數據泄露中企業對用戶的損害賠償問題研究

馬宇飛

摘? ? 要：非法抓取、竊取、破壞數據庫數據的行為使得數據企業與用戶承受了巨大損失。在用戶數據權益保護方面，《數據安全法》第27條規定了網絡運營者對用戶數據的安全保護義務，但如何對用戶進行損害賠償尚不明確。在用戶數據權利尚未被立法確認的前提下，可以以《民法典》第1197條、1198條為請求權基礎，結合數據經營實踐確定“知道或應當知道”、“采取必要措施”以及“違反安全保障（數據安全保護）義務”的具體標準，構建用戶數據權益救濟框架，使違反義務的企業承擔損害賠償責任。

關鍵詞：用戶數據權益;數據安全保護義務;損害賠償;網絡安全;漢德公式

中圖分類號：D 912? ? ? ? ? 文獻標識碼：A? ? ? ? ? 文章編號：2096-9783（2021）05-0075-10

自網絡服務平臺化以來，大量用戶數據藉由網絡服務得以集中于數據服務企業。與此同時，非法抓取、竊取、破壞數據庫數據的行為也逐漸增多，使得數據企業與用戶承受了巨大損失。如何依法保護企業、用戶的數據權益就成為了學界、實務界討論的焦點。在企業數據權益的保護上，司法中將企業對用戶數據的占有作為企業競爭利益通過《中華人民共和國反不正當競爭法》（以下簡稱《反不正當競爭法》）第2條加以保護，并在“新浪訴脈脈”案1、“淘寶訴美景”案2等案例中取得了良好的示范效果;同時，學界也廣泛出現了關于企業對其持有數據享有財產權的討論，如“所有權保護說”[1]“知識產權保護說”[2]“債權保護說”[3]“新型數據產權說”[4]等。但在用戶數據權益保護上，則不那么樂觀。首先，礙于數據上權益構成的復雜性，我國立法對用戶是否對其數據享有權利、享有何種權利的問題做了留白處理，導致數據泄露時用戶因缺少明確的規則指引而無法通過主張權利直接得到救濟;其次，上述關于“企業數據財產權”的討論也進一步壓縮了用戶數據權益的存在空間，加之“朱某訴百度”案3等間接否定用戶在其數據上享有權益的判例，也使得用戶在主張其數據權益時顯得無所適從。

認定一種行為是否構成侵權，既可以通過判斷行為是否侵害他人權利的方式認定，也可通過判斷行為是否違反法律中對他人應盡的義務的方式進行認定。雖然《反不正當競爭法》第2條并不能適用于購買數據企業網絡服務的用戶，但企業間數據不正當競爭的司法實踐不免使人反思，是否可以構建一種企業涉數據行為的違法性評價模型，采用判斷企業是否違反數據安全作為義務的方式繞開難以確定的用戶數據權利確定的問題，從而達到保護用戶數據權益的目的。《數據安全法》第52條肯定了數據安全保護義務的民法適用性，但如何在民事糾紛中適用尚需探索。學界對通過何種途徑保護用戶數據權益存在不同觀點，但均不否認用戶對其存儲于企業數據庫的數據享有一定的權益。如此，基于侵權責任規則保護用戶數據權益的討論便可以展開。2021年出臺的《數據安全法》第27條規定：“開展數據處理活動應當依照法律、法規的規定，建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，采取相應的技術措施和其他必要措施，保障數據安全。利用互聯網等信息網絡開展數據處理活動，應當在網絡安全等級保護制度的基礎上，履行上述數據安全保護義務。重要數據的處理者應當明確數據安全負責人和管理機構，落實數據安全保護責任。”因此，以企業是否違反數據安全保護義務為支點構建用戶數據權益的民法保護框架已經具備了基本條件4。企業數據泄露包含因企業自身原因導致用戶數據泄露與第三人原因導致用戶數據泄露兩種。本文將聚焦于第三人原因導致用戶數據泄露中企業對用戶的侵權賠償展開討論。

一、企業數據泄露侵害用戶數據權益的主要類型

在企業數據泄露的原因中，除去企業故意及系統故障以外，唯一的可能就是第三人侵入數據庫。隨著大數據價值被挖掘，黑客攻擊的目的也從單純的刪除數據、癱瘓網絡系統轉變為更具經濟價值的數據庫竊取。從現階段來看，數據竊取的方式主要有二種：其一，未經同意的數據抓取，如2018年劍橋分析公司（Cambridge Analytica）通過網絡抓取了Facebook超過5000萬用戶信息，導致了著名的Facebook“數據門”事件;其二，漏洞攻擊，如2019年5月，圖形設計工具網站Canva遭到黑客攻擊，1.37億用戶的電子郵件、用戶名、姓名、居住城市以及使用bcrypt密碼加密和散列的信息被盜。在我國，漏洞攻擊又以撞庫方式竊取數據最為常見，如2019年2月抖音APP遭到惡意撞庫攻擊，導致上千萬賬號數據泄露。上述兩種數據竊取類型中，企業未采用足夠的數據安全措施均是原因所在。

（一） 數據抓取

長期以來，數據抓取一直是企業數據安全面臨的最主要問題。曾引起學界廣泛討論的“eBay v. Bidder's Edge”案、5“hiQ v. LinkedIn”案、6“大眾點評訴百度”案、7“新浪訴脈脈”案8，以及絕大部分的企業間數據不正當競爭糾紛均屬于數據抓取問題的范疇。數據抓取是指通過爬蟲程序以識別代碼的方式自動獲取數據庫信息，并將該信息以秒為單位大量提取的行為。對于一般網頁而言，數據抓取在代碼層能夠實現的基礎在于以Roberts協議為代表的網絡協議允許網絡爬蟲進入頁面抓取內容;對于非開放性數據庫，則會設置更復雜的防火墻進一步防止爬蟲或其他未經許可的數據抓取行為，對數據合作方則以單獨提供API接口的方式實現數據共享。在數據糾紛案件中，依照抓取方與被抓取方是否存在合作協議可以將網絡抓取行為分為兩種。

無合作協議的網絡抓取行為主要為抓取以網頁為代表的無防火墻數據，是否涉及侵權的認定主要取決于Roberts協議是否允許爬蟲進行抓取。Robots協議（或稱爬蟲協議、機器人協議）是網站設置的一種文本文檔，這種文本文檔一般以robots.txt的格式存在。網站通過設置Robots協議來告知搜索引擎哪些信息可以抓取，哪些信息不能抓取，以此來保護網站信息的安全。實踐中，對網絡抓取行為進行限制的技術手段早已不限于Roberts協議一種，無論采用何種技術手段，這類協議在企業間數據侵權上的性質與Roberts協議并無本質差別，均為數據持有方對特定數據是否可以被他人抓取的意思表示。只要這一意思表示存在明顯的客觀體現且不通過一定技術手段無法獲取，那么違反這一意思表示的抓取行為就可能構成非法獲取計算機信息系統數據罪9，或構成不正當競爭行為10。對于一般用戶而言，非法獲取計算機信息系統數據罪入罪需要獲取一定組數或較大價值的信息11，且《反不正當競爭法》也并未賦予一般用戶訴訟主體地位，故其數據權益并不能從《刑法》與《反不正當競爭法》中得到直接救濟。

存在合作協議的網絡抓取主要發生于數據共享合作中。在數據共享環節，對數據庫的有限度開放主要使用API接口實現。API接口是數據庫留給合作方程序的一個調用接口，合作方的程序通過調用數據庫API接口而使數據庫執行該程序的命令，從而實現數據庫內容的共享。因事前存在數據合作協議，因此合作方抓取行為既涉及侵權認定也涉及是否違約的認定。主要涉及合作方無技術障礙抓取數據庫方未開放API接口權限的數據，與數據庫方過失越權提供API接口兩種情形。在已生效的判決中，一般認為無論在合同層面還是代碼層面，只要被抓取方存在明確的不同意數據抓取的意思表示，抓取行為就會被認定為不合法。被抓取企業是否對用戶數據采用了足夠的安全措施，一般會被作為判斷被爬取方數據權益是否被法律保護的條件，而非抓取行為本身是否合法的條件進行考量。同時，司法實踐中對用戶數據的保護僅限于個人信息，且一般僅對單組數據是否構成個人信息進行判斷，故用戶數據權益亦無法通過這一方式得到間接救濟。

目前，我國立法中對于用戶數據的權屬問題并未明確規定，但通過對《網絡安全法》《個人信息保護法》《數據安全法》的觀察不難發現，企業雖然在其持有的用戶數據上對特定用戶外第三人享有權益，也需要承擔保護用戶數據的義務。在以上兩種數據抓取類型中，抓取行為對用戶主體的損害產生與否以及損害的大小取決于數據庫方是否采用了足夠的技術手段與管理手段防止數據非法抓取的發生。在當前復雜的數據安全環境下，僅采用如Roberts協議等簡單的技術手段防止抓取并不能有效的防止數據安全事件的發生，不應當將其視為企業對數據泄露事件的免責事由;同時，在API接口管理上，數據庫方因內部管理、編程疏忽而導致API接口超越權限提供的情形，也應當承擔管理上的責任。因此，對數據企業的數據安全要求，不僅包含技術方面的要求，也應當包含管理上的要求。

（二） 撞庫竊取

當前，網絡安全攻擊已經從傳統直接侵害型的DDoS分布式拒絕服務攻擊，轉向間接工具型的信息竊取。其中，撞庫攻擊更是給企業和用戶帶來巨大損失。所謂撞庫，就是利用用戶在不同的網站使用相同用戶名、密碼的注冊習慣，通過一定方式獲取或破解A網站賬號數據庫，再依賬號批量登錄B網站，從而竊取B網站用戶賬號內信息的行為。其特點在于登錄目標網站無侵入痕跡，且盜取數據后往往無法進行追溯。

不同于對數據庫的直接侵入，撞庫并非通過破解數據庫防火墻實現竊取數據的目的。撞庫的流程分為拖庫、洗庫、撞庫三個階段：拖庫，即為通過技術手段或社工手段（即通過企業內部員工渠道）批量獲取目標賬號數據;洗庫，即為對批量獲取的賬號數據進行分類整理;撞庫，即使用已整理好的結構化數據批量登錄目標平臺提取賬號信息，間接的侵入數據庫。雖然撞庫在代碼層通過合法途徑接入數據庫，但其本質上依舊屬于侵害企業、用戶數據合法權益的侵權行為。我國刑事審判中已有將獨立的撞庫行為歸入非法獲取計算機信息系統數據罪的判例，但在民法的視野下，企業是否需要對第三人撞庫竊取賬號內財產的行為對賬號主體負責則存在爭議。目前，我國法律尚缺少對此類行為中企業責任的直接認定依據，在實踐中尚需要借助表見代理制度，即企業是否采用了足夠的身份認定方式來確定企業責任12。這種方式受制于大眾對形成表見代理的事實達成一定程度的共識，但在不同行業間數據安全系統構建差異巨大的數據安全領域毫無疑問是不具備普遍適用性的。因此，對于數據泄露引發的法律糾紛，至關重要的是要確定一種司法分析模型，不僅可以幫助用戶決定是否提起訴訟，同時也可以使持有用戶數據的企業可以依靠該模型提供的預測結果來使自己免受訴訟。

二、用戶數據權益救濟困境的成因分析

（一） 我國民事立法中對用戶數據權益保護的留白及其影響

縱觀我國保障用戶數據安全的法律，主要呈現出行政責任為主的特點，相應的民事規則尚無專門性規定。為保護數據安全而設置的企業義務在《數據安全法》中被統稱為“數據安全保護義務”，現行法律中主要體現在《數據安全法》第27、第30、第33條，主要包含以下義務類型：其一，人員管理義務，即制定內部安全管理制度和操作規程，確定網絡安全負責人，落實網絡安全保護責任;其二，技術防范義務，即采用技術措施防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為;其三，可追溯性保證義務，即從事數據交易中介服務的機構提供服務，應當要求數據提供方說明數據來源，審核交易雙方的身份，并留存審核、交易記錄;其四，風險評估義務，即對數據處理活動定期展開風險評估，并向主管部門報送風險評估報告。當企業發生數據泄露或可能泄露時，則依照《數據安全法》第29條負有事后的補救與通知義務。違反第27條、29條、30條與第33條的規定，分別依照第45條、47條承擔行政法律責任。《數據安全管理辦法（征求意見稿）》《征信業務管理辦法（征求意見稿）》涉及個人用戶信息保護的部分，以及《貴州省大數據安全保障條例》等地方性法規也基本與《數據安全法》對數據安全保護義務的規定一致，但均未涉及具體的違反數據安全保護義務的認定標準。

《數據安全法》的最重要功能在于維護網絡空間主權、國家網絡安全，設置數據安全保護義務的主要目的是在公共利益層面保護數據安全，因此違反數據安全保護義務的法律責任以行政罰款為主。因立法中并沒有直接規定企業對用戶的民事法律責任，故用戶數據權益救濟尚需從民事立法中尋找依據。遺憾的是，《民法典》并未直接賦予用戶對其數據所享有的權利——雖然第1038條規定了信息處理者對個人信息的安全保護義務，且在條文適用情形上與《數據安全法》第29條相同，但同樣僅概括性的確定了企業應當采取的補救措施和向主管部門報告的義務，未規定違反該義務的民事責任，且在適用范圍上僅限于用戶個人信息一類客體，故依舊無法對用戶數據權益的民法保護提供一般的制度框架。因此，《民法典》中的侵權責任規則與《數據安全法》第27、第30、第33條規定的“數據安全保護義務”就成為了救濟用戶數據權益最重要的法律依據。

（二） 企業對用戶的侵權責任認定標準尚待明確

關于第三人導致用戶數據泄露所引發的用戶權益救濟，《民法典》侵權責任編中最為明確的法律依據是第1197條，在網絡服務提供者（企業）知道或應當知道網絡用戶（侵權人用戶）利用其網絡服務侵害他人（其他用戶）的民事權益，未采取必要措施的，與侵權人承擔連帶責任。不難看出，該條的適用要求侵害行為必須利用該網絡服務，即該網絡服務必須具備工具性。但在第三人原因導致的數據泄露中，既包含以網絡服務為工具的侵權行為，也包含不以其為工具的侵權行為。因此，該法條并不能涵蓋所有情形。在網絡侵權中，可以作為“通知、取下”規則兜底條款的《民法典》第1198條同樣具有適用空間[5]。雖然數據企業并不屬于傳統意義上的實體公共、經營場所的管理者、經營者，但用戶以賬號的形式在數據企業的經營場所（數據庫）中進行活動的狀態與公共場所、經營場所的特定人的人身權利狀態并無顯著區別。同時，司法裁判中已存在將網絡平臺經營者依據“收益與風險相一致”的原則視為“公共場所的管理人”的判例，明確了其對用戶的安全保障義務13。因此，第1197條與1198條第2款均可作為用戶主張其數據權益的依據。如圖1所示，二者的區別在于依照第1197條主張權利時需證明企業服務的工具性、企業知道或應當知道侵權行為存在與未對該侵權行為采取必要措施，而依照第1198條第2款主張時則需要證明企業未對用戶數據權益盡到安全保障義務，即數據安全保護義務14。但在實踐層面而言，無論是《民法典》第1197、1198條的適用關系，還是《民法典》第1197條、《數據安全法》第29條中“知道或應當知道”、“采取必要措施”與《民法典》第1198條第2款“盡到安全保障義務”在數據泄露中的標準，均有待明確。

三、企業違反數據安全保護義務的民事責任

在設計企業承擔侵權責任的認定標準時，固然采用最嚴格的標準最能保護用戶數據權益不受侵害，但也要兼顧企業對泄露事件的可預見性與可負擔性。企業采用技術、管理手段保障數據安全的能力通常會受到數據能力、經濟能力的限制，而其數據能力又很大程度的受制于其經濟能力。對此，有觀點認為期望小型數據企業負擔與大型互聯網企業相同的安全投入顯然是不合理的[6]。但在另一方面，經濟能力與數據能力的欠缺也并不能構成數據企業侵害用戶數據權益的免責事由。對與企業違反數據安全保護義務的標準設置及責任承擔的確定，即需要法經濟學的推導，也需要根據侵權行為的構成要件進行判斷。

（一） 基于“漢德公式”的責任認定模型及其啟示

礙于數據行業的復雜性，企業違反數據安全保護義務的責任承擔始終是一個較難解決的問題。對此，有觀點認為應當通過漢德公式（Hand Formula）對企業是否需要對用戶承擔數據侵權責任進行推導。該觀點將“泄露的數據類型（type of data compromised）”作為可能性損害（PL）的評價方式，“足夠的數據保護措施與經濟投入（effort and cost）”作為預防措施（B）的評價方式初步構建了企業需要對數據泄露承擔責任與否的判斷模型。如圖2所示，該模型以可能性損害為縱軸，以預防措施為橫軸，并將不同企業數據安全力度下的用戶數據分為四個區間：區間一為易受侵害的用戶數據且企業未存在足夠的數據保護措施與經濟投入，此時企業應當承擔數據泄露責任;區間二為易受侵害的用戶數據且企業已存在足夠的保護措施與資金投入，此時企業應當在存在用戶數據損害時承擔數據泄露責任;區間三為不易受到侵害的用戶數據且企業未存在足夠的保護措施及資金投入，企業同樣應當對用戶存在數據損害時承擔數據泄露責任;區間四為不易受到損害的數據且企業已存在足夠的保護措施與資金投入，在這種情形下，企業不應當承擔數據泄露責任[7]。

這一模型以“可能性損害”與“預防措施”為標準實現了對企業數據安全責任的類型化，并以漢德公式為基礎提出了企業數據安全責任認定問題的解決方案，但其提出的具體標準尚有不合理與有待明確之處：其一，縱軸“可能性損害”的評價方式因數據泄露損害難以確定而采用“泄露的數據類型”作為評價標準十分牽強。實踐中數據泄露的風險并不與數據的種類強相關，一般具有價值的信息均具有敏感屬性。數據竊取的目的就是獲取敏感信息，一般體現為以賬號為單位整體竊取，故將這一分類作為標準無太大意義，反而直接采用可能性損害的最直接量化形式——可能泄露的字節數更加適當;其二，橫軸“預防措施”的評價方式采用“足夠的數據保護措施與經濟投入”也不盡合理。首先，資金投入并不能說明企業信息安全措施的有效性，例如企業安全系統外包與自研的成本相差巨大，并不能直接說明企業是否積極進行預防。其次，何種程度的數據安全保護措施屬于“足夠”也并未予以闡明。雖然該模型的具體設計存在些許問題，但其以漢德公式為參考提出的、基于“可能性損害”與“預防措施”的責任劃分框架，依然能夠為《民法典》第1197條、1198條第2款中數據企業承擔侵權責任的具體標準的解釋與認定提供參考。

（二） 企業承擔數據泄露侵權責任的判斷標準

不同于上述因用戶損害無法計算而采用妥協方案的責任模型，在以我國《民法典》第1197條為代表的互聯網服務中第三人侵權的企業連帶責任認定規則中，普遍將“知道或應當知道”與“采取必要措施”作為判斷互聯網企業是否需要承擔連帶責任的主觀與客觀條件。這兩項具體標準中，“知道或應當知道”標準基本與漢德公式中的損害可能性（PL）等同，均為企業對損害的心理預期;“采取必要措施”與“預防措施（B）”的差異也并不大。因此，可以以“知道或應當知道”與“采取必要措施”作為更合理的衡量企業是否應當承擔連帶責任的標準。在另一方面，《民法典》第1198條第2款安全保障義務的歸責方式與網絡侵權中對互聯網服務提供者的歸責方式不同，需要依照經營者、管理者是否對損害存在過錯進行規則[8]。因此，判斷企業是否盡到安全保障義務（即數據安全保護義務），也需要同時討論其是否對數據泄露具有過錯。

1. “知道或應當知道”的認定

在對“知道或應當知道”的理解上，客觀的認定標準從嚴到寬有三種：其一，企業發生數據泄露;其二，企業發生足以引起關注的數據泄露;其三，企業重復發生基于同一漏洞的數據泄露。在這三種標準的選取中，最為嚴格的是第一種。雖然采用嚴格的標準更利于用戶權益保護，但這一標準無疑對企業過于苛刻—畢竟沒有人可以設計出毫無漏洞的安全系統。就算僅從技術角度出發、不考慮數據企業員工內部竊取數據的情況，數據泄露的可能性也是客觀上存在的。在這一點上，第三種標準則更多的考慮到企業的技術能力限制，僅在企業出現相同原因的數據泄露時方使企業承擔責任，但這一標準又未免太過寬松—僅為對“知道”而非“知道或應當知道”第三人侵權發生的進行判斷，起不到督促企業及時修補已發現漏洞的作用，也間接的包容了在數據安全方面不作為的企業，顯然有悖于我國數據安全立法的初衷。因此，需要在二者之間選取折中方案—即排除如0-DAY等未知漏洞等無法預知的風險的情形15，在企業發生足以引起關注的數據泄露時視為“知道或應當知道”，客觀體現為依照當前一般數據企業技術水平能夠被監測到的異常數據流、確定屬實的關于導致數據泄露漏洞的新聞報道及公告、監管部門文件及《網絡安全法》第21條規定的企業內部日志文件與《數據安全法》第30條規定的風險評估報告等。對于數據流“大量”的認定，基于客觀可確定的制度設計原則，應當以字節為單位，結合實踐中的一般技術能力與分析能力確定可識別的異常數據流大小。

2. “采取必要措施”的認定

在對企業“采取必要措施”的認定上，最為直接的參考就是企業在泄露發生后是否依照相應的國家標準與行業標準對網絡、數據安全漏洞進行排查與修補。數據安全的保障分為技術與管理兩個層面，技術層面的保障往往需要依賴于管理層面的保障而起到實際作用[9]。在數據安全管理方面，ISMS（Information Security Management System）國際標準已在行業內取得廣泛認可，并作為各類型、各種規模數據企業解決信息安全問題的普遍方案。該數據安全體系具體由ISO27000至ISO27013系列標準組成，其中ISO27001（GB/T22080）主要規定了信息安全管理體系的要求，一般用于認證;ISO27002（GB/T22081）則詳盡規定了包括但不限于《數據安全法》第27至33條的18個安全控制節點的具體安全管理措施。除ISMS外，行業中也形成了諸多如CISCO NIST 800-64等軟件工程安全開發理論和標準。在這些行業標準中，ISMS管理標準已經成為我國國家標準體系的組成部分，具有更強的權威性與可適用性。ISMS對數據安全風險的評估與處置進行了詳細規定，主要包括數據安全風險的識別、分析、評價以及處置方案的提出、批準、實施與關閉，并要求保留有關數據安全風險處置過程的全部文件化信息16。如果企業可以依照上述標準有效處理數據安全風險，則應當認為其已采取必要措施。需要指出的是，在我國ISMS為推薦標準而非強制性要求，僅能作為判斷企業是否“采取必要措施”的參考標準。若企業有其他證據可以證明其已采取有效措施，則同樣應當予以認可。若企業在知道或應當知道數據泄露風險且未采取必要措施時，應當依照《民法典》第1197條承擔相應的法律后果。

3. 違反安全保障義務的認定

企業對數據泄露的安全保障義務即《數據安全法》規定的安全保護義務，但對于如何判斷企業違反了該義務，法律中并沒有明確規定。判斷企業是否違反安全保障義務，需對其是否具有過錯進行考察。在司法實踐中，一般采用“明知或應知”作為判斷標準17。本文認為，在企業數據安全保護的范圍內，“明知或應知”的判斷標準與前述“知道或應當知道”的判斷標準相同，即存在能夠被監測到的異常數據流、確定屬實的關于導致數據泄露漏洞的新聞報道及公告企業內部日志文件等信息證明數據安全風險已存在，且企業未能采取必要措施防止數據損害發生時，視為違反數據安全保護義務，依照《民法典》第1198條承擔相應法律后果。需要指出的是，安全保障義務中要求的“必要措施”（下稱充分措施）較前文所述《民法典》第1197條要求的必要措施（下稱補救措施）內容更加廣泛：前者僅要求依照《數據安全法》第27條采取對風險的補救措施，而后者則不僅要求采取補救措施，還要求采取《數據安全法》第29條中規定的預防措施，即一旦產生數據泄露，就算企業采取措施消除了數據風險，但依然可能會因為沒有滿足《數據安全法》第29條而承擔相應的補充責任。

（三） 企業違反數據安全保護義務的侵權責任形態

無論是依照《民法典》第1197條還是第1198條第2款，企業承擔數據安全責任的認定要件均包括“知道或應當知道數據存在泄漏風險”與“未采取必要措施”。但二者不同的是，依照《民法典》第1197條規定，網絡服務提供者僅需要在網絡用戶利用其網絡服務侵害他人民事權益時承擔責任，而第1198條第2款的具體認定標準參照《數據安全法》中的要求，并不包含這一規定。對于第三人竊取用戶數據是否屬于這一情形，則因對“用戶”與“利用其網絡服務”的解釋不同而存在兩種觀點：對二者采用廣義解釋的觀點認為，“用戶”應當指一切互聯網用戶18，只要侵權人竊取數據時網絡服務提供者的服務為其提供便利或可能，即屬于“利用其網絡服務”的范疇，屬于這一情形;對二者采用狹義解釋的觀點認為，“用戶”指接受特定網絡服務的相對人，侵權人竊取數據時企業所提供的網絡服務具有工具性，方才屬于“利用其服務”，故第三人竊取用戶數據不屬于這一情形。依照兩種不同解釋，《民法典》第1197條規與第1198條規定的不同法律后果會在不同范圍內產生競合。但無論競合范圍幾何，因第1197條為互聯網侵權特別規定，均應當依照特別先于一般的規則優先于第1198條適用。對于上述兩種觀點，本文認為因《民法典》為廣泛調整平等主體之間的財產關系與人身關系的法律，故應當采用廣義“用戶”與“利用網絡服務”的概念，不因此對第1197條與1198條承擔法律責任的前提進行區分。

綜上所述，在具體責任承擔標準的設計上，可以以“企業是否知道或應當知道數據風險”為縱軸，“企業是否已采取必要措施”為橫軸區分四個區間（如圖3所示）：第一區間為，企業知道或應當知道數據風險且未采取補救措施的，應當依照《民法典》第1197條承擔連帶責任;第二區間為，企業知道或應當知道數據風險、采取措施不充分且產生損害的，應當依照《民法典》第1198條承擔相應的補充責任;第三區間為，企業不應當知道數據泄露且未采取充分措施，無過錯不需承擔補充責任;第四區間為，企業不應當知道數據泄露且已采取充分措施，盡到安全保障義務不需承擔責任。需要指出的是，第三區間所述“不承擔補充責任”僅指企業基于當前數據安全業務所應具備的客觀技術水平與管理水平無法知道數據泄露而導致的無過錯不承擔補充責任，而非基于其自身現有技術水平與管理水平無法知道數據泄露而不承擔補充責任。企業因自身技術水平與管理水平存在缺陷而導致用戶數據權益受到損害的，應當依照第二區間承擔相應的補充責任，并可以在承擔責任后向第三人追償。

四、用戶數據權益損害賠償的認定

因數據泄露導致的用戶數據權益損害無法恢復原狀，故數據企業承擔違反數據安全保護義務的民事責任的方式應當以損害賠償為主。企業對用戶數據權益的損害賠償包含兩個部分：其一是對用戶數據內涵的商業秘密、著作權、知識產權等權利、權益的損害賠償;其二是對用戶已授權數據企業使用的用戶數據利益的損害賠償。對法律規定的具體權益的損害賠償應當依照相關法律規則處理，而已轉移的企業數據利益的損害，則是本部分討論的內容。

（一） 數據定價的基本方式

在當前的學術討論中，數據定價的基本方式可以概括為協議定價與客觀定價兩種。其中，協議定價是雙方當事人通過自愿協商的方式，就已泄露的數據價值達成合意;客觀定價是指在雙方當事人難以對數據價值達成合意時，通過一定方式認定特定數據的價值。

因數據具有非消耗性、非排他性、價值隨著數據聚合程度增加而增加、價值受獲取渠道與持有者處理能力影響等特征，其價格往往很難客觀衡量。因此，遵循財產規則通過自由協商的方式由當事人協議對數據定價，能夠通過自愿交易避免數據的定價困境，無疑是數據定價的最優選擇[10]。在數據交易中，持有用戶數據的企業與用戶經過協商達成一致意見是意思自治和合同自由原則在數據行業的體現，比如Google在2012年開展的Screenwise Trends Panel市場調查項目，以支付報酬的方式收集用戶的實用信息等[11]。但需要注意的是，數據企業與用戶之間服務協議的內容，必須以用戶數據為唯一標的，否則將因其他標的介入而導致實際數據對價難以計算。相較于以服務換數據，這種單純的數據購買在實踐中似乎并不多見，也使得可以通過這種方式確定數據價格的情形變得十分有限。

當無法通過協商方式對數據價格達成一致的情形下，通過一種客觀方式確定數據價格即成為最優的定價方案。但如何確定一種科學的定價方式始終是一個較難解決的問題。對于特定數據的客觀定價方式，已有觀點提出可以根據附加征稅的報價[12]、數據生產成本計價等[13]，但這些方式同樣存在著許多問題：如征稅報價根本上是自我報價，且不論政府征稅是否可行，其本身就缺少客觀性;數據生產成本計價雖然具備客觀性，但僅限于已被處理后的結構化數據，未被處理的非結構化數據無法進行折算，本身不具備普遍適用性。同時，上述方法也均存在在訴訟中難以操作的問題—即需要對案中涉及的所有具體數據進行逐一價格認定，考慮到實踐中動輒以TB為單位的數據量，實際是一項不可能完成的任務。因此，對特定數據的客觀定價僅存在理論上的可能，且適用范圍受限，并不具有普遍適用性與可行性。用戶數據權益的損害賠償依舊需要在尋找一種在個案中對涉訴數據的價格進行概括性認定的方法。

（二） 個案中數據損害賠償的計算

在個案中，用戶數據損害如可能計算損失，應當以用戶收到的損失計算損害賠償的具體數額;無法計算損失的，則應當為用戶提供一種一般化的損害賠償計算方式。對此，已有學者提出根據數據企業的結算報告推測、根據市場價格推測與經濟實驗推測等多種方法[14]。本文認為，對于數據價值折算方法的選擇，應當以具有確定性、可預期性與客觀性的特征為判斷標準：首先，這一方法應當是一個確定的公式，該公式的結構應當是固定的，而非基于離散采樣取平均值，或依據樣本數量變化而產生不同計算結果的計算方法;其次，這一方法應當保證最低限度的可預期性，至少應當使當事用戶在將數據交付給企業時存在對數據價值的心理預期，且在數據泄露事件發生時客觀上能夠確定;最后，這一方法應當可以客觀的反應數據在泄露時的價值。數據的價值隨著主體的不同、時間的不同而變化，折算個案中數據的價值應當結合數據的具體處理環境與泄露發生的時間，客觀地確定當年特定數據企業的數據市場價值。因此，基于平均值采樣法的市場價格推測方式與基于模擬交易的實驗推測法均予以排除。根據企業結算報告折算的方法不僅更為科學，也與《個人信息保護法（草案）》第65條的損害賠償計算方式相同，更有利于保持法律規則的一致性。

在根據企業結算報告折算用戶數據價值的具體公式設置上，該方法以用戶的賬號為基本單位，提出的公式為“用戶數據價值折算=企業年度數據經營業務銷售額÷賬號數”[15]。但結合實踐而言，不同賬號下的數據量往往差異巨大，故應當使用數據的基本單位——字節替換公式中的“賬號”，重構公式為“用戶數據價值折算=（企業年度數據經營業務銷售額÷數字經營總字節數）×用戶存儲于企業的字節數（實際泄露的字節數）”。如此，數據泄露中用戶數據權益的損害賠償范圍就得以確定，最終由法院依照案件具體情形在該范圍內確定具體的賠償數額。需要指出的是，該公式中的“年度數據經營業務銷售額”僅包含該企業的數據合法交易（包括向用戶出售的數據服務、向第三方出售的基于用戶數據的數據服務），非法交易而產生的數據盈利不應被包含在內。

結? ?語

我國《民法典》第127條規定：“法律對數據、網絡虛擬財產的保護有規定的，依照其規定”，《數據安全法》也于第四章對數據安全保護義務的類型進行了規定，但在數據泄露中企業數據安全保護義務的邊界與違反該義務應對用戶承擔何種形態的民事責任上尚不明確。綜上所述，在用戶數據權利尚未被立法保護的前提下，可以以《民法典》第1197條、1198條第2款為制度基礎，通過明確企業數據安全保護義務與民法上的安全保障義務、互聯網侵權責任規則的關系的方式保護用戶合法權益。在數據泄露中企業對用數據權益的損害賠償問題上，應當結合數據經營實踐確定“知道或應當知道”、“采取必要措施”以及“違反安全保障（數據安全保護）義務”的具體標準，使未盡到數據安全保護義務的企業依照《民法典》第1197、1198條的規定承擔連帶或補充責任，并在數據層面承擔以其年度數據經營業務銷售額為核算標準的損害賠償責任。

誠然，對于單一用戶數據層面的救濟可能損害賠償并不算多，但是用戶數據權益集腋成裘，其總量必然是巨大的。企業數據泄露的損害最終是由用戶和社會承擔，如果忽視這些受損害的個體的權益，最終會導致法律威懾的失效[16]。在《數據安全法》未對企業泄露用戶數據應當承擔何種民事責任予以規定的立法現狀下，以《民法典》第1197條、1198條作為用戶主張其數據權益的請求權基礎，確定企業在違反數據安全保護義務時對用戶的損害賠償責任，既可以鼓勵企業通過提高數據庫安全性使自己獲得競爭優勢，也可以使企業在沒有采用必要手段保護數據庫時對其不作為承擔法律責任。

參考文獻：

[1] 王融. 關于大數據交易核心法律問題——數據所有權的探討[J]. 大數據，2015（2）：49-55。

[2] 楊立新. 衍生數據是數據專有權的客體[N]. 中國社會科學報，2016-7-13（5）。

[3] 張素華，李雅男. 數據保護的路徑選擇[J]. 學術界，2018（7）：52-61。

[4] 齊愛民，盤佳. 數據主權的確立與大數據保護的基本原則[J]. 蘇州大學學報（哲學社會科學版），2015（1）：64-70。

[5] 李小草. 《電子商務法》電商平臺知識產權保護規定的法體系適用研究[J]. 法律適用，2020（13）：124-135。

[6] Caitlin Kenny. The Equifax Data Breach and the Resulting Legal Recourse[J]. Brook. J.Corp. Fin. & Com. L. ，2018，13：238.

[7] Lauren M. Lozada. The （Possibly） Injured Consumer： Standing in Data Breach Litigation[J]. St. John's L. Rev. ， 2019，93：484.

[8] 王利明. 侵權責任法研究（下卷）[M]. 北京：中國人民大學出版社，2018：157-159。

[9] 石祖文. 大型互聯網企業安全架構[M]. 北京：電子工業出版社，2020：36。

[10] 吳超. 從原材料到資產——數據資產化的挑戰和思考[J]. 中國科學院院刊，2018（8）：791-795。

[11] Brok. Is Screenwise Trends Panel A Scam？ Can They Be Trusted？[EB/OL]. （2014-3-17）[2021-8-2]. https：//fulltimejobfromhome.com/is-screenwise-trends-panel-a-scam-can-they-be-trusted.

[12] Eric A. Posner & E. Glen Weyl. Property Is Only Another Name for Monopoly[J]， J. Legal Analysis， 2017，9：51.

[13] 戴昕. 數據隱私問題的維度擴展與議題轉換：法律經濟學視角[J]. 交大法學，2019（1）：49。

[14] 城田真琴. 數據中間商[M]//鄧一多，譯. 北京：北京聯合出版公司，2016：94-119。

[15] 城田真琴. 數據中間商[M]//鄧一多，譯. 北京：北京聯合出版公司，2016：96。

[16] Daniel J. Solove & Danielle Keats Citron. Risk and Anxiety： A Theory of Data-Breach Harms[J]. Tex. L. Rev. 2018，96：737.

Research on Enterprise's Compensation for Damages to Users in Data Leakage

Ma Yufei

（School of Law， University of International Business and Economics， Beijing 100029， China）

Abstract： The behaviors of illegal obtaining， stealing， and destroying database data have caused data companies and users to suffer huge losses. Regarding the protection of user data rights， although Article 27 of the Data Security Law stipulates the security protection obligations of network operators for user data， it is not clear how to compensate users for damages in the civil law. Under the premise that user data rights have not been confirmed by legislation， Articles 1197 and 1198 of the Civil Code can be used as the basis for requesting rights. The specific standards of "know or should know"， "take necessary measures" and "breach of security protection （data security protection） obligation" are determined based on the data operation practice， and the relief framework of users' data rights and interests is constructed to make the enterprises that violate the obligation assume the liability for damages.

Key words： user data rights; data security protection obligations; compensation for damages; cyber security; hand formula