文│ 中国政法大学知识产权创新与竞争研究中心 陶乾 宋春雨

在全球数字经济发展的大背景下,数据已经成为最具价值的生产要素之一,被公认为二十一世纪的“新石油”和“新黄金”。与此同时,数据安全成为重要的议题,数据泄露问题成为数据企业当前面临的最大挑战,而专门围绕企业数据泄露法律防治展开的研究较少。企业数据泄露问题的现状如何、企业数据泄露的责任如何界定、既有法律规范如何完善,都是亟须关注和研究的问题。

一、企业数据泄露的现状:原因、危害及治理困境

企业数据是企业在经营活动中所持有、控制的以符号或代码形式表现出来的数据,主要包括企业的原生数据和衍生数据。与个人数据、公共数据不同,企业数据具有显著的稀缺性和经济价值,属于企业的无形资产。当数据权利人的数据信息未经其允许被公开时,即发生了数据泄露。欧盟《通用数据保护条例》(GDPR)给出了全面和准确的数据泄露定义,其中第四条规定,数据泄露指违反数据在传输、存储或者进行其他处理时的安全原则引发的数据被意外或者非法破坏、丢失、更改、未经授权披露和访问。多数的数据泄露行为属于侵害数据安全的行为。

目前,企业发生数据泄露的原因多种多样,不仅有企业员工利用职务便利故意或者过失造成的数据泄露,也有因企业储存数据的服务器或者企业员工的电脑客户端遭到黑客攻击而引发的数据泄露。由于目前全球已建立多个规模化的数据中心,企业收集和处理的数据,较之前相比,更容易成为黑客攻击的对象,导致大量的企业数据泄露后流入黑灰产链条中。而且,当前企业泄露的数据往往在暗网上完成交易,并通过比特币等数字货币完成支付,而数字货币的追踪难度很大,也在一定程度上增加了数据泄漏治理的难度。就数据泄露发生的环节而言,既有数据采集端,也有数据传输端和数据使用端。根据天际友盟的统计,造成数据泄露的常见原因主要为供应链第三方泄露,尤其是在新冠肺炎疫情期间,供应链第三方数据泄露事件发生频繁。随着物联网、云计算等新技术与大数据的融合发展,数据企业持有海量的数据。作为网络服务的特殊产业形态,云存储服务中的数据泄露问题也需要引起关注。

数据泄露带来的损失涉及多个方面,不仅会给商业数据的权利人带来重大经济损失,而且对企业的声誉及核心竞争力也将产生不可估量的减损。当数据集合包含个人信息时,也可能会造成个人隐私泄露和名誉损害。此外,被泄露的数据为违法分子进行经济诈骗提供了便利。2016 年“徐玉玉案”的源头便是掌握考生信息的企业网站受到黑客攻击所致,包含十万余条考生个人信息数据泄露,教训惨痛。

目前,企业数据泄露的治理在法律层面存在多重困境:其一,企业数据泄露的责任界定不清晰。网络服务运营商、数据存储服务商、企业内部员工以及企业外部第三方之间的责任划分不清晰,刑事责任、行政责任、民事责任具体如何适用法律规范不明确。其二,各国关于企业数据泄露的法律体系不同,对企业数据泄露的界定标准、责任承担及域外适用等规定不统一。其三,泄露企业数据的违法成本、犯罪成本较低,远远低于企业的防范成本,对相关责任主体的威慑不足。其四,企业通过诉讼或者仲裁的方式处理企业数据泄露事件的周期较长,不利于及时止损。

二、企业数据泄露的法律适用:责任主体与责任界定

目前,我国已颁布的与数据安全相关的法律规范主要包括:2012 年颁布的《全国人民代表大会常务委员会关于加强网络信息保护的决定》、2013 年颁布的《电信和互联网用户个人信息保护规定》、2013年修正的《消费者权益保护法》、2021年开始实施的《刑法修正案(十一)》、2016 年公布的《网络安全法》、2021 年开始实施的《民法典》,以及正在制定过程中的“数据安全法”“个人信息保护法”“数据安全管理办法”等。同时,也有已经颁布的《天津市数据安全管理办法(暂行)》《贵州省大数据安全保障条例》等地方规范性文件。

当企业数据泄露是因其员工为谋求不正当利益故意或者在业务往来中的工作过失造成时,一方面,企业作为数据的持有人,可以基于《劳动合同法》向员工主张赔偿。此外,《反不正当竞争法》亦对违法获取、披露、使用其他企业商业秘密的行为予以规制。当数据泄露因供应链第三方的原因造成时,企业数据的权利人可以追究供应链第三方相应的违约、侵权等法律责任。另一方面,企业基于其存储、收集信息的行为承担相应的数据安全保护义务,因企业数据泄露,给数据所含有的个人信息对应个体造成民事权利损害的,持有数据的企业应承担民事责任。

当数据泄露是因为数据持有企业遭到违法分子网络攻击导致时,涉及的是数据持有企业、数据存储服务提供商、网络攻击者三方的责任划分。首先,最容易界定的是网络攻击者的责任。《民法典》第一百二十七条已明确规定企业持有的数据是民事权利的客体,受法律保护,网络攻击者的攻击行为导致数据持有企业发生数据泄露,应当承担民事侵权责任。情节严重的,网络攻击者还须承担非法获取计算机信息系统数据罪、破坏计算机信息系统罪、侵犯公民个人信息罪等刑事责任。另外,由于企业持有的衍生数据在符合法定要件的情况下可以成为知识产权的权利客体,网络攻击者亦可能构成侵犯著作权罪、侵犯商业秘密罪等。

在因网络安全事件导致的数据泄露事件中,通常情况下,数据持有企业亦难咎其责。企业在对海量个人数据收集、处理、控制的过程中,负有数据安全保护义务。《民法典》第一千零三十八条第二款、《消费者权益保护法》第二十九条第二款、《关于加强网络信息保护的决定》第四条、《网络安全法》第二十一条与第四十二条第二款,均规定了企业确保数据安全、防止数据泄露的义务。确保数据安全的义务有两方面的要求,一方面,企业应当确保数据不被损坏、遗失、丢失,不发生物理损失;另一方面,企业应当确保数据不被泄露、侵入或者发生其他类似情形。根据《网络安全法》的规定,作为网络运营者的企业对收集、持有的数据负有安全保护义务,保障数据系统不被干扰、破坏或入侵,防止数据泄露或被窃取或篡改。《网络安全法》第七十四条规定:“违反本法规定,给他人造成损害的,依法承担民事责任”。此外,《网络安全法》第五十九条还规定了罚款、责令改正等行政处罚。另外,2015 年通过的《刑法修正案(九)》,增设了“拒不履行信息网络安全管理义务罪”,将网络信息的维护责任纳入《刑法》的规制范围。若数据控制者拒不履行信息网络安全管理义务导致严重后果,将按照《刑法》第二百八十六条之一规定,承担刑事责任。若泄露的企业数据涉及特定信息,企业与恶意攻击者均有可能构成侵犯著作权罪、侵犯商业秘密罪与侵犯公民个人信息罪等。

当企业发现数据泄露后,应当立即履行通知和报告义务。数据的监管机构和权利人很难发现数据泄露,导致权利人难以及时采取措施避免损失扩大。网络运营者作为数据的直接控制主体,可以通过内外部监控两种方式的结合,第一时间判断是否发生数据泄露并采取相应措施。《网络安全法》第四十二条第二款规定了网络运营者在发现数据泄露后的通知和报告义务,并在第六十四条规定了不履行此义务的行政责任,包括责令改正、警告、罚款、责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等处罚措施。从民事责任的角度考虑,若企业违反数据泄露后的通知义务,数据权利人有权根据其损失向企业行使损害赔偿请求权。

如果企业数据存储于专门的数据存储服务提供商的服务器中,数据存储服务提供商本质上是网络服务提供者的一种特殊形式,也应当适用网络服务提供者相关的法律规范。一方面,数据持有企业通常会与数据存储服务提供商签订存储服务合同或者产品使用合同,通过约定服务内容、费用、期限、维护以及违约责任等条款,明确双方权利义务。存储于数据存储服务提供商的服务器中的企业数据发生泄露时,数据存储服务提供商应当依据《民法典》合同编向企业承担违约责任。若合同中明确将网络攻击者的原因作为不可抗力,发生数据泄露后,数据存储服务提供商可以部分或者全部免除责任。

另一方面,根据《网络安全法》的规定,发生危害网络安全事件时,数据存储服务提供商应当为其数据存储服务持续提供安全维护,保证存储数据的完整性、保密性和可用性,当发现数据储存服务器和存储环境存在安全隐患和数据泄露风险时,应当立即启动应急预案,采取相应补救措施,并及时告知数据持有企业,向相关主管部门报告。否则,数据存储服务提供商应当向数据持有企业与个人信息的权利人承担民事侵权责任,同时须承担《网络安全法》第五十九条、第六十条规定的责令改正、警告、罚款等行政责任。数据存储服务提供商承担相应赔偿责任后,有权向网络攻击者进行追偿。若数据存储服务提供商与网络攻击者恶意串通,构成共同侵权的情况下,将承担连带责任。

当企业持有的数据存储于专门的数据存储服务提供商的服务器中,信息网络安全管理义务也应由数据持有企业相应地转移到数据存储服务提供商。若数据存储服务提供商拒不履行信息网络安全管理义务导致严重后果,须按照《刑法》第二百八十六条之一拒不履行信息网络安全管理义务罪的规定,承担刑事责任。

三、关于企业数据泄露治理的几点建议:完善与整合

基于目前企业数据泄露的治理存在的困境和既有数据安全相关法律规范,应当从以下方面进行调整和完善。

一是应当尽快出台数据安全法和个人信息保护法。目前,关于数据安全相关的法律规范较少,且分布零散,导致企业的责任难以界定、监管缺位。应当在现有规定的基础上进行细化、整合,尽快形成适应我国数据发展现状的数据安全法律体系。例如,关于企业数据权属的确定方式、类型划分的内容,关于企业通知义务的通知主体、通知内容以及具体通知方式的内容,关于企业数据泄露后的损失确定标准、赔偿标准的内容,关于数据处理环节的重点规范内容等。

二是应当加大对数据泄露责任主体的处罚力度。目前,企业数据泄露的违法成本较低,远远小于利用泄露的数据所获利益,也远远低于企业的防御成本。欧盟《通用数据保护条例》将罚款的上限调整为2000 万欧元或公司上一年度全球营业额的 4%。我国《数据安全法(草案二次审议稿)》第四十四条规定了关于数据泄露的罚则。可借法律制定之机,加大责任追究力度,提高泄露数据的违法成本。通过加大处罚力度,促使数据企业和内部员工提高数据泄露防范意识,加强数据风险防范,从事前、事中和事后做好数据安全的闭环管理,建立完善的数据安全与数据泄露防护体系。

三是应当完善相关举证规则和证明标准。根据现有证明规则和证明标准,个人信息的权利人难以证明企业泄露数据的侵权或者违约事实、因果关系等违法构成要件,很难通过诉讼维权。应当在调整、完善证明规则和标准的基础上,探索应对数据泄露大规模侵权或违约行为而开展集体诉讼、公益诉讼。

四是应当适度扩充数据法律规范的域外效力。目前,《数据安全法(草案二次审议稿)》第二条规定了该法的域外效力,增加规定了保护性管辖的原则,为我国维护数据安全提供了管辖权依据。有待完善的是,第一款规定仅适用于在我国境内开展的数据活动,难以应对目前数据跨境流动日益频繁的现实情况。欧盟《通用数据保护条例》规定,“本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理,不论其数据处理是否位于欧盟内部。”此规定与各国通用的数据活动管辖原则一致。我国也应当扩充《数据安全法(草案)》的域外效力,无论数据处理行为是否发生在我国领域内,都应当适用。

总体看,大数据时代,面对严峻的数据泄露问题,我国应当尽快形成完善的数据泄露防治体系,明确相关主体的责任边界,对掌握海量数据的企业提出更高的管理、维护、监控和处置要求,对数据企业的主管部门提出更高的监管和执法要求。有效预防和治理数据泄露事件,促进国家数字经济健康发展。

(本文刊登于《中国信息安全》杂志2021年第5期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。