在全球數(shù)字經(jīng)濟(jì)發(fā)展的大背景下，數(shù)據(jù)已經(jīng)成為最具價(jià)值的生產(chǎn)要素之一，被公認(rèn)為二十一世紀(jì)的“新石油”和“新黃金”。與此同時(shí)，數(shù)據(jù)安全成為重要的議題，數(shù)據(jù)泄露問題成為數(shù)據(jù)企業(yè)當(dāng)前面臨的最大挑戰(zhàn)，而專門圍繞企業(yè)數(shù)據(jù)泄露法律防治展開的研究較少。企業(yè)數(shù)據(jù)泄露問題的現(xiàn)狀如何、企業(yè)數(shù)據(jù)泄露的責(zé)任如何界定、既有法律規(guī)范如何完善，都是亟須關(guān)注和研究的問題。

　　一、企業(yè)數(shù)據(jù)泄露的現(xiàn)狀：原因、危害及治理困境

　　企業(yè)數(shù)據(jù)是企業(yè)在經(jīng)營(yíng)活動(dòng)中所持有、控制的以符號(hào)或代碼形式表現(xiàn)出來的數(shù)據(jù)，主要包括企業(yè)的原生數(shù)據(jù)和衍生數(shù)據(jù)。與個(gè)人數(shù)據(jù)、公共數(shù)據(jù)不同，企業(yè)數(shù)據(jù)具有顯著的稀缺性和經(jīng)濟(jì)價(jià)值，屬于企業(yè)的無形資產(chǎn)。當(dāng)數(shù)據(jù)權(quán)利人的數(shù)據(jù)信息未經(jīng)其允許被公開時(shí)，即發(fā)生了數(shù)據(jù)泄露。歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）給出了全面和準(zhǔn)確的數(shù)據(jù)泄露定義，其中第四條規(guī)定，數(shù)據(jù)泄露指違反數(shù)據(jù)在傳輸、存儲(chǔ)或者進(jìn)行其他處理時(shí)的安全原則引發(fā)的數(shù)據(jù)被意外或者非法破壞、丟失、更改、未經(jīng)授權(quán)披露和訪問。多數(shù)的數(shù)據(jù)泄露行為屬于侵害數(shù)據(jù)安全的行為。

　　目前，企業(yè)發(fā)生數(shù)據(jù)泄露的原因多種多樣，不僅有企業(yè)員工利用職務(wù)便利故意或者過失造成的數(shù)據(jù)泄露，也有因企業(yè)儲(chǔ)存數(shù)據(jù)的服務(wù)器或者企業(yè)員工的電腦客戶端遭到黑客攻擊而引發(fā)的數(shù)據(jù)泄露。由于目前全球已建立多個(gè)規(guī)?；臄?shù)據(jù)中心，企業(yè)收集和處理的數(shù)據(jù)，較之前相比，更容易成為黑客攻擊的對(duì)象，導(dǎo)致大量的企業(yè)數(shù)據(jù)泄露后流入黑灰產(chǎn)鏈條中。而且，當(dāng)前企業(yè)泄露的數(shù)據(jù)往往在暗網(wǎng)上完成交易，并通過比特幣等數(shù)字貨幣完成支付，而數(shù)字貨幣的追蹤難度很大，也在一定程度上增加了數(shù)據(jù)泄漏治理的難度。就數(shù)據(jù)泄露發(fā)生的環(huán)節(jié)而言，既有數(shù)據(jù)采集端，也有數(shù)據(jù)傳輸端和數(shù)據(jù)使用端。根據(jù)天際友盟的統(tǒng)計(jì)，造成數(shù)據(jù)泄露的常見原因主要為供應(yīng)鏈第三方泄露，尤其是在新冠肺炎疫情期間，供應(yīng)鏈第三方數(shù)據(jù)泄露事件發(fā)生頻繁。隨著物聯(lián)網(wǎng)、云計(jì)算等新技術(shù)與大數(shù)據(jù)的融合發(fā)展，數(shù)據(jù)企業(yè)持有海量的數(shù)據(jù)。作為網(wǎng)絡(luò)服務(wù)的特殊產(chǎn)業(yè)形態(tài)，云存儲(chǔ)服務(wù)中的數(shù)據(jù)泄露問題也需要引起關(guān)注。

　　數(shù)據(jù)泄露帶來的損失涉及多個(gè)方面，不僅會(huì)給商業(yè)數(shù)據(jù)的權(quán)利人帶來重大經(jīng)濟(jì)損失，而且對(duì)企業(yè)的聲譽(yù)及核心競(jìng)爭(zhēng)力也將產(chǎn)生不可估量的減損。當(dāng)數(shù)據(jù)集合包含個(gè)人信息時(shí)，也可能會(huì)造成個(gè)人隱私泄露和名譽(yù)損害。此外，被泄露的數(shù)據(jù)為違法分子進(jìn)行經(jīng)濟(jì)詐騙提供了便利。2016 年“徐玉玉案”的源頭便是掌握考生信息的企業(yè)網(wǎng)站受到黑客攻擊所致，包含十萬(wàn)余條考生個(gè)人信息數(shù)據(jù)泄露，教訓(xùn)慘痛。

　　目前，企業(yè)數(shù)據(jù)泄露的治理在法律層面存在多重困境：其一，企業(yè)數(shù)據(jù)泄露的責(zé)任界定不清晰。網(wǎng)絡(luò)服務(wù)運(yùn)營(yíng)商、數(shù)據(jù)存儲(chǔ)服務(wù)商、企業(yè)內(nèi)部員工以及企業(yè)外部第三方之間的責(zé)任劃分不清晰，刑事責(zé)任、行政責(zé)任、民事責(zé)任具體如何適用法律規(guī)范不明確。其二，各國(guó)關(guān)于企業(yè)數(shù)據(jù)泄露的法律體系不同，對(duì)企業(yè)數(shù)據(jù)泄露的界定標(biāo)準(zhǔn)、責(zé)任承擔(dān)及域外適用等規(guī)定不統(tǒng)一。其三，泄露企業(yè)數(shù)據(jù)的違法成本、犯罪成本較低，遠(yuǎn)遠(yuǎn)低于企業(yè)的防范成本，對(duì)相關(guān)責(zé)任主體的威懾不足。其四，企業(yè)通過訴訟或者仲裁的方式處理企業(yè)數(shù)據(jù)泄露事件的周期較長(zhǎng)，不利于及時(shí)止損。

　　二、企業(yè)數(shù)據(jù)泄露的法律適用：責(zé)任主體與責(zé)任界定

　　目前，我國(guó)已頒布的與數(shù)據(jù)安全相關(guān)的法律規(guī)范主要包括：2012 年頒布的《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》、2013 年頒布的《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》、2013年修正的《消費(fèi)者權(quán)益保護(hù)法》、2021年開始實(shí)施的《刑法修正案（十一）》、2016 年公布的《網(wǎng)絡(luò)安全法》、2021 年開始實(shí)施的《民法典》，以及正在制定過程中的“數(shù)據(jù)安全法”“個(gè)人信息保護(hù)法”“數(shù)據(jù)安全管理辦法”等。同時(shí)，也有已經(jīng)頒布的《天津市數(shù)據(jù)安全管理辦法（暫行）》《貴州省大數(shù)據(jù)安全保障條例》等地方規(guī)范性文件。

　　當(dāng)企業(yè)數(shù)據(jù)泄露是因其員工為謀求不正當(dāng)利益故意或者在業(yè)務(wù)往來中的工作過失造成時(shí)，一方面，企業(yè)作為數(shù)據(jù)的持有人，可以基于《勞動(dòng)合同法》向員工主張賠償。此外，《反不正當(dāng)競(jìng)爭(zhēng)法》亦對(duì)違法獲取、披露、使用其他企業(yè)商業(yè)秘密的行為予以規(guī)制。當(dāng)數(shù)據(jù)泄露因供應(yīng)鏈第三方的原因造成時(shí)，企業(yè)數(shù)據(jù)的權(quán)利人可以追究供應(yīng)鏈第三方相應(yīng)的違約、侵權(quán)等法律責(zé)任。另一方面，企業(yè)基于其存儲(chǔ)、收集信息的行為承擔(dān)相應(yīng)的數(shù)據(jù)安全保護(hù)義務(wù)，因企業(yè)數(shù)據(jù)泄露，給數(shù)據(jù)所含有的個(gè)人信息對(duì)應(yīng)個(gè)體造成民事權(quán)利損害的，持有數(shù)據(jù)的企業(yè)應(yīng)承擔(dān)民事責(zé)任。

　　當(dāng)數(shù)據(jù)泄露是因?yàn)閿?shù)據(jù)持有企業(yè)遭到違法分子網(wǎng)絡(luò)攻擊導(dǎo)致時(shí)，涉及的是數(shù)據(jù)持有企業(yè)、數(shù)據(jù)存儲(chǔ)服務(wù)提供商、網(wǎng)絡(luò)攻擊者三方的責(zé)任劃分。首先，最容易界定的是網(wǎng)絡(luò)攻擊者的責(zé)任。《民法典》第一百二十七條已明確規(guī)定企業(yè)持有的數(shù)據(jù)是民事權(quán)利的客體，受法律保護(hù)，網(wǎng)絡(luò)攻擊者的攻擊行為導(dǎo)致數(shù)據(jù)持有企業(yè)發(fā)生數(shù)據(jù)泄露，應(yīng)當(dāng)承擔(dān)民事侵權(quán)責(zé)任。情節(jié)嚴(yán)重的，網(wǎng)絡(luò)攻擊者還須承擔(dān)非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪、破壞計(jì)算機(jī)信息系統(tǒng)罪、侵犯公民個(gè)人信息罪等刑事責(zé)任。另外，由于企業(yè)持有的衍生數(shù)據(jù)在符合法定要件的情況下可以成為知識(shí)產(chǎn)權(quán)的權(quán)利客體，網(wǎng)絡(luò)攻擊者亦可能構(gòu)成侵犯著作權(quán)罪、侵犯商業(yè)秘密罪等。

　　在因網(wǎng)絡(luò)安全事件導(dǎo)致的數(shù)據(jù)泄露事件中，通常情況下，數(shù)據(jù)持有企業(yè)亦難咎其責(zé)。企業(yè)在對(duì)海量個(gè)人數(shù)據(jù)收集、處理、控制的過程中，負(fù)有數(shù)據(jù)安全保護(hù)義務(wù)?！睹穹ǖ洹返谝磺Я闳藯l第二款、《消費(fèi)者權(quán)益保護(hù)法》第二十九條第二款、《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》第四條、《網(wǎng)絡(luò)安全法》第二十一條與第四十二條第二款，均規(guī)定了企業(yè)確保數(shù)據(jù)安全、防止數(shù)據(jù)泄露的義務(wù)。確保數(shù)據(jù)安全的義務(wù)有兩方面的要求，一方面，企業(yè)應(yīng)當(dāng)確保數(shù)據(jù)不被損壞、遺失、丟失，不發(fā)生物理?yè)p失；另一方面，企業(yè)應(yīng)當(dāng)確保數(shù)據(jù)不被泄露、侵入或者發(fā)生其他類似情形。根據(jù)《網(wǎng)絡(luò)安全法》的規(guī)定，作為網(wǎng)絡(luò)運(yùn)營(yíng)者的企業(yè)對(duì)收集、持有的數(shù)據(jù)負(fù)有安全保護(hù)義務(wù)，保障數(shù)據(jù)系統(tǒng)不被干擾、破壞或入侵，防止數(shù)據(jù)泄露或被竊取或篡改?！毒W(wǎng)絡(luò)安全法》第七十四條規(guī)定：“違反本法規(guī)定，給他人造成損害的，依法承擔(dān)民事責(zé)任”。此外，《網(wǎng)絡(luò)安全法》第五十九條還規(guī)定了罰款、責(zé)令改正等行政處罰。另外，2015 年通過的《刑法修正案（九）》，增設(shè)了“拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪”，將網(wǎng)絡(luò)信息的維護(hù)責(zé)任納入《刑法》的規(guī)制范圍。若數(shù)據(jù)控制者拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)導(dǎo)致嚴(yán)重后果，將按照《刑法》第二百八十六條之一規(guī)定，承擔(dān)刑事責(zé)任。若泄露的企業(yè)數(shù)據(jù)涉及特定信息，企業(yè)與惡意攻擊者均有可能構(gòu)成侵犯著作權(quán)罪、侵犯商業(yè)秘密罪與侵犯公民個(gè)人信息罪等。

　　當(dāng)企業(yè)發(fā)現(xiàn)數(shù)據(jù)泄露后，應(yīng)當(dāng)立即履行通知和報(bào)告義務(wù)。數(shù)據(jù)的監(jiān)管機(jī)構(gòu)和權(quán)利人很難發(fā)現(xiàn)數(shù)據(jù)泄露，導(dǎo)致權(quán)利人難以及時(shí)采取措施避免損失擴(kuò)大。網(wǎng)絡(luò)運(yùn)營(yíng)者作為數(shù)據(jù)的直接控制主體，可以通過內(nèi)外部監(jiān)控兩種方式的結(jié)合，第一時(shí)間判斷是否發(fā)生數(shù)據(jù)泄露并采取相應(yīng)措施?！毒W(wǎng)絡(luò)安全法》第四十二條第二款規(guī)定了網(wǎng)絡(luò)運(yùn)營(yíng)者在發(fā)現(xiàn)數(shù)據(jù)泄露后的通知和報(bào)告義務(wù)，并在第六十四條規(guī)定了不履行此義務(wù)的行政責(zé)任，包括責(zé)令改正、警告、罰款、責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照等處罰措施。從民事責(zé)任的角度考慮，若企業(yè)違反數(shù)據(jù)泄露后的通知義務(wù)，數(shù)據(jù)權(quán)利人有權(quán)根據(jù)其損失向企業(yè)行使損害賠償請(qǐng)求權(quán)。

　　如果企業(yè)數(shù)據(jù)存儲(chǔ)于專門的數(shù)據(jù)存儲(chǔ)服務(wù)提供商的服務(wù)器中，數(shù)據(jù)存儲(chǔ)服務(wù)提供商本質(zhì)上是網(wǎng)絡(luò)服務(wù)提供者的一種特殊形式，也應(yīng)當(dāng)適用網(wǎng)絡(luò)服務(wù)提供者相關(guān)的法律規(guī)范。一方面，數(shù)據(jù)持有企業(yè)通常會(huì)與數(shù)據(jù)存儲(chǔ)服務(wù)提供商簽訂存儲(chǔ)服務(wù)合同或者產(chǎn)品使用合同，通過約定服務(wù)內(nèi)容、費(fèi)用、期限、維護(hù)以及違約責(zé)任等條款，明確雙方權(quán)利義務(wù)。存儲(chǔ)于數(shù)據(jù)存儲(chǔ)服務(wù)提供商的服務(wù)器中的企業(yè)數(shù)據(jù)發(fā)生泄露時(shí)，數(shù)據(jù)存儲(chǔ)服務(wù)提供商應(yīng)當(dāng)依據(jù)《民法典》合同編向企業(yè)承擔(dān)違約責(zé)任。若合同中明確將網(wǎng)絡(luò)攻擊者的原因作為不可抗力，發(fā)生數(shù)據(jù)泄露后，數(shù)據(jù)存儲(chǔ)服務(wù)提供商可以部分或者全部免除責(zé)任。

　　另一方面，根據(jù)《網(wǎng)絡(luò)安全法》的規(guī)定，發(fā)生危害網(wǎng)絡(luò)安全事件時(shí)，數(shù)據(jù)存儲(chǔ)服務(wù)提供商應(yīng)當(dāng)為其數(shù)據(jù)存儲(chǔ)服務(wù)持續(xù)提供安全維護(hù)，保證存儲(chǔ)數(shù)據(jù)的完整性、保密性和可用性，當(dāng)發(fā)現(xiàn)數(shù)據(jù)儲(chǔ)存服務(wù)器和存儲(chǔ)環(huán)境存在安全隱患和數(shù)據(jù)泄露風(fēng)險(xiǎn)時(shí)，應(yīng)當(dāng)立即啟動(dòng)應(yīng)急預(yù)案，采取相應(yīng)補(bǔ)救措施，并及時(shí)告知數(shù)據(jù)持有企業(yè)，向相關(guān)主管部門報(bào)告。否則，數(shù)據(jù)存儲(chǔ)服務(wù)提供商應(yīng)當(dāng)向數(shù)據(jù)持有企業(yè)與個(gè)人信息的權(quán)利人承擔(dān)民事侵權(quán)責(zé)任，同時(shí)須承擔(dān)《網(wǎng)絡(luò)安全法》第五十九條、第六十條規(guī)定的責(zé)令改正、警告、罰款等行政責(zé)任。數(shù)據(jù)存儲(chǔ)服務(wù)提供商承擔(dān)相應(yīng)賠償責(zé)任后，有權(quán)向網(wǎng)絡(luò)攻擊者進(jìn)行追償。若數(shù)據(jù)存儲(chǔ)服務(wù)提供商與網(wǎng)絡(luò)攻擊者惡意串通，構(gòu)成共同侵權(quán)的情況下，將承擔(dān)連帶責(zé)任。

　　當(dāng)企業(yè)持有的數(shù)據(jù)存儲(chǔ)于專門的數(shù)據(jù)存儲(chǔ)服務(wù)提供商的服務(wù)器中，信息網(wǎng)絡(luò)安全管理義務(wù)也應(yīng)由數(shù)據(jù)持有企業(yè)相應(yīng)地轉(zhuǎn)移到數(shù)據(jù)存儲(chǔ)服務(wù)提供商。若數(shù)據(jù)存儲(chǔ)服務(wù)提供商拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)導(dǎo)致嚴(yán)重后果，須按照《刑法》第二百八十六條之一拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪的規(guī)定，承擔(dān)刑事責(zé)任。

　　三、關(guān)于企業(yè)數(shù)據(jù)泄露治理的幾點(diǎn)建議：完善與整合

　　基于目前企業(yè)數(shù)據(jù)泄露的治理存在的困境和既有數(shù)據(jù)安全相關(guān)法律規(guī)范，應(yīng)當(dāng)從以下方面進(jìn)行調(diào)整和完善。

　　一是應(yīng)當(dāng)盡快出臺(tái)數(shù)據(jù)安全法和個(gè)人信息保護(hù)法。目前，關(guān)于數(shù)據(jù)安全相關(guān)的法律規(guī)范較少，且分布零散，導(dǎo)致企業(yè)的責(zé)任難以界定、監(jiān)管缺位。應(yīng)當(dāng)在現(xiàn)有規(guī)定的基礎(chǔ)上進(jìn)行細(xì)化、整合，盡快形成適應(yīng)我國(guó)數(shù)據(jù)發(fā)展現(xiàn)狀的數(shù)據(jù)安全法律體系。例如，關(guān)于企業(yè)數(shù)據(jù)權(quán)屬的確定方式、類型劃分的內(nèi)容，關(guān)于企業(yè)通知義務(wù)的通知主體、通知內(nèi)容以及具體通知方式的內(nèi)容，關(guān)于企業(yè)數(shù)據(jù)泄露后的損失確定標(biāo)準(zhǔn)、賠償標(biāo)準(zhǔn)的內(nèi)容，關(guān)于數(shù)據(jù)處理環(huán)節(jié)的重點(diǎn)規(guī)范內(nèi)容等。

　　二是應(yīng)當(dāng)加大對(duì)數(shù)據(jù)泄露責(zé)任主體的處罰力度。目前，企業(yè)數(shù)據(jù)泄露的違法成本較低，遠(yuǎn)遠(yuǎn)小于利用泄露的數(shù)據(jù)所獲利益，也遠(yuǎn)遠(yuǎn)低于企業(yè)的防御成本。歐盟《通用數(shù)據(jù)保護(hù)條例》將罰款的上限調(diào)整為2000 萬(wàn)歐元或公司上一年度全球營(yíng)業(yè)額的 4%。我國(guó)《數(shù)據(jù)安全法（草案二次審議稿）》第四十四條規(guī)定了關(guān)于數(shù)據(jù)泄露的罰則?？山璺芍贫ㄖ畽C(jī)，加大責(zé)任追究力度，提高泄露數(shù)據(jù)的違法成本。通過加大處罰力度，促使數(shù)據(jù)企業(yè)和內(nèi)部員工提高數(shù)據(jù)泄露防范意識(shí)，加強(qiáng)數(shù)據(jù)風(fēng)險(xiǎn)防范，從事前、事中和事后做好數(shù)據(jù)安全的閉環(huán)管理，建立完善的數(shù)據(jù)安全與數(shù)據(jù)泄露防護(hù)體系。

　　三是應(yīng)當(dāng)完善相關(guān)舉證規(guī)則和證明標(biāo)準(zhǔn)。根據(jù)現(xiàn)有證明規(guī)則和證明標(biāo)準(zhǔn)，個(gè)人信息的權(quán)利人難以證明企業(yè)泄露數(shù)據(jù)的侵權(quán)或者違約事實(shí)、因果關(guān)系等違法構(gòu)成要件，很難通過訴訟維權(quán)。應(yīng)當(dāng)在調(diào)整、完善證明規(guī)則和標(biāo)準(zhǔn)的基礎(chǔ)上，探索應(yīng)對(duì)數(shù)據(jù)泄露大規(guī)模侵權(quán)或違約行為而開展集體訴訟、公益訴訟。

　　四是應(yīng)當(dāng)適度擴(kuò)充數(shù)據(jù)法律規(guī)范的域外效力。目前，《數(shù)據(jù)安全法（草案二次審議稿）》第二條規(guī)定了該法的域外效力，增加規(guī)定了保護(hù)性管轄的原則，為我國(guó)維護(hù)數(shù)據(jù)安全提供了管轄權(quán)依據(jù)。有待完善的是，第一款規(guī)定僅適用于在我國(guó)境內(nèi)開展的數(shù)據(jù)活動(dòng)，難以應(yīng)對(duì)目前數(shù)據(jù)跨境流動(dòng)日益頻繁的現(xiàn)實(shí)情況。歐盟《通用數(shù)據(jù)保護(hù)條例》規(guī)定，“本例適用于在歐盟內(nèi)部設(shè)立的數(shù)據(jù)控制者或處理者對(duì)個(gè)人數(shù)據(jù)的處理，不論其數(shù)據(jù)處理是否位于歐盟內(nèi)部。”此規(guī)定與各國(guó)通用的數(shù)據(jù)活動(dòng)管轄原則一致。我國(guó)也應(yīng)當(dāng)擴(kuò)充《數(shù)據(jù)安全法（草案）》的域外效力，無論數(shù)據(jù)處理行為是否發(fā)生在我國(guó)領(lǐng)域內(nèi)，都應(yīng)當(dāng)適用。

　　總體看，大數(shù)據(jù)時(shí)代，面對(duì)嚴(yán)峻的數(shù)據(jù)泄露問題，我國(guó)應(yīng)當(dāng)盡快形成完善的數(shù)據(jù)泄露防治體系，明確相關(guān)主體的責(zé)任邊界，對(duì)掌握海量數(shù)據(jù)的企業(yè)提出更高的管理、維護(hù)、監(jiān)控和處置要求，對(duì)數(shù)據(jù)企業(yè)的主管部門提出更高的監(jiān)管和執(zhí)法要求。有效預(yù)防和治理數(shù)據(jù)泄露事件，促進(jìn)國(guó)家數(shù)字經(jīng)濟(jì)健康發(fā)展。