個人信息保護中數據泄露通知制度的規范邏輯及其證成
引言
數字技術對個人信息的利用日益活躍而豐富,由此對個人權益產生的風險持續提升因而備受關注。美國學者洛麗·安德魯斯(Lori Andrews)認為,這個時代的科學技術讓人們不得安寧,面對科技的不斷入侵,保護個人權利從而使人們過上充實的社會生活的需要從來如此迫切。區別于傳統的隱私,個人信息的供給對數字技術的發展尤為關鍵。梅夏英教授指出,在歷史上絕大多數時段,信息一直處在公共領域,且社會長時間處于信息饑渴狀態。就保護之法益及手段而言,個人信息保護應當不同于傳統的隱私保護,周漢華教授專門討論了個人信息保護和隱私權之間的關系。隱私保護在于隱私之不被刺探、窺視等,而個人信息保護在于個人信息之不被非法利用。以筆者淺見,前者近似于美國法的right of privacy,后者更類似于美國法的right of publicity。個人信息是數字社會人們生產生活的身份符號和享受數字化紅利的前提條件。百度公司董事長兼首席執行官李彥宏曾稱“中國的消費者在隱私保護的前提下,很多時候是愿意以一定的個人數據授權使用,去換取更加便捷的服務”,這一說法曾引起爭議,而王利明教授則認為“這種說法也不無道理”,關鍵要實現信息數據的流通和個人信息權利保護之間的平衡。高富平教授指出,個人信息是社會交往、社會治理的工具;個人需要運用一些信息來標識其為社會中的某個人,而社會也需要利用信息來識別某個特定個人。但是,個人信息的利用不應產生對個人利益的損害。張新寶教授指出,問題解決的關鍵在于個人信息保護與利用的利益衡量。王利明教授指出,個人信息被不當使用,甚至造成信息的泄露,給信息權利人造成了損害。這種損害,或者從預防視角理解為風險,主要包括兩種情形,即濫用和泄露。濫用之規制,主要是通過目的限制的思路,賦予個人相關法律上認可的權益保護手段,苛以處理者相關義務和責任,引入行政干預手段,防范濫用發生的可能。濫用和合理利用之間的區別是一個邊界問題,可以通過制度安排對個人信息處理者濫用沖動予以規范和制約。相反,數據泄露則應是各方所不愿發生的個人信息安全事件,理性上希望避免其發生,而實際上很難絕對避免。陸雪梅、古春生、董明星等從成因角度對數據泄露問題進行了研究和調查,總結來說,泄露原因主要包括內部管理和外部攻擊兩個維度。從內部看,防范數據泄露屬于風險預防問題,企業往往需要考量成本收益的平衡,姜宇澤、陳詩洋指出,企業進行數據安全改造,會影響業務系統現有功能,增加企業投入,“同時,數據安全技術改造屬于新興技術領域,目前企業可參考的成熟技術方案及實踐案例較少,企業顧慮較大”。從外部看,病毒感染、黑客攻擊、漏洞入侵等都可能造成數據泄露,而這本身就是攻防技術升級迭代的交替過程,理論上很難保證絕對意義上的數據安全。由此也可以理解,“作為強化數據保護的有效手段,數據泄露通知制度被各國立法廣泛采用”,而很少有直接禁止數據泄露的法律規定,也就是說鮮有直接將發生(或者發現)數據泄露的客觀事實作為法律歸責理由的立法規定,而是要求發生數據泄露時必須履行通知義務,并作為一項強制性規定要求相應主體遵守。
數據泄露持續發生給數據治理帶來很大挑戰。2021年7月28日,IBM Security公布《2021年數據泄露成本報告》,每次數據泄露事件平均為公司帶來424萬美元的損失。分析公司Canalys發布最新報告稱,僅2020年一年,被盜數據記錄的數量就已超過之前15年來的總和。如何規制數據泄露,成為數據治理制度設計的重要部分,特別是個人信息保護相關立法中。有關數據泄露的討論,從數據泄露的成因、機理、攻防、損害等角度形成了很多文獻資料,尤其是針對醫療、金融等數據泄露高發領域。有關數據泄露通知制度的研究論述也比較豐富,何波對數據泄露通知制度的國內情況進行了系統梳理;趙淑鈺、倫一從數據泄露通知制度本身如何完善進行了論述,并從比較法角度完整地介紹了主體、對象、條件、程序、內容和處罰等方面的經驗和啟示。崔聰聰副教授研究了數據泄露的界定方法,分析了數據泄露通知制度的法理和功能。鐘其炎在細分領域對電子健康檔案信息泄露通知制度進行了比較法分析。陶乾、宋春雨圍繞企業數據泄露現狀、責任認定以及法律規范完善等方面進行了討論。有關研究基本已經對數據泄露通知制度的運行機制、構成要件等作出了充分論述,特別是在完善數據泄露通知制度方面提出了不少有益觀點和建議。總體來看,既有成果實現了對數據泄露通知制度進行正向維度建構。問題在于,多數研究論述均默認了數據泄露通知制度存在即為合理的預設前提,進而探討如何完善數據泄露通知制度的細節。那么,為何選擇數據泄露通知而非直接禁止數據泄露,由此產生了理論基礎層面的問題,需要思考構建數據泄露通知制度的深層邏輯和實踐意義,分析為何構建數據泄露通知而非數據泄露禁止制度,為何只有數據泄露需要通知而沒有對其他數據安全事件設置通知義務。討論這些問題,反過來有助于厘清數據泄露通知制度的構建思路,以更深刻地理解數據泄露通知制度設計之邏輯,并對其進行正向建構完善。
數據治理討論中通常容易產生一個認知誤區,即數據泄露通知制度的目的是直接防止數據泄露,這也符合常識上對數據泄露問題的理解。然而,數據泄露通知制度所具備的創新性內涵,是認識了數據泄露的客觀存在,而采取間接防范的一項制度設計。數據泄露通知制度的潛在功能,是建立在數據利用和安全保障平衡思路之上的風險防控機制。國外數據泄露通知立法實踐十分多見,我國也分步分散構建了數據泄露通知制度。但是,根據各類統計,數據泄露事件不斷發生,且有逐年上升趨勢。問題不在于制度本身,而是如何理解該制度。筆者旨在對數據泄露通知制度的內涵和外延進行結構化分析,以作出準確的判斷并形成合理的實施進路。
一、數據泄露通知制度的構建邏輯
發生(或者發現)數據泄露,會觸發報告義務,這是數據泄露通知制度核心的程序性要求。實際上是對數據控制主體附加的一項單獨義務,Philip Howard和Kris Erickson認為數據泄露通知制度是一種次生效應(secondary effects)。其具體要求非常簡單清晰,即發生(或者發現)數據泄露時,需要向主管機關、用戶等進行報告。2002年,美國加利福尼亞州《數據泄露通知法》首次確定了數據泄露通知制度。目前,美國各州都已經出臺了各自的數據泄露通知法。歐盟、澳大利亞等國家和地區,以及我國基本都建立了數據泄露通知制度。
從制度設計邏輯而言,數據泄露通知制度不應當是對違法行為的自我糾正,否則數據泄露通知制度就變成了完全意義上的強制性“自首”要求,很容易在具體實踐過程中被架空,降低法實施的可期待性,陷入法理性邏輯陷阱。構建數據泄露通知制度,意味著對受害者設置了強制性義務。這種義務設置之所以具有法理上的正當性,應該尋源于風險預防原則的理論基礎。蘇宇指出風險預防原則具有四個構成要素:危害預期、不確定性、預防措施和證明機制。數據泄露具有危害預期和不確定性,通知本身是一種預防措施,而泄露主體能夠證明泄露不會造成損害的可以免于承擔通知義務,如《中華人民共和國個人信息保護法》(下稱《個人信息保護法》)第57條第2款中規定“個人信息處理者采取措施能夠有效避免信息泄露、篡改、丟失造成危害的,個人信息處理者可以不通知個人”。數據泄露事件中,數據控制主體所受到的損失必然延伸到數據主體、公共利益以及國家利益。崔聰聰副教授認為,數據泄露事件,不僅危及個人人身和財產安全,也會對公共安全和國家安全造成威脅。數據泄露通知制度可以理解為監管主體與被監管對象之間進行風險分攤的制度設計,通過數據泄露來觸發監管和資源投入,實現行政力量精準介入,同時能夠提示用戶采取必要防護措施。Lillian Ablon等認為,數據泄露通知制度既能促使用戶采取行動來降低損失,也能敦促企業投入更多資源來保障數據安全。美國各州規定數據泄露通知義務,是為了讓消費者保護自己免受進一步的損害,同時能夠聚焦發生泄露的公司(shine a light on the breached company)。誠如美國布蘭代斯大法官所言,公開是現代社會及工業疾病的救生藥,陽光是最好的防腐劑。數據控制主體具有發現能力、及時補救、傳遞信息的優勢,通過法律制度要求其強制履行通知義務,符合比較優勢和損失最小化,以及法經濟學的實踐和理論意義。結合立法學考慮,增加通知義務對于數據控制主體的成本負擔相對不大(特別是對主管機關的報告義務,耗費成本較小),很多數據泄露通知制度相關規定中,也充分考慮了對用戶進行逐一通知的成本,允許通過公告、電子郵件等方式通知用戶。反過來說,數據泄露通知制度對基于數據作為要素運行的社會系統的正外部性很強,能夠發揮重要的基礎性制度價值。
首先,完善的數據泄露通知制度極大程度上彌補了監管發現成本高昂的實際問題。數據泄露事件的隱蔽性非常強,往往不會立即、當然地造成用戶的直接性損失,從監管側和用戶側發現數據泄露事實的概率極低。事實上,數據發生泄露后,會導致數據進入黑色產業鏈,有可能通過較長的鏈條來分發到不同的違法主體手中,分散性地對用戶權益造成損害。反向追溯機制難以形成,鎖定數據泄露源頭的成本較大。完全依靠無具體目標、普遍覆蓋的執法檢查機制,發現數據泄露的概率十分低,成本投入相對較高。這正是為什么讓人感覺數據泄露事件的初次發現通常都由媒體報道,而少見于執法檢查活動。Lillian Ablon等指出,媒體在發現數據泄露中的作用十分明顯,并且這一趨勢還會持續。設置數據泄露通知義務,可以將被動式執法檢查轉化為主動式執法檢查。執法機構以數據泄露通知為線索開展定向檢查,能夠大幅度縮小執法檢查范圍,針對特定主體的數據安全狀態進行檢查,而不是頻繁地、廣泛地對大量主體進行日常性檢查,來發現可能存在的泄露事實。以《中華人民共和國網絡安全法》(下稱《網絡安全法》)為例,其適用主體是網絡運營者,包括網絡的所有者、管理者和網絡服務提供者,覆蓋了相當寬泛范圍的主體。監管機構為實現《網絡安全法》有關數據安全保障義務的監管職責,需要構建龐大的檢查體系,投入較高的成本和資源。同時,各個主體的性質、規模存在差異,逐一檢查并作出是否合規的判斷,十分困難。如果采取數據泄露通知制度,就可以有效縮小監督檢查范圍,實現精準式、敏捷式監管。當然,為了保證數據泄露通知義務的有效履行,就有必要對不履行通知義務的主體處以嚴厲的懲罰,以剛性法律責任的設置來確保其實施。
其次,數據泄露通知制度能夠反向促進企業選擇適宜的數據安全保障措施。傳統合規動作的強規則依賴性與網絡領域立法天然模糊性之間的矛盾不易協調。從合規側來說,強烈需要明確、清晰、可執行的規則來判斷具體活動是否合規。從監管側來說,囿于網絡動態性、變化性等固有特點,很難通過法律條款給出高度抽象性同時兼具指引性的普適性規則,實踐中往往需要制定配套性法規或者更細化的標準來試圖描述法律要求之精確邊界。可是,這種努力可能進一步加劇了這種矛盾的緊張性。網絡管理需要應對動態性、行業性的挑戰,一刀切的法律規定及措施常常為人詬病,但立法本身就具有剛性,以及追求確定性、準確性的特點。這決定了通過立法渠道(廣義上可以理解為規則路徑)只能給出一致性的標準,來保證被執行的統一性和穩定性。如前文所述,確保數據安全義務得以妥善履行,實為法益之目標。如果通過立法來要求企業履行數據安全保障義務,勢必要給出明確的制度要求或者指南標準。立法是對社會關系的抽象歸納并納入法律關系調整的過程,具有普遍適用的應然特點,法律規定必須兼顧不同規模被監管對象的差異狀況,那么最終能夠得以執行的法律條款一定處于行業水平的平均線。于是產生的問題是,對于大企業來說要求過低,而對小企業來說要求過高,操作性受到挑戰。正視法律剛性和調整對象動態性的特點,就需要合理設置剛性的著力點,來取得兩者之間的平衡與協調。如果剛性設置指向應該履行何種安全保障義務,就會出現難以統一的狀態,或者選擇比較籠統的表述方法。以某項立法工作為例,需要對從事相關服務的人員數量作出要求,起草時規定從業人員數量不得少于××人。調研論證過程中發現,××(數量)人的規定對于大企業來說幾乎沒有門檻,但是對于中小企業來說,人力資源成本大幅上升。立法最終出臺時,規定為與服務相匹配的從業人員數量。雖然通過籠統的規定,能夠概括性解決不同企業之間的差異情況,但是實際上在具體執行過程中,仍然需要通過其他方式來解釋和明確多少數量的從業人員是與服務相匹配的。當然,該部立法時間較早,對互聯網認識和管理的水平處于初步階段,所以對剛性著力點的選擇難以跳出傳統式管理思維。就數據安全本身而言,場景化、動態化風險產生路徑不同,預期能力始終落后于技術發展能力,難以給出統一的數據安全解決方案。
最后,數據泄露通知制度可以緩解監管與被監管之間的緊張狀態。一般而言,不能期待被調整對象對法律的理解超越底線思維,法無禁止即可為。如果不采取數據泄露通知的制度設計,勢必需要對數據安全保障義務作出細致、明確的規定。這對立法挑戰相對較大,落入規則抽象性和強規則依賴性的循環陷阱。即便能確定普遍適用的法律要求,也難以適應不同企業的差異狀況。可以合理推論,企業基于成本收益考量,大概率會選擇與法律要求相一致的數據安全措施,而不會選擇更符合企業情況的措施——即使這樣的措施與企業的規模、水平等更為一致。相反,利用數據泄露通知的制度設計,可以期待企業,特別是大型企業(商譽重視程度較高)為了避免履行數據泄露通知義務,會盡最大能力防止數據泄露,而非維持中等或平均水平的數據安全保障措施。周漢華教授指出,信息控制者面臨的安全挑戰壓力是現實的,也是巨大的,個人數據泄露會造成聲譽、法律責任承擔與客戶流失等影響。潘靜指出,聲譽機制能夠一定程度上威懾企業行為以防止機會主義動機,現代工商業的“陌生人交易”使得各方處于高度的信息不對稱狀態,企業過往行為構成企業印象的重要印記,聲譽作為重要的公眾認知,具有很強的信號顯示作用。
二、數據泄露的表述陷阱及教義學統一
從字面理解,數據泄露是指數據發生非正當性轉移(不論是否有實際的物理轉移),脫離合法的、應有的控制范圍。涉及數據治理(特別是個人信息保護領域)的法律制度中,數據泄露通知制度具有廣泛的認知基礎。然而,對數據泄露的概念理解,普遍存在法律內涵和常識理解之間的沖突。
中文的“數據泄露”,通過一個有形動作“泄露”來表述無形對象“數據”,容易產生對“數據泄露”的狹義化理解,導致調整范圍的不周延。從英文看,數據泄露對應的詞匯是data breach。牛津詞典中對“breach”一詞有多種釋義:(1)(對法規等的)違背,違犯(a failure to do something that must be done by law);(2)破壞,辜負(an action that breaks an agreement to behave in a particular way);(3)(關系的)中斷,終止(a break in a relationship between people or countries);(4)突破口,缺口,窟窿(an opening that is created during a military attack or by strong winds or seas)。對比中文“泄露”一詞,釋義(4)可能比較接近——由于產生了“缺口”而造成了泄露。但是,data loss和data leak也同樣有泄露之意,Thomas J. Holt等在Data Thieves in Action一書中還使用了“data theft”的表述。國外立法中選擇breach而非loss,leak或者其他單詞,應當是因為breach相對具有更準確的內涵。美國加利福尼亞州《數據泄露通知法》將breach規定為對系統安全性(security of the system)的破壞。美國華盛頓州《數據泄露通知法》是美國最新的州層面立法,也保持了一致的規定,同樣是對系統安全性(security of the system)的破壞(breach)。歐盟《隱私和電子通信指令》中將“個人信息泄露”(personal data breach)界定為對安全性的破壞所導致的意外或者非法毀壞、損失、篡改,未經授權地公開或者訪問。歐盟《個人數據泄露通知條例》中也引用了《隱私和電子通信指令》的定義。《一般數據保護條例》(General Data Protection Regulation,GDPR)與《隱私和電子通信指令》一致,規定“個人數據泄露”是指對安全性的破壞,導致意外或非法毀壞、丟失、更改、未經授權的公開或者獲取個人數據的傳輸、存儲或其他處理行為。這與ISO/IEC 27040的定義也相當一致。從各類規定來看,對data breach的界定比較統一,都是指一種對安全義務的破壞,結果上表現為數據安全狀態的喪失。這種破壞包括“毀壞、丟失、更改、未經授權的公開或者獲取個人數據的傳輸、存儲或其他處理行為”,從而產生了“泄露”(注意這是中文表述,國外文獻均強調breach)的實際后果。據此推論,前述釋義(2)比較接近數據安全角度的理解。與data leak和data loss不相同,data leak強調的是客觀的動作——外泄,data loss強調的是客觀的后果——損失,這種損失可能既包括經濟損失,也包括數據本身的喪失或者損壞。
檢索可見,國內立法中沒有直接使用“數據泄露”一詞來構建數據泄露通知制度,也沒有對“數據泄露”作出明確的法律界定,但是制度本身是客觀存在的,即發生數據泄露、毀損、丟失等情形時應當向主管部門報告并通知用戶。2012年,《全國人民代表大會常務委員會關于加強網絡信息保護的決定》中表述的是“泄露、毀損、丟失”。2013年,《電信和互聯網用戶個人信息保護規定》中表述的同樣是“泄露、毀損、丟失”。而《中華人民共和國消費者權益保護法》中表述的是“泄露、丟失”。2016年,《網絡安全法》中表述的是“泄露、毀損、丟失”。比較法視野下,國內與國外關于“數據泄露”表現形態的描述基本一致,但是從中文語境上看,這些表述顯然也超出了“泄露”的內涵——“毀損、丟失”等是與“泄露”相并列的。不過,2020年公布的《個人信息保護法(一次審議稿)》第50條以及2021年公布的《個人信息保護法(二次審議稿)》第51條規定了個人信息處理者負有“防止未經授權的訪問以及個人信息泄露或者被竊取、篡改、刪除”的義務。《個人信息保護法(二次審議稿)》第56條中規定“個人信息處理者發現個人信息泄露的,……”,相比而言,第56條排除了第51條中的“未經授權的訪問”“竊取”“篡改”“刪除”等情形,而僅限于泄露。相較于上述前法所規定的“泄露、毀損、丟失”,《個人信息保護法(一次審議稿)》在安全保障義務方面保留了“泄露”,同時將“毀損、丟失”等改為“未經授權的訪問”“竊取”“篡改”“刪除”等,而在數據泄露通知制度(第56條)中限縮了范圍,僅限于“泄露”(此處應為狹義理解)一種情形,與前法的數據泄露通知要求并不一致,同時相較于域外法,也小于data breach的內涵。最終出臺的《個人信息保護法》對此進行了修正,在第51條(安全保障義務)中規定為“防止未經授權的訪問以及個人信息泄露、篡改、丟失”,在第57條(數據泄露通知)中規定“發生或者可能發生個人信息泄露、篡改、丟失的”,雖然沒有將“未經授權的訪問”納入數據泄露通知制度之中,但基本取得了統一,反映了立法者的最終態度。
反過來說,數據泄露通知制度中的“數據泄露”,應當是對數據安全義務的破壞(breach),否則就應當歸類至其他的違法行為。比如,違反了用戶知情權的要求,未取得用戶同意而收集個人信息,就沒有相應設置通知義務而要求企業報告相關情況。從國內法律體系來看數據泄露,立法中實際出現了差異性的表述現象,而實質內涵指向同一法律制度,有必要進行法教義學意義的抽象歸納,形成規范理解和統一認知。數據泄露是網絡安全語境下的現象,應為網絡安全事件的一種。所謂安全事件,就是對處于安全狀態的影響和減損,產生非預期性后果。信息安全中的機密性、完整性和可用性(confidentiality,integrity,availability,CIA)三要素,也可以適用于數據安全事件。也就是說,數據安全事件打破了機密性、完整性和可用性的正常狀態。復言之,數據安全保障就是要確保個人數據處于不被未經授權訪問、收集、使用、披露、復制、修改或者處置的狀態,存儲個人數據的相關存儲介質或者設備不會丟失或損毀。立法中,通過抽象或者具體(取決于立法位階、環境等綜合因素)的數據安全保障義務,來表達維持數據安全狀態的規則性要求。
從比較法視角看,中文將data breach翻譯為“數據泄露”,并沒有實現完整意義的本意呈現,導致與其制度內涵不符的偏解。法律制度上的數據泄露并非局限于物理動作的“泄露”。中文僅用“泄露”一詞,不足以在語義上完全覆蓋這些破壞性行為。也就是說,對“數據泄露”字面意義的理解無法全面反映其內涵。梳理國外有關數據泄露的相關法律規定,其中都有“disclosure”一詞,按照牛津詞典的釋義,“disclosure”的解釋是“the act of making something known or public that was previously secret or private”。可見,GDPR和ISO對數據泄露的界定均為對隱秘信息的獲知,而非物理控制。梅夏英教授也進一步指出,個人信息保護、信息安全都是純粹的信息問題,所謂信息,是“人對于該等數據的讀取和解讀”。“數據泄露”屬于語言習慣學的表述,其本質關切是信息的隱秘性,而非數據本身的靜態性。“數據泄露”因而應當是對數據控制合理可期待性的違反,使得數據被期待范圍以外所獲取、知悉甚至是篡改等,影響數據安全狀態。國內立法中使用的“泄露、篡改、毀損”等詞語才相對完整地反映了“data breach”的內涵。這一表述也被國內大多數立法所采用,從而也可以一定程度上理解立法者沒有直接在法律文本中僅僅使用“數據泄露”一詞來概括數據泄露通知制度的用意。
基于數據特性,數據泄露主要表現為兩種方式,一種是數據被非法獲取;另一種是數據被非法訪問。前者關注的是數據物理可控性,后者關注的是數據內容可控性。梅夏英教授認為數據具有非客體性,缺乏民事客體所要求的獨立性。數據所承載的信息,而非數據本身應當成為法益所要求規范的對象。因此,將數據泄露限定為物理性質上的轉移,會出現不周延的情況。由于非法訪問等所造成的數據被不當共享的情況,也應當被認定為數據泄露。
通過前述比較歸納,可以得出初步的結論,數據泄露通知制度是指對數據安全保障義務的違反(breach)而產生的法律義務,其結果表現形式是數據安全狀態被破壞,發生了數據泄露、篡改、毀損以及非經授權訪問等干擾數據正常控制狀態的情形,甚至從擴大解釋的角度還可以包括數據存儲介質不能處于正常運行狀態的情形。
三、數據泄露通知制度中的安全保障義務
明確了數據泄露所指是對數據安全保障義務的一種違反,就需要進一步討論何謂數據安全保障義務,以及何種情形視為違反。數據安全保障義務從立法意義層面,是對“數據安全狀態”的具象化表達,一般包含豐富內容。張凌寒副教授以平臺為對象對數據安全保障義務進行了分析提煉,認為數據安全保障義務包括數據安全管理制度、履行個人信息權利保護義務、監管配合義務等三個維度,且平臺的數據安全保障義務是“我國10余年來多部法律法規、政策性文件累積而成的一個內涵豐富、動態發展、規范層次多樣的制度體系”。李晗副教授認為,網上銀行信息安全保障義務主要是指保障用戶個人金融信息的保密性、完整性、可控性和不可否認性。其中,保密性、完整性、可控性應該也可以適用于網上銀行以外的其他主體。《網絡安全法》中將“網絡安全”定義為“是指通過采取必要措施,防范對網絡的供給、侵入、干擾、破壞和非法使用以及意外事故,使網絡處于穩定可靠運行的狀態,以及保障網絡數據的完整性、保密性、可用性的能力”。《中華人民共和國數據安全法》(下稱《數據安全法》)將“數據安全”界定為“通過采取必要措施,確保數據處于有效保護和合法利用的狀態,以及具備保障持續安全狀態的能力”,也強調了數據安全是對一種持續性狀態的維持,而非僅僅是某種靜態的確定性結果。2019年,愛爾蘭數據保護委員會發布的《個人數據泄露通知指南》中將“個人數據泄露”界定為,對個人數據的保密性、完整性或可用性產生負面影響的事件,包括個人數據被遺失、銷毀、損毀或非法披露包括有人未經正當授權訪問或傳輸個人數據,個人數據通過勒索軟件被加密、意外丟失、銷毀而變得不可用等。2021年,新加坡個人數據保護委員會(The Personal Data Protection Commission of Singapore,PDPC)發布的《數據泄露管理通知指南》中將“personal data breach”界定為未經授權訪問、收集、使用、披露、復制、修改或者處置個人數據的行為,以及在很可能發生未經授權訪問、收集、使用、披露、復制、修改或者處置個人數據的場景下,存儲個人數據的相關存儲介質或者設備丟失或損毀的情況。PDPC對數據泄露的全面性界定也可以視為反向對數據安全保障義務的描述。在網絡法的語境下,數據安全保障義務應當被視為一項廣泛而抽象的法律義務。就守法而言,法律規定也給出了相應的措施性要求,如《數據安全法》第四章對“數據安全保護義務”進行了規定,《個人信息保護法》第五章對“個人信息處理者的義務”進行了規定。具體執行層面,需要根據證明責任來確定安全保障義務之違反與數據泄露之間存在因果關系。鑒于數據泄露通知制度主要可能引起行政法律責任,按照行政法邏輯,應由監管部門確定違反的事實。當然,企業是否具備安全保障的能力,以及所采取的措施是否能夠維持安全的狀態,應當尊重并賦予行政機關合理的裁量空間。
四、數據泄露通知義務的獨立性及其理解
理解數據泄露通知義務的獨立性是實施數據泄露通知制度的關鍵,這一表述比較抽象,但卻是數據泄露通知制度發揮實際效果的精髓。簡言之,數據泄露通知必須建立在數據泄露不可避免的前提之上,而不是不發生數據泄露。數據泄露通知不等于數據安全保障義務得以履行,而數據安全保障義務之妥當履行,也不能豁免數據泄露通知義務。
網絡治理的內涵在很大程度上已經階段性地發展為數據治理。前述認為數據治理大致應包括兩個主要問題,防止數據濫用和防止數據泄露。防止數據濫用需要明確、可執行的規則來規范企業的數據活動,以劃定濫用與合理利用之間的界限,比如說“知情—同意”機制中,收集個人數據需要用戶同意,并告知目的、范圍和方式。這些規則的集合就構成了實質意義上的企業數據處理活動操作手冊。對于何謂濫用的認識相對比較清晰——違反用戶的真實意愿,或者違反合法、正當、必要以及誠信的原則。防止數據泄露卻無法通過操作指引的方式實現,因為數據泄露本身是不可能被絕對避免的。這就會陷入一個法律上的困境,企業嚴格遵守法律規定但仍然造成了社會利益的損失,應該如何設置法律責任。換言之,應該如何進行合理的制度設計,使得可以從機制上對數據安全保障義務的履行情況進行可標準化的監督。
數據泄露通知制度即在一定程度上實現了此種制度設計,實際上構建了一種數據安全保障義務的檢視機制,建立起相對抽象、模糊的內部數據安全保障體系與缺乏具像目標、資源受限的行政監管之間的橋梁,將需要主觀評價高低程度(安全保障義務履行效果)的問題轉變成相對明確的是非題(是否進行了數據泄露通知)。簡言之,數據泄露通知制度創造了立法層面對執法活動的制度供給,對數據治理具有直接的現實意義。
進一步來說,數據泄露通知制度兼具自我證明和自我檢舉的效果。自我證明也就是充分履行了安全保障義務之后,仍然意外地發生了數據泄露事件,主動選擇向主管部門開放監管,以證明其與數據泄露事件之間的無因果聯系,從而得以實現法律責任上的不構成或者豁免。自我檢舉是迫于避免承擔數據泄露通知義務所產生的法律責任而不得不向主管部門提供自身的違法線索,主管部門經核查安全保障義務履行情況后,予以相應的處罰,但同時不產生數據泄露不通知的法律責任。對此,簡單圖示如圖1。其中,實線箭頭為數據泄露通知法律義務路徑,虛線箭頭為數據安全保障義務路徑。
循此邏輯,立法中應當對數據泄露通知義務和數據安全保障義務相區分。我國《網絡安全法》第42條第2款同時規定了數據安全保障義務和數據泄露通知義務兩項義務,在法律責任中進行了統一歸責,實際上并沒有作區分處理。立法意義上,對數據泄露后的四種情形不作區分:(1)履行了數據泄露通知義務,也履行了數據安全保障義務;(2)履行了數據泄露通知義務,而數據安全保障義務未履行;(3)未履行數據泄露通知義務,而履行了數據安全保障義務;(4)未履行數據泄露通知義務,也未履行數據安全保障義務。這在實踐中可能形成數據泄露等同于數據安全保障義務未履行的效果,難免陷入“自首”式合規的困境。
GDPR對數據泄露通知義務進行了單獨規定,第33條規定了數據泄露通知義務;與之相區分的是第32條,規定了數據安全保障義務。這就在一定程度上不會給該兩項義務分別考量的執法實踐產生法律障礙。GDPR執法實踐中,發生數據泄露后,如果沒有履行通知義務,則產生違反第33條的法律責任,同時仍應檢查數據控制者對第32條的遵守情況;如果履行了通知義務,則不產生違反第33條的法律責任,但同時應檢查數據控制者對第32條的遵守情況,如是否按照第32.1(d)條的要求進行了定期檢測(regularly testing,assessing and evaluating),從而確定數據控制者是否應當承擔違反第32條的法律責任,即便是其已經履行了通知義務,該兩條法律義務也并行而互不形成制約。我國《個人信息保護法(一次審議稿)》第55條和《個人信息保護法(二次審議稿)》第56條,以及最終通過的《個人信息保護法》第57條中雖然在實體部分規定了數據泄露通知義務,并且對數據安全保障義務和數據泄露通知義務進行了區分,也對通知義務作了相對細化的規定,但是兩次審議稿均未對其單獨設置法律責任。《個人信息保護法》第66條對“違反本法規定處理個人信息”和“處理個人信息未履行本法規定的個人信息保護義務”兩種情形規定了法律責任,由第4條第2款對“處理”的界定可知,其并不包含“通知”的情形,而個人信息保護義務與數據泄露通知義務是兩項獨立義務,第66條之規定并不能當然地覆蓋數據泄露通知的情形。這在未來適用數據泄露通知法律制度而確定法律責任時,想必需要更深入地進行法解釋學研究,或者通過執法實踐考慮是否混同或分別處理兩種法律責任。
比較而言,其他有關法律規定在實體部分并未區分數據泄露通知義務和數據安全保障義務,可以理解為前述的等同意義。《中華人民共和國民法典》第1038條第1款規定,信息處理者不得泄露或者篡改其收集、存儲的個人信息。2020年《數據安全法(草案一次審議稿)》和2021年《數據安全法(草案二次審議稿)》均對“造成大量數據泄露”的情形直接規定了法律責任。從法律制度設計上,相當于否認了數據泄露通知制度的獨立地位,事實上可以理解為對構建數據泄露通知制度的消極態度。最終審議通過的《數據安全法》堅持了二審稿表述,如果嚴格按照數據泄露通知制度來理解,實施過程中就有必要進行立法解釋,將第45條處罰“造成大量數據泄露等嚴重后果”的前提,理解為該條所稱“開展數據處理活動的組織、個人不履行本法……規定的數據安全保護義務的”,從而確定該法律責任的內涵是對數據安全保障義務的懲罰,而非對數據泄露本身的處罰。或者換個角度理解,《數據安全法》本意上并未考慮引入數據泄露通知制度,自然也沒有按照數據泄露通知的路徑來回應數據泄露問題。
按照前文淺述,鑒于數據泄露通知制度的獨立性,數據泄露通知義務的履行并不意味著數據安全保障義務的豁免。一般而言,數據泄露發生后,發生數據泄露的主體履行通知義務后(對主管機關),主管機關應發起對數據安全保障義務的檢查機制,判斷數據泄露的發生是否由數據安全保障義務履行不到位所導致。如果數據安全保障義務已經充分履行,則發生泄露的主體不應承擔相應的法律責任(或應減少責任),但仍應按照法律要求采取相應的補救措施。如果數據安全保障義務未能得到充分履行,則應當追究數據安全保障義務所對應的法律責任。Lillian Ablon等認為,數據泄露通知制度除了幫助消費者減輕他們可能受到的損害的作用之外,還能夠促使企業為數據安全和風險防控增加投入。
從立法層面而言,數據安全保障義務很難通過量化的指標來釋明,同時也不可能要求所有的遵循主體統一適用過于精細化的標準。不同的主體基于服務、規模、技術等條件,采取安全保障措施的做法也不應相同。以匿名化措施為例,2021年4月,歐盟EDPS和西班牙數據保護局AEPD聯合發布的《關于匿名化的十個誤解》中就指出,同樣的匿名化措施未必能適應所有的主體而產生相同的積極效果。該報告以納稅數據為例,瑞典的納稅數據對公眾開放,而西班牙的納稅數據僅向特定的少數群體開放,因此如果瑞典采取與西班牙同等水平的匿名化措施就是不適宜的。報告認為,瑞典納稅數據的受眾更為廣泛,潛在的數據安全風險更大,瑞典應該采取更高標準的匿名化措施。如何確定數據安全保障水平也應基于同樣的邏輯,立法上只能給出原則性、目標性的要求,而具體的實施路徑應當由企業根據自身具體情況來設計。但是,實踐中企業基于合規需要,仍然期待監管機關能夠給出確定、可操作的指引,來確保合規動作的完成。實際上,這本身就是矛盾的命題。監管機關在判斷安全保障義務是否履行妥當時,只能按照法益之目標以及相對概括性的法律要求,就特定主體在特定環境下的義務履行情況進行判斷,進而形成“一事一議”的具體結論。
筆者試圖進一步從司法實踐中的兩個判例,來直觀理解數據泄露與數據安全保障義務之間的關系。龐某訴北京趣拿信息技術有限公司(下稱趣拿公司)、中國東方航空股份有限公司(下稱東航)隱私權糾紛一案中,龐某購買機票后遭遇詐騙,認為趣拿、東航泄露其個人信息。法院認為東航、趣拿公司存在泄露龐某隱私信息的高度可能,同時進一步審理東航、趣拿公司是否能反證推翻該高度可能。法院基于三點理由認為不能推翻:一是東航和趣拿公司不能證明本案中龐某的信息泄露的確是歸因于他人;二是不能證明本案中龐某的信息泄露可能是因為難以預料的黑客攻擊;三是不能證明龐某的信息泄露可能是其自身或魯超(受龐某委托購買機票)所為。據此,法院終審判決東航和趣拿公司存在泄露龐某隱私信息的高度可能,并且存在過錯,應當承擔侵犯隱私權的相應侵權責任。此案中,法院認定數據泄露事實,繼而查明被告是否能夠反證推翻高度可能性,實際上就是對被告是否充分履行數據安全保障義務的檢視。從案件材料看,趣拿公司、東航不能提供有力的證明材料來反映其安全保障能力,相當于承擔了未充分履行數據安全保障義務的不利后果。
與之相反,方某訴北京金色世紀商旅網絡科技股份有限公司(下稱金色世紀公司)、中國東方航空集團有限公司(下稱東航集團公司)、中國東方航空股份有限公司(下稱東航股份公司)合同糾紛一案中,方某同樣因為購買機票遭遇詐騙,法院經審理認為,金色世紀公司和東航股份公司均存在泄露信息的高度可能,進而進一步審查被告的安全保障義務。其中,法院認為,被告東航股份公司提交了一系列證據證明其針對可查看訂單信息的“東航B2C會員專區后臺管理系統”進行了數據脫敏設置,確保任何人都無法通過該系統查詢到訂單信息所對應的訂票人身份證號、手機號及聯系人手機號;并制定了嚴密的安全管理制度,對數據存儲安全進行專門認證、執行個人信息保護和數據安全方面最嚴格的國際規范等。相反,金色世紀公司并未提交相關證明材料。最終,法院判決金色世紀公司承擔相應的法律后果。
通過兩案對比發現,在數據泄露事實成立的情況下,是否承擔不利法律后果的重要考量因素是數據安全保障義務是否得以履行。如何確定安全保障義務是否履行,需要通過泄露主體提供的證明材料來具體裁量。兩案中被告對數據安全保障義務的證明力度有所差異,法院作出了不同的判斷;甚至在同一案(方某案)中,法院對不同被告是否履行安全保障義務,也會根據情況得出相反的結論。
行政管理過程中,可以參考形成類似的執法進路。收到數據泄露通知后,監管部門即對泄露主體進行數據安全檢查,基于提供的材料判斷履行數據安全保障義務是否充分,并進行相應地法律歸責。發生數據泄露而未通知的,監管部門發現數據泄露情況,即可依據數據泄露通知的法律義務對不通知行為進行處罰,同時也應對泄露主體進行數據安全檢查,判斷是否也要承擔數據安全保障義務履行不到位的法律后果。進一步來說,數據安全保障義務之內涵會隨著時間、技術水平等發展而不斷豐富,監管機構基于時下標準對發生泄露主體的數據安全保障義務進行檢查后,發現并無數據安全保障義務履行不到位的情況,就意味著既有的數據安全保障義務之內涵已經不適應當前網絡發展環境,抑或對特定主體的要求已經過低,需要進行適時調整。
當然,行政裁量的靈活性、相對主觀性并不意味著立法的永恒不確定性。網絡環境對法律關系的構成,以及法律概念的內涵和外延等都形成了挑戰,受技術發展變化和認識水平的限制,我們可能不得不經歷一段在不確定性中尋找解決方案的歷史階段。不過,通過前述兩個司法案例,仍然可以抽象歸納出一些對數據安全保障義務的考量因素,轉化為確定的法律要求,實現相應的法律指引功能。
五、數據泄露通知義務歸責時的過錯考量
進一步厘清數據泄露通知制度內涵,需要考量數據泄露通知義務的主觀性,也是更深入回答是否應當對數據泄露直接進行處罰的問題。數據泄露有可能是意外事件造成的,即企業已經盡最大可能,仍然沒有避免數據泄露,如黑客攻擊等;同時,也有可能是因為主觀過錯造成的,如因為權限設置不當、安全措施不夠等由內發生數據外泄。對數據泄露通知制度進行歸責時,有必要考慮構成要件中是否應當納入主觀因素,來確定過錯責任。
如果數據泄露以期待泄露發生的主觀意志為構成要件,那么由于故意或者過失而導致的泄露,就屬于數據泄露;不以主觀故意為構成要件的,則以是否發生了泄露的事實為標準,界定數據泄露。“泄露”的中文語義是“不應該讓人知道的事情讓人知道了”。英語中,data leak可以理解為是對客觀事實的描述,而data breach則包含了主觀上違反規范性要求的因素。從發生數據持有者的角度而言,數據泄露通知制度中的數據泄露不應當具有主觀性。刁勝先、何琪將個人數據泄露區分為“意外或非法毀損、丟失、更改”和“未經同意而被公開或訪問”兩種情形,認為前者不必以故意為要件,后者屬于行為,通常為故意使然。可以合理理解,其所稱故意使然,應為攻擊者所故意,而非數據持有者的故意。數據泄露所造成的不利后果,對于數據控制主體而言,應當是受害者,而非獲益者。例如,2019年10月,愛爾蘭數據保護委員會發布的《GDPR下的個人數據泄露通知實用指南》中要求數據控制主體在發生數據泄露時確定自身是否是安全事件(如網絡攻擊)的受害者。就受害者而言,對數據泄露不具有主觀故意性是關鍵構成要件之一。前述GDPR對個人信息泄露的定性,也是以“違反安全規定”為前提。前述ISO/IEC 27040的定義同樣是以違反安全義務為前提(compromise of security)。那么,數據泄露的法律定性應當以不具有主觀故意性為要件。數據泄露是在數據控制主體主觀不希望的情況下發生的非正當性數據控制權轉移。內部人員操作不當、工作人員非法出售或者提供數據等,也不能代表數據主體作為法人或其他主體的主觀意愿,不應當具有主觀故意性。根據IBM和Ponemon Institute發布的2020年數據泄露成本報告顯示,52%的數據泄露是由外部人員惡意造成的(如網絡攻擊),48%是由于系統故障或人為錯誤造成的。這些數據泄露從原因上來看,都并非泄露主體主觀上所希望的。Lillian Ablon等認為,數據泄露在美國是一個老生常談的話題,主要是惡意的、非故意的或者意外事件的結果,而這種“惡意”指的是黑客攻擊、設備被竊等,而非數據持有者的惡意。
數據泄露通知制度不應要求泄露主體“自證其罪”。從另一個角度看,如果存在主觀故意的要件,行為性質就發生了變化。數據持有者有意地將其所掌握的數據提供給另一主體,就已經符合轉移的特征,屬于數據轉移。此時需要考量轉移行為是否合法,進而界定為合法轉移或者非法轉移,并在構成非法轉移的情形下追究法律責任,而不產生由于履行安全保障義務不到位而導致數據泄露的法律責任,當然也不會激活數據泄露通知的法律義務。從法期待性角度看,如果主觀上本身具有數據泄露的目的,要求其履行數據泄露通知義務就會失去現實意義,不能保證法律的有效實施。那么,制度設計上宜采用過錯推定模式,發生數據泄露后,泄露主體即產生證明自己無過錯的責任,這也正是監管機構檢查其數據安全保障義務是否履行時應有的內容,從而確定歸責結果。
臉書(Facebook)公司“數據門”丑聞中,劍橋公司通過臉書設置的用戶信息共享規則而取得數據,臉書公司所設置的共享規則并無轉移用戶信息的本意,也無濫用用戶信息的主觀惡意,所以該數據丑聞并不應該被定性為數據泄露事件。美國聯邦貿易委員會(FTC)對臉書公司作出50億美元的罰款,實際上是對其“欺詐消費者”行為的處罰。近年來,網絡黑產所滋生的一些所謂的“數據泄露”事件,均由內部人員非法實施,導致個人信息等外泄。這類事件是否應當納入法律視野的數據泄露事件,還是應當通過其他的法律義務進行歸責,以保證整體法律制度設計的嚴密性和邏輯性,值得進一步思考和論證。
六、延論
從理論意義上來看,數據泄露通知制度屬于程序性義務,通過程序法設計來實現實體性法益追求。但是,數據泄露通知制度設計之新穎性,對傳統執法、守法理念客觀上存在沖擊和挑戰,其本身也需要更豐富的制度供給來保障其實施。根據數據泄露通知制度的機理判斷,雖然對用戶的通知也十分必要,但是數據泄露通知制度更為深層的意義是整合社會資源來共同應對數據安全所固有的不可根除性風險,因此建立監管機構和被監管對象之間的有效連接是構建數據泄露通知制度的關鍵。數據保護機構(Data Protection Agency,DPA)和數據保護負責人(Data Protection Officer,DPO)需要形成常態化的溝通聯系機制,這也正是一些國家和地區采取的數據登記注冊制度。數據登記注冊制度對于數據泄露通知制度而言,雖然不是充分要件,但卻是非常必要的。符合一定條件的數據處理活動,應當按照程序以備案的形式向DPA登記。進而,DPA負責企業內部數據安全保障義務,在發生數據泄露時向DPO報告(同時也應通知用戶)。DPA負責接收數據泄露通知,同時也負責對數據安全保障義務之履行情況進行檢查。更甚一步,DPA也應綜合數據泄露通知和數據安全保障義務履行的具體情況,不斷更新指引企業履行數據安全保障義務的要求和水平。
