持有的數(shù)據(jù)負有安全保護義務(wù)，保障數(shù)據(jù)系統(tǒng)不被干擾、破壞或入侵，防止數(shù)據(jù)泄露或被竊取或篡改。《網(wǎng)絡(luò)安全法》第七十四條規(guī)定：“違反本法規(guī)定，給他人造成損害的，依法承擔民事責任”。此外，《網(wǎng)絡(luò)安全法》第五十九條還規(guī)定了罰款、責令改正等行政處罰。另外，2015年通過的《刑法修正案（九）》，增設(shè)了“拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪”，將網(wǎng)絡(luò)信息的維護責任納入《刑法》的規(guī)制范圍。若數(shù)據(jù)控制者拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)導(dǎo)致嚴重后果，將按照《刑法》第二百八十六條之一規(guī)定，承擔刑事責任。若泄露的企業(yè)數(shù)據(jù)涉及特定信息，企業(yè)與惡意攻擊者均有可能構(gòu)成侵犯著作權(quán)罪、侵犯商業(yè)秘密罪與侵犯公民個人信息罪等。

當企業(yè)發(fā)現(xiàn)數(shù)據(jù)泄露后，應(yīng)當立即履行通知和報告義務(wù)。數(shù)據(jù)的監(jiān)管機構(gòu)和權(quán)利人很難發(fā)現(xiàn)數(shù)據(jù)泄露，導(dǎo)致權(quán)利人難以及時采取措施避免損失擴大。網(wǎng)絡(luò)運營者作為數(shù)據(jù)的直接控制主體，可以通過內(nèi)外部監(jiān)控兩種方式的結(jié)合，第一時間判斷是否發(fā)生數(shù)據(jù)泄露并采取相應(yīng)措施?！毒W(wǎng)絡(luò)安全法》第四十二條第二款規(guī)定了網(wǎng)絡(luò)運營者在發(fā)現(xiàn)數(shù)據(jù)泄露后的通知和報告義務(wù)，并在第六十四條規(guī)定了不履行此義務(wù)的行政責任，包括責令改正、警告、罰款、責令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照等處罰措施。從民事責任的角度考慮，若企業(yè)違反數(shù)據(jù)泄露后的通知義務(wù)，數(shù)據(jù)權(quán)利人有權(quán)根據(jù)其損失向企業(yè)行使損害賠償請求權(quán)。

如果企業(yè)數(shù)據(jù)存儲于專門的數(shù)據(jù)存儲服務(wù)提供商的服務(wù)器中，數(shù)據(jù)存儲服務(wù)提供商本質(zhì)上是網(wǎng)絡(luò)服務(wù)提供者的一種特殊形式，也應(yīng)當適用網(wǎng)絡(luò)服務(wù)提供者相關(guān)的法律規(guī)范。一方面，數(shù)據(jù)持有企業(yè)通常會與數(shù)據(jù)存儲服務(wù)提供商簽訂存儲服務(wù)合同或者產(chǎn)品使用合同，通過約定服務(wù)內(nèi)容、費用、期限、維護以及違約責任等條款，明確雙方權(quán)利義務(wù)。存儲于數(shù)據(jù)存儲服務(wù)提供商的服務(wù)器中的企業(yè)數(shù)據(jù)發(fā)生泄露時，數(shù)據(jù)存儲服務(wù)提供商應(yīng)當依據(jù)《民法典》合同編向企業(yè)承擔違約責任。若合同中明確將網(wǎng)絡(luò)攻擊者的原因作為不可抗力，發(fā)生數(shù)據(jù)泄露后，數(shù)據(jù)存儲服務(wù)提供商可以部分或者全部免除責任。

另一方面，根據(jù)《網(wǎng)絡(luò)安全法》的規(guī)定，發(fā)生危害網(wǎng)絡(luò)安全事件時，數(shù)據(jù)存儲服務(wù)提供商應(yīng)當為其數(shù)據(jù)存儲服務(wù)持續(xù)提供安全維護，保證存儲數(shù)據(jù)的完整性、保密性和可用性，當發(fā)現(xiàn)數(shù)據(jù)儲存服務(wù)器和存儲環(huán)境存在安全隱患和數(shù)據(jù)泄露風險時，應(yīng)當立即啟動應(yīng)急預(yù)案，采取相應(yīng)補救措施，并及時告知數(shù)據(jù)持有企業(yè)，向相關(guān)主管部門報告。否則，數(shù)據(jù)存儲服務(wù)提供商應(yīng)當向數(shù)據(jù)持有企業(yè)與個人信息的權(quán)利人承擔民事侵權(quán)責任，同時須承擔《網(wǎng)絡(luò)安全法》第五十九條、第六十條規(guī)定的責令改正、警告、罰款等行政責任。數(shù)據(jù)存儲服務(wù)提供商承擔相應(yīng)賠償責任后，有權(quán)向網(wǎng)絡(luò)攻擊者進行追償。若數(shù)據(jù)存儲服務(wù)提供商與網(wǎng)絡(luò)攻擊者惡意串通，構(gòu)成共同侵權(quán)的情況下，將承擔連帶責任。

當企業(yè)持有的數(shù)據(jù)存儲于專門的數(shù)據(jù)存儲服務(wù)提供商的服務(wù)器中，信息網(wǎng)絡(luò)安全管理義務(wù)也應(yīng)由數(shù)據(jù)持有企業(yè)相應(yīng)地轉(zhuǎn)移到數(shù)據(jù)存儲服務(wù)提供商。若數(shù)據(jù)存儲服務(wù)提供商拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)導(dǎo)致嚴重后果，須按照《刑法》第二百八十六條之一拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪的規(guī)定，承擔刑事責任。

三、關(guān)于企業(yè)數(shù)據(jù)泄露治理的幾點建議：完善與整合

基于目前企業(yè)數(shù)據(jù)泄露的治理存在的困境和既有數(shù)據(jù)安全相關(guān)法律規(guī)范，應(yīng)當從以下方面進行調(diào)整和完善。

一是應(yīng)當盡快出臺數(shù)據(jù)安全法和個人信息保護法。目前，關(guān)于數(shù)據(jù)安全相關(guān)的法律規(guī)范較少，且分布零散，導(dǎo)致企業(yè)的責任難以界定、監(jiān)管缺位。應(yīng)當在現(xiàn)有規(guī)定的基礎(chǔ)上進行細化、整合，盡快形成適應(yīng)我國數(shù)據(jù)發(fā)展現(xiàn)狀的數(shù)據(jù)安全法律體系。例如，關(guān)于企業(yè)數(shù)據(jù)權(quán)屬的確定方式、類型劃分的內(nèi)容，關(guān)于企業(yè)通知義務(wù)的通知主體、通知內(nèi)容以及具體通知方式的內(nèi)容，關(guān)于企業(yè)數(shù)據(jù)泄露后的損失確定標準、賠償標準的內(nèi)容，關(guān)于數(shù)據(jù)處理環(huán)節(jié)的重點規(guī)范內(nèi)容等。

二是應(yīng)當加大對數(shù)據(jù)泄露責任主體的處罰力度。目前，企業(yè)數(shù)據(jù)泄露的違法成本較低，遠遠小于利用泄露的數(shù)據(jù)所獲利益，也遠遠低于企業(yè)的防御成本。歐盟《通用數(shù)據(jù)保護條例》將罰款的上限調(diào)整為2000萬歐元或公司上一年度全球營業(yè)額的4%。我國《數(shù)據(jù)安全法（草案二次審議稿）》第四十四條規(guī)定了關(guān)于數(shù)據(jù)泄露的罰則?？山璺芍贫ㄖ畽C，加大責任追究力度，提高泄露數(shù)據(jù)的違法成本。通過加大處罰力度，促使數(shù)據(jù)企業(yè)和內(nèi)部員工提高數(shù)據(jù)泄露防范意識，加強數(shù)據(jù)風險防范，從事前、事中和事后做好數(shù)據(jù)安全的閉環(huán)管理，建立完善的數(shù)據(jù)安全與數(shù)據(jù)泄露防護體系。

三是應(yīng)當完善相關(guān)舉證規(guī)則和證明標準。根據(jù)現(xiàn)有證明規(guī)則和證明標準，個人信息的權(quán)利人難以證明企業(yè)泄露數(shù)據(jù)的侵權(quán)或者違約事實、因果關(guān)系等違法構(gòu)成要件，很難通過訴訟維權(quán)。應(yīng)當在調(diào)整、完善證明規(guī)則和標準的基礎(chǔ)上，探索應(yīng)對數(shù)據(jù)泄露大規(guī)模侵權(quán)或違約行為而開展集體訴訟、公益訴訟。

四是應(yīng)當適度擴充數(shù)據(jù)法律規(guī)范的域外效力。目前，《數(shù)據(jù)安全法（草案二次審議稿）》第二條規(guī)定了該法的域外效力，增加規(guī)定了保護性管轄的原則，為我國維護數(shù)據(jù)安全提供了管轄權(quán)依據(jù)。有待完善的是，第一款規(guī)定僅適用于在我國境內(nèi)開展的數(shù)據(jù)活動，難以應(yīng)對目前數(shù)據(jù)跨境流動日益頻繁的現(xiàn)實情況。歐盟《通用數(shù)據(jù)保護條例》規(guī)定，“本例適用于在歐盟內(nèi)部設(shè)立的數(shù)據(jù)控制者或處理者對個人數(shù)據(jù)的處理，不論其數(shù)據(jù)處理是否位于歐盟內(nèi)部。”此規(guī)定與各國通用的數(shù)據(jù)活動管轄原則一致。我國也應(yīng)當擴充《數(shù)據(jù)安全法（草案）》的域外效力，無論數(shù)據(jù)處理行為是否發(fā)生在我國領(lǐng)域內(nèi)，都應(yīng)當適用。

總體看，大數(shù)據(jù)時代，面對嚴峻的數(shù)據(jù)泄露問題，我國應(yīng)當盡快形成完善的數(shù)據(jù)泄露防治體系，明確相關(guān)主體的責任邊界，對掌握海量數(shù)據(jù)的企業(yè)提出更高的管理、維護、監(jiān)控和處置要求，對數(shù)據(jù)企業(yè)的主管部門提出更高的監(jiān)管和執(zhí)法要求。有效預(yù)防和治理數(shù)據(jù)泄露事件，促進國家數(shù)字經(jīng)濟健康發(fā)展。

（本文刊登于《中國信息安全》雜志2021年第5期）