摘 要:
数据安全保护义务贯穿于数据产权、数据要素流通和交易等基本制度,对于保护民事主体的合法权益,维护国家安全,促进数字经济的发展,至关重要。我国数据安全义务的规范体系由数据安全、网络安全与个人信息保护三个方面的法律组成,存在相应的适用顺序。当事人也可以约定数据安全保护义务。任何实施数据处理活动的组织或个人都是数据处理者,负有数据安全保护义务。数据处理者应当根据数据安全风险确定所采取的相应的技术措施和其他必要措施,重要数据的处理者还负有两项特殊的义务。数据处理者违反数据安全保护义务,导致数据被第三人取得进而被非法利用,造成他人损害的,直接侵权人应当承担全部的赔偿责任,而数据处理者应承担与其过错、原因力相应的赔偿责任。
作者简介:程啸,清华大学法学院教授,法学博士。;
基金:国家社科基金重大项目“大数据时代个人数据保护与数据权利体系研究”(项目编号:18ZDA146);清华大学自主科研计划项目“个人信息权益研究”(项目编号:2021THZWYY02)的阶段性研究成果;
一、引言
现代社会是信息时代、网络社会,数据正处于越来越重要的地位。人们将数据比喻为“21世纪的石油”,还有人说它是“数字经济的血液”。2020年3月30日颁布的《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》明确将数据作为一种生产要素,与传统的生产要素如土地、劳动力、资本、技术等并列,并提出,加快培育数据要素市场,推进政府数据开放共享、提升社会数据资源价值、加强数据资源整合和安全保护。总之,数据作为新型生产要素,是数字化、网络化、智能化的基础,已快速融入生产、分配、流通、消费和社会服务管理等各环节,深刻改变着生产方式、生活方式和社会治理方式。在现代社会,无论是确认数据的产权,实现数据的流通、交易、使用、分配,还是建立科学合理的数据要素治理格局,都离不开数据安全。数据安全贯穿于数据产权制度、数据要素流通和交易制度、数据要素收益分配制度以及数据要素治理制度当中,它对于保护自然人、法人和非法人组织等民事主体的合法权益,维护国家安全,促进数字经济的发展至关重要。倘若不能有效地保护数据安全,就无法构建数据基础制度,也不可能真正发挥数据要素的作用。正因如此,2022年12月2日公布的《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》始终将数据安全作为重中之重,高度重视数据安全保护,该意见共有14处提及数据安全,并明确要求“建立实施数据安全管理认证制度”、“构建数据安全合规有序跨境流通机制”、“健全网络和数据安全保护体系”以及“规范企业参与政府信息化建设中的政务数据安全管理”。
数据安全是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力(我国数据安全法第3条第3款)。所谓数据安全保护义务,是指有关组织或个人负有的采取必要措施,保护数据的安全,从而防止未经授权的访问以及数据的泄露、篡改、丢失,并在已经或可能发生数据泄露、篡改、丢失时采取相应补救措施的义务。2021年9月1日起施行的《中华人民共和国数据安全法》(以下简称“《数据安全法》”)以“保障数据安全”作为主要的立法目的,该法对于数据安全保护义务的主体、内容以及相应的法律责任等作出了规定。尽管数据安全保护义务非常重要,但是理论界对于数据安全保护义务的研究却较为薄弱。对于数据安全保护义务的来源、数据安全保护义务的主体、具体内容的确定与判断标准,以及违反数据安全保护义务的侵权责任等,尚缺乏深入的研究。有鉴于此,笔者不揣鄙陋,拟在本文中对我国法上的数据安全保护义务做一系统研究,以供理论界与实务界参考。
二、数据安全保护义务的产生途径
数据安全保护义务的产生途径即该义务的来源包括法定与约定两种。法定的数据安全保护义务是通过法律、法规中的强制性规范而直接确定相应主体所负有的保护数据安全的义务,如我国数据安全法、个人信息保护法等法律中规定的数据安全保护义务。约定的数据安全保护义务是在数据处理活动中当事人之间通过合同的约定而产生的一方所负有的数据安全保护义务,如A公司委托B公司处理某些数据,双方在委托合同中约定受托人B公司负有相应的数据安全保护义务。
(一)我国数据安全保护义务的规范体系与适用
确保数据得到有效的保护,防止其泄露、丢失、篡改或被非法利用,对于保护民事主体的合法权益、维护社会公共利益、保护国家安全等至关重要。故此,各国立法机关都通过法律法规对于数据安全保护义务作出具体的规定。以美国为例,从联邦立法到州立法均有关于数据安全保护义务的规定,大致可以分为四个部分:一是联邦法规,即联邦政府中负责监督那些受高度监管的行业(如医疗保健、金融服务行业)的政府部门颁布的法规,如HIPAA Security Rule;二是消费者保护法规,即在联邦贸易委员会(FTC)和州检察长等消费者保护监管机构发布的消费者保护法规中规定的数据安全保护义务,如FTC Section 5;三是数据泄露通知相关法律的规定;四是加利福尼亚、马萨诸塞、纽约和俄亥俄等一些州的立法对于特定的数据安全义务的规定。1
我国对于数据安全保护义务作出规定的法律规范主要包括三个层次,即法律、法规和规章。法律如数据安全法、网络安全法、个人信息保护法等;法规包括行政法规和地方性法规,行政法规如《中华人民共和国计算机信息系统安全保护条例》《中华人民共和国电信条例》《计算机信息网络国际联网安全保护管理办法》等,地方性法规如《山西省计算机信息系统安全保护条例》《宁夏回族自治区计算机信息系统安全保护条例》《深圳经济特区数据条例》《上海市数据条例》等。规定数据安全保护义务的部门规章主要是公安部、国家网信办、工信部等国家部委颁布的,如《数据出境安全评估办法》《汽车数据安全管理若干规定(试行)》《电信和互联网用户个人信息保护规定》《信息安全等级保护管理办法》等。就我国数据安全保护义务的法律规范体系而言,需要注意的是,从法律即全国人民代表大会及其常务委员会制定的规范性法律文件层面来看,它们是由数据安全、网络安全和个人信息保护这三方面的法律所组成的。具体而言:
1. 数据安全方面的法律规范
《数据安全法》是数据安全保护义务最基本的法律渊源,该法以保护数据安全为立法目的,确立建立了诸多基本的数据安全制度(第3章),如数据分类分级保护、数据安全风险评估、数据安全应急处置、数据安全审查以及数据出口管制等,还专章对于数据安全保护义务作出了规定。此外,《数据安全法》还就政务数据的安全保护以及国家机关的数据安全保护义务作出了规定(第5章)。
2. 网络安全方面的法律规范
我国网络安全方面的法律主要包括《中华人民共和国网络安全法》(以下简称“《网络安全法》”)、《全国人民代表大会常务委员会关于维护互联网安全的决定》等。网络安全(cyber security)与数据安全(data security)既有联系也有区别。通说将网络安全分为四个层面,即物理安全、运行安全、数据安全与内容安全,分别对应基础设施的安全、信息系统的安全、信息自身的安全以及信息利用的安全。2《网络安全法》将网络安全分为网络运行安全和网络信息安全,该法第76条第2项将网络安全界定为“通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力”。由此可见,网络安全中的网络信息安全就包括了网络数据安全。《网络安全法》第四章“网络信息安全”中关于保护网络用户信息的安全的规定,也就是对网络数据安全的规定。3
3. 个人信息保护方面的法律规范
我国个人信息保护方面的法律主要包括民法典、个人信息保护法、电子商务法、未成年人保护法以及《全国人民代表大会常务委员会关于加强网络信息保护的决定》等。电子化方式记载的个人信息就是个人数据,保护个人信息当然包含了保护个人数据安全,而数据安全保护义务所指向的数据也包括了个人数据和非个人数据。《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)明确要求个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全(第9条)。同时,该法第五章“个人信息处理者的义务”中对于个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取相应的措施防止未经授权的访问以及个人信息泄露、篡改、丢失(第51条),以及在已经发生或者可能发生个人信息泄露、篡改、丢失时应当采取的补救措施(第57条)等作出了规定。
在上述三方面法律对数据安全保护义务均有规定的情形下,应注意它们的适用关系。笔者认为,一方面,只要处理的数据属于个人数据即以电子方式记载的个人信息的,则数据安全保护义务就具体表现为个人数据保护即个人信息保护义务,此时应当优先适用个人信息保护法方面的法律规定,没有规定的则适用数据安全保护法的相关规定;另一方面,如果是线上处理数据即利用互联网等信息网络开展的数据处理活动,则无论处理的数据是个人数据还是非个人数据,都应当同时适用网络安全方面的法律,即在网络安全等级保护制度的基础上履行数据安全保护义务,至于线下处理数据则不适用。
(二)约定数据安全保护义务的情形
除了法律、法规和规章对数据安全保护义务的规定外,在数据处理的实践中,基于各种考虑,当事人还往往通过合同对数据安全保护义务作出约定。具体而言,当事人约定数据安全保护义务的情形主要有以下三类:其一,委托处理数据的场合,即一方当事人委托另一方当事人为其处理某些数据,即提供相应的数据处理服务的情形。例如,C公司委托D公司为其处理某些数据时,由于受托人D公司将接触到相应的数据,故此,为了保护数据的安全,当事人需要对于受托人的数据安全保护义务作出约定。不过,对于国家机关委托他人处理政务数据时,法律上有强制性的规定。我国数据安全法第40条明确要求,国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序,并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。此外,我国个人信息保护法第21条规定,个人信息处理者在委托处理个人信息时,应当与受托人约定包括个人信息保护措施等在内的事项,还要求委托人要对受托人的个人信息处理活动进行监督。
其二,提供数据或转移数据以及共享数据的情形。当数据处理者需要将数据提供给其他的处理者、因为公司的分立合并等而发生数据转移,或者因数据的共享利用使得其他主体能接触到数据时,为了确保数据的安全,当事人往往要对数据安全保护义务作出约定。例如,希望接受信用卡的商家必须通过合同的约定来遵守支付卡行业的数据安全标准,否则银行就不会同意该商家接受信用卡。同样,想要发起电子支付订单(如从客户的银行账户中扣款)的企业,也必须同意适用电子支付系统(例如ACH支付系统)的规则,包括约定数据安全保护义务的条款。4再如,在商业活动中对于第三方供应商(third-party vendor)的风险尤其是数据及网络安全的风险管理,成为现代企业风险管理中越来越重要的环节。许多企业在与第三方供应商签订的合同(如与云服务提供商签订的合同)中会通过很多条款来详细约定数据安全保护义务,这些条款包括:(1)供应商合规性条款,即要求第三方供应商陈述并保证遵守与个人信息的拥有或使用相关的所有可适用的法律和条例,并要求遵守本企业的隐私和信息保证政策以及相关做法;(2)安全程序条款,即要求第三方供应商在可行的范围内维护其自身的隐私和信息安全计划,并对其安全和信息保证实践进行定期风险评估;(3)保障措施条款,即通过合同要求企业的供应商保证其能够实现对企业数据的适当保护;(4)赔偿条款,即第三方供应商应就为其未能遵守适用的隐私法导致数据丢失或因过错而致数据泄露承担相应的赔偿责任等;(5)保密条款,即要求第三方供应商确保充分保护企业的数据,并且通过相应的约定来处理合同履行完毕后数据的保护、销毁和归还等问题。5
其三,保险公司承保数据安全事件的责任保险的情形。6国外保险公司为数据安全事件提供相应的责任保险时,为了能够控制风险,在决定是否承保前,保险公司会组织专业人士对投保人的数据安全保护的现状加以了解,通过详细询问等风险评估流程来了解投保人的数据安全治理水平以及防火墙、加密、补丁、密码强度、多因素身份验证等特定保护措施的使用情况如何。在决定承保后,保险公司会对被保险人提出相应的数据安全保护的要求,要求被保险人承诺采取相应的措施,尽到相应的义务来保障数据的安全。并且在合同中明确约定,如果被保险人没有履行这些数据安全保护义务,则一旦出现数据安全事件时,就无法获得保险公司的理赔。7
三、数据安全保护义务的主体与适用范围
数据安全保护义务的主体就是数据的处理者,而该义务所指向的客体即适用的对象是数据处理者所处理的数据。《数据安全法》对于数据与数据处理都有相应的界定。依据该法,所谓数据,是指任何以电子或者其他方式对信息的记录。数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。
(一)数据处理者是数据安全保护义务的主体
数据安全保护义务的首要主体就是数据处理者,8即实施数据的收集、存储、使用、加工、传输、提供、公开等活动的主体,包括自然人、法人或者非法人组织。我国数据安全法等法律没有界定数据处理者。笔者认为,数据处理者是指任何实施了数据的收集、存储、加工、传输、提供、公开等处理活动的组织或个人。数据处理者的界定不同于个人信息处理者。依据《个人信息保护法》第73条第(一)项,个人信息处理者是指“在个人信息处理活动中自主决定处理目的、处理方式的组织、个人”。我国法上的个人信息处理者相当于欧盟《通用数据保护条例》(GDPR)上的个人数据控制者。9任何不是自主决定个人信息的处理目的与处理方式的组织或个人,虽然客观上实施了处理个人信息的行为,也不是个人信息处理者,而是受委托处理个人信息的受托人(《个人信息保护法》第59条)。然而,对于数据处理者而言,却不需将自主决定数据的处理目的和处理方式作为核心判断要素。这是因为,《个人信息保护法》以是否自主地决定处理目的与处理方式来作为认定个人信息处理者标准的根本原因在于:只有个人信息处理者才是个人信息保护法实施中的关键行为者,其是个人信息保护法设定的向个人负担的各种义务的首要承担者。10如果只是客观上实施了个人信息处理的行为,但却是根据他人决定的处理目的与处理方式来这样做的组织或个人,受托人不需要负担太多的义务,尤其是可以豁免《个人信息保护法》第13条、第17条等关于获取处理个人信息的合法性来源的义务、通知义务以及该法第5章规定的指定个人信息保护负责人、合规审计等义务,其仅仅负有特定的义务,即依法采取必要措施保障所处理的个人信息的安全以及协助个人信息处理者履行个人信息保护法所规定的义务即可(《个人信息保护法》第59条)。数据处理中,处理者所处理的数据既包括个人数据(即个人信息),也包括其他数据。就保护数据安全的义务而言,无论处理者是自主地决定数据处理目的和处理方式,还是依据他人的指示来处理数据,都负有数据安全保护义务。故此,只要是实施了数据处理活动的组织和个人,就是数据处理者,既包括自然人、企事业单位等民事主体,也包括国家机关以及法律、法规授权的具有管理公共事务职能的组织。
(二)数据安全保护义务适用于所有的数据处理活动
数据安全保护义务指向的客体是数据处理者所处理的数据。也就是说,只要是数据处理者所处理的数据,数据处理者都负有数据安全保护义务。依据不同的标准,人们可以对数据进行不同的分类,如依据是否与已经识别或者可识别的自然人相关,可以将其分为个人数据与非个人数据。凡是与已经识别或者可识别的自然人相关的数据都属于个人数据,也即个人信息,11而那些与已识别或可识别的自然人无关的数据或者匿名化处理的数据,都属于非个人数据。此外,依据制作、产生数据的主体和来源的不同,可以将数据分为政务数据与非政务数据。政务数据,也称政府数据、政府信息等,它是指政府部门及法律法规授权的具有行政职能的事业单位和社会组织(即政务部门)在履行职责过程中制作或获取的数据,包括政务部门直接或通过第三方依法采集的、依法授权管理的和因履行职责需要依托政务信息系统形成的数据等。12除了政务数据之外的其他数据统称为非政务数据,其中,既包括自然人、公司企业等民事主体从事经营服务活动中依法收集的数据,也包括医疗、教育、供水、供电、供气、通信、文旅、体育、环境保护、交通运输等公共企业事业单位在提供公共服务中依法收集的数据。我国一些地方性法规将这些提供公共服务的组织所收集的数据称为“公共服务数据”,并将其与政务数据统称“公共数据”。13《数据安全法》第五章专门对政务数据的安全保护作出了规定,就政务部门尤其是国家机关而言,其在数据的安全保护上具有双重角色,一方面,作为数据的处理者,其应当履行数据安全保护义务,建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全。另一方面,政务数据应当实现政务部门之间的共享,同时还需向社会开放。《政务信息资源共享管理暂行办法》第5条明确规定,政务信息资源的共享应当是以共享为原则,不共享为例外,遵循需求导向,无偿使用等原则。我国政府信息公开条例第13条明确规定,除依法确定为国家秘密的政府信息,法律、行政法规禁止公开的政府信息,以及公开后可能危及国家安全、公共安全、经济安全、社会稳定的政府信息,涉及商业秘密、个人隐私等公开会对第三方合法权益造成损害的政府信息以及行政机关内部事务信息等不公开外,政府信息都应当公开。
就数据安全保护义务适用的数据而言,“重要数据”这个概念非常重要。首次提出“重要数据”概念的是《网络安全法》。该法第21条要求网络运营者应当按照网络安全等级保护制度的要求,采取相应的措施来履行安全保护义务,其中的一项措施就是“采取数据分类、重要数据备份和加密等措施”。此外,该法第37条要求关键信息基础设施的运营者在我国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。《网络安全法》并未界定何为“重要数据”。《数据安全法》也对重要数据作出了规定,依据该法第21条,国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。不过,对于何为“重要数据”,《数据安全法》也没有作出具体规定。
2021年8月16日国家互联网信息办公室、国家发展改革委、工信部、公安部与交通运输部联合发布的《汽车数据安全管理若干规定(试行)》第3条第5款将重要数据界定为:是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益的数据,包括:(1)军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据;(2)车辆流量、物流等反映经济运行情况的数据;(3)汽车充电网的运行数据;(4)包含人脸信息、车牌信息等的车外视频、图像数据;(6)国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。此外,2022年7月7日国家互联网信息办公室发布的《数据出境安全评估办法》第19条将重要数据界定为“是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据”。显然,重要数据的安全具有特别重大的意义,为了更好地保护重要数据,防止重要数据被篡改、破坏、泄露或者被他人非法获取、非法利用,从而产生危害国家安全等后果,故此,《数据安全法》第27条第2款与第30条针对重要数据的处理者专门规定了数据安全保护义务的两项特别内容。
四、数据安全保护义务的内容
(一)数据安全保护义务的基本内容
《数据安全法》第27条第1款对于数据处理者的数据安全保护义务提出了一般性的要求,即建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。依据该条第2款的规定,如果是利用信息网络开展数据处理活动的,则应当在网络安全等级保护制度的基础上,履行前述数据安全保护义务。此外,《网络安全法》第21条、《个人信息保护法》第51条分别就网络运营者如何按照网络安全等级保护的要求履行安全保护义务,以及个人信息处理者如何保护个人信息安全作出了具体的规定。此外,《数据安全法》第29条规定,开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。结合上述规定可知,数据安全保护义务包括以下四项基本内容:(1)建立健全全流程数据安全管理制度;(2)组织开展数据安全教育培训;(3)采取相应的技术措施和其他必要措施;(4)风险监测义务与采取补救措施、处置措施的义务。在上述四项内容中,需要研究的是,首先,如何判断数据处理者采取了相应的技术措施和其他必要措施?其次,当存在数据泄露的风险或者已经发生数据泄露后,数据处理者应当采取何种补救措施或处置措施?
1. 采取相应的技术措施和其他必要措施
理论界将数据处理者为保护数据安全所采取的措施大致分为三类:一是物理安全措施(physical security measures),这些安全措施旨在保护构成物理计算机系统的有形物品和处理、通信和存储数据的网络,包括服务器、用于访问系统的设备、存储设备等。例如,栅栏、墙壁和其他障碍物;锁具、保险箱和保险库;武装警卫;传感器和警铃。二是技术安全措施(technical security measures),这些安全措施涉及使用纳入计算机硬件、软件和相关设备的安全措施,旨在确保系统可用性、控制对系统和信息的访问、对寻求访问的人员进行身份验证、保护通过系统传输和存储在系统上的信息的完整性,并在适当的情况下确保机密性。例如,防火墙、入侵检测软件、访问控制软件、防病毒软件、密码、PIN码、智能卡、生物识别令牌和加密过程。三是行政安全措施(administrative security measures),也称组织性安全措施,包括管理程序,约束、操作程序,问责程序,政策和补充行政控制,以防止未经授权的访问并提供计算资源和数据的可接受保护级别。行政安全程序通常包括人事管理、员工使用政策、培训和纪律。14从比较法来看,欧盟《通用数据保护条例》将数据控制者采取的措施分为两类:技术性措施与组织性措施(technical and organisational measures)。15该条例第32条要求控制者和处理者实施与数据处理风险相适应的技术措施和组织措施,对他们施加数据安全责任。作为第一步,控制者和处理者必须识别和评估数据处理带来的特定风险,特别注意意外或非法破坏、丢失、更改、未经授权披露或访问个人数据的风险。第二步,他们必须确定并实施安全措施作为缓解措施。16欧盟《通用数据保护条例》要求数据控制者或处理者采取的是“相应的”(appropriate)的技术性措施和组织性措施,这体现了比例原则的要求。也就是说,在确定如何确保数据的安全方面,比例原则需要考虑用于实现目标的手段是否与目标的重要性相对应以及是否有必要实现目标。17因此,应根据安全措施是否有合理可能实现其目标来评估安全措施的使用,以及权衡相互竞争的各项利益即评估一项措施对值得保护合法利益的影响,并根据所追求的目标的重要性来确定后果是否合理。在美国,联邦以及州法的数据安全保护义务法律体系对数据处理者应当履行的安全保护义务的要求可以分为三个层次:首先,数据处理者应当评估其面临的安全风险并在此基础上采取合理的举措(reasonable steps)应对该等风险;其次,数据处理者作出的保护数据的努力不仅应当是合理的,适合其资源和风险水平的,还应当是系统的、有组织的。具体而言包括五个部分:风险评估、正规的政策、组织领导、培训和审计(risk assessment,formal policy,leadership,training,and audit),它们组成了一个循环。再次,数据处理者应当采取基本的技术措施保护数据安全,如访问控制(access controls)、加密(encryption)、多重身份认证(multifactor authentication)。18
我国数据安全法第27条将数据处理者采取的措施分为两类,即技术措施与其他必要措施。技术措施是指个人信息处理者所采取的确保处理活动合法并保护个人信息安全的技术方法或技术手段。诚如美国学者莱斯格所言,互联网的性质并非是由上帝的旨意所决定,而仅仅是由它的架构设计所决定,“网络可以被设计成这样:我们能够知悉用户是谁,他在哪里以及他在做什么。一旦网络被设计成这样,它就将成为有史以来最具有规制能力的空间”。19《网络安全法》第21条中列举的技术措施包括:防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;监测、记录网络运行状态、网络安全事件的技术措施;数据分类、重要数据备份和加密等措施。《个人信息保护法》第51条规定的技术措施包括加密、去标识化等安全技术措施。所谓的数据分类,是指按照某种标准(如重要程度)对数据进行区分、归类,并加以相应的保护。数据备份是指为了防止系统故障或者其他安全事件而导致数据丢失、毁损,将数据从应用主机的硬盘或阵列复制、存储到其他介质。20加密是指通过加密算法将明文的个人信息变为不可读的一段代码,只有获得密钥的人才能读取原文。经过加密后的个人信息可以很好地防止被他人未经授权的访问或被非法窃取或篡改。加密算法主要有三类,即对称加密算法、非对称加密算法以及哈希算法。通过加密技术,“为每一个数据包配上一把密钥,他人不可以篡改或伪造这把密钥,因此,用户对于数据包的安全性大可放心。同时,这项验证功能也可以在整个互联网上,识别信息的发送方和接收方,因此,几乎完全抹杀了用户匿名的可能性”。21所谓去标识化,是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程(《个人信息保护法》第73条第(三)项)。其他必要措施,是指除了技术措施之外的其他对于保护数据安全属于必要的措施,理论上也包括了组织、宣传、培训等措施。由于我国数据安全法已将“全流程数据安全管理制度,组织开展数据安全教育培训”单列,故此,其他必要措施主要包括:数据处理者为履行数据安全保护义务而对于数据处理的内部程序、权限分工与工作流程进行的设计;制定并组织实施数据安全事件的应急预案等。就数据处理者究竟应当采取哪些技术措施,《数据安全法》提出的要求是“相应的”,这与欧盟《通用数据保护条例》相同。所谓“相应的”,是指与数据处理者所面临的数据安全风险相适应,也就是说,数据处理者应当根据其处理的数据的类型、数据处理活动的类型、面临的风险等因素来确定所要采取的技术措施。对于重要数据和敏感的个人数据,应当采取更强的技术措施来确保数据的安全。
需要注意的是,《数据安全法》第27条第1款第二句规定,利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。我国的网络安全等级保护制度最早是由1994年国务院颁布的《计算机信息系统安全保护条例》所规定的,该条例第9条规定:“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。”2007年公安部、国家保密局、国家密码管理局、国务院信息工作办公室联合印发了《信息安全等级保护管理办法》。该办法依据信息系统受到破坏后对公民、法人和其他组织的合法权益造成的损害的程度,以及是否损害国家安全、社会秩序和公共利益和损害的程度,将信息系统的安全保护等级分为五级,从第一级到第五级依次规定了每个等级的范围、信息系统运营者的义务及对应的措施。显然,信息安全等级保护制度的分类也必须考虑处理者所处理的数据的类别。《网络安全法》在前述规定的基础上于第21条第1款明确规定,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行相应的安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
2. 补救措施和处置措施的类型
依据《数据安全法》第29条,数据处理者应当进行风险监测的义务以及在发现风险时采取补救措施,在出现数据安全事件时采取处置措施的义务。《网络安全法》第25条和《个人信息保护法》第57条,也分别有相应的规定。前者明确规定,网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。后者规定,在发生或者可能发生个人信息泄露、篡改、丢失的时候,个人信息处理者应当立即采取补救措施并履行通知义务。
数据处理者通过风险监测发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施。显然,该补救措施是针对数据安全缺陷、漏洞等风险而言的,既包括技术措施,如修复系统漏洞、进行加密,也包括组织措施,如重新划定数据访问权限等。而在出现了数据安全事件的情况下,需要采取的就是处置措施。所谓数据安全事件,是指由于人为原因(如工作人员的疏忽或者黑客攻击)、软硬件缺陷或故障、自然灾害等,导致数据泄露、丢失、篡改等对社会造成负面影响的事件。数据安全事件中最常见的是数据泄露。数据泄露的原因主要有三类:其一,系统故障(IT和业务流程故障);其二,人为失误(玩忽职守的员工或承包商无意中引起数据泄露);其三,恶意攻击(由黑客或犯罪的内部人士引起)。22就个人数据泄露而言,用户凭证被盗是最常见的数据泄露的根本原因,利用泄露的用户凭证是攻击者最常用的切入点。23客观上来说,导致个人数据泄露危险增加的因素包括:个人信息的保存时间;个人信息的扩散,即现有的个人信息的副本数量;访问,即有权限访问个人信息的人数、个人信息能够访问的方式以及获取访问权限的难易程度;流动性,即访问、传输及其处理个人信息的方式所需要的时间;价值,即个人信息的价值。24根据IBM Security发布的《2022年数据泄露成本报告》,2022年全球数据泄露事件给企业和组织造成的经济损失和影响力度达到前所未有的水平,单个数据泄露事件给来自全球的受访组织造成了平均高达435万美元的损失,全球数据泄露成本在过去两年间上涨近13%。2022年全球数据泄露的每条记录成本为164美元,该报告还发现,83%的受访组织遭遇过不止一次的数据泄露事件。25一旦发生数据泄露等数据安全事件,数据处理者应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。这些处置措施包括消除导致数据泄露的程序漏洞、修改密码、暂停服务等措施,从而防止数据被进一步泄露或非法窃取以及避免或减少由此给他人合法权益、国家安全等造成的损害与风险。
(二)数据安全保护义务的特别要求
对于重要数据的处理者,《数据安全法》规定了两项特别的数据安全保护义务:一是,明确数据安全负责人和管理机构的义务,从而落实数据安全保护责任(第27条第2款)。二是,定期开展风险评估的义务(第30条)。同时,在《个人信息保护法》中也针对特殊的个人信息处理者以及特定的个人信息处理活动,为个人信息处理者规定了两项特别的义务:一是,指定个人信息保护负责人的义务(第52条);二是,个人信息保护影响评估与记录的义务(第55—56条)。
1. 确定数据安全负责人和管理机构的义务
确定数据安全负责人和管理机构的义务有助于更好地对数据处理活动进行监督和管理,开展数据安全教育培训,提供预防数据泄露等数据安全保护方面的专业知识。26数据安全负责人制度以及个人信息保护负责人都是借鉴了国外的“数据保护官”(data protection officer,DPO)制度。德国是最早引入数据保护官(Datenschutzbeauftragter)概念的国家,1977年的德国《联邦数据保护法》第38条规定,企业负有法定义务任命数据保护官,作为政府数据保护机关监管职能的补充,从而实现企业的自我监督。27此后,法国(1978年)、比利时(1992年)、波兰(1997年)、瑞典(1998年)、英国(1998年)等国家相继规定了数据保护官。281995年欧盟《个人数据保护指令》第18条第2款规定,如果数据控制者根据相关国家的法律任命了个人数据保护官负责确保在内部以独立的方式执行根据本指令所制定的国家规定以及保留控制者进行的处理操作的登记,则可以简化或免除向监督机关通知的义务。这是欧盟法律中首次出现个人数据保护官的概念。2000年12月18日欧洲议会与理事会颁布了《针对欧共体机构和组织所处理的个人数据的保护及此类数据的自由流动条例》(EC 45/2001),该条例的第8节(第24—26条)对数据保护官的任命与任务、对数据保护官的通知与通知的内容、数据保护官对通知的记录等内容作出了规定。不过,该条例只是要求欧共体机构和组织设立数据保护官,并不适用于私营企业。2018年的欧盟《通用数据保护条例》对数据保护官作出了更加全面的规定,依据该条例第37条,只要符合规定情形的数据的控制者与处理者,无论是公权力部门或机构还是企业或企业集团,都必须设立数据保护官。此外,该条例第38条与第39条就数据保护官的地位和任务作出了详细的规定。第29条工作组认为,“数据保护官将成为促进诸多组织遵守欧盟《通用数据保护条例》条款的新的法律框架的核心”,“数据保护官是问责制的基石,任命数据保护官可以促进合规,成为企业的竞争优势”,“数据保护官还充当了各个利益相关方(如监管机构、数据主体以及组织内部的业务部门)的中间人”。29
就我国法而言,如果数据处理者处理的数据是重要数据,就必须确定数据安全负责人和管理机构,同时,如果数据处理者处理的数据包括了个人信息,并且处理个人信息达到国家网信部门规定的数量,那么还必须指定个人信息保护负责人。当然,数据安全负责人和个人信息保护负责人可以是同一人。所谓处理个人信息达到国家网信部门规定的数量究竟是多少,目前没有直接的规定。但是,由于《个人信息保护法》第40条规定了处理个人信息达到国家网信部门规定数量的个人信息处理者确需向境外提供的,应当通过国家网信部门组织的安全评估,而国家网信办颁布的《数据出境安全评估办法》第4条第2项规定,处理100万人以上个人信息的数据处理者向境外提供个人信息的,应当经过安全评估。故此,可以认为,当数据处理者处理100万人以上个人信息的,必须要指定个人信息保护负责人。
2. 定期开展风险评估并报告的义务
依据《数据安全法》第30条,重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。这主要是因为重要数据的处理涉及到国家安全、社会稳定、公共安全等重要的利益,一旦这些数据遭到篡改、破坏、泄露或者非法获取、非法利用等,就很可能危害前述重要利益。故此,重要数据的处理者要定期开展风险评估。所谓定期究竟是多长时间,首先依据法律法规的规定,如《关键信息基础设施安全保护条例》第17条明确要求,关键信息基础设施的运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门的要求报送情况。如果数据处理者处理的数据包括了个人信息,那么依据《个人信息保护法》第55、56条规定,在实施以下个人信息处理活动之前,个人信息处理者应当先进行个人信息保护影响评估,并对处理情况进行记录:(1)处理敏感个人信息;(2)利用个人信息进行自动化决策;(3)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;(4)向境外提供个人信息;(5)其他对个人权益有重大影响的个人信息处理活动。
《数据安全法》针对重要数据处理者要求的风险评估和《个人信息保护法》规定的个人信息保护影响评估,既有相同之处,也有不同之处。二者的相同之处在于它们都有助于保护数据的安全。二者的不同之处在于其主要功能与内容不同。对数据处理活动进行风险评估的根本目的是保护数据安全,做到防患于然或者是亡羊补牢,因此,风险评估可以是在数据安全事件没有发生时进行,也可以是在已经发生了数据安全事件之后进行,其主要功能是评估数据处理活动是否存在风险、潜在风险的严重性、危险的频率以及确认避免危险的措施等。30因此,风险评估报告的内容包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。个人信息保护影响评估属于预防性的个人信息保护手段,其主要是针对那些对于个人权益可能造成较高风险的个人信息处理活动展开的。也就是说,个人信息处理者在实施此类高风险的个人信息处理活动之前开展评估,确定处理目的、处理方式等是否合法、正当、必要,该处理活动对个人权益产生何种影响及风险程度如何,个人信息处理者所采取的安全保护措施是否合法、有效,安全保护措施是否与风险程度相适应,并在评估结论的基础上决定是否实施该处理活动以及如何在符合法律、行政法规的情形下安全地实行该处理活动。因此,个人信息保护影响评估在个人信息保护方面具有防患于未然的作用;同时,个人信息保护影响评估也可以科学地协调个人信息权益保护与个人信息合理利用的关系。高风险意味着更重的义务与责任,基于责任原则,个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全(《个人信息保护法》第9条)。个人信息处理者不是不可以从事高风险的处理活动,但需要为此负责,要承担更高的注意义务,采取更严格的安全保护措施,事前的个人信息保护影响评估与记录义务正是责任原则的体现。此外,个人信息保护影响评估及其记录也有助于证明个人信息处理活动符合法律、行政法规的要求,也就是说,处理者可以通过向监管机关提供该记录来证明处理行为的合法性。例如,欧盟第29条工作组在其发布的DPIA指南中认为,“数据保护影响评估”(data protection impact assessment,DPIA)是一个旨在描述处理的过程,评估其必要性和比例性,并通过评估因处理个人数据而对自然人的权利和自由所造成的风险以及提出解决的措施,从而有助于对此等风险加以管理。DPIA是问责制的重要工具,其不仅有助于数据控制者遵守《通用数据保护条例》的要求,也有助于其证明已经采取了适当的措施来确保遵守该条例。一言以蔽之,DPIA就是一个建立并证明合规性的程序。31
五、违反数据安全义务的民事责任
违反数据安全义务产生的法律责任包括行政责任、刑事责任和民事责任。例如,《数据安全法》第45条对于开展数据处理活动的组织、个人不履行该法第27条、第29条、第30条规定的数据安全保护义务的情形,依据后果严重程度的不同分别规定了责令改正,警告,罚款,责令暂停相关业务、停业整顿,吊销相关业务许可证或者吊销营业执照等不同的行政处罚。再如,《个人信息保护法》第66条对于处理个人信息未履行该法规定的个人信息保护义务的情形,也依据情节严重程度的不同分别规定了责令改正,警告,没收违法所得,对违法处理个人信息的应用程序责令暂停或者终止提供服务,罚款,责令暂停相关业务或者停业整顿,通报有关主管部门吊销相关业务许可或者吊销营业执照等行政处罚。这里就涉及到不同法律中的行政处罚责任的适用关系问题,笔者认为,如果数据处理者虽然违反了数据安全保护义务,但数据中没有个人信息的,则仅适用《数据安全法》。然而,一旦涉及到个人信息的,则应当适用《个人信息保护法》。因为个人信息即个人数据的保护相对于数据安全保护义务而言,属于特别法。就违反数据安全义务的民事责任,《数据安全法》只是作了一个宣示性的规定。该法第52条第1款规定:“违反本法规定,给他人造成损害的,依法承担民事责任。”该款中的民事责任既包括侵权责任,也包括违约责任。违约责任主要涉及到违约金、损害赔偿等,由当事人在合同中加以约定,适用《中华人民共和国民法典》(以下简称“《民法典》”)合同编的相关规定。由于违约责任必须以当事人之间存在有效的合同约定为前提,故此本部分主要讨论违反数据安全义务的侵权责任中的两个问题,一是侵权赔偿责任的归责原则;二是数据处理者违反数据安全义务的行为与第三人的侵权行为结合的侵权责任。
(一)违反数据安全义务的侵权赔偿责任的归责原则
数据处理者违反数据安全义务,导致数据泄露、丢失、篡改或被他人窃取、非法利用的,构成对他人人身、财产权益的侵害,从而造成他人损害的,数据处理者需要承担侵权赔偿责任。由于《数据安全法》第52条第1款只是规定“依法”承担民事责任,此处的“依法”实际上属于指引性规范,即在有相应的法律作出规定时,适用该法律;没有规定的,则应当适用《民法典》关于侵权赔偿责任的基本归责原则的规定,即第1165条第1款的过错责任。
从我国现行法律规定来看,只有《个人信息保护法》作出了特别的规定。申言之,对于个人信息处理者因处理个人信息侵害个人信息权益造成损害的侵权赔偿责任,《个人信息保护法》第69条第1款专门规定了过错推定责任,即个人信息处理者必须证明自己没有过错,否则就推定其有过错。这主要是考虑到个人在个人信息处理活动中处于弱势地位,要求其证明处理者具有过错非常困难,为了更好地保护个人信息权益,法律上专门作出了规定。32故此,在数据处理者处理的是个人数据,其违反数据安全保护义务导致个人数据泄露、丢失、篡改或被他人窃取、非法利用的,应当适用《个人信息保护法》第69条规定的过错推定责任。
在数据处理者所处理的是非个人数据时,如果其违反数据安全保护义务,给他人造成损害的,则应当依据《民法典》第1165条第1款的过错责任原则承担侵权赔偿责任。也就是说,被侵权人需要证明数据处理者存在过错,不过,这并不非常困难。如前所述,数据安全保护义务主要来自于法律规定,即由《数据安全法》等法律作出了明确规定,而法律关于数据安全保护义务的规范显然属于保护性规范,即“以保护他人为目的的法律(Schutzgesetz)”。我国民法学界认为,保护性规范是以保护作为私主体的他人为全部或部分目的,该规范所规定的行为义务已经明确界定了行为人对他人的行为义务,是行为人对特定人或特定群体的私人所应负的义务,且过错往往就是他人违反了其对特定人或特定群体的私人应负的义务。33故此,数据处理者违反关于数据安全保护义务的规范的行为可以被推定为具有过错。
(二)数据处理者侵权赔偿责任的类型
从发生的原因来看,数据处理者违反数据安全保护义务给他人造成的损害可以分为以下三种具体类型:
一是单个数据处理者单独给他人造成损害的情形。例如,A公司因过失导致B公司的数据在处理中被毁损或者丢失,这种情形下,A公司违反数据安全保护义务的行为属于单独的给B公司造成了损害。那么,A公司应当向B公司承担侵权赔偿责任。
二是数据处理者与其他主体实施共同侵权造成他人损害的情形。例如,两个数据处理者在共同处理个人数据的过程中出现个人数据的泄露而给他人造成损害;再如,数据处理者与第三人非法买卖数据而造成他人损害,或者数据处理者帮助第三人非法利用数据侵害他人权益等,这些情形中数据处理者与其他主体往往构成共同侵权行为或无意思联络的数人侵权,此时,数据处理者与第三人应当依据《民法典》第1168条至第1171条的规定承担连带赔偿责任。34
三是数据处理者违反数据安全保护义务的行为与第三人的侵权行为只是客观上相互结合给他人造成损害,并且不属于每一个侵权行为都足以造成全部损害的情形(即不适用《民法典》第1171条)。例如,C公司没有依照法律规定对于个人数据采取相应的保护措施,以致数据被黑客窃取后非法出售给E,E又利用这些数据实施电信网络诈骗,导致F、G等个人被骗,遭受巨额财产损失。在这种情形下,如果能够找到直接侵权人E,E当然要就其给F、G造成的全部损害承担赔偿责任。问题是C究竟如何承担责任呢?在不能查明直接侵权人或者直接侵权人没有赔偿能力的情形下,C是否承担侵权责任,非常重要。有的学者认为,应当区分不同的情形来考虑。如果数据处理者的数据被第三人非法窃取,而第三人是因过失导致数据被泄露、公开的,则数据处理者与第三人均有过失,应当依照《民法典》第1172条承担按份责任;如果第三人在非法窃取数据后故意实施了侵权行为的,此时,数据处理者仅仅是过失,而第三人是故意,二者的责任性质处于不同的层次,无法成立共同侵权行为,应当类推适用《民法典》第1198条第2款而要求处理者承担第三人的行为介入时的补充责任。35
笔者认为,在数据处理者违反数据安全保护义务,导致数据被第三人窃取或偶然取得,进而又被第三人非法利用,给他人造成损害的情形,数据处理者对此结果的发生是能够预见的。虽然处理者本身不能预见被泄露的数据究竟是为第三人故意窃取还是偶然取得,也不能预见这些数据是直接被第三人非法利用,还是由第三人再次非法出售给他人(甚至可能是第三人本身也因过失而泄露以致为其他人所取得),只要处理者能够预见到数据泄露后给数据主体造成损害的可能性(即损害危险的增加),就足够了。第三人取得数据是故意窃取抑或偶然获得,非法利用数据造成损害的具体加害人是谁、给哪些受害人造成何种损害及损害的大小等情形,无需处理者能够预见。从因果关系的角度来看,数据处理者违反数据安全保护义务的行为与民事权益被侵害已经存在相当因果关系。数据处理者应当对被侵权人的损害承担与其过错、原因力相应的赔偿责任(如考虑泄露的是敏感的还是非敏感的个人信息等因素)。至于直接给被侵权人造成损害的第三人,无论其主观上是故意还是过失,均应就被侵权人的全部损害承担责任。由此可见,第三人与数据处理者的赔偿范围发生了部分重叠,在该重叠的部分内,二者承担连带责任。就超出的部分,第三人应单独承担赔偿责任。所以,无论第三人是故意还是过失,数据处理者都不是与第三人承担按份责任,更不能类推适用《民法典》第1198条第2款的第三人侵权时安全保障义务人承担的相应的补充责任。具体理由在于:首先,在数据处理者没有履行数据安全保护义务而导致第三人窃取数据时,窃取数据的第三人本身就是故意的,至于其此后是故意还是过失进一步导致数据再次被公开或泄露,无需考虑,即该第三人应就被侵权人遭受的全部损害承担赔偿责任。其次,《民法典》第1198条的安全保障义务仅适用于“宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所”,它们都是物理空间,而非网络空间。36再次,数据安全保护义务不同于《民法典》第1198条第2款的安全保障义务。所谓数据安全本身就意味着数据安全保护义务人要采取必要措施,确保数据处于有效保护和合法利用的状态以及具备保障持续安全状态的能力。数据安全保护义务本身就包含了很强的防止和消除数据被他人非法利用的内容在内,这种义务是直接对数据处理者本身提出的要求,义务人应当采取相当高的注意来履行义务,其强度远远大于《民法典》第1198条第2款对安全保障义务人预防和制止第三人实施侵权行为的要求的强度。37当数据处理者没有履行数据安全保护义务(例如没有对数据处理活动加强风险监测,未能发现数据安全缺陷、漏洞等风险),从而导致数据被第三人非法窃取的,无论第三人是故意地还是过失地利用非法窃取的数据造成他人损害的,数据处理者对于此种损害的发生都具有过错和原因力,其要为自己违反数据安全保护义务的后果负责,应当承担相应的赔偿责任。数据处理者在承担相应的赔偿责任后不能向第三人追偿;第三人如果就全部损害承担了赔偿责任,也不能向数据处理者追偿。
六、结语
在我国数据安全法、个人信息保护法、网络安全法等法律已经建立起一个科学合理的数据安全保护义务的规范体系之后,最重要的内容是确保数据安全保护义务得到履行,尤其是数据处理者需要建立健全全流程数据安全管理制度,通过相应的组织措施、技术措施和其他必要措施来具体实现对数据安全的保护,并且通过风险监测以及定期风险评估机制来预防数据安全事件的发生,惟其如此,才能奠定数据交易、数据流通与利用的前提,真正发挥数据作为第五大生产要素的功能,促进数字经济的发展,在法治的轨道上实现对数据的充分利用和有效治理,推进国家治理能力与治理体系的现代化。