馬宇飛

摘? ? 要：非法抓取、竊取、破壞數(shù)據(jù)庫數(shù)據(jù)的行為使得數(shù)據(jù)企業(yè)與用戶承受了巨大損失。在用戶數(shù)據(jù)權(quán)益保護(hù)方面，《數(shù)據(jù)安全法》第27條規(guī)定了網(wǎng)絡(luò)運(yùn)營者對(duì)用戶數(shù)據(jù)的安全保護(hù)義務(wù)，但如何對(duì)用戶進(jìn)行損害賠償尚不明確。在用戶數(shù)據(jù)權(quán)利尚未被立法確認(rèn)的前提下，可以以《民法典》第1197條、1198條為請(qǐng)求權(quán)基礎(chǔ)，結(jié)合數(shù)據(jù)經(jīng)營實(shí)踐確定“知道或應(yīng)當(dāng)知道”、“采取必要措施”以及“違反安全保障（數(shù)據(jù)安全保護(hù)）義務(wù)”的具體標(biāo)準(zhǔn)，構(gòu)建用戶數(shù)據(jù)權(quán)益救濟(jì)框架，使違反義務(wù)的企業(yè)承擔(dān)損害賠償責(zé)任。

關(guān)鍵詞：用戶數(shù)據(jù)權(quán)益;數(shù)據(jù)安全保護(hù)義務(wù);損害賠償;網(wǎng)絡(luò)安全;漢德公式

中圖分類號(hào)：D 912? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A? ? ? ? ? 文章編號(hào)：2096-9783（2021）05-0075-10

自網(wǎng)絡(luò)服務(wù)平臺(tái)化以來，大量用戶數(shù)據(jù)藉由網(wǎng)絡(luò)服務(wù)得以集中于數(shù)據(jù)服務(wù)企業(yè)。與此同時(shí)，非法抓取、竊取、破壞數(shù)據(jù)庫數(shù)據(jù)的行為也逐漸增多，使得數(shù)據(jù)企業(yè)與用戶承受了巨大損失。如何依法保護(hù)企業(yè)、用戶的數(shù)據(jù)權(quán)益就成為了學(xué)界、實(shí)務(wù)界討論的焦點(diǎn)。在企業(yè)數(shù)據(jù)權(quán)益的保護(hù)上，司法中將企業(yè)對(duì)用戶數(shù)據(jù)的占有作為企業(yè)競(jìng)爭利益通過《中華人民共和國反不正當(dāng)競(jìng)爭法》（以下簡稱《反不正當(dāng)競(jìng)爭法》）第2條加以保護(hù)，并在“新浪訴脈脈”案1、“淘寶訴美景”案2等案例中取得了良好的示范效果;同時(shí)，學(xué)界也廣泛出現(xiàn)了關(guān)于企業(yè)對(duì)其持有數(shù)據(jù)享有財(cái)產(chǎn)權(quán)的討論，如“所有權(quán)保護(hù)說”[1]“知識(shí)產(chǎn)權(quán)保護(hù)說”[2]“債權(quán)保護(hù)說”[3]“新型數(shù)據(jù)產(chǎn)權(quán)說”[4]等。但在用戶數(shù)據(jù)權(quán)益保護(hù)上，則不那么樂觀。首先，礙于數(shù)據(jù)上權(quán)益構(gòu)成的復(fù)雜性，我國立法對(duì)用戶是否對(duì)其數(shù)據(jù)享有權(quán)利、享有何種權(quán)利的問題做了留白處理，導(dǎo)致數(shù)據(jù)泄露時(shí)用戶因缺少明確的規(guī)則指引而無法通過主張權(quán)利直接得到救濟(jì);其次，上述關(guān)于“企業(yè)數(shù)據(jù)財(cái)產(chǎn)權(quán)”的討論也進(jìn)一步壓縮了用戶數(shù)據(jù)權(quán)益的存在空間，加之“朱某訴百度”案3等間接否定用戶在其數(shù)據(jù)上享有權(quán)益的判例，也使得用戶在主張其數(shù)據(jù)權(quán)益時(shí)顯得無所適從。

認(rèn)定一種行為是否構(gòu)成侵權(quán)，既可以通過判斷行為是否侵害他人權(quán)利的方式認(rèn)定，也可通過判斷行為是否違反法律中對(duì)他人應(yīng)盡的義務(wù)的方式進(jìn)行認(rèn)定。雖然《反不正當(dāng)競(jìng)爭法》第2條并不能適用于購買數(shù)據(jù)企業(yè)網(wǎng)絡(luò)服務(wù)的用戶，但企業(yè)間數(shù)據(jù)不正當(dāng)競(jìng)爭的司法實(shí)踐不免使人反思，是否可以構(gòu)建一種企業(yè)涉數(shù)據(jù)行為的違法性評(píng)價(jià)模型，采用判斷企業(yè)是否違反數(shù)據(jù)安全作為義務(wù)的方式繞開難以確定的用戶數(shù)據(jù)權(quán)利確定的問題，從而達(dá)到保護(hù)用戶數(shù)據(jù)權(quán)益的目的?！稊?shù)據(jù)安全法》第52條肯定了數(shù)據(jù)安全保護(hù)義務(wù)的民法適用性，但如何在民事糾紛中適用尚需探索。學(xué)界對(duì)通過何種途徑保護(hù)用戶數(shù)據(jù)權(quán)益存在不同觀點(diǎn)，但均不否認(rèn)用戶對(duì)其存儲(chǔ)于企業(yè)數(shù)據(jù)庫的數(shù)據(jù)享有一定的權(quán)益。如此，基于侵權(quán)責(zé)任規(guī)則保護(hù)用戶數(shù)據(jù)權(quán)益的討論便可以展開。2021年出臺(tái)的《數(shù)據(jù)安全法》第27條規(guī)定：“開展數(shù)據(jù)處理活動(dòng)應(yīng)當(dāng)依照法律、法規(guī)的規(guī)定，建立健全全流程數(shù)據(jù)安全管理制度，組織開展數(shù)據(jù)安全教育培訓(xùn)，采取相應(yīng)的技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全。利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)開展數(shù)據(jù)處理活動(dòng)，應(yīng)當(dāng)在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，履行上述數(shù)據(jù)安全保護(hù)義務(wù)。重要數(shù)據(jù)的處理者應(yīng)當(dāng)明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)，落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任?！币虼耍云髽I(yè)是否違反數(shù)據(jù)安全保護(hù)義務(wù)為支點(diǎn)構(gòu)建用戶數(shù)據(jù)權(quán)益的民法保護(hù)框架已經(jīng)具備了基本條件4。企業(yè)數(shù)據(jù)泄露包含因企業(yè)自身原因?qū)е掠脩魯?shù)據(jù)泄露與第三人原因?qū)е掠脩魯?shù)據(jù)泄露兩種。本文將聚焦于第三人原因?qū)е掠脩魯?shù)據(jù)泄露中企業(yè)對(duì)用戶的侵權(quán)賠償展開討論。

一、企業(yè)數(shù)據(jù)泄露侵害用戶數(shù)據(jù)權(quán)益的主要類型

在企業(yè)數(shù)據(jù)泄露的原因中，除去企業(yè)故意及系統(tǒng)故障以外，唯一的可能就是第三人侵入數(shù)據(jù)庫。隨著大數(shù)據(jù)價(jià)值被挖掘，黑客攻擊的目的也從單純的刪除數(shù)據(jù)、癱瘓網(wǎng)絡(luò)系統(tǒng)轉(zhuǎn)變?yōu)楦呓?jīng)濟(jì)價(jià)值的數(shù)據(jù)庫竊取。從現(xiàn)階段來看，數(shù)據(jù)竊取的方式主要有二種：其一，未經(jīng)同意的數(shù)據(jù)抓取，如2018年劍橋分析公司（Cambridge Analytica）通過網(wǎng)絡(luò)抓取了Facebook超過5000萬用戶信息，導(dǎo)致了著名的Facebook“數(shù)據(jù)門”事件;其二，漏洞攻擊，如2019年5月，圖形設(shè)計(jì)工具網(wǎng)站Canva遭到黑客攻擊，1.37億用戶的電子郵件、用戶名、姓名、居住城市以及使用bcrypt密碼加密和散列的信息被盜。在我國，漏洞攻擊又以撞庫方式竊取數(shù)據(jù)最為常見，如2019年2月抖音APP遭到惡意撞庫攻擊，導(dǎo)致上千萬賬號(hào)數(shù)據(jù)泄露。上述兩種數(shù)據(jù)竊取類型中，企業(yè)未采用足夠的數(shù)據(jù)安全措施均是原因所在。

（一） 數(shù)據(jù)抓取

長期以來，數(shù)據(jù)抓取一直是企業(yè)數(shù)據(jù)安全面臨的最主要問題。曾引起學(xué)界廣泛討論的“eBay v. Bidder's Edge”案、5“hiQ v. LinkedIn”案、6“大眾點(diǎn)評(píng)訴百度”案、7“新浪訴脈脈”案8，以及絕大部分的企業(yè)間數(shù)據(jù)不正當(dāng)競(jìng)爭糾紛均屬于數(shù)據(jù)抓取問題的范疇。數(shù)據(jù)抓取是指通過爬蟲程序以識(shí)別代碼的方式自動(dòng)獲取數(shù)據(jù)庫信息，并將該信息以秒為單位大量提取的行為。對(duì)于一般網(wǎng)頁而言，數(shù)據(jù)抓取在代碼層能夠?qū)崿F(xiàn)的基礎(chǔ)在于以Roberts協(xié)議為代表的網(wǎng)絡(luò)協(xié)議允許網(wǎng)絡(luò)爬蟲進(jìn)入頁面抓取內(nèi)容;對(duì)于非開放性數(shù)據(jù)庫，則會(huì)設(shè)置更復(fù)雜的防火墻進(jìn)一步防止爬蟲或其他未經(jīng)許可的數(shù)據(jù)抓取行為，對(duì)數(shù)據(jù)合作方則以單獨(dú)提供API接口的方式實(shí)現(xiàn)數(shù)據(jù)共享。在數(shù)據(jù)糾紛案件中，依照抓取方與被抓取方是否存在合作協(xié)議可以將網(wǎng)絡(luò)抓取行為分為兩種。

無合作協(xié)議的網(wǎng)絡(luò)抓取行為主要為抓取以網(wǎng)頁為代表的無防火墻數(shù)據(jù)，是否涉及侵權(quán)的認(rèn)定主要取決于Roberts協(xié)議是否允許爬蟲進(jìn)行抓取。Robots協(xié)議（或稱爬蟲協(xié)議、機(jī)器人協(xié)議）是網(wǎng)站設(shè)置的一種文本文檔，這種文本文檔一般以robots.txt的格式存在。網(wǎng)站通過設(shè)置Robots協(xié)議來告知搜索引擎哪些信息可以抓取，哪些信息不能抓取，以此來保護(hù)網(wǎng)站信息的安全。實(shí)踐中，對(duì)網(wǎng)絡(luò)抓取行為進(jìn)行限制的技術(shù)手段早已不限于Roberts協(xié)議一種，無論采用何種技術(shù)手段，這類協(xié)議在企業(yè)間數(shù)據(jù)侵權(quán)上的性質(zhì)與Roberts協(xié)議并無本質(zhì)差別，均為數(shù)據(jù)持有方對(duì)特定數(shù)據(jù)是否可以被他人抓取的意思表示。只要這一意思表示存在明顯的客觀體現(xiàn)且不通過一定技術(shù)手段無法獲取，那么違反這一意思表示的抓取行為就可能構(gòu)成非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪9，或構(gòu)成不正當(dāng)競(jìng)爭行為10。對(duì)于一般用戶而言，非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪入罪需要獲取一定組數(shù)或較大價(jià)值的信息11，且《反不正當(dāng)競(jìng)爭法》也并未賦予一般用戶訴訟主體地位，故其數(shù)據(jù)權(quán)益并不能從《刑法》與《反不正當(dāng)競(jìng)爭法》中得到直接救濟(jì)。

存在合作協(xié)議的網(wǎng)絡(luò)抓取主要發(fā)生于數(shù)據(jù)共享合作中。在數(shù)據(jù)共享環(huán)節(jié)，對(duì)數(shù)據(jù)庫的有限度開放主要使用API接口實(shí)現(xiàn)。API接口是數(shù)據(jù)庫留給合作方程序的一個(gè)調(diào)用接口，合作方的程序通過調(diào)用數(shù)據(jù)庫API接口而使數(shù)據(jù)庫執(zhí)行該程序的命令，從而實(shí)現(xiàn)數(shù)據(jù)庫內(nèi)容的共享。因事前存在數(shù)據(jù)合作協(xié)議，因此合作方抓取行為既涉及侵權(quán)認(rèn)定也涉及是否違約的認(rèn)定。主要涉及合作方無技術(shù)障礙抓取數(shù)據(jù)庫方未開放API接口權(quán)限的數(shù)據(jù)，與數(shù)據(jù)庫方過失越權(quán)提供API接口兩種情形。在已生效的判決中，一般認(rèn)為無論在合同層面還是代碼層面，只要被抓取方存在明確的不同意數(shù)據(jù)抓取的意思表示，抓取行為就會(huì)被認(rèn)定為不合法。被抓取企業(yè)是否對(duì)用戶數(shù)據(jù)采用了足夠的安全措施，一般會(huì)被作為判斷被爬取方數(shù)據(jù)權(quán)益是否被法律保護(hù)的條件，而非抓取行為本身是否合法的條件進(jìn)行考量。同時(shí)，司法實(shí)踐中對(duì)用戶數(shù)據(jù)的保護(hù)僅限于個(gè)人信息，且一般僅對(duì)單組數(shù)據(jù)是否構(gòu)成個(gè)人信息進(jìn)行判斷，故用戶數(shù)據(jù)權(quán)益亦無法通過這一方式得到間接救濟(jì)。

目前，我國立法中對(duì)于用戶數(shù)據(jù)的權(quán)屬問題并未明確規(guī)定，但通過對(duì)《網(wǎng)絡(luò)安全法》《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》的觀察不難發(fā)現(xiàn)，企業(yè)雖然在其持有的用戶數(shù)據(jù)上對(duì)特定用戶外第三人享有權(quán)益，也需要承擔(dān)保護(hù)用戶數(shù)據(jù)的義務(wù)。在以上兩種數(shù)據(jù)抓取類型中，抓取行為對(duì)用戶主體的損害產(chǎn)生與否以及損害的大小取決于數(shù)據(jù)庫方是否采用了足夠的技術(shù)手段與管理手段防止數(shù)據(jù)非法抓取的發(fā)生。在當(dāng)前復(fù)雜的數(shù)據(jù)安全環(huán)境下，僅采用如Roberts協(xié)議等簡單的技術(shù)手段防止抓取并不能有效的防止數(shù)據(jù)安全事件的發(fā)生，不應(yīng)當(dāng)將其視為企業(yè)對(duì)數(shù)據(jù)泄露事件的免責(zé)事由;同時(shí)，在API接口管理上，數(shù)據(jù)庫方因內(nèi)部管理、編程疏忽而導(dǎo)致API接口超越權(quán)限提供的情形，也應(yīng)當(dāng)承擔(dān)管理上的責(zé)任。因此，對(duì)數(shù)據(jù)企業(yè)的數(shù)據(jù)安全要求，不僅包含技術(shù)方面的要求，也應(yīng)當(dāng)包含管理上的要求。

（二） 撞庫竊取

當(dāng)前，網(wǎng)絡(luò)安全攻擊已經(jīng)從傳統(tǒng)直接侵害型的DDoS分布式拒絕服務(wù)攻擊，轉(zhuǎn)向間接工具型的信息竊取。其中，撞庫攻擊更是給企業(yè)和用戶帶來巨大損失。所謂撞庫，就是利用用戶在不同的網(wǎng)站使用相同用戶名、密碼的注冊(cè)習(xí)慣，通過一定方式獲取或破解A網(wǎng)站賬號(hào)數(shù)據(jù)庫，再依賬號(hào)批量登錄B網(wǎng)站，從而竊取B網(wǎng)站用戶賬號(hào)內(nèi)信息的行為。其特點(diǎn)在于登錄目標(biāo)網(wǎng)站無侵入痕跡，且盜取數(shù)據(jù)后往往無法進(jìn)行追溯。

不同于對(duì)數(shù)據(jù)庫的直接侵入，撞庫并非通過破解數(shù)據(jù)庫防火墻實(shí)現(xiàn)竊取數(shù)據(jù)的目的。撞庫的流程分為拖庫、洗庫、撞庫三個(gè)階段：拖庫，即為通過技術(shù)手段或社工手段（即通過企業(yè)內(nèi)部員工渠道）批量獲取目標(biāo)賬號(hào)數(shù)據(jù);洗庫，即為對(duì)批量獲取的賬號(hào)數(shù)據(jù)進(jìn)行分類整理;撞庫，即使用已整理好的結(jié)構(gòu)化數(shù)據(jù)批量登錄目標(biāo)平臺(tái)提取賬號(hào)信息，間接的侵入數(shù)據(jù)庫。雖然撞庫在代碼層通過合法途徑接入數(shù)據(jù)庫，但其本質(zhì)上依舊屬于侵害企業(yè)、用戶數(shù)據(jù)合法權(quán)益的侵權(quán)行為。我國刑事審判中已有將獨(dú)立的撞庫行為歸入非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪的判例，但在民法的視野下，企業(yè)是否需要對(duì)第三人撞庫竊取賬號(hào)內(nèi)財(cái)產(chǎn)的行為對(duì)賬號(hào)主體負(fù)責(zé)則存在爭議。目前，我國法律尚缺少對(duì)此類行為中企業(yè)責(zé)任的直接認(rèn)定依據(jù)，在實(shí)踐中尚需要借助表見代理制度，即企業(yè)是否采用了足夠的身份認(rèn)定方式來確定企業(yè)責(zé)任12。這種方式受制于大眾對(duì)形成表見代理的事實(shí)達(dá)成一定程度的共識(shí)，但在不同行業(yè)間數(shù)據(jù)安全系統(tǒng)構(gòu)建差異巨大的數(shù)據(jù)安全領(lǐng)域毫無疑問是不具備普遍適用性的。因此，對(duì)于數(shù)據(jù)泄露引發(fā)的法律糾紛，至關(guān)重要的是要確定一種司法分析模型，不僅可以幫助用戶決定是否提起訴訟，同時(shí)也可以使持有用戶數(shù)據(jù)的企業(yè)可以依靠該模型提供的預(yù)測(cè)結(jié)果來使自己免受訴訟。

二、用戶數(shù)據(jù)權(quán)益救濟(jì)困境的成因分析

（一） 我國民事立法中對(duì)用戶數(shù)據(jù)權(quán)益保護(hù)的留白及其影響

縱觀我國保障用戶數(shù)據(jù)安全的法律，主要呈現(xiàn)出行政責(zé)任為主的特點(diǎn)，相應(yīng)的民事規(guī)則尚無專門性規(guī)定。為保護(hù)數(shù)據(jù)安全而設(shè)置的企業(yè)義務(wù)在《數(shù)據(jù)安全法》中被統(tǒng)稱為“數(shù)據(jù)安全保護(hù)義務(wù)”，現(xiàn)行法律中主要體現(xiàn)在《數(shù)據(jù)安全法》第27、第30、第33條，主要包含以下義務(wù)類型：其一，人員管理義務(wù)，即制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任;其二，技術(shù)防范義務(wù)，即采用技術(shù)措施防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為;其三，可追溯性保證義務(wù)，即從事數(shù)據(jù)交易中介服務(wù)的機(jī)構(gòu)提供服務(wù)，應(yīng)當(dāng)要求數(shù)據(jù)提供方說明數(shù)據(jù)來源，審核交易雙方的身份，并留存審核、交易記錄;其四，風(fēng)險(xiǎn)評(píng)估義務(wù)，即對(duì)數(shù)據(jù)處理活動(dòng)定期展開風(fēng)險(xiǎn)評(píng)估，并向主管部門報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告。當(dāng)企業(yè)發(fā)生數(shù)據(jù)泄露或可能泄露時(shí)，則依照《數(shù)據(jù)安全法》第29條負(fù)有事后的補(bǔ)救與通知義務(wù)。違反第27條、29條、30條與第33條的規(guī)定，分別依照第45條、47條承擔(dān)行政法律責(zé)任?！稊?shù)據(jù)安全管理辦法（征求意見稿）》《征信業(yè)務(wù)管理辦法（征求意見稿）》涉及個(gè)人用戶信息保護(hù)的部分，以及《貴州省大數(shù)據(jù)安全保障條例》等地方性法規(guī)也基本與《數(shù)據(jù)安全法》對(duì)數(shù)據(jù)安全保護(hù)義務(wù)的規(guī)定一致，但均未涉及具體的違反數(shù)據(jù)安全保護(hù)義務(wù)的認(rèn)定標(biāo)準(zhǔn)。

《數(shù)據(jù)安全法》的最重要功能在于維護(hù)網(wǎng)絡(luò)空間主權(quán)、國家網(wǎng)絡(luò)安全，設(shè)置數(shù)據(jù)安全保護(hù)義務(wù)的主要目的是在公共利益層面保護(hù)數(shù)據(jù)安全，因此違反數(shù)據(jù)安全保護(hù)義務(wù)的法律責(zé)任以行政罰款為主。因立法中并沒有直接規(guī)定企業(yè)對(duì)用戶的民事法律責(zé)任，故用戶數(shù)據(jù)權(quán)益救濟(jì)尚需從民事立法中尋找依據(jù)。遺憾的是，《民法典》并未直接賦予用戶對(duì)其數(shù)據(jù)所享有的權(quán)利——雖然第1038條規(guī)定了信息處理者對(duì)個(gè)人信息的安全保護(hù)義務(wù)，且在條文適用情形上與《數(shù)據(jù)安全法》第29條相同，但同樣僅概括性的確定了企業(yè)應(yīng)當(dāng)采取的補(bǔ)救措施和向主管部門報(bào)告的義務(wù)，未規(guī)定違反該義務(wù)的民事責(zé)任，且在適用范圍上僅限于用戶個(gè)人信息一類客體，故依舊無法對(duì)用戶數(shù)據(jù)權(quán)益的民法保護(hù)提供一般的制度框架。因此，《民法典》中的侵權(quán)責(zé)任規(guī)則與《數(shù)據(jù)安全法》第27、第30、第33條規(guī)定的“數(shù)據(jù)安全保護(hù)義務(wù)”就成為了救濟(jì)用戶數(shù)據(jù)權(quán)益最重要的法律依據(jù)。

（二） 企業(yè)對(duì)用戶的侵權(quán)責(zé)任認(rèn)定標(biāo)準(zhǔn)尚待明確

關(guān)于第三人導(dǎo)致用戶數(shù)據(jù)泄露所引發(fā)的用戶權(quán)益救濟(jì)，《民法典》侵權(quán)責(zé)任編中最為明確的法律依據(jù)是第1197條，在網(wǎng)絡(luò)服務(wù)提供者（企業(yè)）知道或應(yīng)當(dāng)知道網(wǎng)絡(luò)用戶（侵權(quán)人用戶）利用其網(wǎng)絡(luò)服務(wù)侵害他人（其他用戶）的民事權(quán)益，未采取必要措施的，與侵權(quán)人承擔(dān)連帶責(zé)任。不難看出，該條的適用要求侵害行為必須利用該網(wǎng)絡(luò)服務(wù)，即該網(wǎng)絡(luò)服務(wù)必須具備工具性。但在第三人原因?qū)е碌臄?shù)據(jù)泄露中，既包含以網(wǎng)絡(luò)服務(wù)為工具的侵權(quán)行為，也包含不以其為工具的侵權(quán)行為。因此，該法條并不能涵蓋所有情形。在網(wǎng)絡(luò)侵權(quán)中，可以作為“通知、取下”規(guī)則兜底條款的《民法典》第1198條同樣具有適用空間[5]。雖然數(shù)據(jù)企業(yè)并不屬于傳統(tǒng)意義上的實(shí)體公共、經(jīng)營場(chǎng)所的管理者、經(jīng)營者，但用戶以賬號(hào)的形式在數(shù)據(jù)企業(yè)的經(jīng)營場(chǎng)所（數(shù)據(jù)庫）中進(jìn)行活動(dòng)的狀態(tài)與公共場(chǎng)所、經(jīng)營場(chǎng)所的特定人的人身權(quán)利狀態(tài)并無顯著區(qū)別。同時(shí)，司法裁判中已存在將網(wǎng)絡(luò)平臺(tái)經(jīng)營者依據(jù)“收益與風(fēng)險(xiǎn)相一致”的原則視為“公共場(chǎng)所的管理人”的判例，明確了其對(duì)用戶的安全保障義務(wù)13。因此，第1197條與1198條第2款均可作為用戶主張其數(shù)據(jù)權(quán)益的依據(jù)。如圖1所示，二者的區(qū)別在于依照第1197條主張權(quán)利時(shí)需證明企業(yè)服務(wù)的工具性、企業(yè)知道或應(yīng)當(dāng)知道侵權(quán)行為存在與未對(duì)該侵權(quán)行為采取必要措施，而依照第1198條第2款主張時(shí)則需要證明企業(yè)未對(duì)用戶數(shù)據(jù)權(quán)益盡到安全保障義務(wù)，即數(shù)據(jù)安全保護(hù)義務(wù)14。但在實(shí)踐層面而言，無論是《民法典》第1197、1198條的適用關(guān)系，還是《民法典》第1197條、《數(shù)據(jù)安全法》第29條中“知道或應(yīng)當(dāng)知道”、“采取必要措施”與《民法典》第1198條第2款“盡到安全保障義務(wù)”在數(shù)據(jù)泄露中的標(biāo)準(zhǔn)，均有待明確。

三、企業(yè)違反數(shù)據(jù)安全保護(hù)義務(wù)的民事責(zé)任

在設(shè)計(jì)企業(yè)承擔(dān)侵權(quán)責(zé)任的認(rèn)定標(biāo)準(zhǔn)時(shí)，固然采用最嚴(yán)格的標(biāo)準(zhǔn)最能保護(hù)用戶數(shù)據(jù)權(quán)益不受侵害，但也要兼顧企業(yè)對(duì)泄露事件的可預(yù)見性與可負(fù)擔(dān)性。企業(yè)采用技術(shù)、管理手段保障數(shù)據(jù)安全的能力通常會(huì)受到數(shù)據(jù)能力、經(jīng)濟(jì)能力的限制，而其數(shù)據(jù)能力又很大程度的受制于其經(jīng)濟(jì)能力。對(duì)此，有觀點(diǎn)認(rèn)為期望小型數(shù)據(jù)企業(yè)負(fù)擔(dān)與大型互聯(lián)網(wǎng)企業(yè)相同的安全投入顯然是不合理的[6]。但在另一方面，經(jīng)濟(jì)能力與數(shù)據(jù)能力的欠缺也并不能構(gòu)成數(shù)據(jù)企業(yè)侵害用戶數(shù)據(jù)權(quán)益的免責(zé)事由。對(duì)與企業(yè)違反數(shù)據(jù)安全保護(hù)義務(wù)的標(biāo)準(zhǔn)設(shè)置及責(zé)任承擔(dān)的確定，即需要法經(jīng)濟(jì)學(xué)的推導(dǎo)，也需要根據(jù)侵權(quán)行為的構(gòu)成要件進(jìn)行判斷。

（一） 基于“漢德公式”的責(zé)任認(rèn)定模型及其啟示

礙于數(shù)據(jù)行業(yè)的復(fù)雜性，企業(yè)違反數(shù)據(jù)安全保護(hù)義務(wù)的責(zé)任承擔(dān)始終是一個(gè)較難解決的問題。對(duì)此，有觀點(diǎn)認(rèn)為應(yīng)當(dāng)通過漢德公式（Hand Formula）對(duì)企業(yè)是否需要對(duì)用戶承擔(dān)數(shù)據(jù)侵權(quán)責(zé)任進(jìn)行推導(dǎo)。該觀點(diǎn)將“泄露的數(shù)據(jù)類型（type of data compromised）”作為可能性損害（PL）的評(píng)價(jià)方式，“足夠的數(shù)據(jù)保護(hù)措施與經(jīng)濟(jì)投入（effort and cost）”作為預(yù)防措施（B）的評(píng)價(jià)方式初步構(gòu)建了企業(yè)需要對(duì)數(shù)據(jù)泄露承擔(dān)責(zé)任與否的判斷模型。如圖2所示，該模型以可能性損害為縱軸，以預(yù)防措施為橫軸，并將不同企業(yè)數(shù)據(jù)安全力度下的用戶數(shù)據(jù)分為四個(gè)區(qū)間：區(qū)間一為易受侵害的用戶數(shù)據(jù)且企業(yè)未存在足夠的數(shù)據(jù)保護(hù)措施與經(jīng)濟(jì)投入，此時(shí)企業(yè)應(yīng)當(dāng)承擔(dān)數(shù)據(jù)泄露責(zé)任;區(qū)間二為易受侵害的用戶數(shù)據(jù)且企業(yè)已存在足夠的保護(hù)措施與資金投入，此時(shí)企業(yè)應(yīng)當(dāng)在存在用戶數(shù)據(jù)損害時(shí)承擔(dān)數(shù)據(jù)泄露責(zé)任;區(qū)間三為不易受到侵害的用戶數(shù)據(jù)且企業(yè)未存在足夠的保護(hù)措施及資金投入，企業(yè)同樣應(yīng)當(dāng)對(duì)用戶存在數(shù)據(jù)損害時(shí)承擔(dān)數(shù)據(jù)泄露責(zé)任;區(qū)間四為不易受到損害的數(shù)據(jù)且企業(yè)已存在足夠的保護(hù)措施與資金投入，在這種情形下，企業(yè)不應(yīng)當(dāng)承擔(dān)數(shù)據(jù)泄露責(zé)任[7]。

這一模型以“可能性損害”與“預(yù)防措施”為標(biāo)準(zhǔn)實(shí)現(xiàn)了對(duì)企業(yè)數(shù)據(jù)安全責(zé)任的類型化，并以漢德公式為基礎(chǔ)提出了企業(yè)數(shù)據(jù)安全責(zé)任認(rèn)定問題的解決方案，但其提出的具體標(biāo)準(zhǔn)尚有不合理與有待明確之處：其一，縱軸“可能性損害”的評(píng)價(jià)方式因數(shù)據(jù)泄露損害難以確定而采用“泄露的數(shù)據(jù)類型”作為評(píng)價(jià)標(biāo)準(zhǔn)十分牽強(qiáng)。實(shí)踐中數(shù)據(jù)泄露的風(fēng)險(xiǎn)并不與數(shù)據(jù)的種類強(qiáng)相關(guān)，一般具有價(jià)值的信息均具有敏感屬性。數(shù)據(jù)竊取的目的就是獲取敏感信息，一般體現(xiàn)為以賬號(hào)為單位整體竊取，故將這一分類作為標(biāo)準(zhǔn)無太大意義，反而直接采用可能性損害的最直接量化形式——可能泄露的字節(jié)數(shù)更加適當(dāng);其二，橫軸“預(yù)防措施”的評(píng)價(jià)方式采用“足夠的數(shù)據(jù)保護(hù)措施與經(jīng)濟(jì)投入”也不盡合理。首先，資金投入并不能說明企業(yè)信息安全措施的有效性，例如企業(yè)安全系統(tǒng)外包與自研的成本相差巨大，并不能直接說明企業(yè)是否積極進(jìn)行預(yù)防。其次，何種程度的數(shù)據(jù)安全保護(hù)措施屬于“足夠”也并未予以闡明。雖然該模型的具體設(shè)計(jì)存在些許問題，但其以漢德公式為參考提出的、基于“可能性損害”與“預(yù)防措施”的責(zé)任劃分框架，依然能夠?yàn)椤睹穹ǖ洹返?197條、1198條第2款中數(shù)據(jù)企業(yè)承擔(dān)侵權(quán)責(zé)任的具體標(biāo)準(zhǔn)的解釋與認(rèn)定提供參考。

（二） 企業(yè)承擔(dān)數(shù)據(jù)泄露侵權(quán)責(zé)任的判斷標(biāo)準(zhǔn)

不同于上述因用戶損害無法計(jì)算而采用妥協(xié)方案的責(zé)任模型，在以我國《民法典》第1197條為代表的互聯(lián)網(wǎng)服務(wù)中第三人侵權(quán)的企業(yè)連帶責(zé)任認(rèn)定規(guī)則中，普遍將“知道或應(yīng)當(dāng)知道”與“采取必要措施”作為判斷互聯(lián)網(wǎng)企業(yè)是否需要承擔(dān)連帶責(zé)任的主觀與客觀條件。這兩項(xiàng)具體標(biāo)準(zhǔn)中，“知道或應(yīng)當(dāng)知道”標(biāo)準(zhǔn)基本與漢德公式中的損害可能性（PL）等同，均為企業(yè)對(duì)損害的心理預(yù)期;“采取必要措施”與“預(yù)防措施（B）”的差異也并不大。因此，可以以“知道或應(yīng)當(dāng)知道”與“采取必要措施”作為更合理的衡量企業(yè)是否應(yīng)當(dāng)承擔(dān)連帶責(zé)任的標(biāo)準(zhǔn)。在另一方面，《民法典》第1198條第2款安全保障義務(wù)的歸責(zé)方式與網(wǎng)絡(luò)侵權(quán)中對(duì)互聯(lián)網(wǎng)服務(wù)提供者的歸責(zé)方式不同，需要依照經(jīng)營者、管理者是否對(duì)損害存在過錯(cuò)進(jìn)行規(guī)則[8]。因此，判斷企業(yè)是否盡到安全保障義務(wù)（即數(shù)據(jù)安全保護(hù)義務(wù)），也需要同時(shí)討論其是否對(duì)數(shù)據(jù)泄露具有過錯(cuò)。

1. “知道或應(yīng)當(dāng)知道”的認(rèn)定

在對(duì)“知道或應(yīng)當(dāng)知道”的理解上，客觀的認(rèn)定標(biāo)準(zhǔn)從嚴(yán)到寬有三種：其一，企業(yè)發(fā)生數(shù)據(jù)泄露;其二，企業(yè)發(fā)生足以引起關(guān)注的數(shù)據(jù)泄露;其三，企業(yè)重復(fù)發(fā)生基于同一漏洞的數(shù)據(jù)泄露。在這三種標(biāo)準(zhǔn)的選取中，最為嚴(yán)格的是第一種。雖然采用嚴(yán)格的標(biāo)準(zhǔn)更利于用戶權(quán)益保護(hù)，但這一標(biāo)準(zhǔn)無疑對(duì)企業(yè)過于苛刻—畢竟沒有人可以設(shè)計(jì)出毫無漏洞的安全系統(tǒng)。就算僅從技術(shù)角度出發(fā)、不考慮數(shù)據(jù)企業(yè)員工內(nèi)部竊取數(shù)據(jù)的情況，數(shù)據(jù)泄露的可能性也是客觀上存在的。在這一點(diǎn)上，第三種標(biāo)準(zhǔn)則更多的考慮到企業(yè)的技術(shù)能力限制，僅在企業(yè)出現(xiàn)相同原因的數(shù)據(jù)泄露時(shí)方使企業(yè)承擔(dān)責(zé)任，但這一標(biāo)準(zhǔn)又未免太過寬松—僅為對(duì)“知道”而非“知道或應(yīng)當(dāng)知道”第三人侵權(quán)發(fā)生的進(jìn)行判斷，起不到督促企業(yè)及時(shí)修補(bǔ)已發(fā)現(xiàn)漏洞的作用，也間接的包容了在數(shù)據(jù)安全方面不作為的企業(yè)，顯然有悖于我國數(shù)據(jù)安全立法的初衷。因此，需要在二者之間選取折中方案—即排除如0-DAY等未知漏洞等無法預(yù)知的風(fēng)險(xiǎn)的情形15，在企業(yè)發(fā)生足以引起關(guān)注的數(shù)據(jù)泄露時(shí)視為“知道或應(yīng)當(dāng)知道”，客觀體現(xiàn)為依照當(dāng)前一般數(shù)據(jù)企業(yè)技術(shù)水平能夠被監(jiān)測(cè)到的異常數(shù)據(jù)流、確定屬實(shí)的關(guān)于導(dǎo)致數(shù)據(jù)泄露漏洞的新聞報(bào)道及公告、監(jiān)管部門文件及《網(wǎng)絡(luò)安全法》第21條規(guī)定的企業(yè)內(nèi)部日志文件與《數(shù)據(jù)安全法》第30條規(guī)定的風(fēng)險(xiǎn)評(píng)估報(bào)告等。對(duì)于數(shù)據(jù)流“大量”的認(rèn)定，基于客觀可確定的制度設(shè)計(jì)原則，應(yīng)當(dāng)以字節(jié)為單位，結(jié)合實(shí)踐中的一般技術(shù)能力與分析能力確定可識(shí)別的異常數(shù)據(jù)流大小。

2. “采取必要措施”的認(rèn)定

在對(duì)企業(yè)“采取必要措施”的認(rèn)定上，最為直接的參考就是企業(yè)在泄露發(fā)生后是否依照相應(yīng)的國家標(biāo)準(zhǔn)與行業(yè)標(biāo)準(zhǔn)對(duì)網(wǎng)絡(luò)、數(shù)據(jù)安全漏洞進(jìn)行排查與修補(bǔ)。數(shù)據(jù)安全的保障分為技術(shù)與管理兩個(gè)層面，技術(shù)層面的保障往往需要依賴于管理層面的保障而起到實(shí)際作用[9]。在數(shù)據(jù)安全管理方面，ISMS（Information Security Management System）國際標(biāo)準(zhǔn)已在行業(yè)內(nèi)取得廣泛認(rèn)可，并作為各類型、各種規(guī)模數(shù)據(jù)企業(yè)解決信息安全問題的普遍方案。該數(shù)據(jù)安全體系具體由ISO27000至ISO27013系列標(biāo)準(zhǔn)組成，其中ISO27001（GB/T22080）主要規(guī)定了信息安全管理體系的要求，一般用于認(rèn)證;ISO27002（GB/T22081）則詳盡規(guī)定了包括但不限于《數(shù)據(jù)安全法》第27至33條的18個(gè)安全控制節(jié)點(diǎn)的具體安全管理措施。除ISMS外，行業(yè)中也形成了諸多如CISCO NIST 800-64等軟件工程安全開發(fā)理論和標(biāo)準(zhǔn)。在這些行業(yè)標(biāo)準(zhǔn)中，ISMS管理標(biāo)準(zhǔn)已經(jīng)成為我國國家標(biāo)準(zhǔn)體系的組成部分，具有更強(qiáng)的權(quán)威性與可適用性。ISMS對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)的評(píng)估與處置進(jìn)行了詳細(xì)規(guī)定，主要包括數(shù)據(jù)安全風(fēng)險(xiǎn)的識(shí)別、分析、評(píng)價(jià)以及處置方案的提出、批準(zhǔn)、實(shí)施與關(guān)閉，并要求保留有關(guān)數(shù)據(jù)安全風(fēng)險(xiǎn)處置過程的全部文件化信息16。如果企業(yè)可以依照上述標(biāo)準(zhǔn)有效處理數(shù)據(jù)安全風(fēng)險(xiǎn)，則應(yīng)當(dāng)認(rèn)為其已采取必要措施。需要指出的是，在我國ISMS為推薦標(biāo)準(zhǔn)而非強(qiáng)制性要求，僅能作為判斷企業(yè)是否“采取必要措施”的參考標(biāo)準(zhǔn)。若企業(yè)有其他證據(jù)可以證明其已采取有效措施，則同樣應(yīng)當(dāng)予以認(rèn)可。若企業(yè)在知道或應(yīng)當(dāng)知道數(shù)據(jù)泄露風(fēng)險(xiǎn)且未采取必要措施時(shí)，應(yīng)當(dāng)依照《民法典》第1197條承擔(dān)相應(yīng)的法律后果。

3. 違反安全保障義務(wù)的認(rèn)定

企業(yè)對(duì)數(shù)據(jù)泄露的安全保障義務(wù)即《數(shù)據(jù)安全法》規(guī)定的安全保護(hù)義務(wù)，但對(duì)于如何判斷企業(yè)違反了該義務(wù)，法律中并沒有明確規(guī)定。判斷企業(yè)是否違反安全保障義務(wù)，需對(duì)其是否具有過錯(cuò)進(jìn)行考察。在司法實(shí)踐中，一般采用“明知或應(yīng)知”作為判斷標(biāo)準(zhǔn)17。本文認(rèn)為，在企業(yè)數(shù)據(jù)安全保護(hù)的范圍內(nèi)，“明知或應(yīng)知”的判斷標(biāo)準(zhǔn)與前述“知道或應(yīng)當(dāng)知道”的判斷標(biāo)準(zhǔn)相同，即存在能夠被監(jiān)測(cè)到的異常數(shù)據(jù)流、確定屬實(shí)的關(guān)于導(dǎo)致數(shù)據(jù)泄露漏洞的新聞報(bào)道及公告企業(yè)內(nèi)部日志文件等信息證明數(shù)據(jù)安全風(fēng)險(xiǎn)已存在，且企業(yè)未能采取必要措施防止數(shù)據(jù)損害發(fā)生時(shí)，視為違反數(shù)據(jù)安全保護(hù)義務(wù)，依照《民法典》第1198條承擔(dān)相應(yīng)法律后果。需要指出的是，安全保障義務(wù)中要求的“必要措施”（下稱充分措施）較前文所述《民法典》第1197條要求的必要措施（下稱補(bǔ)救措施）內(nèi)容更加廣泛：前者僅要求依照《數(shù)據(jù)安全法》第27條采取對(duì)風(fēng)險(xiǎn)的補(bǔ)救措施，而后者則不僅要求采取補(bǔ)救措施，還要求采取《數(shù)據(jù)安全法》第29條中規(guī)定的預(yù)防措施，即一旦產(chǎn)生數(shù)據(jù)泄露，就算企業(yè)采取措施消除了數(shù)據(jù)風(fēng)險(xiǎn)，但依然可能會(huì)因?yàn)闆]有滿足《數(shù)據(jù)安全法》第29條而承擔(dān)相應(yīng)的補(bǔ)充責(zé)任。

（三） 企業(yè)違反數(shù)據(jù)安全保護(hù)義務(wù)的侵權(quán)責(zé)任形態(tài)

無論是依照《民法典》第1197條還是第1198條第2款，企業(yè)承擔(dān)數(shù)據(jù)安全責(zé)任的認(rèn)定要件均包括“知道或應(yīng)當(dāng)知道數(shù)據(jù)存在泄漏風(fēng)險(xiǎn)”與“未采取必要措施”。但二者不同的是，依照《民法典》第1197條規(guī)定，網(wǎng)絡(luò)服務(wù)提供者僅需要在網(wǎng)絡(luò)用戶利用其網(wǎng)絡(luò)服務(wù)侵害他人民事權(quán)益時(shí)承擔(dān)責(zé)任，而第1198條第2款的具體認(rèn)定標(biāo)準(zhǔn)參照《數(shù)據(jù)安全法》中的要求，并不包含這一規(guī)定。對(duì)于第三人竊取用戶數(shù)據(jù)是否屬于這一情形，則因?qū)Α坝脩簟迸c“利用其網(wǎng)絡(luò)服務(wù)”的解釋不同而存在兩種觀點(diǎn)：對(duì)二者采用廣義解釋的觀點(diǎn)認(rèn)為，“用戶”應(yīng)當(dāng)指一切互聯(lián)網(wǎng)用戶18，只要侵權(quán)人竊取數(shù)據(jù)時(shí)網(wǎng)絡(luò)服務(wù)提供者的服務(wù)為其提供便利或可能，即屬于“利用其網(wǎng)絡(luò)服務(wù)”的范疇，屬于這一情形;對(duì)二者采用狹義解釋的觀點(diǎn)認(rèn)為，“用戶”指接受特定網(wǎng)絡(luò)服務(wù)的相對(duì)人，侵權(quán)人竊取數(shù)據(jù)時(shí)企業(yè)所提供的網(wǎng)絡(luò)服務(wù)具有工具性，方才屬于“利用其服務(wù)”，故第三人竊取用戶數(shù)據(jù)不屬于這一情形。依照兩種不同解釋，《民法典》第1197條規(guī)與第1198條規(guī)定的不同法律后果會(huì)在不同范圍內(nèi)產(chǎn)生競(jìng)合。但無論競(jìng)合范圍幾何，因第1197條為互聯(lián)網(wǎng)侵權(quán)特別規(guī)定，均應(yīng)當(dāng)依照特別先于一般的規(guī)則優(yōu)先于第1198條適用。對(duì)于上述兩種觀點(diǎn)，本文認(rèn)為因《民法典》為廣泛調(diào)整平等主體之間的財(cái)產(chǎn)關(guān)系與人身關(guān)系的法律，故應(yīng)當(dāng)采用廣義“用戶”與“利用網(wǎng)絡(luò)服務(wù)”的概念，不因此對(duì)第1197條與1198條承擔(dān)法律責(zé)任的前提進(jìn)行區(qū)分。

綜上所述，在具體責(zé)任承擔(dān)標(biāo)準(zhǔn)的設(shè)計(jì)上，可以以“企業(yè)是否知道或應(yīng)當(dāng)知道數(shù)據(jù)風(fēng)險(xiǎn)”為縱軸，“企業(yè)是否已采取必要措施”為橫軸區(qū)分四個(gè)區(qū)間（如圖3所示）：第一區(qū)間為，企業(yè)知道或應(yīng)當(dāng)知道數(shù)據(jù)風(fēng)險(xiǎn)且未采取補(bǔ)救措施的，應(yīng)當(dāng)依照《民法典》第1197條承擔(dān)連帶責(zé)任;第二區(qū)間為，企業(yè)知道或應(yīng)當(dāng)知道數(shù)據(jù)風(fēng)險(xiǎn)、采取措施不充分且產(chǎn)生損害的，應(yīng)當(dāng)依照《民法典》第1198條承擔(dān)相應(yīng)的補(bǔ)充責(zé)任;第三區(qū)間為，企業(yè)不應(yīng)當(dāng)知道數(shù)據(jù)泄露且未采取充分措施，無過錯(cuò)不需承擔(dān)補(bǔ)充責(zé)任;第四區(qū)間為，企業(yè)不應(yīng)當(dāng)知道數(shù)據(jù)泄露且已采取充分措施，盡到安全保障義務(wù)不需承擔(dān)責(zé)任。需要指出的是，第三區(qū)間所述“不承擔(dān)補(bǔ)充責(zé)任”僅指企業(yè)基于當(dāng)前數(shù)據(jù)安全業(yè)務(wù)所應(yīng)具備的客觀技術(shù)水平與管理水平無法知道數(shù)據(jù)泄露而導(dǎo)致的無過錯(cuò)不承擔(dān)補(bǔ)充責(zé)任，而非基于其自身現(xiàn)有技術(shù)水平與管理水平無法知道數(shù)據(jù)泄露而不承擔(dān)補(bǔ)充責(zé)任。企業(yè)因自身技術(shù)水平與管理水平存在缺陷而導(dǎo)致用戶數(shù)據(jù)權(quán)益受到損害的，應(yīng)當(dāng)依照第二區(qū)間承擔(dān)相應(yīng)的補(bǔ)充責(zé)任，并可以在承擔(dān)責(zé)任后向第三人追償。

四、用戶數(shù)據(jù)權(quán)益損害賠償?shù)恼J(rèn)定

因數(shù)據(jù)泄露導(dǎo)致的用戶數(shù)據(jù)權(quán)益損害無法恢復(fù)原狀，故數(shù)據(jù)企業(yè)承擔(dān)違反數(shù)據(jù)安全保護(hù)義務(wù)的民事責(zé)任的方式應(yīng)當(dāng)以損害賠償為主。企業(yè)對(duì)用戶數(shù)據(jù)權(quán)益的損害賠償包含兩個(gè)部分：其一是對(duì)用戶數(shù)據(jù)內(nèi)涵的商業(yè)秘密、著作權(quán)、知識(shí)產(chǎn)權(quán)等權(quán)利、權(quán)益的損害賠償;其二是對(duì)用戶已授權(quán)數(shù)據(jù)企業(yè)使用的用戶數(shù)據(jù)利益的損害賠償。對(duì)法律規(guī)定的具體權(quán)益的損害賠償應(yīng)當(dāng)依照相關(guān)法律規(guī)則處理，而已轉(zhuǎn)移的企業(yè)數(shù)據(jù)利益的損害，則是本部分討論的內(nèi)容。

（一） 數(shù)據(jù)定價(jià)的基本方式

在當(dāng)前的學(xué)術(shù)討論中，數(shù)據(jù)定價(jià)的基本方式可以概括為協(xié)議定價(jià)與客觀定價(jià)兩種。其中，協(xié)議定價(jià)是雙方當(dāng)事人通過自愿協(xié)商的方式，就已泄露的數(shù)據(jù)價(jià)值達(dá)成合意;客觀定價(jià)是指在雙方當(dāng)事人難以對(duì)數(shù)據(jù)價(jià)值達(dá)成合意時(shí)，通過一定方式認(rèn)定特定數(shù)據(jù)的價(jià)值。

因數(shù)據(jù)具有非消耗性、非排他性、價(jià)值隨著數(shù)據(jù)聚合程度增加而增加、價(jià)值受獲取渠道與持有者處理能力影響等特征，其價(jià)格往往很難客觀衡量。因此，遵循財(cái)產(chǎn)規(guī)則通過自由協(xié)商的方式由當(dāng)事人協(xié)議對(duì)數(shù)據(jù)定價(jià)，能夠通過自愿交易避免數(shù)據(jù)的定價(jià)困境，無疑是數(shù)據(jù)定價(jià)的最優(yōu)選擇[10]。在數(shù)據(jù)交易中，持有用戶數(shù)據(jù)的企業(yè)與用戶經(jīng)過協(xié)商達(dá)成一致意見是意思自治和合同自由原則在數(shù)據(jù)行業(yè)的體現(xiàn)，比如Google在2012年開展的Screenwise Trends Panel市場(chǎng)調(diào)查項(xiàng)目，以支付報(bào)酬的方式收集用戶的實(shí)用信息等[11]。但需要注意的是，數(shù)據(jù)企業(yè)與用戶之間服務(wù)協(xié)議的內(nèi)容，必須以用戶數(shù)據(jù)為唯一標(biāo)的，否則將因其他標(biāo)的介入而導(dǎo)致實(shí)際數(shù)據(jù)對(duì)價(jià)難以計(jì)算。相較于以服務(wù)換數(shù)據(jù)，這種單純的數(shù)據(jù)購買在實(shí)踐中似乎并不多見，也使得可以通過這種方式確定數(shù)據(jù)價(jià)格的情形變得十分有限。

當(dāng)無法通過協(xié)商方式對(duì)數(shù)據(jù)價(jià)格達(dá)成一致的情形下，通過一種客觀方式確定數(shù)據(jù)價(jià)格即成為最優(yōu)的定價(jià)方案。但如何確定一種科學(xué)的定價(jià)方式始終是一個(gè)較難解決的問題。對(duì)于特定數(shù)據(jù)的客觀定價(jià)方式，已有觀點(diǎn)提出可以根據(jù)附加征稅的報(bào)價(jià)[12]、數(shù)據(jù)生產(chǎn)成本計(jì)價(jià)等[13]，但這些方式同樣存在著許多問題：如征稅報(bào)價(jià)根本上是自我報(bào)價(jià)，且不論政府征稅是否可行，其本身就缺少客觀性;數(shù)據(jù)生產(chǎn)成本計(jì)價(jià)雖然具備客觀性，但僅限于已被處理后的結(jié)構(gòu)化數(shù)據(jù)，未被處理的非結(jié)構(gòu)化數(shù)據(jù)無法進(jìn)行折算，本身不具備普遍適用性。同時(shí)，上述方法也均存在在訴訟中難以操作的問題—即需要對(duì)案中涉及的所有具體數(shù)據(jù)進(jìn)行逐一價(jià)格認(rèn)定，考慮到實(shí)踐中動(dòng)輒以TB為單位的數(shù)據(jù)量，實(shí)際是一項(xiàng)不可能完成的任務(wù)。因此，對(duì)特定數(shù)據(jù)的客觀定價(jià)僅存在理論上的可能，且適用范圍受限，并不具有普遍適用性與可行性。用戶數(shù)據(jù)權(quán)益的損害賠償依舊需要在尋找一種在個(gè)案中對(duì)涉訴數(shù)據(jù)的價(jià)格進(jìn)行概括性認(rèn)定的方法。

（二） 個(gè)案中數(shù)據(jù)損害賠償?shù)挠?jì)算

在個(gè)案中，用戶數(shù)據(jù)損害如可能計(jì)算損失，應(yīng)當(dāng)以用戶收到的損失計(jì)算損害賠償?shù)木唧w數(shù)額;無法計(jì)算損失的，則應(yīng)當(dāng)為用戶提供一種一般化的損害賠償計(jì)算方式。對(duì)此，已有學(xué)者提出根據(jù)數(shù)據(jù)企業(yè)的結(jié)算報(bào)告推測(cè)、根據(jù)市場(chǎng)價(jià)格推測(cè)與經(jīng)濟(jì)實(shí)驗(yàn)推測(cè)等多種方法[14]。本文認(rèn)為，對(duì)于數(shù)據(jù)價(jià)值折算方法的選擇，應(yīng)當(dāng)以具有確定性、可預(yù)期性與客觀性的特征為判斷標(biāo)準(zhǔn)：首先，這一方法應(yīng)當(dāng)是一個(gè)確定的公式，該公式的結(jié)構(gòu)應(yīng)當(dāng)是固定的，而非基于離散采樣取平均值，或依據(jù)樣本數(shù)量變化而產(chǎn)生不同計(jì)算結(jié)果的計(jì)算方法;其次，這一方法應(yīng)當(dāng)保證最低限度的可預(yù)期性，至少應(yīng)當(dāng)使當(dāng)事用戶在將數(shù)據(jù)交付給企業(yè)時(shí)存在對(duì)數(shù)據(jù)價(jià)值的心理預(yù)期，且在數(shù)據(jù)泄露事件發(fā)生時(shí)客觀上能夠確定;最后，這一方法應(yīng)當(dāng)可以客觀的反應(yīng)數(shù)據(jù)在泄露時(shí)的價(jià)值。數(shù)據(jù)的價(jià)值隨著主體的不同、時(shí)間的不同而變化，折算個(gè)案中數(shù)據(jù)的價(jià)值應(yīng)當(dāng)結(jié)合數(shù)據(jù)的具體處理環(huán)境與泄露發(fā)生的時(shí)間，客觀地確定當(dāng)年特定數(shù)據(jù)企業(yè)的數(shù)據(jù)市場(chǎng)價(jià)值。因此，基于平均值采樣法的市場(chǎng)價(jià)格推測(cè)方式與基于模擬交易的實(shí)驗(yàn)推測(cè)法均予以排除。根據(jù)企業(yè)結(jié)算報(bào)告折算的方法不僅更為科學(xué)，也與《個(gè)人信息保護(hù)法（草案）》第65條的損害賠償計(jì)算方式相同，更有利于保持法律規(guī)則的一致性。

在根據(jù)企業(yè)結(jié)算報(bào)告折算用戶數(shù)據(jù)價(jià)值的具體公式設(shè)置上，該方法以用戶的賬號(hào)為基本單位，提出的公式為“用戶數(shù)據(jù)價(jià)值折算=企業(yè)年度數(shù)據(jù)經(jīng)營業(yè)務(wù)銷售額÷賬號(hào)數(shù)”[15]。但結(jié)合實(shí)踐而言，不同賬號(hào)下的數(shù)據(jù)量往往差異巨大，故應(yīng)當(dāng)使用數(shù)據(jù)的基本單位——字節(jié)替換公式中的“賬號(hào)”，重構(gòu)公式為“用戶數(shù)據(jù)價(jià)值折算=（企業(yè)年度數(shù)據(jù)經(jīng)營業(yè)務(wù)銷售額÷數(shù)字經(jīng)營總字節(jié)數(shù)）×用戶存儲(chǔ)于企業(yè)的字節(jié)數(shù)（實(shí)際泄露的字節(jié)數(shù)）”。如此，數(shù)據(jù)泄露中用戶數(shù)據(jù)權(quán)益的損害賠償范圍就得以確定，最終由法院依照案件具體情形在該范圍內(nèi)確定具體的賠償數(shù)額。需要指出的是，該公式中的“年度數(shù)據(jù)經(jīng)營業(yè)務(wù)銷售額”僅包含該企業(yè)的數(shù)據(jù)合法交易（包括向用戶出售的數(shù)據(jù)服務(wù)、向第三方出售的基于用戶數(shù)據(jù)的數(shù)據(jù)服務(wù)），非法交易而產(chǎn)生的數(shù)據(jù)盈利不應(yīng)被包含在內(nèi)。

結(jié)? ?語

我國《民法典》第127條規(guī)定：“法律對(duì)數(shù)據(jù)、網(wǎng)絡(luò)虛擬財(cái)產(chǎn)的保護(hù)有規(guī)定的，依照其規(guī)定”，《數(shù)據(jù)安全法》也于第四章對(duì)數(shù)據(jù)安全保護(hù)義務(wù)的類型進(jìn)行了規(guī)定，但在數(shù)據(jù)泄露中企業(yè)數(shù)據(jù)安全保護(hù)義務(wù)的邊界與違反該義務(wù)應(yīng)對(duì)用戶承擔(dān)何種形態(tài)的民事責(zé)任上尚不明確。綜上所述，在用戶數(shù)據(jù)權(quán)利尚未被立法保護(hù)的前提下，可以以《民法典》第1197條、1198條第2款為制度基礎(chǔ)，通過明確企業(yè)數(shù)據(jù)安全保護(hù)義務(wù)與民法上的安全保障義務(wù)、互聯(lián)網(wǎng)侵權(quán)責(zé)任規(guī)則的關(guān)系的方式保護(hù)用戶合法權(quán)益。在數(shù)據(jù)泄露中企業(yè)對(duì)用數(shù)據(jù)權(quán)益的損害賠償問題上，應(yīng)當(dāng)結(jié)合數(shù)據(jù)經(jīng)營實(shí)踐確定“知道或應(yīng)當(dāng)知道”、“采取必要措施”以及“違反安全保障（數(shù)據(jù)安全保護(hù)）義務(wù)”的具體標(biāo)準(zhǔn)，使未盡到數(shù)據(jù)安全保護(hù)義務(wù)的企業(yè)依照《民法典》第1197、1198條的規(guī)定承擔(dān)連帶或補(bǔ)充責(zé)任，并在數(shù)據(jù)層面承擔(dān)以其年度數(shù)據(jù)經(jīng)營業(yè)務(wù)銷售額為核算標(biāo)準(zhǔn)的損害賠償責(zé)任。

誠然，對(duì)于單一用戶數(shù)據(jù)層面的救濟(jì)可能損害賠償并不算多，但是用戶數(shù)據(jù)權(quán)益集腋成裘，其總量必然是巨大的。企業(yè)數(shù)據(jù)泄露的損害最終是由用戶和社會(huì)承擔(dān)，如果忽視這些受損害的個(gè)體的權(quán)益，最終會(huì)導(dǎo)致法律威懾的失效[16]。在《數(shù)據(jù)安全法》未對(duì)企業(yè)泄露用戶數(shù)據(jù)應(yīng)當(dāng)承擔(dān)何種民事責(zé)任予以規(guī)定的立法現(xiàn)狀下，以《民法典》第1197條、1198條作為用戶主張其數(shù)據(jù)權(quán)益的請(qǐng)求權(quán)基礎(chǔ)，確定企業(yè)在違反數(shù)據(jù)安全保護(hù)義務(wù)時(shí)對(duì)用戶的損害賠償責(zé)任，既可以鼓勵(lì)企業(yè)通過提高數(shù)據(jù)庫安全性使自己獲得競(jìng)爭優(yōu)勢(shì)，也可以使企業(yè)在沒有采用必要手段保護(hù)數(shù)據(jù)庫時(shí)對(duì)其不作為承擔(dān)法律責(zé)任。

參考文獻(xiàn)：

[1] 王融. 關(guān)于大數(shù)據(jù)交易核心法律問題——數(shù)據(jù)所有權(quán)的探討[J]. 大數(shù)據(jù)，2015（2）：49-55。

[2] 楊立新. 衍生數(shù)據(jù)是數(shù)據(jù)專有權(quán)的客體[N]. 中國社會(huì)科學(xué)報(bào)，2016-7-13（5）。

[3] 張素華，李雅男. 數(shù)據(jù)保護(hù)的路徑選擇[J]. 學(xué)術(shù)界，2018（7）：52-61。

[4] 齊愛民，盤佳. 數(shù)據(jù)主權(quán)的確立與大數(shù)據(jù)保護(hù)的基本原則[J]. 蘇州大學(xué)學(xué)報(bào)（哲學(xué)社會(huì)科學(xué)版），2015（1）：64-70。

[5] 李小草. 《電子商務(wù)法》電商平臺(tái)知識(shí)產(chǎn)權(quán)保護(hù)規(guī)定的法體系適用研究[J]. 法律適用，2020（13）：124-135。

[6] Caitlin Kenny. The Equifax Data Breach and the Resulting Legal Recourse[J]. Brook. J.Corp. Fin. & Com. L. ，2018，13：238.

[7] Lauren M. Lozada. The （Possibly） Injured Consumer： Standing in Data Breach Litigation[J]. St. John's L. Rev. ， 2019，93：484.

[8] 王利明. 侵權(quán)責(zé)任法研究（下卷）[M]. 北京：中國人民大學(xué)出版社，2018：157-159。

[9] 石祖文. 大型互聯(lián)網(wǎng)企業(yè)安全架構(gòu)[M]. 北京：電子工業(yè)出版社，2020：36。

[10] 吳超. 從原材料到資產(chǎn)——數(shù)據(jù)資產(chǎn)化的挑戰(zhàn)和思考[J]. 中國科學(xué)院院刊，2018（8）：791-795。

[11] Brok. Is Screenwise Trends Panel A Scam？ Can They Be Trusted？[EB/OL]. （2014-3-17）[2021-8-2]. https：//fulltimejobfromhome.com/is-screenwise-trends-panel-a-scam-can-they-be-trusted.

[12] Eric A. Posner & E. Glen Weyl. Property Is Only Another Name for Monopoly[J]， J. Legal Analysis， 2017，9：51.

[13] 戴昕. 數(shù)據(jù)隱私問題的維度擴(kuò)展與議題轉(zhuǎn)換：法律經(jīng)濟(jì)學(xué)視角[J]. 交大法學(xué)，2019（1）：49。

[14] 城田真琴. 數(shù)據(jù)中間商[M]//鄧一多，譯. 北京：北京聯(lián)合出版公司，2016：94-119。

[15] 城田真琴. 數(shù)據(jù)中間商[M]//鄧一多，譯. 北京：北京聯(lián)合出版公司，2016：96。

[16] Daniel J. Solove & Danielle Keats Citron. Risk and Anxiety： A Theory of Data-Breach Harms[J]. Tex. L. Rev. 2018，96：737.

Research on Enterprise's Compensation for Damages to Users in Data Leakage

Ma Yufei

（School of Law， University of International Business and Economics， Beijing 100029， China）

Abstract： The behaviors of illegal obtaining， stealing， and destroying database data have caused data companies and users to suffer huge losses. Regarding the protection of user data rights， although Article 27 of the Data Security Law stipulates the security protection obligations of network operators for user data， it is not clear how to compensate users for damages in the civil law. Under the premise that user data rights have not been confirmed by legislation， Articles 1197 and 1198 of the Civil Code can be used as the basis for requesting rights. The specific standards of "know or should know"， "take necessary measures" and "breach of security protection （data security protection） obligation" are determined based on the data operation practice， and the relief framework of users' data rights and interests is constructed to make the enterprises that violate the obligation assume the liability for damages.

Key words： user data rights; data security protection obligations; compensation for damages; cyber security; hand formula