从救济到防控：数据泄露通知制度的理论逻辑与本土建构

摘 要：数据利用同数据安全间的张力催生了数据泄露通知制度的出现，该制度设计不仅可保障数据相关个体以及有关监管部门在数据安全事件发生后及时介入，亦会反向促使义务主体不断更新数字密码技术手段，完善数据加密等安全保障技术。但目前数据泄露通知制度的本土建构仍存在有待完善之处，需以数据泄露通知制度的底层法理为逻辑原点，立足于反身法理论对该制度加以革新，构建数据控制/处理者—监管机构—个人的介入路径以形成数据安全的半自主社会系统，最终提供覆盖数据全生命周期的安全保障。

关键词：数据泄露；价值平衡；反身法；风险分担

中图分类号：D 912 文献标志码：A 文章编号：2096-9783（2024）04⁃0051⁃09

一、问题的提出

“在大数据时代，创造数据、存储数据、记录数据、运用数据成为新常态。但是，云计算、大数据带来的数字安全隐患，庞大的‘数据池’将数字革命中的个体卷入‘数字化’的黑洞”[1]。其中，数据泄露是数据安全风险的主要来源之一。近十年，全球已发生数万起数据泄露事件，被泄露数据达到千亿条，典型事件如“Facebook用户数据泄露事件”“美国信用机构Equifax用户数据泄露事件”“华住数据泄露案”等，不仅引发了民众对于数据安全保障的紧迫诉求，亦产生其与数据流通实际需要间的矛盾。特别是在以数据深度运用为运行逻辑的ChatGPT等生成式人工智能现象级流行的社会现实下，数据流通所蕴含的社会民众群体性利益，特定数据个体对于数据所涉信息的安全保障及个体自决权利的多重诉求使得如何尽可能规避数据泄露及减少其所带来的负面影响成为全球通识性课题。2002年美国加利福尼亚州《数据安全泄露通知法案》打响数据泄露通知制度的“第一枪”后，各国有关数据泄露通知制度的相关规范犹如雨后春笋，不断更新完善1。我国也逐步推进了该制度的立法化，在《中华人民共和国民法典》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）、《中华人民共和国网络安全法》（以下简称《网络安全法》）等规范中，明确了信息处理者或网络运营商的数据泄露通知义务，但相关规范在形式上呈现较为分散的状态，各规范间衔接与协调不足。而且，现有立法整体呈现“疲软”状态，停留于文本层面的相关规定难以有力促使相关数据控制/处理者积极履行数据泄露通知义务，这使得我国相关规范并未如预期那般有效消解数据泄露事件所带来的负面影响，数据泄露事件发生数量甚至呈现逐年上升趋势。在理论层面，我国对于数据泄露通知制度的研究重心或是放置于镜鉴、评介域外数据泄露通知制度，或是放置于本国的数据泄露通知制度的解释或完善层面，虽为数据泄露通知制度的本土化完善提供了相当的正向意义，但鲜少思考构建数据泄露通知制度的深层逻辑。这使得数据泄露通知制度仍然面临着诸多挑战，如企业遵守意愿较低、数据主体发挥协同治理作用不大等。现阶段更应注重厘清数据泄露通知制度深层逻辑，以此探索并指引构建“数据监管主体”“数据控制/处理者”“数据主体”多元主体协同有效保障数据安全的制度框架。

二、数据泄露通知制度的现实缺憾

作为流动性较强的生产要素，数据自由流动同安全保障之间张力愈发明显。面对错综复杂的网络（数据）安全事件时，预设的规范体系往往难以有效应对。以数据安全事件发生后的挽救措施——数据泄露通知制度为例，充斥于立法层面的宣示性规定似乎仅仅表达了立法者对于解决数据安全事件的决心，但因其缺乏明确性且实现成本较高，导致数据利用中的多元主体对于该制度的落地意愿不强甚至“一无所知”。

（一）外部表现：数据泄露通知制度的现实挑战

首先，数据相关主体具有陷入“通知疲劳”的高度风险。数据泄露通知制度在我国仍属“起步”阶段，作为数据安全保障义务主体的数据控制/处理者在发生数据泄露等数据安全事件时需要及时履行数据泄露通知义务，但该义务所指向的通知对象范围应当为何？从应然的角度出发，应当包括相关监管部门和受数据泄露影响的数据主体。但就实然层面而言，数据安全事件所关涉的相关数据主体不仅体量庞大，类型也具多样化。而且，我国也并未规定触发数据泄露通知制度的前置条件，如对数据泄露事件先进行分析、救济，再决定是否通知，这就可能在实践中出现“个人信息一遭未经授权的访问就需履行通知义务”的现象。在义务内容模糊的立法现实下要求数据控制/处理者履行该制度将造成没有风险或者风险极低的数据主体不必要的“通知疲劳”。不仅如此，数据全生命周期包括收集、存储、处理、分析、保护和销毁，为保障数据要素产能高效发挥，通常由不同企业（平台）承担各个部分的数据处理任务，即某一企业将收集并处于其控制状态下的数据发包交由数据计算服务商等合作公司进行处理、分析。倘若其中一方引发数据泄露，此时对数据呈持有/控制状态的多方主体都需履行数据泄露通知义务，其中亦隐含着诸多隐忧：其一，多方主体间因引发数据泄露的责任和履行数据泄露通知义务的权责不清造成二次民事纠纷；其二，多方主体反复通知数据主体发生数据泄露事故，不仅将过度耗费社会资源，也将造成信息过载，无法实现数据泄露通知制度预设之目的；其三，数据相关主体收到从未存储或填写过涉个人信息相关数据的平台发来的数据泄露通知时，极易产生自己的隐私早已被周转至各个平台从而处于高度不确定风险的担忧之中。综上，不确定的数据泄露通知制度的触发条件以及不确定的制度适用范围可能使得数据泄露通知频率较高，“信息过载”将导致数据主体产生“狼来了”的心态，心态上对数据泄露事件的危险性逐渐XAGzK26f0pGRE6YiCDW02Q==麻痹。美国一项研究显示，大部分消费者在收到数据泄露通知的邮件通知后往往都会选择忽略，近半数的消费者也是在经过回想后才发觉该通知信息之重要性，由此丧失了对相关数据采取保护措施的最佳时机。

其次，以企业为代表的数据控制/处理者遵守数据通知制度的意愿不高。触发条件不清的数据泄露通知义务使得企业的履职工作承受着较大的成本压力。一方面，我国暂时仅在原则性层面规定了数据泄露通知制度，这意味着凡是发生数据泄露安全事件企业就应当履行该义务，即便该数据几乎不可能落入不法滥用之境地。除了耗费更大的财力、物力、人力外，企业亦难以得到正向反馈。在“美国Chase Card Services公司数据泄露事件”中，该公司不慎将存储个人信息的物理载体——计算机磁带丢弃至垃圾填埋场，在发现后立即向关涉的近300万客户履行了通知义务。但事实上，后续调查证明该物质载体的不慎遗弃于数据泄露实质性风险而言并无大碍[2] 。反倒是较高的履行成本使得部分网络平台疏于安全管理，未能检测出具有导致数据泄露风险的漏洞，从而使得黑客“乘虚而入”。例如，我国“万豪喜达屋客户信息泄露”“华住会信息泄露”等数据泄露事件皆是因为平台本身存在漏洞，给侵入系统的“黑客”提供了可乘之机。更有甚者，即便发现平台存在数据安全漏洞等风险点，在综合考虑安全成本与资产价值后，选择将此安全漏洞作为可接受的风险而不采取任何补救措施。但其仍然属于可能造成更加严重的数据泄露结果的残存风险点。例如，美国一面包连锁店旗下网站在2018年4月泄露了近400万用户信息。其后，安全机构Krebs On Security表示其在2017年8月即发现了网站的相关安全漏洞，通知送达后网站并未及时采取修复措施，这意味着数据泄露的时间长达8个月之久。回归至我国现行经济运行体系，小微企业发挥着不可或缺的中坚力量，但受制于物力、技术等有限资源，小微企业往往无法在履行数据安全保障义务的同时正常运行，这使得极易导致其不堪重负继而选择“无视”数据泄露通知制度，使得大量有关个人信息的数据处于“裸奔”或“绑架”状态。另一方面，数据泄露通知制度的履行极易造成公众对于数据控制/处理者的不信任感，使得相关企业丧失商誉以及市场竞争力。尤其是电子商务、社交网络等依赖于用户资源的行业，一旦其用户信息被泄露，将极易丧失在本行业中的核心竞争优势。这导致相关企业在发生数据安全事件后并不愿意及时履行通知义务，数据泄露通知制度被“束之高阁”。以我国用户范围较为广泛的网络购物平台京东商城、当当等为例，上述企业在被曝出用户信息泄露事件后，短时间内大量用户选择转用亚马逊等同品类的购物平台。

（二）根本症结：数据泄露通知制度的规范漏洞

首先，我国法律规范层面对于“数据泄露”的定义较为宽泛笼统，导致部分数据安全事件发生后企业无法辨别是否需要履行数据泄露通知义务，甚至以此作为逃避承担责任的辩护理由，数据相关主体的权利难以得到保障。2012 年《全国人民代表大会常务委员会关于加强网络信息保护的决定》、2013 年《电信和互联网用户个人信息保护规定》、《网络安全法》对于数据泄露这一定义的表述相同，均为“泄露、毁损、丢失”。《个人信息保护法（一次审议稿）》《个人信息保护法（二次审议稿）》所规定的安全保障义务的触发条件为“防止未经授权的访问以及个人信息泄露或者被窃取、篡改、删除”，但数据泄露通知制度的范围较之则有所限缩，仅将“泄露”这一种情形纳入其中，而“窃取”“删除”等多种情形均被剔除。最终出台的《个人信息保护法》对此进行了修正，将安全保障义务与数据泄露通知义务所涉范围作了统一，前者为“防止未经授权的访问以及个人信息泄露、篡改、丢失”，后者则为“发生或者可能发生个人信息泄露、篡改、丢失的”，仅有“未经授权的访问”这一种情形被排除在外。总体而言，我国数据泄露通知制度的规范体系在表述上存在差异性，且大多为列举式规定，不具有高度凝练性，可借鉴域外立法经验，在法教义学层面对“数据泄露”概念加以归纳整理。欧盟《通用数据保护条例》（GDPR）第4条规定，数据泄露的内涵为违反数据传输、存储或其他处理活动的安全原则所引发的数据安全事件。而在美国加州《数据安全泄露通知法案》中，数据泄露的内涵则是“未经授权而获取计算机数据的，危及个人或企业所维护的个人信息的安全性、机密性或完整性的行为”2。可以发现，各国对于“数据泄露”的定义基本相同，只是欧盟所规定的概念外延较其他各国更为广泛，将数据损毁等情形亦纳入其中。但总体而言，“毁损、丢失”等表述远超出“泄露”的语义范围。不论从实然还是应然的角度出发，数据泄露的内涵在法规范层面与实践层面不尽相同，前者所涵盖的范围更加广泛，若以字面意思对法规范层面的“数据泄露”加以法教义学解读，将导致大量相关破坏性行为脱逸于法规范之束缚。在我国仍未实现“数据泄露”明确定义的立法现实下，有必要经法教义学实现该概念的规范化、统一化[3]。梳理域外有关数据泄露通知制度的规范体系后发现，各国惯用“disclosure”一词来实现对数据泄露的规范化描述，该词的英文释义即“the act of making something known or public that was previously secret or private”。综上，数据泄露的本质并非在于物理层面的被控制，而在于隐秘性信息的获取，即数据泄露将使得信息安全中的机密性、完整性和可用性三要素部分或全部受到损害。

其次，我国现有数据泄露通知义务的法规范整体上呈现分散化、原则化倾向。我国有关数据泄露通知制度的相关规定散见于《民法典》第一千零三十八条、《网络安全法》第四十二条第二款、《数据安全法》第二十九条、《个人信息保护法》第五十七条、《电话用户真实身份信息登记规定》第十三条、《电信和互联网用户个人信息保护规定》第十四条第一款等，横跨于多个层级规范之中。然而，数据泄露通知制度往往仅是通过宣言式的规定来明确立法者对于数据泄露等安全事件的基本态度，实践中一旦真实发生数据泄露等安全事件时，相关法规范无法有力、及时地落实至相关责任主体。以数据安全领域的基础性规范《数据安全法》为例，其仅在第二十九条中对数据控制/处理者的数据安全保障义务作出了原则性的规定，数据控制/处理者具体应当如何承担安全保障义务，其承担安全保护义务的力度如何乃至相关监管措施均无具体规定。在现有相关规范稀薄，内容呈抽象化、原则化的现实下，一旦出现大批量或极为严重的数据泄露安全事件，各地很有可能为实现数据治理而选择暂行出台地方性法规、条例，但此类应急式立法模式极易导致各地自行其是，企业终将落入合规困局。

三、数据泄露通知制度的逻辑解构与方法选择

数据泄露通知制度在我国仍处于“起步”阶段，现实中的诸多缺憾所投射的实质是现有规范的缺失。如何正视规则抽象化与安全需求具象化之间的矛盾，首先需要对数据泄露通知义务的法理逻辑加以解构，并以此为指引选择数据泄露通知制度本土完善的基本方法路径。

（一）从救济到防控：数据泄露通知制度法理逻辑之解构

进行属于自治范畴的数据泄露通知前，数据控制/处理者往往需要综合考量成本收益、信息安全、商誉损毁等多重因素，甚至较为极端地通过退出市场等方式逃避数据泄露通知的履行。此时，数据泄露通知仅仅作为数据控制/处理者以私力实现损害减缓的措施之一。但是，技术发展的有限性与对数据资源无限扩张的渴求之间的矛盾使得彻底规避数据泄露成为一个不可能的命题，这将导致部分数据控制/处理者陷入即便遵守了相关法律规范仍会造成社会利益损失的困境。此时，数据控制/处理者的法律责任应当如何判定？被泄露数据的相关信息主体权益应当如何补偿？即如何调整现有的数据保护机制以实现对数据控制/处理者数据安全保障义务履行的可视化、标准化的监督，同时尽可能地保护相关数据主体之合法权益。在数据控制/处理者无法通过事前构建数据安全保障机制等措施以实现对数据安全绝对控制从而保障数据泄露事件零发生的基础上，在规范层面引入数据泄露通知制度以防控、挽救其所引发的损害或许是较为理性的选择[4]。此时，不仅在规范层面形成了对数据控制/处理者的强制约束力，该法定义务所蕴含的法理逻辑亦有所更新。

一方面，数据泄露通知制度的法理逻辑注重损害救济。固化为规范层面的数据泄露通知制度作为抽象化、模糊化的数据安全保障义务的有效延伸，为缺乏足够监管资源的有关监管部门提供数据安全保障义务的具体检视机制，将本需交由主观评判数据安全保障义务履行效果的问题转变为更为客观的评判机制，即数据控制/处理者是否履行了数据泄露通知义务。从而通过规范的强制力促使数据控制/处理者在数据泄露事件发生后，及时通知数据相关主体以及相关监管部门，保障其能够及时介入以防范损失扩大。同时，数据泄露通知制度作为数据泄露事件发生后的过渡机制，能够较好地促使数据控制/处理者展开数据安全事件发生后对数据相关主体的赔偿等挽损工作。

另一方面，数据泄露通知制度的法理逻辑更应展现为风险防控。数据泄露所引发的法益侵害具有多元化的特征，不仅易造成数据相关主体财产、人身乃至人格等多重法益的损害，对于社会公共秩序、国家安全等重大法益亦存在相当的风险性。而属于自治范畴的数据泄露通知自身无法实现对上述（潜在）风险的有效防控，仅能针对特定数据泄露事件作为“警铃”式存在，通过事后通知来保障相关数据主体以及有关监管部门的知情权与决定权，以保证知情后的相关主体能够及时、理性选择救济方式进行法益恢复。在逐步明晰数据泄露事件所蕴含的重大安全风险后，数据安全保障体系的价值取向应逐步由损害救济转向风险预防，这也正是数据泄露通知制度的法理逻辑的重点所在。

立足于法律义务层面的数据泄露通知制度充分彰显了预防潜在风险的价值底色，即国家为尽可能减少实质风险治理成本，通过数据泄露通知制度来及时阻隔数据泄露造成的损害及损害扩大的风险。以数据泄露通知制度较为完善的美国为例，现阶段美国基本就数据泄露通知义务需设置一定的触发阈值形成共识。其中，德克萨斯州、纽约州等州所设定的触发阈值相对较低，规定一旦数据控制/处理者发现、认识到数据泄露事件的发生就须履行通知义务，同时将“未经授权访问”的事实认定作为评估要素之一决定是否履行通知义务[5]。而我国则在《个人信息保护法》第五十七条的规定中明示了数据泄露通知制度的风险预防取向，规定数据泄露通知义务的履行阈值为当数据控制/处理者具有对数据泄露等安全事件发生或发生认识可能性时，其应就此对数据实现预期保护，而非严格要求数据泄露事件的实质性发生。事实上，即便各国有关数据泄露通知义务启动阈值的具体设置虽略有不同，但其均实现了前移数据安全事件风险治理端口的实质效果，

综上，在现阶段数据安全风险识别技术供给不能的现实下，数据泄露风险不可规避，但数据泄露通知制度既往所承载的损害救济功能难以周全应对不断扩张、加重的数据安全风险。为有效应对数据安全风险，数据泄露通知制度的风险端口开始前移，但若不顾企业成本以及技术扩张等现实需求，强行推进数据泄露通知制度的本土建构，将导致数据技术这一社会子系统扭曲法律系统的管制，执法成本巨大。因此，有必要及时明确数据泄露通知制度本土完善的方法论选择。

（二）方法选择：反身法理论于数据泄露通知制度的意蕴

面对政府“干预主义倾向”等数据安全治理误区，可考虑引入反身法理论。事实上，将“命令—控制”规制路径作为社会治理的主旋律，对高度分化社会的复杂性以及其他独立社会子系统独特运行规律视之无物，将使得高度复杂的数据安全问题始终得不到周延规制。原因在于：一方面，社会子系统的基本特征乃相对开放性的认知与绝对封闭性的运行。在社会系统论中，各子系统仅会将经自身逻辑筛选并重构的信息纳入系统内部，其具有的认知能力有限。另一方面，“命令—控制”型的法律机制使得其他社会子系统独特的运行规律被忽视，法律机制以本系统的运行逻辑为法则。但每一个社会子系统都具备维护自身功能的话语权，仅为系统内的运行逻辑所支配而不受其他社会子系统的强制影响的自我保护机制[6]。而反身法理论旨在“通过不断调整内部话语程序和与其他社会子系统协调的方法，构建半自治社会系统（semi-autonomous social system）”[7]，最终，在其他社会子系统的加入下实现数据安全治理的协同性与有效性。

具言之，反身法理论可从规范理性、内部理性以及系统理性三个维度展开[8]。首先，规范理性凸显合作规制。在试图提升社会子系统自我学习的积极性的同时，以辅助性、后设性的法律规范作为后置补充性存在。其次，系统理性强调自我规制。反身法注重对社会子系统内部运行规律的尊重，并不完全依仗法律规范等强制性权威方式过多干涉社会系统的运转与整合，而是通过去中心化的方式促进社会子系统内部进行整合，从而推动内部程序、组织机制乃至子系统间协调机制的建构。最后，内部理性重视过程规制。以具体构成要件、法律效果为主要组成部分的干预主义取向的法律规范不再是反身法理论中的首要选择，取而代之的是“通过影响组织机构、能力和程序来促使其他社会系统建立起一套更为民主化的自我管理机制”[9]。即面对高度专业以及多社会子系统整合的数据安全治理，反身法提倡不再以制定事无巨细的数据安全保障义务准则与精确指标为主要路径，而可通过数据泄露通知制度促进以数据控制/处理者为代表的其他社会子系统建构自主运行的具体规则进行自我管控。当然，法律子系统亦不可缺席。其不仅需要在事前对相关数据安全保障流程、指标等进行审查与指导。当自我运行规则出现异化或失灵时，其亦需及时主动介入干预并追究相关人员责任，以确保能够有效保障数据安全。因此，相较于“无法积极主动地促进数据要素市场发展，也无法满足数据流转的独立权利机能之需要”的静态数据安全保障机制[10]，以反身法为理论基础的数据泄露通知制度优势明显：

其一，充分调动企业履行数据安全保障义务的能动性、有效性。数据安全风险具有场景化、动态化的特点，相对稳定的法规范的预期能力难以追赶不断前进的技术发展能力，从而为数据控制/处理者提供一套具有高度统一性的数据安全保障标准。而即便通过大量立法调研确定了现阶段具有一定普适性的规范标准，为兼顾不同技术水平、财力、人力资源的数据控制/处理者，规范层面对于数据安全保障义务的履行标准往往会选择行业水平的平均值，但这不论对于大企业还是小企业而言，适配性都不足够。况且，在实践中技术水平、泄露数据量等多个因素都将影响着数据安全保障义务的履行程度。更重要的是，数据控制/处理者在选择数据安全保障措施前会进行利益衡量，其结果往往是在符合规范这一基本要求的基础上选择最小投入的数据安全保障措施，而非与本企业（平台）数据技术水平和规模等情况高度契合、安全性更高的保障措施。数据泄露通知制度可一定程度上引导企业履行合理的注意义务，在事前采取数据安全保障措施以避免出现数据泄露安全事件并威慑企业停止、放弃正在或可能实施的不法行为[11]。原因在于，现代工商业的运行机制打破了既往的“熟人交易”，在高度信息不对称的交易状态下，交易各方往往会将企业过往行为所形成的共识性公众认知——企业商誉作为重要参考项以判断后续交易活动的进行与否。因此，对于现代企业而言，声誉层面的非规范性评价所具有的负面效应堪比甚至远超法律层面所带来的规范性评价。有关企业不良信息的产生、传播将一步步导致消费者数量降低至彻底丧失，最终企业退出市场。

其二，反身法理论的引入可充分运用数据控制/处理者的技术、物质资源优势弥补相关监管部门的信息赤字和执法资源的不足，实现监管成本同公共安全间的平衡。数据泄露通知制度的运行逻辑乃最小限度干预数据控制/处理者进行数据控制、分析、处理等数据活动的同时以最小成本实现相关主管部门持续性监管数据安全风险的现实需求。数据泄露等安全事件具有隐蔽性、滞后性等特点，此类安全事件后需经数据流通、分析、处理等多个链条与违法主体后才能够造成对相关数据主体的损害，而且难以实现反向追溯，锁定数据泄露的“幕后黑手”。我国相关部门若想实现全覆盖的数据安全检查机制，对广泛数据控制/处理主体进行日常性检查以发现可能存在的数据安全风险点的成本较高。而且，若有关监管部门欲进行日常性检查，还需预设具有相对普适性、抽象性的合规标准，但囿于技术、人力、财力等多因素的影响，数据控制/处理主体之间也存在着较大差异，这就导致有关监管部门还需在普适性标准的基础之上结合具体情况进行分析判断，无形之中进一步提高了检查成本。而反身法理论的引入能够保证有关监管部门较为高效地发现数据安全保障机制的“痛点”，以此安全事件为契机，对相关数据控制/处理主体进行定向安全执法检查，从而缩小检查范围。

综上，面对精妙复杂且高度专业的数据技术，数据安全保障机制不应再被国家的中心地位这一传统模式所禁锢，而是应当积极思考国家与其他主体对等的多中心治理模式的可能性。数据泄露通知制度本土完善亦需思考如何在反身法理论指引下实现各社会子系统间的协调运行，从而应对该制度的现实挑战与规范缺憾。

四、风险分担视野下数据泄露通知制度的本土建构

现阶段，我国对于数据泄露通知制度这一义务性规范具体化、完善化的需求强烈。但该制度绝非简单的报告、通知，也绝非将数据安全保障之压力完全落在以企业为代表的数据控制/处理者身上。这便需要在反身法理论的指导下实现我国数据泄露通知制度的本土完善，通过数据控制/处理者、相关数据主体所代表的社会子系统与相关监管部门所代表的法律子系统的协调运行来实现风险的分担与防控。

（一）风险评估：数据泄露通知义务履行之条件

数据泄露通知义务的触发条件可谓是“牵一发而动全身”，过低的触发阈值将使得履行成本过高、相关数据主体“信息过载”等问题涌现，而过高的触发阈值又将使得数据控制/处理者的自由裁量空间过大，在盲目自信或经营利益等因素的驱使下选择不报告数据泄露事件，导致数据泄露通知制度成为象征性规范。因此，我国立法完善的实践中可吸纳引入风险评估机制以合理界定数据泄露通知义务的启动阈值。具言之，需评估数据泄露事件是否会造成对数据安全的损害及其损害程度来判断数据泄露通知义务的启动与否，而非将本制度作为数据泄露发生的触底机制。

据此，数据泄露通知义务提起的风险评估机制可建构一综合标准体系，即根据“数据泄露发生的预见可能性—数据泄露的损害程度—数据控制/处理者消除风险或挽回损失的能力”这三要素综合评估数据泄露事件的严重性，从而判断数据控制/处理者是否需要就数据泄露事件进行通知。简言之，数据泄露通知义务的提起应当以严重的数据泄露为事实前提。例如，若所涉数据敏感度较低，经数据分析处理活动也无法与特定个人相联结，此时即便数据泄露事件实质性发生，则不具有数据泄露通知的强制性义务。而若所涉数据类型为敏感、重要数据，或经数据分析、处理活动后可获取一部分敏感、重要数据，当数据控制/处理者具有对数据泄露等安全事件结果预见可能性，则可考虑提起数据泄露通知义务。同时，也需进一步判断数据控制/处理者是否具有结果避免可能性与能力。可引入第三方评估机构在规定时限内对数据泄露事件进行评估，判断数据控制/处理者现有的数据安全技术能力或自身的财力、物力资源是否足以实现风险的消除或损害的挽回。若答案是肯定的，则数据控制/处理者不具有履行数据泄露通知义务的必要性，仅需要及时完成补救即可；否则须在规定时限内合规完成数据泄露通知。

其中，数据泄露损害程度的判断同样应构建综合性判断体系，数据的类型、体量，数据安全保障措施的采用与否，被泄露数据的流向，都应当作为考量因素纳入其中。首先，数据类型以及体量在一定程度上影响着数据泄露的损害程度。以生物识别信息为例，现阶段生物识别信息与国家、社会公共安全息息相关，而且因其“唯一性”“不可更改性”等天然特性，生物识别信息与特定个人的关联程度远高于一般敏感个人信息。因此，泄露生物特征信息的危害性远高于一般敏感个人信息。而与个人信息相关的数据中又因其与特定个人的联结程度、社会应用程度等因素存在差异。例如，特定个人的姓名、民族等信息的泄露危害性就远低于身份证号、家庭住址等身份信息的泄露。而泄露数据体量与数据泄露损害程度之间的关联更是不必多言，生成式AI等数据处理分析技术的快速发展使得多个看似毫无联系、杂乱无章而且丝毫与重要、敏感信息无关联的“小数据”变为与特定个人挂钩的敏感信息。更何况，数据权属主体的多寡本就会影响数据泄露的潜在危害性。其次，数据安全保障措施的预设能够在一定程度上减轻数据泄露的损害，加密技术过硬或设置多层技术安全盾的重要、敏感数据即便被泄露也可能无法被解密，此时甚至难言造成了“数据泄露”。最后，被泄露数据的去向亦决定了数据泄露的损害程度。数据泄露的原因包括黑客入侵、公司内部人员通过工作便利窃取等，但有时纯粹是因员工或他人过失造成的数据存储实体在物理层面脱离控制。数据泄露之所以存在危害性是因为在数据泄露后，新数据控制者将会对相关泄露数据进行控制或分析处理活动，也即其危害性在于后续的数据处理活动。因此，数据的流向主体以及后续的数据处理活动在一定程度上决定着数据泄露的危害程度。

综上，数据泄露通知义务的具体履行可参考表1：当数据安全风险程度达到一级时，仅需通知相关部门；达到二级时，企业应当立即履行数据泄露通知义务，及时通知用户及主管部门，以有效防控风险，阻止损害的扩张；达到三级时，不仅需要及时通知用户以及主管部门，数据控制/处理者还应在启动数据泄露通知的同时采取所有必要的预防措施，包括描述个人数据泄露的性质，提出减轻潜在负面影响的建议。

即便是为数据泄露通知义务的提起设置了诸多评估要素，仍然应当考量某些无法在客观层面上被充分计算、彻底消除的风险在主观层面上可以通过价值可认同、过程可信任、责任可追究等风险治理机制被消融，进而数据控制/处理者无须履行数据泄露通知义务。因此，我国可借鉴域外经验，规定善意例外和加密例外等特殊情形，以实现技术扩张—数据安全、运营成本—公共安全间的平衡。所谓“善意（good faith）”例外情形，通常适用于员工在正常履行工作职责过程中发生的无意访问相关数据的情形，要求数据不具有被披露的风险。善意例外的设置，一方面是为了保障企业运营成本同公共安全间的平衡，避免将对数据安全风险影响微弱的违规行为纳入数据泄露通知义务的履行对象中来。另一方面，雷纳教授曾提出风险的多重定义“公式”——风险（R）＝概率（P）×后果大小（M）＋信任（T）责任（L）认同（C），其中信任（T）、责任（L）、认同（C）不一定需按照乘积计算，但这三个要素与风险总体评价之间呈正相关性。不论按照风险的工程学还是社会学，风险评价所考虑的其实都是对风险制造和治理者的信任程度、受风险影响者的可接受程度和责任承担者（利益相对方）的承担能力[12]。即便员工在工作过程中无意访问数据造成的数据泄露事件，相关数据个体也可因员工与企业间的雇佣关系合理信赖企业（平台）能够为此承担责任并履行相应补救义务。而加密例外情形本质上与风险评估中的“是否采取安全措施”要素相同，即该数据是加密的，而且公司不认为外部攻击者有办法解密数据。如果数据是加密的，被侵害的风险很低，就不具有通知关涉主体之必要。但这并不意味着所有采取加密措施的数据都可豁免数据控制/处理者的数据泄露通知义务，当涉及个人健康信息等敏感、重要数据时，则不应当按特殊情形豁免。之所以设置加密例外情形，主要意在通过正向激励推动企业在事前积极为其所控制、处理的数据设置安全保障措施，这也与数据泄露通知制度的价值取向——风险防控相契合。

（二）风险分担：数据控制/处理者—监管机构—个人的介入路径

以自由价值为底色的数据保护体系横贯于不平等主体之间，其目的在于尽可能地弥补技术在国家、企业与个人之间的“参差赋权”，强化个人对信息的控制[13]。这实际上正达成了反身法理论所强调的在法律子系统中引入其他社会子系统的有益效能并实现各子系统的整合、协调[14]。风险端口前移后的数据泄露通知制度，其实质不仅在于数据泄露事件发生后损失的自力救济，更在于通过通知促使有关监管部门、数据相关主体及时介入，与数据控制/处理者形成有效聚合，从而构建三足鼎立的风险分担机制。换言之，数据泄露通知义务的履行可触发数据相关主体及时采取防护或挽救措施，有关行政监管部门及时投入监管资源以保护具有泄露风险的数据，以最小成本实现监管资源最精准的投入[3]。

风险分担机制的具体运作流程应当如下：首先，数据控制/处理者在触发数据泄露通知义务的履行后，对内倒查自纠数据泄露事件发生的因果关系要点和管理漏洞，对现有的数据安全保障机制进行优化；对外的着力点则应放置在数据泄露事件发生后的挽损机制，即考虑采取何种措施能够实现对数据泄露事件的最大效率补救，保障所涉数据回归至安全状态的同时化解商业风险，即企业声誉的挽回。其次，有关监管部门在接到数据控制/处理者的通知后应迅速介入，展开对数据泄露事件危害程度的评估，如根据泄露数据的类型、体量，数据控制/处理者是否具备相关数据安全保障措施等要素判断数据泄露事件对于社会公共安全、国家安全以及经济运行、数据技术扩张等方面的负面影响程度。考虑数据泄露事件所造成的危害可能具有相当的不可控性以及数据控制/处理者力量的有限性，为保障数据相关主体权利之维护以及数据主权之稳定，相关监管部门应当以提供良好的公共服务、维护数据流通秩序为理念指向，根据评估结果采取有效措施与数据控制/处理者共同展开对数据泄露事件的补救。同时，还需对数据控制/处理者内部构建的数据安全保障机制进行审查与指导，以实现对预期数据安全风险的有效预防。值得强调的是，商誉损失、运营成本增加等原因使得许多数据控制/处理者在发现发生数据泄露事件（的可能）后，往往会选择忽视或掩盖，反而造成更大范围的公共安全损害或经济损失。基于经济利益、技术发展等长久性考量，未来我国数据泄露通知制度的规范设计可以鼓励数据控制/处理者投资数据安全建设机制为着力点，出台更多惠企政策。例如，在满足一定条件后可豁免相关数据控制/处理者的责任承担、商誉挽救等以反向刺激数据控制/处理者实现风险预防的前置调控，即构建、优化完善数据安全保障机制。最后，被泄露数据的相关主体在接到数据泄露通知后，其可能会因此数据泄露事件而对数据控制/处理者产生不信任感而对其后续的数据控制、利用等处理行为产生抗拒感，此时相关数据主体完全可以行使决定权、删除权等数据相关权利，还可以就已经造成的人身、精神、财产损害主张损害赔偿，以实现其本不应承担且无法预料到损失的挽回。

综上，数据控制/处理者—相关监管部门—相关数据主体的依次介入可形成数据泄露后风险分担机制的有效聚合，三方主体各自采取其应当或能够采取的手段以实现共同的目标：通过风险的分配实现数据安全风险的有效防范与化解。

五、结语

数据泄露基于数据自身流动性与外部技术扩张的双重需求而不可避免，单纯依照既往数据泄露通知制度的发展逻辑无法增益于数据流通乃至后续利用环节，无法实现社会风险治理功能。面对不断扩张且危害结果严重化、影响范围扩大化的数据安全风险，固化于规范层面的数据泄露通知制度的理论逻辑已从损害救济扩张至救济与风险防控双管齐下，但仍然存在诸多不足。这也是为何需要在现行数据安全立法体系，即法律子系统之外引入其他社会子系统以纾解现有缺憾的原因。在反身法理论指导下，数据泄露通知制度完善的基本逻辑是通过各社会子系统的协调运行来应对数据运用过程中不可规避的固有风险，这便需要更加丰沛的制度供给为相关监管部门、关涉数据主体同数据控制/处理者间建立有效连接提供滋养，从而构建有效风险分担机制。可以说，数据泄露通知制度将是我国数据安全保障机制从“控制型”向“保障型”转向的重要成果。

参考文献：

[1] 高铭暄. 当代刑法前沿问题研究[M]. 北京：人民法院出版社，2019：234.

[2] MULLIGAN D K， BAMBERGER K A. Security Breach Notification Laws： Views from Chief Security Officers[R/OL]. （2007-12-07）[2023-12-26]. http：//www.law.berkeley.edu/clinics/samuelson/cso study.pdf.

[3] 方禹. 个人信息保护中数据泄露通知制度的规范逻辑及其证成[J]. 经贸法律评论，2022（5）：94⁃98.

[4] 崔聪聪. 数据泄露通知制度研究[J]. 西南民族大学学报（人文社科版），2019，40（10）：79.

[5] 刘妍. 美国数据泄露通知义务及其启示[D]. 湘潭：湘潭大学，2021：18⁃19.

[6] 陆宇峰 .“自创生”系统论法学：一种理解现代法律的新思路[J]. 政法论坛，2014，32（4）：155.

[7] HOPT K J， GUNTHER T. Corporate governance and directors' liabilities： legal， economic， and sociological analyses on corporate social responsibility[M]. Berlin： Walter de Gruyter， 1985： 63.

[8] 贡塔·托依布纳. 魔阵·剥削·异化——托依布纳法律社会学文集[M]. 泮伟江，等译. 北京：清华大学出版社，2012：280⁃284.

[9] 杨炳霖. 回应性管制以安全生产为例的管制法和社会学研究[M]. 北京：知识产权出版社，2012：20.

[10] 申卫星. 论数据用益权[J]. 中国社会科学，2020（11）：115.

[11] 潘静. 个人信息的声誉保护机制[J]. 现代法学，2021，43（2）：156.

[12] 史蒂夫·雷纳. 文化理论与风险分析[M]//克里姆斯基，戈尔丁. 风险的社会理论学说，徐元玲，等译. 北京：北京出版社，2005：106.

[13] 王磊. 参差赋权：人工智能技术赋权的基本形态、潜在风险与应对策略[J]. 自然辩证法通讯，2021，43（2）：20.

[14] 谭冰霖. 环境规制的反身法路向[J]. 中外法学，2016，28（6）：1519.

From Remedy to Prevention and Control： Theoretical Logic and Local

Construction of Data Breach Notification System

Feng Mingyu

（School of Law， Nanjing Normal University， Nanjing 210023， China）

Abstract： The tension between data utilisation and data security has given rise to the emergence of the data breach notification system， which not only guarantees the timely intervention of data-related individuals and the relevant regulatory authorities after the occurrence of data security incidents， but also encourages the obligated subjects to continuously update their digital cryptography and improve data encryption technology. However， there is still room for improvement in the local construction of the data breach notification system， and it is necessary to take the underlying jurisprudence of the data breach notification system as the logical origin， innovate the data breach notification system based on the theory of the law of inversion， and build a semiautonomous social system of data security through the intervention paths of data controllers/processors-supervisory agencies-individuals， so as to provide security guarantee covering the whole life cycle of the data.

Keywords： data leakage; value balancing; reflexive law; risk allocation