不识庐山真面目只缘身在此山中-数据泄露是一个难题还是错题

数据泄露一直都是数据治理领域的长盛不衰的新闻话题。它是悬于企业头顶的达克摩斯之剑，但又从未真正落下。我国早在2012年，就对数据泄露问题作出了法律规定（详见后文）。《网络安全法》《数据安全法》《个人信息保护法》等重要法律中均涉及数据泄露问题。然而，数据泄露从未停止，反而总能成为头条新闻，在各类统计盘点中不断翻新记录，加剧数据焦虑却又仿佛无计可施。本文在长期跟踪、观察数据领域法律规定和数据合规实践的基础上，对数据泄露问题进行研究探讨，以期为解决数据泄露问题贡献一些思路和想法。一、数据泄露现状虽然世界各国均在不断推进数据立法和数据保护监管行动，但是过去十几年来，全球范围内数据泄露呈现持续上升的趋势。2023年，IBMSecurity发布的《2023年数据泄露成本报告》显示，2023年数据泄露的全球平均成本上升至445万美元，达到历史新高，比2022年的435万美元增加了2.3%，比2020年的386万美元增加了15.3%。其中，医疗领域数据泄露成本最高，达到1093万美元，其后是金融、能源、工业、科技、服务、运输、教育等行业，其中金融机构的数据泄露平均成本为590万美元，能源行业的平均成本为478万美元，教育行业的平均成本为365万美元。根据威胁猎人（深圳永安在线科技有限公司旗下品牌）发布的《2023年数据泄露风险年度报告》显示，2023年全网监测并分析验证有效的数据泄露事件超过19500起，涉及金融、物流、航旅、电商、汽车等20多个行业。其中，金融行业是2023年公民个人信息泄露事件数量最多的行业，航旅行业出现大幅增长，首次进入排名前三。值得反思的是，随着数字社会不断形成和成熟，人们数据保护意识持续提升，企业也在不断加大数据保护投入，但是数据泄露的情况并未好转，反而似乎在更为恶化。早在三年前的中国互联网大会（第二十届）数据安全论坛上，中国信息通信研究院就表示，2020年全球数据泄露的数量就已经超过过去15年的总和。彼时，数据泄露就成为亟需解决的数据安全问题。可是到了今天，数据泄露仍处于上升趋势，并未因为问题之迫切而得以妥善解决。根据Verizon《2023年数据泄露调查报告》显示，在调查的几万个安全事件中，内部威胁占25%，75%是外部攻击导致。在外部攻击中，51%的网络攻击涉及到有组织有计划的犯罪集团。可以说，应对数据泄露在“人的因素”方面还有很多工作要做。但是，如何更为准确地认识数据泄露并采取合理的行动，可能更为二、何为数据泄露？数据泄露看似是一个难题，但实际上答案要从谜面中寻找。从字面理解，数据泄露可以理解为数据的丢失。但是必须注意到，基于数据的可复制性、非排他性等特点，数据泄露并不必然发生传统意义上的丢失。只要数据被未经授权地访问、查看、使用、复制或者删除等，甚至仅仅因为存在漏洞而有被未经授权地访问、查看、使用、复制或者删除的可能，都属于数据泄露的范畴。国内相关数据立法中均对数据泄露作出了相关规定，虽然内涵基本一致，但在表述上有所不同（详见下表）。实际上，数据立法中的“数据泄露”的内涵要超出其字面含义。英文中对应数据泄露的法律用语是databreach，此处breach有两种理解，一是出现了缺口，另一是对规定的违反。按照后一理解，违反的对象应为数据的三性，即机密性、完整性和可用性（confidentiality，integrity，availability，CIA）。因此所谓的数据泄露，应指数据被未经授权地访问、查看、使用、复制或者删除，以及存在前述情况的可能，导致数据的保密性、完整性、可用性受到减损。EDPB在其《关于数据泄露通知案例的指南》（Guidelines01/2021onExamplesregardingDataBreachNotification）中及其他相关指南中均指出，数据泄露（databreach）主要有三种典型形式：（1）破坏机密性，导致个人信息被未经授权或者意外地访问或者公开；（2）破坏完整性，导致个人信息被未经授权或者意外的篡改；（3）破坏可用性，导致个人信息因意外或者未经授权地毁损或表：国内相关立法有关数据泄露的条款国外立法中选择breach而非loss，leak或者其他单词，是因为breach相对具有更丰富的内涵。如，美国加利福尼亚州《数据泄露通知法》将breach规定为对系统安全性（securityofthesystem）的破坏。美国华盛顿州《数据泄露通知法》是美国最新的州层面立法，也保持了一致的规定，同样是对系统安全性（securityofthesystem）的破坏（breach）。欧盟《隐私和电子通信指令》中将“个人信息泄露”（personaldatabreach）界定为对安全性的破坏所导致的意外或者非法毁坏、损失、篡改，未经授权地公开或者访问。欧盟《个人数据泄露通知条例》中也引用了《隐私和电子通信指令》的定义。《通用数据保护条例》（GeneralDataProtectionRegulation，GDPR）与《隐私和电子通信指令》一致，规定“个人数据泄露”是指对安全性的破坏，导致意外或非法毁坏、丢失、更改、未经授权的公开或者获取个人数据的传输、存储或其他处理行为。更深一层来看，结合国内外规定综合理解，databreach所指向的法律制度具有一致性。它不仅是一种对数据本身的破坏，而且是一种对安全义务的破坏，结果上表现为数据安全状态的丧失。这种破坏包括毁坏、丢失、更改、未经授权的公开或者获取个人数据的传输、存储或其他处理行为等等，从而产生了breach的实际后果。所以说，数据泄露与数据安全保障义务密切相关，数据泄露在法律意义上指的是破坏了数据安全状态，而这种破坏可能是因为违反了数据安全保障义务所导致的。需要注意的是，两者之间又不必然具有因果关系。有些企业在采取了适当的安全保障措施后，仍然不幸地发生了数据泄露事件。因此，世界各国在数据立法中广泛地建立了数据泄露通知制度，以此作为应对数据泄露的有效法律手段。三、何为数据泄露通知制度数据泄露通知制度是指当企业发生数据泄露事件时，按照相关法律法规和内部政策要求，及时向受影响的用户、监管机构等相关方发出通知和报告的制度。其主要目的是保护用户的隐私权和数据安全，确保受影响的用户能够及时了解泄露事件的情况，采取必要的措施来减少损失和风险。同时，通过向监管机构报告，有助于监督机构及时了解数据泄露事件的情况，加强监管和追责。一般而言，数据泄露通知制度通常包括以下内容：1.通知对象：包括受影响的用户、监管机构等相关方。2.通知内容：包括泄露事件的基本情况、影响范围、应对措施、联系方式等。3.通知方式：可以通过电子邮件、短信、电话、信函等方式进行通知。4.通知时间：在发现数据泄露事件后，应在合理的时间内向相关方发出通知。5.报告要求：向监管机构报告的要求，包括报告的时间、内容、方式等。如根据《个人信息保护法》第五十七条第一款的规定，发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项：（1）发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害；（2）个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施；（3）个人信息处理者的联系方式。不过，企业势必会担心通知后产生的不利后果，导致承担严格的法律责任。这是制约数据泄露通知制度落地的重要情绪因素，也反向造成数据泄露持续成为新闻而又不断升级加剧。事实上，数据泄露通知的制度设计已经充分考量了这一问题，需要在实践中准确把握应用。按照规范的数据泄露通知制度要求，企业履行通知义务后，反而不应承担法律责任（需要符合具体场景，详见后文分析），并能够更有效地降低企业和用户损失。四、数据泄露应当承担什么法律责任？数据泄露属于网络安全事件的一种。国家网信办《网络安全事件报告管理办法（征求意见稿）》中将重要数据泄露、个人信息泄露等列入。欧盟也认为个人数据泄露属于数据安全事件。发生或者可能发生数据泄露时，就会直接触发企业的通知义务。前述列表中的相关法律规定均规定了数据泄露通知制度（《数据安全法》除外），即要求数据处理者在发生或者可能发生数据泄漏时，向主管部门或者用户报告。数据泄露导致数据丧失安全状态的结果，应该是数据处理者并不期望发生的，或者其发生已经超出了数据处理者的控制能力范围。EDPB《关于个人数据泄露通知制度的指南2.0版》（Guidelines9/2022onpersonaldatabreachnotificationunderGDPR，Version2.0）中指出，数据泄露的结果是数据控制者（datacontroller）不能确保根据GDPR第5条的要求处理个人数据。恰恰是因为数据泄露难以绝对避免，而其又具有相当的数据安全风险，所以才对企业规定了通知的义务。数据泄露通知制度的通知，不具有自首的性质，也不是要求企业“自证其罪”。它的核心要义是，要求企业采取通知的行动，获取主管机关的指导或者资源支持，避免用户以及企业自身的进一步损失。总结来说，数据治理各方都不应将“数据泄露”本身视为违法行为，否则数据泄露通知制度就失去了意义，也不具备落地的可能。数据泄露通知制度实际上是一种单独义务，它独立于数据安全保障义务。这一点比较难以理解，在国内也缺乏具体的行业实践，但这是准确认识数据泄露通知制度的关键，也是让数据泄露通知制度真正有效的逻辑起点。具体理解数据泄露通知制度的独立性，需要考虑实践中可能出现四种情形（见下图）：（1）履行了数据泄露通知义务，也履行了数据安全保障义务——不承担任何法律责任；（2）履行了数据泄露通知义务，而数据安全保障义务未履行——不产生泄露不通知的法律责任，但要承担未履行数据安全保障义务的法律责任；（3）未履行数据泄露通知义务，而履行了数据安全保障义务——不承担数据安全保障义务的法律责任，但要承担不通知的法律责任；（4）未履行数据泄露通知义务，也未履行数据安全保障义务——既要承担不通知的法律责任，也要承担未履行数据安全保障义务的法律责任。数据泄露通知示意图（实线箭头为通知流程，虚线为安全保障义务流程）之所以数据泄露通知制度具有独立性，是因为数据泄露本身的风险性，需要在短时间内调动足够的资源应对安全隐患，避免发生更恶性的后果。数据泄露通知本质上就是信息共享机制，而信息的来源就是企业。数据泄露通知制度应该设置单独的法律责任（很多数据泄露通知制度都有单独法律责任），以防止企业担心通知后产生对己不利的后果，而不采取通知的行动。事实上，全面推进落实数据泄露通知制度后，数据泄露的不利影响反而会大幅下降，变成常态化的社会风险事件，由政府、企业、用户以及专业第三方机构共同应对。而不应陷于企业被动曝光后（或者未被曝光但仍需自行应对）独自承担风险后果的非良性循环局面。五、对企业的合规启发数据泄露仍处于高发态势，但是在数字社会的发展和成熟过程中，数据泄露不是必然可以被根除的现象。数据泄露的发生与否，取决于企业数据安全保障水平的高低，也表现为攻防双方的零和博弈。绝对地在法律层面、监管层面和舆论层面对数据泄露采取绝对禁止性的态度，未必能够发挥应有的效果。我国通过十余年的立法进程，不断重申、持续完善数据泄露通知制度，这反而更应该是治理数据泄露难题的应有之道。值得注意的是，2023年12月，国家网信办向社会公开征求对《网络安全事件报告管理办法（征求意见稿）》的意见，表明主管层面已经在着手推动数据泄露通知相关制度走向实处。相关企业也应注意政策走向，特别是要关注数据泄露通知制度，根据自身情况及时作出调整，开展积极的准备工作。建议企业提升数据安全保护意识，确保数据安全保障义务落实到位。数据安全保障义务需要持续投入和动态合规，且在数据泄露通知制度中具有终局性的效果——如果违反了数据安全保障义务，则难以免除法律责任。因此，需要按照《数据安全法》《个人信息保护法》等规定做好企业数据合规工作，特别