數據泄露一直都是數據治理領域的長盛不衰的新聞話題。它是懸于企業頭頂的達克摩斯之劍，但又從未真正落下。我國早在2012年，就對數據泄露問題作出了法律規定（詳見后文）。《網絡安全法》《數據安全法》《個人信息保護法》等重要法律中均涉及數據泄露問題。然而，數據泄露從未停止，反而總能成為頭條新聞，在各類統計盤點中不斷翻新記錄，加劇數據焦慮卻又仿佛無計可施。本文在長期跟蹤、觀察數據領域法律規定和數據合規實踐的基礎上，對數據泄露問題進行研究探討，以期為解決數據泄露問題貢獻一些思路和想法。一、數據泄露現狀雖然世界各國均在不斷推進數據立法和數據保護監管行動，但是過去十幾年來，全球范圍內數據泄露呈現持續上升的趨勢。2023年，IBMSecurity發布的《2023年數據泄露成本報告》顯示，2023年數據泄露的全球平均成本上升至445萬美元，達到歷史新高，比2022年的435萬美元增加了2.3%，比2020年的386萬美元增加了15.3%。其中，醫療領域數據泄露成本最高，達到1093萬美元，其后是金融、能源、工業、科技、服務、運輸、教育等行業，其中金融機構的數據泄露平均成本為590萬美元，能源行業的平均成本為478萬美元，教育行業的平均成本為365萬美元。根據威脅獵人（深圳永安在線科技有限公司旗下品牌）發布的《2023年數據泄露風險年度報告》顯示，2023年全網監測并分析驗證有效的數據泄露事件超過19500起，涉及金融、物流、航旅、電商、汽車等20多個行業。其中，金融行業是2023年公民個人信息泄露事件數量最多的行業，航旅行業出現大幅增長，首次進入排名前三。值得反思的是，隨著數字社會不斷形成和成熟，人們數據保護意識持續提升，企業也在不斷加大數據保護投入，但是數據泄露的情況并未好轉，反而似乎在更為惡化。早在三年前的中國互聯網大會（第二十屆）數據安全論壇上，中國信息通信研究院就表示，2020年全球數據泄露的數量就已經超過過去15年的總和。彼時，數據泄露就成為亟需解決的數據安全問題。可是到了今天，數據泄露仍處于上升趨勢，并未因為問題之迫切而得以妥善解決。根據Verizon《2023年數據泄露調查報告》顯示，在調查的幾萬個安全事件中，內部威脅占25%，75%是外部攻擊導致。在外部攻擊中，51%的網絡攻擊涉及到有組織有計劃的犯罪集團。可以說，應對數據泄露在“人的因素”方面還有很多工作要做。但是，如何更為準確地認識數據泄露并采取合理的行動，可能更為二、何為數據泄露？數據泄露看似是一個難題，但實際上答案要從謎面中尋找。從字面理解，數據泄露可以理解為數據的丟失。但是必須注意到，基于數據的可復制性、非排他性等特點，數據泄露并不必然發生傳統意義上的丟失。只要數據被未經授權地訪問、查看、使用、復制或者刪除等，甚至僅僅因為存在漏洞而有被未經授權地訪問、查看、使用、復制或者刪除的可能，都屬于數據泄露的范疇。國內相關數據立法中均對數據泄露作出了相關規定，雖然內涵基本一致，但在表述上有所不同（詳見下表）。實際上，數據立法中的“數據泄露”的內涵要超出其字面含義。英文中對應數據泄露的法律用語是databreach，此處breach有兩種理解，一是出現了缺口，另一是對規定的違反。按照后一理解，違反的對象應為數據的三性，即機密性、完整性和可用性（confidentiality，integrity，availability，CIA）。因此所謂的數據泄露，應指數據被未經授權地訪問、查看、使用、復制或者刪除，以及存在前述情況的可能，導致數據的保密性、完整性、可用性受到減損。EDPB在其《關于數據泄露通知案例的指南》（Guidelines01/2021onExamplesregardingDataBreachNotification）中及其他相關指南中均指出，數據泄露（databreach）主要有三種典型形式：（1）破壞機密性，導致個人信息被未經授權或者意外地訪問或者公開；（2）破壞完整性，導致個人信息被未經授權或者意外的篡改；（3）破壞可用性，導致個人信息因意外或者未經授權地毀損或表：國內相關立法有關數據泄露的條款國外立法中選擇breach而非loss，leak或者其他單詞，是因為breach相對具有更豐富的內涵。如，美國加利福尼亞州《數據泄露通知法》將breach規定為對系統安全性（securityofthesystem）的破壞。美國華盛頓州《數據泄露通知法》是美國最新的州層面立法，也保持了一致的規定，同樣是對系統安全性（securityofthesystem）的破壞（breach）。歐盟《隱私和電子通信指令》中將“個人信息泄露”（personaldatabreach）界定為對安全性的破壞所導致的意外或者非法毀壞、損失、篡改，未經授權地公開或者訪問。歐盟《個人數據泄露通知條例》中也引用了《隱私和電子通信指令》的定義。《通用數據保護條例》（GeneralDataProtectionRegulation，GDPR）與《隱私和電子通信指令》一致，規定“個人數據泄露”是指對安全性的破壞，導致意外或非法毀壞、丟失、更改、未經授權的公開或者獲取個人數據的傳輸、存儲或其他處理行為。更深一層來看，結合國內外規定綜合理解，databreach所指向的法律制度具有一致性。它不僅是一種對數據本身的破壞，而且是一種對安全義務的破壞，結果上表現為數據安全狀態的喪失。這種破壞包括毀壞、丟失、更改、未經授權的公開或者獲取個人數據的傳輸、存儲或其他處理行為等等，從而產生了breach的實際后果。所以說，數據泄露與數據安全保障義務密切相關，數據泄露在法律意義上指的是破壞了數據安全狀態，而這種破壞可能是因為違反了數據安全保障義務所導致的。需要注意的是，兩者之間又不必然具有因果關系。有些企業在采取了適當的安全保障措施后，仍然不幸地發生了數據泄露事件。因此，世界各國在數據立法中廣泛地建立了數據泄露通知制度，以此作為應對數據泄露的有效法律手段。三、何為數據泄露通知制度數據泄露通知制度是指當企業發生數據泄露事件時，按照相關法律法規和內部政策要求，及時向受影響的用戶、監管機構等相關方發出通知和報告的制度。其主要目的是保護用戶的隱私權和數據安全，確保受影響的用戶能夠及時了解泄露事件的情況，采取必要的措施來減少損失和風險。同時，通過向監管機構報告，有助于監督機構及時了解數據泄露事件的情況，加強監管和追責。一般而言，數據泄露通知制度通常包括以下內容：1.通知對象：包括受影響的用戶、監管機構等相關方。2.通知內容：包括泄露事件的基本情況、影響范圍、應對措施、聯系方式等。3.通知方式：可以通過電子郵件、短信、電話、信函等方式進行通知。4.通知時間：在發現數據泄露事件后，應在合理的時間內向相關方發出通知。5.報告要求：向監管機構報告的要求，包括報告的時間、內容、方式等。如根據《個人信息保護法》第五十七條第一款的規定，發生或者可能發生個人信息泄露、篡改、丟失的，個人信息處理者應當立即采取補救措施，并通知履行個人信息保護職責的部門和個人。通知應當包括下列事項：（1）發生或者可能發生個人信息泄露、篡改、丟失的信息種類、原因和可能造成的危害；（2）個人信息處理者采取的補救措施和個人可以采取的減輕危害的措施；（3）個人信息處理者的聯系方式。不過，企業勢必會擔心通知后產生的不利后果，導致承擔嚴格的法律責任。這是制約數據泄露通知制度落地的重要情緒因素，也反向造成數據泄露持續成為新聞而又不斷升級加劇。事實上，數據泄露通知的制度設計已經充分考量了這一問題，需要在實踐中準確把握應用。按照規范的數據泄露通知制度要求，企業履行通知義務后，反而不應承擔法律責任（需要符合具體場景，詳見后文分析），并能夠更有效地降低企業和用戶損失。四、數據泄露應當承擔什么法律責任？數據泄露屬于網絡安全事件的一種。國家網信辦《網絡安全事件報告管理辦法（征求意見稿）》中將重要數據泄露、個人信息泄露等列入。歐盟也認為個人數據泄露屬于數據安全事件。發生或者可能發生數據泄露時，就會直接觸發企業的通知義務。前述列表中的相關法律規定均規定了數據泄露通知制度（《數據安全法》除外），即要求數據處理者在發生或者可能發生數據泄漏時，向主管部門或者用戶報告。數據泄露導致數據喪失安全狀態的結果，應該是數據處理者并不期望發生的，或者其發生已經超出了數據處理者的控制能力范圍。EDPB《關于個人數據泄露通知制度的指南2.0版》（Guidelines9/2022onpersonaldatabreachnotificationunderGDPR，Version2.0）中指出，數據泄露的結果是數據控制者（datacontroller）不能確保根據GDPR第5條的要求處理個人數據。恰恰是因為數據泄露難以絕對避免，而其又具有相當的數據安全風險，所以才對企業規定了通知的義務。數據泄露通知制度的通知，不具有自首的性質，也不是要求企業“自證其罪”。它的核心要義是，要求企業采取通知的行動，獲取主管機關的指導或者資源支持，避免用戶以及企業自身的進一步損失。總結來說，數據治理各方都不應將“數據泄露”本身視為違法行為，否則數據泄露通知制度就失去了意義，也不具備落地的可能。數據泄露通知制度實際上是一種單獨義務，它獨立于數據安全保障義務。這一點比較難以理解，在國內也缺乏具體的行業實踐，但這是準確認識數據泄露通知制度的關鍵，也是讓數據泄露通知制度真正有效的邏輯起點。具體理解數據泄露通知制度的獨立性，需要考慮實踐中可能出現四種情形（見下圖）：（1）履行了數據泄露通知義務，也履行了數據安全保障義務——不承擔任何法律責任；（2）履行了數據泄露通知義務，而數據安全保障義務未履行——不產生泄露不通知的法律責任，但要承擔未履行數據安全保障義務的法律責任；（3）未履行數據泄露通知義務，而履行了數據安全保障義務——不承擔數據安全保障義務的法律責任，但要承擔不通知的法律責任；（4）未履行數據泄露通知義務，也未履行數據安全保障義務——既要承擔不通知的法律責任，也要承擔未履行數據安全保障義務的法律責任。數據泄露通知示意圖（實線箭頭為通知流程，虛線為安全保障義務流程）之所以數據泄露通知制度具有獨立性，是因為數據泄露本身的風險性，需要在短時間內調動足夠的資源應對安全隱患，避免發生更惡性的后果。數據泄露通知本質上就是信息共享機制，而信息的來源就是企業。數據泄露通知制度應該設置單獨的法律責任（很多數據泄露通知制度都有單獨法律責任），以防止企業擔心通知后產生對己不利的后果，而不采取通知的行動。事實上，全面推進落實數據泄露通知制度后，數據泄露的不利影響反而會大幅下降，變成常態化的社會風險事件，由政府、企業、用戶以及專業第三方機構共同應對。而不應陷于企業被動曝光后（或者未被曝光但仍需自行應對）獨自承擔風險后果的非良性循環局面。五、對企業的合規啟發數據泄露仍處于高發態勢，但是在數字社會的發展和成熟過程中，數據泄露不是必然可以被根除的現象。數據泄露的發生與否，取決于企業數據安全保障水平的高低，也表現為攻防雙方的零和博弈。絕對地在法律層面、監管層面和輿論層面對數據泄露采取絕對禁止性的態度，未必能夠發揮應有的效果。我國通過十余年的立法進程，不斷重申、持續完善數據泄露通知制度，這反而更應該是治理數據泄露難題的應有之道。值得注意的是，2023年12月，國家網信辦向社會公開征求對《網絡安全事件報告管理辦法（征求意見稿）》的意見，表明主管層面已經在著手推動數據泄露通知相關制度走向實處。相關企業也應注意政策走向，特別是要關注數據泄露通知制度，根據自身情況及時作出調整，開展積極的準備工作。建議企業提升數據安全保護意識，確保數據安全保障義務落實到位。數據安全保障義務需要持續投入和動態合規，且在數據泄露通知制度中具有終局性的效果——如果違反了數據安全保障義務，則難以免除法律責任。因此，需要按照《數據安全法》《個人信息保護法》等規定做好企業數據合規工作，特別