論數據泄露通知義務的制度構造

關鍵詞：數據泄露通知；強制性義務；公私法融合；制度構造；規范價值

一、問題的提出

肇始于2002年美國加利福尼亞州《數據安全泄露通知法案》首次將數據泄露這類安全事件的通知義務通過州立法的方式固定下來，但究其根本，依然脫離不了美國在20世紀70年代開展的影響全球信息隱私立法的公平信息實踐。1977 年美國政府設立的“隱私保護學習委員會”在發展1973年“關于個人數據自動系統的建議小組”提出五項原則基礎上形成了八項基本原則①，實際上在賦予個體一系列信息權利基礎上，也對當時信息收集者或處理者施加一定保障義務，以確保權利在行使中能夠有對應的義務行為形成行權閉環，實現真正的權利有效化和安全保障，在此基礎上，信息安全保障義務和問責機制被逐漸固定下來，成為約束信息收集者或/和處理者的義務性規范。伴隨公平信息實踐在全球范圍內的開展和演變，信息管理和問責原則被逐步演變成多項具體的義務性規范固定下來，面對數據安全及私權保障問題，作為商事主體的企業（平臺）被施加于何種程度的義務才能實現效率最大化，本身不僅是監管層面的難題，更是一個產業政策需要直面解決的問題。數據泄露通知義務伴隨著加州政府對當時Stephen P.Teale數據中心造成26.5萬加州雇員個人信息泄露重大安全事件的反應被州立法確定下來②，但應當注意到的是，盡管基于重大影響事件的推動，對數據泄露的渴求和通過安全保障手段保護數據這兩對天生的勁敵永遠都在此消彼長，無法使得對數據泄露這類安全事件的管理和問責真正結束，其內在蘊含的基本價值取向不僅僅是基于對保護群體性法益而形成的公共利益所面向的公法保護，還有涉及數據個體對數據收集者或處理者基于基本的參與、收集、使用、披露行為行使知情與個體自決權利所指向的私法保護。

我國現有對數據泄露通知義務的具體規定主要散見于《中華人民共和國民法典》（以下簡稱《民法典》）、《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）、《中華人民共和國數據安全法》（以下簡稱《數據安全法》）、《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）中，相關規范內部間雖有邏輯相連，但形式上相對散亂，其中《網絡安全法》第四十二條、《民法典》第一千零三十八條、《數據安全法》第二十九條、《個人信息保護法》第五十七條對其都有較為具體的規定。學界對該問題的研究更多著眼于對數據泄露通知制度的解釋論和制度完善方向，以及評介世界各國有關數據泄露通知的解決路徑，對其基本價值取向的轉變和交融復雜的制度性質本身研究不多，在規范屬性上還缺乏對法律義務性規范自身結構的思考，而對這些問題的厘清會成為我國制定相關下位法規范或修改現行法律體系中完善數據泄露通知制度規范的基本導向和關鍵指引。

在現有研究基礎上，本文試圖轉變研究思路，嘗試挖掘公法與私法價值交融性質的數據泄露通知義務所蘊含的多元價值面向，在現有制度規范框架下，探索數據泄露通知制度為“分攤數據監管主體與被監管對象的風險責任”和“數據處理者與數據主體的權利保護關系”所構建的制度設計邏輯，并嘗試提出協同治理的框架優化進路，以此促進數據泄露通知義務制度構造本質的再認識。

二、自治到規制：強制性義務設立的價值取向

數據處理者對數據泄露等安全事件的通知在未被固化為法定義務之前屬于自治范疇，數據處理者在考量安全和商業商譽等因素后決定是否對有關情況進行主動通知，當通知行為被規范為一項法定義務時，其具有引起法律責任的規范約束力，也實現了從自治到規制的轉變。伴隨強制義務的設立，對數據泄露引起的安全事件的治理也逐步從損害救濟的思維轉向風險預防，同時，強制性義務不僅來源于數據安全保障義務的履行，更來源于對個人數據主體知情權與決定權對應告知義務的要求。義務來源的雙重性決定了數據處理者不能僅著眼于數據泄露通知，更應當逐步對內部管理和外部防范機制進行全方位檢視。

（一）損害救濟向風險預防的轉變

數據泄露通知制度的設計原本試圖減緩由數據泄露造成的損害，其根本原因在于由技術的發展和對有限且有效數據資源強烈渴求的雙重刺激下，數據泄露實則難以避免，在事前無法實現絕對控制以保證安全不泄露的基礎上，唯有實現前端數據泄露造成損害的緩解與后端對數據泄露進行有效賠償和彌補才能真正實現該制度意欲反映的保護價值。數據泄露通知制度能夠最大限度地防控數據泄露引發的損害[1]。但實際上，數據泄露造成的損害不僅是相關數據主體財產和人格的雙重影響，還存在對企業聲譽、社會安全、國家安全的多重危害，盡管美國等國家將加密的個人數據排除出數據泄露通知義務履行之外，但面對量子解密技術的發展，加密行為已經不再能夠確保持久有效安全[2]，因此對泄露造成的財產損失、人格利益損害、企業聲譽損毀、社會公共安全等無法挽回的原生損害，應當及時調整規制思路。

對原生損害的不可避免性催生了對次生損害的高度關注和有效治理，從原有的損害救濟思路調整轉變為對風險發生（或發現）的預防成為數據處理主體防止次生損害發生的重要思路。本質上，這樣的規制思路同互聯網時代大型平臺面對侵權行為防止權利人損失擴大而避免承擔侵權責任在底層方法邏輯上是一致的。美國各州繼加州頒布數據泄露通知專門立法后逐步出臺類似的法律保護規則，在觸發通知義務履行的門檻標準方面，逐步形成了“泄露認識”“個人實質損害”“合理的傷害可能性”三項標準③，其中加利福尼亞州、紐約州、德克薩斯州等采用較低門檻的泄露認識標準，只要在發現和認識到數據泄露事件后就開始履行通知義務，同時結合是否存在“未經授權訪問”的事實認定發出具體通知。應當注意的是，無論選擇何種觸發通知義務的標準，實際上都是在將數據安全事件風險治理的端口往前移動，其主要的區別在于往前推移的程度不同。在面對數據泄露帶來的重大安全影響后，各國已經逐步將最開始將對數據違規處理公司和數據偷竊者的懲罰、對數據被泄露主體的損害補償轉向對數據泄露風險的預防、對數據泄露主體自我保護和公共安全與國家安全的有效保障。

我國《個人信息保護法》第五十七條規定，發生或可能發生個人信息泄露等情形，個人信息處理者應當采取補救措施和履行通知義務，其已經明示了泄露認識標準，即實現對發生或存在發生可能性的數據泄露損害實現預期保護，并不單純嚴格要求實際發生數據泄露安全事件。質言之，在數據泄露的風險已經無法完全避免的情況下，通過數據泄露通知的觸發盡可能實現對數據泄露造成損害及損害擴大風險的有效預防，這應當是數據泄露通知義務的根本價值取向。

數據泄露的實質在于因無法對數據安全性和隱秘性的有效控制，從而使數據個體喪失了對其自身身份建構自主性和完整性的支配。通知制度本身無法重建個體對身份建構的自主性和完整性，只是實現了對主體知情權、決定權的保障，通過知情后的理性選擇輔以公共政策救濟模式試圖挽救或重塑個體身份的某些具象化特征。風險預防的邏輯是實現對安全原則建構性框架內外部協調的統一[3]。因此，應當注意到的是，由于規制思路的轉變和相關措施的實施，必然導致原有運行方式的成本發生變化，數據泄露通知制度的主要成本負擔者在數據處理者（歐盟為數據處理者和控制者），這項義務沒有被制度化之前，數據處理者需要考慮成本收益才決定是否需要通知數據個體已經采取何種方式進行補救，甚至采取退出市場的方式不進行任何補救通知的方案亦有可能，因此，數據泄露通知的制度設定實際上將數據處理者或控制者這類市場主體的自我治理行為轉變為法律規制的義務性行為。

（二）強制性義務的雙重性規范需求促進建構全方位保護

在我國權利本位的立法范式下，法律義務性規范應當成為設置或隱含在法律規范中，實現于法律關系中，主體以相對抑制的作為或不作為的方式保障權利主體獲得利益的一種約束手段，在權利義務“規范說”的框架下，義務規范展現出極強的工具屬性，其表現為國家分配利益和負擔以維護和促成一定集團利益或社會普遍利益實現社會控制的手段[4]。基于自治向規制的形態轉變，其作為數據處理者（控制者）安全保障義務的下位性具體義務內容被固定下來，按照義務之間的因果關系，其應當屬于補救權利的義務類型，在原有權利受到侵害時產生的權利范式，與之相對的即是違法行為發生后所應負的責任內容[5]。質言之，數據安全事件作為觸發第一性義務產生的基礎，其具象為眾多數據安全事件的具體表現，其中數據泄露作為被法律明確的數據安全事件，其對應的應當是數據安全保障義務中具象化到數據泄露行為的責任承擔上。各國法律在面對此問題的時候，綜合了數據泄露的事實和技術基礎，設定數據處理者（控制者）在數據泄露安全事件發生后應當給予通知的義務性行為，其強制性具有雙重規范來源，不僅來源于對數據安全事件發生后應當給予安全挽救的第一性義務履行（數據安全保障義務）的強制性，更來源于對被泄露數據的相關利益主體私權利行使的保障，即數據泄露通知義務的履行能夠更有效地敦促數據個體行使知情權、決定權等具體權利內容，以達到更好維護個人身份建構自主性的目標。

因此，數據泄露通知義務的價值不僅是實現安全的保障，還有對個體知情、決定等權利有效行使對應的義務保障，性質上呈現出跨公私法域的規范特征[6]，在雙重強制性來源基礎上，其應當屬于法律規定情形下的主動告知義務，以使得有關權利主體在獲得通知后能夠更自主地行使限制或拒絕對數據的后續處理行為。

由于技術擴張在無法實現禁止數據泄露的事實基礎上，無法從前端徹底解決數據泄露問題，事后救濟應該成為一項強制行為，其本身就是一件值得立法者思考的問題。在數據泄露通知義務規范的設計上，遵循上述風險預防原則作為基礎，在面對發生（或發現）數據泄露就可觸發此項義務的履行，對強制性來源二重屬性的認定將決定數據處理的有關主體后續的市場行為選擇。該項強制性義務的設定使得數據處理者和/或控制者不能再僅僅依附于該項義務的履行而獲得責任豁免，理性的市場主體應當根據數據泄露事件的具體發生情況對內部管理和外部防范機制進行全方位檢視，一方面減少發生數據泄露這類安全事件的可能性，另一方面實現對市場主體聲譽和可持續發展的挽救。基于市場經營的長久性考量，該項義務的設定鼓勵數據處理者更多投資網絡安全建設以避免造成毀滅性的數據泄露，同時，實現消費者有機會自我保護④。至此，該項強制性義務的設定除了在一定條件下豁免泄露主體造成損失擴大的責任承擔和商譽挽救、風險預防的前置調控、維護被泄露主體的相關私權利行使之外，還肩負著反向刺激數據處理者和/或控制者優化并完善數據安全保護方案，以此避免造成大面積的損害和利益損失，進而保護社會公眾和國家整體的數據安全。

三、風險分攤邏輯：構建“數據處理者—監管機構—個人”行為規范路徑

通知行為的履行并不必然實現數據泄露責任承擔的豁免，在其主觀狀態不明的情況下無法判斷是否構成故意或過失。在此前提下必然需要通過制度設計實現風險的分擔和重構，讓數據處理者免于處在數據泄露驚弓之鳥的狀態，也讓監管機構能實質性地介入以有效維護私權保障和公共安全。對該風險的分配實際上由通知行為予以觸發，數據處理者、監管機構和數據個體分次進入對泄露造成的損害或損害風險中進行實質化解，同時，數據泄露通知制度在通知主體、通知時間、通知方式、通知要求、觸發閾值、主要內容、例外情形和違規處罰等方面的規定緩解了數據安全保護義務抽象性和監管部門要求執法規則具體化需求間的矛盾沖突。當然，依然存在是否對歸責原則（過錯推定責任）對應的責任類型予以豁免，以及舉證責任是否存在困難等難題。

（一）通知行為觸發三方共同介入風險機制

1．“一點觸發”到“三線貫通”的內在邏輯

通知行為是法律體系中最為常見的表意形式，業已成為大型互聯網平臺實現意思表示的有效途徑，在以“通知—刪除/必要措施”為主要條款的避風港規則項下，通知成為第三方平臺采取有關措施前的必經程序，也成為影響平臺法律行為定性的關鍵操作節點，有效的通知和后續的刪除等措施能在一定程度上成為消除平臺主觀故意、排除承擔共同侵權責任的關鍵要素，實際上實現了對平臺風險化解的有效機制。

同樣，數據泄露通知制度可以理解為監管機構與被監管對象之間進行風險分攤的制度設計，通過數據泄露通知來觸發監管資源的投入，實現行政力量精準介入，同時能夠提示用戶采取必要防護措施[7]。實際上，監管機構、被監管對象和個人數據主體（用戶）同時因通知行為被有效聚合，由此觸發三方共同介入實現數據泄露后的風險化解機制，該機制由“一點觸發”到“三線貫通”內在邏輯組成，風險分攤的觸發機制實質上通過通知行為（即“一點”）完成，并同時牽引被監管對象在特定條件下實現對監管機構和個人履行的告知，三方主體（即“三線”）分別就各自所處地位采取適當性的行為以挽救數據泄露造成的后續損害或擴大損失。被監管對象發出通知后，開始進入事件倒查自糾、損失彌補和反向激勵的狀態，對內開始逐步糾察發生數據泄露安全事件的因果關系要點和管理漏洞，對外開始維護商業形象與聲譽，采取相關補救措施以實現對基于數據泄露安全事件的最大效率補救，化解安全風險和商業風險。監管機構接到通知后，對數據泄露安全事件進行迅速反應，評估其對社會公眾安全、國家安全等的實效影響，并采取相應措施與被監管對象共同實現對數據泄露事件造成的負面影響進行有效補救，以提供良好的公共服務為基線和目標，維護數據安全和數據市場秩序。個人接到通知，在知曉包含個人信息的數據遭到泄露后，除行使與個人有關的知情、決定、刪除等具體權利外，還可能試圖對已經造成的人身和財產損失主張損害賠償請求，以挽救其不應該承擔和無法預料的風險損失，同時，在完整實現個人數據轉移或銷毀后可能產生對數據再次利用行為的排斥，以杜絕個人數據風險的再度產生。三方通過各自適當的手段實現對數據泄露安全事件風險的防范與化解，以達到風險的有效分配，更好地避免損害擴散。

2.不同方面風險分配的規則設計

在數據泄露通知的具體履行方面，不同環節因三方所處的不同位置承擔不同風險設定了相異的義務類型和責任豁免機制，對有關主體充分發揮主觀能動性化解風險和控制損害擴大創造了適當空間，其具體包括通知主體、對象、時間、要求、觸發閾值、主要內容、例外情形和問責處罰等方面義務規則設定的不同。相異的規則設計實際在底層邏輯上都是“基于風險的進路”（risk-based approach），該進路規定于歐盟1995年的《數據保護指令》，主要考慮技術發展水平和執行成本，要求相關措施與數據處理行為表現的風險以被保護數據性質達到相適應的安全水平，同時，在成本考量上更是對個人信息“權利束”權能展開帶來的行政和合規成本的平衡性調試[8]。質言之，在以安全為底線的靜態規范已經無法滿足實質安全保障的基礎上，開始探索從數據處理行為的性質、范圍、影響與損害可能性等方面構造不同的保護規則，以使得數據處理者形成內外部協同的有效決策。在此之后，歐盟《通用數據保護條例》等各國的數據立法亦承襲了這樣的立法思路。

我國《民法典》《網絡安全法》《數據安全法》《個人信息保護法》關于發生（或發現）數據（個人信息）泄露這類數據安全事件時的數據處理者通知義務行為具有規范體系的一致性，主要強調對發生和存在發生可能性的數據泄露安全事件予以較強的通知義務規制，較少存在例外情形，主要風險分配基于涉及數據泄露所引起的原因、數據處理行為的目的，以及對自然人的權利帶來的損害可能性等維度進行劃分，規定了義務主體較強的通知義務。歐盟《通用數據保護條例》第33條和第34條所構造的通知義務則更為嚴苛，強制要求數據控制者或處理者應當在發現數據泄露的72小時內將有關情況報告監管機構，除非該個人數據的泄露不太可能對自然人權利和自由帶來損害風險。在歐盟的規則設計中將數據泄露納入數據風險管理的范疇，實現對已產生風險的有效規制和對預期風險的有效預防。美國在該問題上各州對觸發通知義務的條件存在不同的認定標準，最為典型的《加州數據安全泄露通知法案》所采用“泄露認識”的較低觸發標準不會降低數據處理者或控制者的通知義務，反而會增加數據處理者或控制者后續的義務履行強度，特別是在例外情形有限的情況下對義務主體的風險控制能力提出更高要求，具體內容規則參見表1。

（二）法律規則抽象性和監管規則具象性需求矛盾的相對緩解

法律義務首先意味著“應當”，即法律義務首先是作為被人民期待的行為模式而存在，是應當的規范性行為模式，作為法律義務構成要素的應當，不僅存在外在的道德共識評價還存在本身的規范性，即價值與道德意義的應當和規范與邏輯意義的應當[9]。法律義務本身的規范性邏輯在于其具有規制“行為”和“引起法律責任”的抽象性表述，同時兼具規范的層次性特征。由于其具有的特定抽象屬性與在保護體系中的邏輯層次，對法律義務的理解與適用，特別在風險分攤意義上很難不在抽象和具象之間搖擺，如何實現有效銜接解決抽象規則與監管具體化成為當前化解治理難題的重點面向。

數據安全保障義務的設置作為一項法定義務必須具備法律規范的抽象向度，其能夠較大容量地為義務主體充分發揮能動性采取有效且多元的行為模式創造空間，因此其勢必無法成為具象化的規則。而監管方或義務履行方對符合法律規定的內生訴求，無論是出于認知經濟性（便捷性）抑或信息充分性（準確性）的考量，都需要有關規范具象化為更具體的落地規則和行為指南以指導有關的合規活動。實際上，我國目前關于數據安全保障義務的規范從總體上確定了風險劃分的界限，數據安全泄露通知義務的設定成為有效履行數據安全保障義務中面對數據泄露等行為的關鍵具體一環。

我國《網絡安全法》第九條規定的網絡運營者履行網絡安全保護基本義務，實際上成為抽象性上位規范要求網絡運營者作為網絡的管理者、使用者和利用他人網絡從事相關服務的網絡服務提供者，應當履行法律規定的維護網絡安全的義務，同時要求在履行法律、行政法規規定的強制性義務基礎上，為實現自身和社會可持續科學發展承擔更多社會責任[10]。為全方位符合網絡安全保障義務，在個人信息泄露規制方面，《網絡安全法》第二十二條和第四十二條分別規定了網絡產品、服務提供者保證安全和保護個人信息的義務以及個人信息泄露報告義務，具象化為要求網絡產品和服務提供者的安全維護義務、安全缺陷漏洞補救義務、用戶信息保護義務、安全風險泄露通知義務。同時，《數據安全法》第四章對開展數據活動主體專設一系列數據安全保障義務，第二十七條強調開展數據活動的合規性要求和重要數據處理者的管理責任，明確數據活動主體的安全保障義務措施。要保障數據安全不僅需要限制數據的用途和公開，還應當輔以合理的安全保障措施[11]。在此要求之下，第二十九條具體規定數據安全漏洞風險的補救措施和發生數據安全事件的告知義務，以履行特定要求下的數據泄露通知義務。同理，在《民法典》第一千零三十八條統轄下，《個人信息保護法》中依然存在相類似的規范制度結構，《個人信息保護法》第五章規定個人信息處理者的義務實際上建構了“抽象—具體”的規范結構范式，第五十一條勾勒出個人信息處理者安全保護義務的總體要求，對個人信息處理者采取的預防措施進行“列舉+兜底”式規定，細化到個人信息泄露等安全事件的補救措施和通知義務則是通過第五十七條加以具化規定。因此，對開展數據活動采取風險管理和安全事件的處理措施，《網絡安全法》《民法典》《數據安全法》《個人信息保護法》營造出信息、網絡、數據全方面安全氛圍，意圖實現化解風險以強化信息、網絡、數據的法治安全建設[12]。從法律規范制定邏輯角度審視數據（個人信息）泄露通知義務的具象化過程，可以發現在確定數據（個人信息）處理者需要承擔數據安全保障風險的抽象性義務規范下，逐步就特定領域的安全事件或風險進行類型化細分，筆者將此視為“原則義務（抽象性義務）—一般義務（類型性義務）”的劃分模式。同時，為防止技術擴散和認知局限桎梏導致的無法預料風險類型化問題，需要利用抽象性法律規范作為統領性義務，保障在無具體風險類型情形時可以適用到相關行為者予以規制。數據泄露通知義務的衍生過程緩解了被監管者對具化抽象性規范的實際需求。

盡管如此，實踐中對義務性規范具體落地的需求依然強烈，現有所謂的具象化規則已經無法滿足實際合規要求，美國學者曾提出由于州法的拼湊性導致規則的模糊，使得有關企業在發生數據泄露后的合規性變得困難且昂貴[13] ，對數據泄露通知的有效性判斷和實際操作指引還不夠充分，該問題的解決有待相關技術或法律標準的出臺，以期形成“技術—法律—標準”的聯動體系。特別是在標準制定層面，歐盟第29條工作組（The Article 29 Working Party）于2017年通過《關于GDPR個人數據泄露通知的指南》（Guidelineson personal data breach notification under GDPR），該指南于2018年2月進行修訂后的主要作用是細化歐盟GDPR項下數據控制者和處理者履行數據泄露通知義務強制性措施的具體要求。2022年10月，歐盟數據保護委員會（European Data Protection Board，ED?PB）又就更新的個人數據泄露通知指南（Guidelines9/2022 on personal data breach notification underGDPR）征求公眾意見⑤，可見該指南文件在法律規范下成為被監管對象尋求合規的主要路徑依賴，完善在法律規則下的具象標準是當前完備制度架構內容的主要面向。

總之，數據泄露通知義務在劃定數據安全風險基礎上，實現了通過通知行為觸發數據處理者—監管機構—個人數據主體三方共同介入治理風險的機制，有效緩解了在數據泄露安全事件領域的規則細化需求，但也應當注意到數據處理者的合規需求遠不止于此，逐步構建“技術—法律—標準”的規則聯動體系才能更好地實現監管落地。

四、框架優化：實現全流程協同共治的安全防范模式

規則制定和動態監管之間的張力越大，越說明該領域需要撬動多方進行剛柔并濟的協同共治，數據泄露通知義務的構建實現了對數據泄露后續風險的有效規控，但在規則設置和處理結果上，應當摒棄試圖通過利用數據泄露通知制度保障數據絕對安全的治理思路，逐步因勢轉向形成“處理端（數據處理者）—監管端（監管部門所代表的社會公共利益）—用戶端（個體數據所有者）”多方協同共治的全流程保護路徑范式。

（一）搭建補救措施有效性的獨立評估機制以完善數據泄露通知體系化構架

為了實現預防保護和有效的風險劃分，各國在關于數據泄露通知義務規則設定中應全面考量發生或可能發生數據泄露的各類情形，同時，為了實現合理的風險分攤，促進數據處理者充分發揮數據管理職能，兼容數據處理者經濟運營成本與數據主體（個人）不受無端頻繁通知干擾之間的平衡，各國在規則設計時通常會設置例外條款，如上文提到我國《個人信息保護法》中規定個人信息處理者采取措施能夠有效避免信息泄露、篡改、丟失造成危害的可以不通知個人。本質上，例外條款的作用是反向激勵數據處理者采取有效措施防止危害產生或擴大，為其創設一個相對寬容的發展空間，讓其可以自行決定是否進行通知，尤其對于那些迫切需要維護信用和商譽的數據處理者，激勵其盡快采取有效補救措施以盡最大可能化解危害[14]。但應當注意到的是，如果僅有數據處理者單獨進行判斷是否需要發出通知往往存在信息不對稱性，對于是否能夠有效避免泄露、篡改、丟失造成危害的實際效果直接決定了其是否可以不履行向個人的通知義務，這直接影響用戶知情、決定等權利的后續行使，顯然在全流程保護過程中缺少對必要救濟措施的評估以作為是否后續通知依據的關鍵環節，因此，構建對是否采取措施避免信息泄露、篡改、丟失造成危害的行為進行有效性判斷的評估機制尤為重要。

“基于風險進路”的思維框架使得風險評估和風險管理成為數據處理者（控制者）的必然選擇。風險評估是利用事實和假設，客觀評估待證事項對數據主體（個人）造成危害的概率，當評估危害是否存在、危害的程度以及接受風險造成的負面后果時，風險評估可以為監管機構和數據控制者提供有序、清晰、協調的決策基礎[15]，以識別和理解對數據或數據所在系統的機密性、完整性和可用性的威脅，確定適當級別的控制和測試，以減輕這些風險[16]。同時，借助典型的場景，如個人數據的處理可能引發機密的泄露、匿名化數據未經授權的披露、造成相關主體經濟社會方面的重大不利情形等，逐步構建起事先較為完整的評估機制。歐盟《通用數據保護條例》全面貫徹了“基于風險的進路”，確定的數據保護影響評估替代了傳統路徑中“全有全無”的判斷思路，憑借“程度性”量化提升數據保護的有效性與實質意義，同時承認了合理風險不可避免性，減輕合規壓力并促進數據合理利用[17]，以此實現對處理行為帶來風險的有效、合理、理性認知。

數據泄露通知義務中設置向個人通知的例外條款，在考量數據處理者自主權、經營便捷、通知效率、用戶免受打擾感知等因素的前提下，仍然應以安全價值作為基本導向，在發生數據泄露、篡改或丟失造成危害時，應當于選擇通知與否前構筑出評估機制，但該評估機制并非強制性義務，而是供給處理者或具有保護職責的監管機構對泄露行為進行評定。數據處理者可以選擇通過評估機制完成科學、理性、完整、客觀的評估處理，對引起泄露的來源、性質、嚴重性，以及避免個人信息安全事件發生等內容進行有效評估，為處理者提供后續通知選擇供給有效的決策參考依據。同時，對于具有保護職責的監管機構可以要求處理者實現對已經采取措施避免數據泄露的行為進行評估，或借助第三方機構對其數據處理行為進行安全評估，評估結果可以作為要求處理者對個人進行通知的參考意見，真正有效實現避免數據安全事件發生后損害擴大和緩解保護風險的現實化需求。

（二）強化數據泄露的過程管理控制和深度利用治理

數據泄露通知義務的履行實際上將數據處理者、監管機構、個人共同納入數據安全治理的過程中，各方主體在其權能下行使權利（力）以達到共同應對數據泄露的安全保障。各主體通過數據泄露通知參與數據泄露治理的控制需求霄壤之別，數據處理者在強制履行義務性規范的基礎上試圖挽回聲譽或商譽，完善數據管理內外部體系；監管機構則強化行政監管，通過對數據處理行為的介入實現有效監管，提高監管技術能力以維護數據的公共安全秩序；個人為避免數據泄露后數據的二（多）次受損行使知情權、決定權、可攜權等具體權利，同時實現個體信息權利和隱私保護的自力救濟。

協調不同主體多樣控制需求的共同底層邏輯在于實現通過數據泄露通知義務的履行倒逼對數據泄露安全事件的過程管理控制，更深度實現數據的利用治理。以安全為基本價值取向的保障義務展開實際上意欲通過過程管理達到對數據個體權利的保障和以數據個體權利形成的公共安全利益的維護，因此，數據處理者和監管機構都應將重心放在個人數據安全治理端。按照數據治理流程和管理結構模型可將過程劃分為數據傳播、數據過程管理、數據利用三階段以及設備、網絡、服務和應用程序四層級，對其進行網格化數據泄露治理范式能夠實現數據泄露全流程的治理體系建設。由于個體用戶對數據泄露管理全過程安全和數據利用及隱私建設等領域容錯度較低，因此，通過對數據傳播、過程管理、數據利用階段的治理建設尤為重要，同時針對不同職能層級的管理能力建設能夠逐步實現較為精細的治理體系。

在數據治理流程三階段中，數據傳播至少包括數據處理者傳播分享與傳播出售，對其規制應當是完善相關傳播規范并重點規范數據處理者的數據傳播分享規則和出售懲戒機制，形成數據處理者嚴格遵守傳播規則，減少泄露風險的行為體系；而數據泄露過程管理則要求數據處理者自覺應用管理技術，優化技術方案減少技術失誤和盲區，長期進行數據管理系統的攻防測試，數據處理者內部構建隱私管理執行的監督單元，同時履行數據泄露通知義務，而外部則由負有監管職責的政府機構加強法律法規與標準的制定與細化完善，優化監管和執行制度提升社會對行政行為的信任感，化解數據泄露造成的公眾恐慌；數據深度利用階段的規制設計，則更需要加強數據利用分析、數據識別和挖掘技術的監管，在維護安全作為底線思維的基礎上，防止利用技術優勢實施違法行為、阻礙市場競爭行為，塑造數據利用安全防范意識。在數據管理結構四層級中，以節點、傳感器為主要識別收集數據的設備級應強化身份驗證、訪問控制與機密性服務，防止出現數據泄露的未經授權訪問等行為；而以將數據從設備級傳送到終端的網絡級應構建起防止數據泄露的拒絕服務攻擊、惡意代碼注入的攻防機制，實現數據的可用、完整、非拒絕服務等基本需求；以數據訪問、存儲、處理為核心的服務級則應該通過構建完善的審核日志服務和訪問控制監視服務實現對服務級的有效管理，數據處理者和監管機構應當重點觀察服務級數據泄露問題，并塑造對于特定場景分類下數據泄露的挽救責任，以此對應數據泄露通知義務的針對性履行；以具體類型應用組成的應用程序級則應更多關注應用安全服務和安全機制的完善，重點布防病毒攻擊、網絡釣魚、安全過濾等領域不同程序的協議，形成一定的協議束，以預防數據泄露造成的非特定性傷害，實現對后續泄露通知的提前預防和與前三級的有效聯動。

（三）形成“事前—事中—事后”的協同數據安全防范體系

如前文所述，由數據泄露通知行為所觸發的三方共同介入治理才是數據泄露通知義務的最終目標，但畢竟此時的通知義務履行只能減緩損失或抑制損失擴大，加之不同國家在不同環節為了分擔風險設置了通知例外條款，使得事后救濟并不能真正實現安全保障的制度價值。

當前實踐中，在用戶賬號存在安全風險情況下，互聯網企業普遍采用風險提示的方式，提示用戶進行驗證、修改密碼操作，一定程度上減少了信息泄露帶來的風險[18]。應當意識到，雖然數據泄露通知義務正逐步被數據處理者按規履行，但這并不表示當前數據泄露事件發生頻率下降和由于數據泄露造成的危害正在減少，伴隨量子解密技術的發展，未來對于網絡安全攻防之間的較量勢必會上升到一個新階段，個體的數據安全、社會的公共安全等都會重新面臨新的挑戰，由數據泄露通知觸發的治理機制不能僅僅著眼于事后救濟或防止損害擴大，而應以此為契機逐步完善由數據泄露引起的數據安全“事前—事中—事后”保障機制。

由后端通知機制引發對前端保障機制的思考應當從其預防的角度入手進行反向推導，即由數據泄露行為引發的風險和損害，應以如何控制減少數據泄露為基本出發點，向前生發出事件預防機制，向后生發出防止損害機制，由此貫穿“事前—事中—事后”的全過程。同時強化數據保護機制中的公共利益理念指引，圍繞分類分級管理、強制性義務、社會責任、政府監管下的多元共治等要點制定保護規則[19]。質言之，應當在數據治理流程三階段和管理結構四層級組成的網格化監管中，完善“事前預防—事中控制—事后救濟”的基本邏輯體系。事前階段，數據處理者應當建立良好完備的數據內部管理機制，對涉及數據可能的利用場景進行技術化處理，對數據應當加密或匿名化等去識別化分析，對數據可能造成的泄露、篡改、丟失等情形進行事先測試和模擬攻防，加強風險實時監測，實現對可能產生泄露風險的充分預防；事中控制階段則需要數據處理者對已經出現的數據安全缺陷或漏洞采取及時的補救措施，并立即對缺陷和泄露可能產生的損害進行風險評估，監管機構亦可采用第三方機構介入評估風險，以此形成自評估與第三方評估結合的方式對風險進行有效認知；事后救濟階段，數據處理者按照義務性規定告知有關監管機構或個人，并對可能采取的補救措施予以釋明，《數據安全法》限定的“發生數據安全事件”與《網絡安全法》要求的“發生或可能發生”、《個人信息保護法》規定的“發生或可能發生”條件應當作體系解釋，即對存在發生或發生可能性的數據泄露行為都應當給予事后救濟并在一定條件下履行通知義務。對已經產生的數據泄露問題實行復檢機制，形成對以數據泄露為主要安全問題施行嚴格的過程控制和流程監測。

“事前—事中—事后”協同防范機制的建立已經不再僅著眼于數據泄露通知，而是建立在整體安全觀下數據安全保障機制的全流程保護，以數據泄露通知為基點形成的數據安全全流程控制、風險評估機制、監測預警體制，最終實現監管機構監管效能的提高和數據處理者自身管理的優化，數據安全風險控制和安全保障能力的提升。

五、結語

數據泄露通知義務的設立已經成為全球數據安全保護立法的共識，植根于數據安全保障義務的數據泄露通知，承載著具化數據安全保障的重要使命，其作為次生性強制義務規范融入實體法的規定，不僅意味著公法意義上的管理性規范的構建，還意味著私法意義上保障公民個人數據權利的有效行使，更是實現數據安全保障從個人保護向以多方協同的公共治理視角轉變[20]，就規范內質而言，其具有公法與私法交融的雙重屬性。應當注意的是，盡管存在例外條件，但這項強制性義務的設置已經逐步實現規制思路從損害救濟到風險預防的轉變，也實現了從“一點觸發”到“多方協同”介入共同治理安全風險機制的形成。

但是，對于數據安全保障義務的全流程控制而言，數據泄露通知僅僅是履行保障義務的“一點”，不能對其制度實效期望過高，應當建立數據保護整體安全保障觀念，由數據泄露的保護問題生發出對數據安全的全局與全流程保護機制，以真正實現局部與全局保護的協同演化，實現保護能力的有效提升。