摘 要：數(shù)據(jù)利用同數(shù)據(jù)安全間的張力催生了數(shù)據(jù)泄露通知制度的出現(xiàn)，該制度設計不僅可保障數(shù)據(jù)相關個體以及有關監(jiān)管部門在數(shù)據(jù)安全事件發(fā)生后及時介入，亦會反向促使義務主體不斷更新數(shù)字密碼技術(shù)手段，完善數(shù)據(jù)加密等安全保障技術(shù)。但目前數(shù)據(jù)泄露通知制度的本土建構(gòu)仍存在有待完善之處，需以數(shù)據(jù)泄露通知制度的底層法理為邏輯原點，立足于反身法理論對該制度加以革新，構(gòu)建數(shù)據(jù)控制/處理者—監(jiān)管機構(gòu)—個人的介入路徑以形成數(shù)據(jù)安全的半自主社會系統(tǒng)，最終提供覆蓋數(shù)據(jù)全生命周期的安全保障。

關鍵詞：數(shù)據(jù)泄露；價值平衡；反身法；風險分擔

中圖分類號：D 912 文獻標志碼：A 文章編號：2096-9783（2024）04?0051?09

一、問題的提出

“在大數(shù)據(jù)時代，創(chuàng)造數(shù)據(jù)、存儲數(shù)據(jù)、記錄數(shù)據(jù)、運用數(shù)據(jù)成為新常態(tài)。但是，云計算、大數(shù)據(jù)帶來的數(shù)字安全隱患，龐大的‘數(shù)據(jù)池’將數(shù)字革命中的個體卷入‘數(shù)字化’的黑洞”[1]。其中，數(shù)據(jù)泄露是數(shù)據(jù)安全風險的主要來源之一。近十年，全球已發(fā)生數(shù)萬起數(shù)據(jù)泄露事件，被泄露數(shù)據(jù)達到千億條，典型事件如“Facebook用戶數(shù)據(jù)泄露事件”“美國信用機構(gòu)Equifax用戶數(shù)據(jù)泄露事件”“華住數(shù)據(jù)泄露案”等，不僅引發(fā)了民眾對于數(shù)據(jù)安全保障的緊迫訴求，亦產(chǎn)生其與數(shù)據(jù)流通實際需要間的矛盾。特別是在以數(shù)據(jù)深度運用為運行邏輯的ChatGPT等生成式人工智能現(xiàn)象級流行的社會現(xiàn)實下，數(shù)據(jù)流通所蘊含的社會民眾群體性利益，特定數(shù)據(jù)個體對于數(shù)據(jù)所涉信息的安全保障及個體自決權(quán)利的多重訴求使得如何盡可能規(guī)避數(shù)據(jù)泄露及減少其所帶來的負面影響成為全球通識性課題。2002年美國加利福尼亞州《數(shù)據(jù)安全泄露通知法案》打響數(shù)據(jù)泄露通知制度的“第一槍”后，各國有關數(shù)據(jù)泄露通知制度的相關規(guī)范猶如雨后春筍，不斷更新完善1。我國也逐步推進了該制度的立法化，在《中華人民共和國民法典》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）、《中華人民共和國網(wǎng)絡安全法》（以下簡稱《網(wǎng)絡安全法》）等規(guī)范中，明確了信息處理者或網(wǎng)絡運營商的數(shù)據(jù)泄露通知義務，但相關規(guī)范在形式上呈現(xiàn)較為分散的狀態(tài)，各規(guī)范間銜接與協(xié)調(diào)不足。而且，現(xiàn)有立法整體呈現(xiàn)“疲軟”狀態(tài)，停留于文本層面的相關規(guī)定難以有力促使相關數(shù)據(jù)控制/處理者積極履行數(shù)據(jù)泄露通知義務，這使得我國相關規(guī)范并未如預期那般有效消解數(shù)據(jù)泄露事件所帶來的負面影響，數(shù)據(jù)泄露事件發(fā)生數(shù)量甚至呈現(xiàn)逐年上升趨勢。在理論層面，我國對于數(shù)據(jù)泄露通知制度的研究重心或是放置于鏡鑒、評介域外數(shù)據(jù)泄露通知制度，或是放置于本國的數(shù)據(jù)泄露通知制度的解釋或完善層面，雖為數(shù)據(jù)泄露通知制度的本土化完善提供了相當?shù)恼蛞饬x，但鮮少思考構(gòu)建數(shù)據(jù)泄露通知制度的深層邏輯。這使得數(shù)據(jù)泄露通知制度仍然面臨著諸多挑戰(zhàn)，如企業(yè)遵守意愿較低、數(shù)據(jù)主體發(fā)揮協(xié)同治理作用不大等?，F(xiàn)階段更應注重厘清數(shù)據(jù)泄露通知制度深層邏輯，以此探索并指引構(gòu)建“數(shù)據(jù)監(jiān)管主體”“數(shù)據(jù)控制/處理者”“數(shù)據(jù)主體”多元主體協(xié)同有效保障數(shù)據(jù)安全的制度框架。

二、數(shù)據(jù)泄露通知制度的現(xiàn)實缺憾

作為流動性較強的生產(chǎn)要素，數(shù)據(jù)自由流動同安全保障之間張力愈發(fā)明顯。面對錯綜復雜的網(wǎng)絡（數(shù)據(jù)）安全事件時，預設的規(guī)范體系往往難以有效應對。以數(shù)據(jù)安全事件發(fā)生后的挽救措施——數(shù)據(jù)泄露通知制度為例，充斥于立法層面的宣示性規(guī)定似乎僅僅表達了立法者對于解決數(shù)據(jù)安全事件的決心，但因其缺乏明確性且實現(xiàn)成本較高，導致數(shù)據(jù)利用中的多元主體對于該制度的落地意愿不強甚至“一無所知”。

（一）外部表現(xiàn)：數(shù)據(jù)泄露通知制度的現(xiàn)實挑戰(zhàn)

首先，數(shù)據(jù)相關主體具有陷入“通知疲勞”的高度風險。數(shù)據(jù)泄露通知制度在我國仍屬“起步”階段，作為數(shù)據(jù)安全保障義務主體的數(shù)據(jù)控制/處理者在發(fā)生數(shù)據(jù)泄露等數(shù)據(jù)安全事件時需要及時履行數(shù)據(jù)泄露通知義務，但該義務所指向的通知對象范圍應當為何？從應然的角度出發(fā)，應當包括相關監(jiān)管部門和受數(shù)據(jù)泄露影響的數(shù)據(jù)主體。但就實然層面而言，數(shù)據(jù)安全事件所關涉的相關數(shù)據(jù)主體不僅體量龐大，類型也具多樣化。而且，我國也并未規(guī)定觸發(fā)數(shù)據(jù)泄露通知制度的前置條件，如對數(shù)據(jù)泄露事件先進行分析、救濟，再決定是否通知，這就可能在實踐中出現(xiàn)“個人信息一遭未經(jīng)授權(quán)的訪問就需履行通知義務”的現(xiàn)象。在義務內(nèi)容模糊的立法現(xiàn)實下要求數(shù)據(jù)控制/處理者履行該制度將造成沒有風險或者風險極低的數(shù)據(jù)主體不必要的“通知疲勞”。不僅如此，數(shù)據(jù)全生命周期包括收集、存儲、處理、分析、保護和銷毀，為保障數(shù)據(jù)要素產(chǎn)能高效發(fā)揮，通常由不同企業(yè)（平臺）承擔各個部分的數(shù)據(jù)處理任務，即某一企業(yè)將收集并處于其控制狀態(tài)下的數(shù)據(jù)發(fā)包交由數(shù)據(jù)計算服務商等合作公司進行處理、分析。倘若其中一方引發(fā)數(shù)據(jù)泄露，此時對數(shù)據(jù)呈持有/控制狀態(tài)的多方主體都需履行數(shù)據(jù)泄露通知義務，其中亦隱含著諸多隱憂：其一，多方主體間因引發(fā)數(shù)據(jù)泄露的責任和履行數(shù)據(jù)泄露通知義務的權(quán)責不清造成二次民事糾紛；其二，多方主體反復通知數(shù)據(jù)主體發(fā)生數(shù)據(jù)泄露事故，不僅將過度耗費社會資源，也將造成信息過載，無法實現(xiàn)數(shù)據(jù)泄露通知制度預設之目的；其三，數(shù)據(jù)相關主體收到從未存儲或填寫過涉?zhèn)€人信息相關數(shù)據(jù)的平臺發(fā)來的數(shù)據(jù)泄露通知時，極易產(chǎn)生自己的隱私早已被周轉(zhuǎn)至各個平臺從而處于高度不確定風險的擔憂之中。綜上，不確定的數(shù)據(jù)泄露通知制度的觸發(fā)條件以及不確定的制度適用范圍可能使得數(shù)據(jù)泄露通知頻率較高，“信息過載”將導致數(shù)據(jù)主體產(chǎn)生“狼來了”的心態(tài)，心態(tài)上對數(shù)據(jù)泄露事件的危險性逐漸XAGzK26f0pGRE6YiCDW02Q==麻痹。美國一項研究顯示，大部分消費者在收到數(shù)據(jù)泄露通知的郵件通知后往往都會選擇忽略，近半數(shù)的消費者也是在經(jīng)過回想后才發(fā)覺該通知信息之重要性，由此喪失了對相關數(shù)據(jù)采取保護措施的最佳時機。

其次，以企業(yè)為代表的數(shù)據(jù)控制/處理者遵守數(shù)據(jù)通知制度的意愿不高。觸發(fā)條件不清的數(shù)據(jù)泄露通知義務使得企業(yè)的履職工作承受著較大的成本壓力。一方面，我國暫時僅在原則性層面規(guī)定了數(shù)據(jù)泄露通知制度，這意味著凡是發(fā)生數(shù)據(jù)泄露安全事件企業(yè)就應當履行該義務，即便該數(shù)據(jù)幾乎不可能落入不法濫用之境地。除了耗費更大的財力、物力、人力外，企業(yè)亦難以得到正向反饋。在“美國Chase Card Services公司數(shù)據(jù)泄露事件”中，該公司不慎將存儲個人信息的物理載體——計算機磁帶丟棄至垃圾填埋場，在發(fā)現(xiàn)后立即向關涉的近300萬客戶履行了通知義務。但事實上，后續(xù)調(diào)查證明該物質(zhì)載體的不慎遺棄于數(shù)據(jù)泄露實質(zhì)性風險而言并無大礙[2] 。反倒是較高的履行成本使得部分網(wǎng)絡平臺疏于安全管理，未能檢測出具有導致數(shù)據(jù)泄露風險的漏洞，從而使得黑客“乘虛而入”。例如，我國“萬豪喜達屋客戶信息泄露”“華住會信息泄露”等數(shù)據(jù)泄露事件皆是因為平臺本身存在漏洞，給侵入系統(tǒng)的“黑客”提供了可乘之機。更有甚者，即便發(fā)現(xiàn)平臺存在數(shù)據(jù)安全漏洞等風險點，在綜合考慮安全成本與資產(chǎn)價值后，選擇將此安全漏洞作為可接受的風險而不采取任何補救措施。但其仍然屬于可能造成更加嚴重的數(shù)據(jù)泄露結(jié)果的殘存風險點。例如，美國一面包連鎖店旗下網(wǎng)站在2018年4月泄露了近400萬用戶信息。其后，安全機構(gòu)Krebs On Security表示其在2017年8月即發(fā)現(xiàn)了網(wǎng)站的相關安全漏洞，通知送達后網(wǎng)站并未及時采取修復措施，這意味著數(shù)據(jù)泄露的時間長達8個月之久?；貧w至我國現(xiàn)行經(jīng)濟運行體系，小微企業(yè)發(fā)揮著不可或缺的中堅力量，但受制于物力、技術(shù)等有限資源，小微企業(yè)往往無法在履行數(shù)據(jù)安全保障義務的同時正常運行，這使得極易導致其不堪重負繼而選擇“無視”數(shù)據(jù)泄露通知制度，使得大量有關個人信息的數(shù)據(jù)處于“裸奔”或“綁架”狀態(tài)。另一方面，數(shù)據(jù)泄露通知制度的履行極易造成公眾對于數(shù)據(jù)控制/處理者的不信任感，使得相關企業(yè)喪失商譽以及市場競爭力。尤其是電子商務、社交網(wǎng)絡等依賴于用戶資源的行業(yè)，一旦其用戶信息被泄露，將極易喪失在本行業(yè)中的核心競爭優(yōu)勢。這導致相關企業(yè)在發(fā)生數(shù)據(jù)安全事件后并不愿意及時履行通知義務，數(shù)據(jù)泄露通知制度被“束之高閣”。以我國用戶范圍較為廣泛的網(wǎng)絡購物平臺京東商城、當當?shù)葹槔?，上述企業(yè)在被曝出用戶信息泄露事件后，短時間內(nèi)大量用戶選擇轉(zhuǎn)用亞馬遜等同品類的購物平臺。

（二）根本癥結(jié)：數(shù)據(jù)泄露通知制度的規(guī)范漏洞

首先，我國法律規(guī)范層面對于“數(shù)據(jù)泄露”的定義較為寬泛籠統(tǒng)，導致部分數(shù)據(jù)安全事件發(fā)生后企業(yè)無法辨別是否需要履行數(shù)據(jù)泄露通知義務，甚至以此作為逃避承擔責任的辯護理由，數(shù)據(jù)相關主體的權(quán)利難以得到保障。2012 年《全國人民代表大會常務委員會關于加強網(wǎng)絡信息保護的決定》、2013 年《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》、《網(wǎng)絡安全法》對于數(shù)據(jù)泄露這一定義的表述相同，均為“泄露、毀損、丟失”。《個人信息保護法（一次審議稿）》《個人信息保護法（二次審議稿）》所規(guī)定的安全保障義務的觸發(fā)條件為“防止未經(jīng)授權(quán)的訪問以及個人信息泄露或者被竊取、篡改、刪除”，但數(shù)據(jù)泄露通知制度的范圍較之則有所限縮，僅將“泄露”這一種情形納入其中，而“竊取”“刪除”等多種情形均被剔除。最終出臺的《個人信息保護法》對此進行了修正，將安全保障義務與數(shù)據(jù)泄露通知義務所涉范圍作了統(tǒng)一，前者為“防止未經(jīng)授權(quán)的訪問以及個人信息泄露、篡改、丟失”，后者則為“發(fā)生或者可能發(fā)生個人信息泄露、篡改、丟失的”，僅有“未經(jīng)授權(quán)的訪問”這一種情形被排除在外?？傮w而言，我國數(shù)據(jù)泄露通知制度的規(guī)范體系在表述上存在差異性，且大多為列舉式規(guī)定，不具有高度凝練性，可借鑒域外立法經(jīng)驗，在法教義學層面對“數(shù)據(jù)泄露”概念加以歸納整理。歐盟《通用數(shù)據(jù)保護條例》（GDPR）第4條規(guī)定，數(shù)據(jù)泄露的內(nèi)涵為違反數(shù)據(jù)傳輸、存儲或其他處理活動的安全原則所引發(fā)的數(shù)據(jù)安全事件。而在美國加州《數(shù)據(jù)安全泄露通知法案》中，數(shù)據(jù)泄露的內(nèi)涵則是“未經(jīng)授權(quán)而獲取計算機數(shù)據(jù)的，危及個人或企業(yè)所維護的個人信息的安全性、機密性或完整性的行為”2?？梢园l(fā)現(xiàn)，各國對于“數(shù)據(jù)泄露”的定義基本相同，只是歐盟所規(guī)定的概念外延較其他各國更為廣泛，將數(shù)據(jù)損毀等情形亦納入其中。但總體而言，“毀損、丟失”等表述遠超出“泄露”的語義范圍。不論從實然還是應然的角度出發(fā)，數(shù)據(jù)泄露的內(nèi)涵在法規(guī)范層面與實踐層面不盡相同，前者所涵蓋的范圍更加廣泛，若以字面意思對法規(guī)范層面的“數(shù)據(jù)泄露”加以法教義學解讀，將導致大量相關破壞性行為脫逸于法規(guī)范之束縛。在我國仍未實現(xiàn)“數(shù)據(jù)泄露”明確定義的立法現(xiàn)實下，有必要經(jīng)法教義學實現(xiàn)該概念的規(guī)范化、統(tǒng)一化[3]。梳理域外有關數(shù)據(jù)泄露通知制度的規(guī)范體系后發(fā)現(xiàn)，各國慣用“disclosure”一詞來實現(xiàn)對數(shù)據(jù)泄露的規(guī)范化描述，該詞的英文釋義即“the act of making something known or public that was previously secret or private”。綜上，數(shù)據(jù)泄露的本質(zhì)并非在于物理層面的被控制，而在于隱秘性信息的獲取，即數(shù)據(jù)泄露將使得信息安全中的機密性、完整性和可用性三要素部分或全部受到損害。

其次，我國現(xiàn)有數(shù)據(jù)泄露通知義務的法規(guī)范整體上呈現(xiàn)分散化、原則化傾向。我國有關數(shù)據(jù)泄露通知制度的相關規(guī)定散見于《民法典》第一千零三十八條、《網(wǎng)絡安全法》第四十二條第二款、《數(shù)據(jù)安全法》第二十九條、《個人信息保護法》第五十七條、《電話用戶真實身份信息登記規(guī)定》第十三條、《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》第十四條第一款等，橫跨于多個層級規(guī)范之中。然而，數(shù)據(jù)泄露通知制度往往僅是通過宣言式的規(guī)定來明確立法者對于數(shù)據(jù)泄露等安全事件的基本態(tài)度，實踐中一旦真實發(fā)生數(shù)據(jù)泄露等安全事件時，相關法規(guī)范無法有力、及時地落實至相關責任主體。以數(shù)據(jù)安全領域的基礎性規(guī)范《數(shù)據(jù)安全法》為例，其僅在第二十九條中對數(shù)據(jù)控制/處理者的數(shù)據(jù)安全保障義務作出了原則性的規(guī)定，數(shù)據(jù)控制/處理者具體應當如何承擔安全保障義務，其承擔安全保護義務的力度如何乃至相關監(jiān)管措施均無具體規(guī)定。在現(xiàn)有相關規(guī)范稀薄，內(nèi)容呈抽象化、原則化的現(xiàn)實下，一旦出現(xiàn)大批量或極為嚴重的數(shù)據(jù)泄露安全事件，各地很有可能為實現(xiàn)數(shù)據(jù)治理而選擇暫行出臺地方性法規(guī)、條例，但此類應急式立法模式極易導致各地自行其是，企業(yè)終將落入合規(guī)困局。

三、數(shù)據(jù)泄露通知制度的邏輯解構(gòu)與方法選擇

數(shù)據(jù)泄露通知制度在我國仍處于“起步”階段，現(xiàn)實中的諸多缺憾所投射的實質(zhì)是現(xiàn)有規(guī)范的缺失。如何正視規(guī)則抽象化與安全需求具象化之間的矛盾，首先需要對數(shù)據(jù)泄露通知義務的法理邏輯加以解構(gòu)，并以此為指引選擇數(shù)據(jù)泄露通知制度本土完善的基本方法路徑。

（一）從救濟到防控：數(shù)據(jù)泄露通知制度法理邏輯之解構(gòu)

進行屬于自治范疇的數(shù)據(jù)泄露通知前，數(shù)據(jù)控制/處理者往往需要綜合考量成本收益、信息安全、商譽損毀等多重因素，甚至較為極端地通過退出市場等方式逃避數(shù)據(jù)泄露通知的履行。此時，數(shù)據(jù)泄露通知僅僅作為數(shù)據(jù)控制/處理者以私力實現(xiàn)損害減緩的措施之一。但是，技術(shù)發(fā)展的有限性與對數(shù)據(jù)資源無限擴張的渴求之間的矛盾使得徹底規(guī)避數(shù)據(jù)泄露成為一個不可能的命題，這將導致部分數(shù)據(jù)控制/處理者陷入即便遵守了相關法律規(guī)范仍會造成社會利益損失的困境。此時，數(shù)據(jù)控制/處理者的法律責任應當如何判定？被泄露數(shù)據(jù)的相關信息主體權(quán)益應當如何補償？即如何調(diào)整現(xiàn)有的數(shù)據(jù)保護機制以實現(xiàn)對數(shù)據(jù)控制/處理者數(shù)據(jù)安全保障義務履行的可視化、標準化的監(jiān)督，同時盡可能地保護相關數(shù)據(jù)主體之合法權(quán)益。在數(shù)據(jù)控制/處理者無法通過事前構(gòu)建數(shù)據(jù)安全保障機制等措施以實現(xiàn)對數(shù)據(jù)安全絕對控制從而保障數(shù)據(jù)泄露事件零發(fā)生的基礎上，在規(guī)范層面引入數(shù)據(jù)泄露通知制度以防控、挽救其所引發(fā)的損害或許是較為理性的選擇[4]。此時，不僅在規(guī)范層面形成了對數(shù)據(jù)控制/處理者的強制約束力，該法定義務所蘊含的法理邏輯亦有所更新。

一方面，數(shù)據(jù)泄露通知制度的法理邏輯注重損害救濟。固化為規(guī)范層面的數(shù)據(jù)泄露通知制度作為抽象化、模糊化的數(shù)據(jù)安全保障義務的有效延伸，為缺乏足夠監(jiān)管資源的有關監(jiān)管部門提供數(shù)據(jù)安全保障義務的具體檢視機制，將本需交由主觀評判數(shù)據(jù)安全保障義務履行效果的問題轉(zhuǎn)變?yōu)楦鼮榭陀^的評判機制，即數(shù)據(jù)控制/處理者是否履行了數(shù)據(jù)泄露通知義務。從而通過規(guī)范的強制力促使數(shù)據(jù)控制/處理者在數(shù)據(jù)泄露事件發(fā)生后，及時通知數(shù)據(jù)相關主體以及相關監(jiān)管部門，保障其能夠及時介入以防范損失擴大。同時，數(shù)據(jù)泄露通知制度作為數(shù)據(jù)泄露事件發(fā)生后的過渡機制，能夠較好地促使數(shù)據(jù)控制/處理者展開數(shù)據(jù)安全事件發(fā)生后對數(shù)據(jù)相關主體的賠償?shù)韧鞊p工作。

另一方面，數(shù)據(jù)泄露通知制度的法理邏輯更應展現(xiàn)為風險防控。數(shù)據(jù)泄露所引發(fā)的法益侵害具有多元化的特征，不僅易造成數(shù)據(jù)相關主體財產(chǎn)、人身乃至人格等多重法益的損害，對于社會公共秩序、國家安全等重大法益亦存在相當?shù)娘L險性。而屬于自治范疇的數(shù)據(jù)泄露通知自身無法實現(xiàn)對上述（潛在）風險的有效防控，僅能針對特定數(shù)據(jù)泄露事件作為“警鈴”式存在，通過事后通知來保障相關數(shù)據(jù)主體以及有關監(jiān)管部門的知情權(quán)與決定權(quán)，以保證知情后的相關主體能夠及時、理性選擇救濟方式進行法益恢復。在逐步明晰數(shù)據(jù)泄露事件所蘊含的重大安全風險后，數(shù)據(jù)安全保障體系的價值取向應逐步由損害救濟轉(zhuǎn)向風險預防，這也正是數(shù)據(jù)泄露通知制度的法理邏輯的重點所在。

立足于法律義務層面的數(shù)據(jù)泄露通知制度充分彰顯了預防潛在風險的價值底色，即國家為盡可能減少實質(zhì)風險治理成本，通過數(shù)據(jù)泄露通知制度來及時阻隔數(shù)據(jù)泄露造成的損害及損害擴大的風險。以數(shù)據(jù)泄露通知制度較為完善的美國為例，現(xiàn)階段美國基本就數(shù)據(jù)泄露通知義務需設置一定的觸發(fā)閾值形成共識。其中，德克薩斯州、紐約州等州所設定的觸發(fā)閾值相對較低，規(guī)定一旦數(shù)據(jù)控制/處理者發(fā)現(xiàn)、認識到數(shù)據(jù)泄露事件的發(fā)生就須履行通知義務，同時將“未經(jīng)授權(quán)訪問”的事實認定作為評估要素之一決定是否履行通知義務[5]。而我國則在《個人信息保護法》第五十七條的規(guī)定中明示了數(shù)據(jù)泄露通知制度的風險預防取向，規(guī)定數(shù)據(jù)泄露通知義務的履行閾值為當數(shù)據(jù)控制/處理者具有對數(shù)據(jù)泄露等安全事件發(fā)生或發(fā)生認識可能性時，其應就此對數(shù)據(jù)實現(xiàn)預期保護，而非嚴格要求數(shù)據(jù)泄露事件的實質(zhì)性發(fā)生。事實上，即便各國有關數(shù)據(jù)泄露通知義務啟動閾值的具體設置雖略有不同，但其均實現(xiàn)了前移數(shù)據(jù)安全事件風險治理端口的實質(zhì)效果，

綜上，在現(xiàn)階段數(shù)據(jù)安全風險識別技術(shù)供給不能的現(xiàn)實下，數(shù)據(jù)泄露風險不可規(guī)避，但數(shù)據(jù)泄露通知制度既往所承載的損害救濟功能難以周全應對不斷擴張、加重的數(shù)據(jù)安全風險。為有效應對數(shù)據(jù)安全風險，數(shù)據(jù)泄露通知制度的風險端口開始前移，但若不顧企業(yè)成本以及技術(shù)擴張等現(xiàn)實需求，強行推進數(shù)據(jù)泄露通知制度的本土建構(gòu)，將導致數(shù)據(jù)技術(shù)這一社會子系統(tǒng)扭曲法律系統(tǒng)的管制，執(zhí)法成本巨大。因此，有必要及時明確數(shù)據(jù)泄露通知制度本土完善的方法論選擇。

（二）方法選擇：反身法理論于數(shù)據(jù)泄露通知制度的意蘊

面對政府“干預主義傾向”等數(shù)據(jù)安全治理誤區(qū)，可考慮引入反身法理論。事實上，將“命令—控制”規(guī)制路徑作為社會治理的主旋律，對高度分化社會的復雜性以及其他獨立社會子系統(tǒng)獨特運行規(guī)律視之無物，將使得高度復雜的數(shù)據(jù)安全問題始終得不到周延規(guī)制。原因在于：一方面，社會子系統(tǒng)的基本特征乃相對開放性的認知與絕對封閉性的運行。在社會系統(tǒng)論中，各子系統(tǒng)僅會將經(jīng)自身邏輯篩選并重構(gòu)的信息納入系統(tǒng)內(nèi)部，其具有的認知能力有限。另一方面，“命令—控制”型的法律機制使得其他社會子系統(tǒng)獨特的運行規(guī)律被忽視，法律機制以本系統(tǒng)的運行邏輯為法則。但每一個社會子系統(tǒng)都具備維護自身功能的話語權(quán)，僅為系統(tǒng)內(nèi)的運行邏輯所支配而不受其他社會子系統(tǒng)的強制影響的自我保護機制[6]。而反身法理論旨在“通過不斷調(diào)整內(nèi)部話語程序和與其他社會子系統(tǒng)協(xié)調(diào)的方法，構(gòu)建半自治社會系統(tǒng)（semi-autonomous social system）”[7]，最終，在其他社會子系統(tǒng)的加入下實現(xiàn)數(shù)據(jù)安全治理的協(xié)同性與有效性。

具言之，反身法理論可從規(guī)范理性、內(nèi)部理性以及系統(tǒng)理性三個維度展開[8]。首先，規(guī)范理性凸顯合作規(guī)制。在試圖提升社會子系統(tǒng)自我學習的積極性的同時，以輔助性、后設性的法律規(guī)范作為后置補充性存在。其次，系統(tǒng)理性強調(diào)自我規(guī)制。反身法注重對社會子系統(tǒng)內(nèi)部運行規(guī)律的尊重，并不完全依仗法律規(guī)范等強制性權(quán)威方式過多干涉社會系統(tǒng)的運轉(zhuǎn)與整合，而是通過去中心化的方式促進社會子系統(tǒng)內(nèi)部進行整合，從而推動內(nèi)部程序、組織機制乃至子系統(tǒng)間協(xié)調(diào)機制的建構(gòu)。最后，內(nèi)部理性重視過程規(guī)制。以具體構(gòu)成要件、法律效果為主要組成部分的干預主義取向的法律規(guī)范不再是反身法理論中的首要選擇，取而代之的是“通過影響組織機構(gòu)、能力和程序來促使其他社會系統(tǒng)建立起一套更為民主化的自我管理機制”[9]。即面對高度專業(yè)以及多社會子系統(tǒng)整合的數(shù)據(jù)安全治理，反身法提倡不再以制定事無巨細的數(shù)據(jù)安全保障義務準則與精確指標為主要路徑，而可通過數(shù)據(jù)泄露通知制度促進以數(shù)據(jù)控制/處理者為代表的其他社會子系統(tǒng)建構(gòu)自主運行的具體規(guī)則進行自我管控。當然，法律子系統(tǒng)亦不可缺席。其不僅需要在事前對相關數(shù)據(jù)安全保障流程、指標等進行審查與指導。當自我運行規(guī)則出現(xiàn)異化或失靈時，其亦需及時主動介入干預并追究相關人員責任，以確保能夠有效保障數(shù)據(jù)安全。因此，相較于“無法積極主動地促進數(shù)據(jù)要素市場發(fā)展，也無法滿足數(shù)據(jù)流轉(zhuǎn)的獨立權(quán)利機能之需要”的靜態(tài)數(shù)據(jù)安全保障機制[10]，以反身法為理論基礎的數(shù)據(jù)泄露通知制度優(yōu)勢明顯：

其一，充分調(diào)動企業(yè)履行數(shù)據(jù)安全保障義務的能動性、有效性。數(shù)據(jù)安全風險具有場景化、動態(tài)化的特點，相對穩(wěn)定的法規(guī)范的預期能力難以追趕不斷前進的技術(shù)發(fā)展能力，從而為數(shù)據(jù)控制/處理者提供一套具有高度統(tǒng)一性的數(shù)據(jù)安全保障標準。而即便通過大量立法調(diào)研確定了現(xiàn)階段具有一定普適性的規(guī)范標準，為兼顧不同技術(shù)水平、財力、人力資源的數(shù)據(jù)控制/處理者，規(guī)范層面對于數(shù)據(jù)安全保障義務的履行標準往往會選擇行業(yè)水平的平均值，但這不論對于大企業(yè)還是小企業(yè)而言，適配性都不足夠。況且，在實踐中技術(shù)水平、泄露數(shù)據(jù)量等多個因素都將影響著數(shù)據(jù)安全保障義務的履行程度。更重要的是，數(shù)據(jù)控制/處理者在選擇數(shù)據(jù)安全保障措施前會進行利益衡量，其結(jié)果往往是在符合規(guī)范這一基本要求的基礎上選擇最小投入的數(shù)據(jù)安全保障措施，而非與本企業(yè)（平臺）數(shù)據(jù)技術(shù)水平和規(guī)模等情況高度契合、安全性更高的保障措施。數(shù)據(jù)泄露通知制度可一定程度上引導企業(yè)履行合理的注意義務，在事前采取數(shù)據(jù)安全保障措施以避免出現(xiàn)數(shù)據(jù)泄露安全事件并威懾企業(yè)停止、放棄正在或可能實施的不法行為[11]。原因在于，現(xiàn)代工商業(yè)的運行機制打破了既往的“熟人交易”，在高度信息不對稱的交易狀態(tài)下，交易各方往往會將企業(yè)過往行為所形成的共識性公眾認知——企業(yè)商譽作為重要參考項以判斷后續(xù)交易活動的進行與否。因此，對于現(xiàn)代企業(yè)而言，聲譽層面的非規(guī)范性評價所具有的負面效應堪比甚至遠超法律層面所帶來的規(guī)范性評價。有關企業(yè)不良信息的產(chǎn)生、傳播將一步步導致消費者數(shù)量降低至徹底喪失，最終企業(yè)退出市場。

其二，反身法理論的引入可充分運用數(shù)據(jù)控制/處理者的技術(shù)、物質(zhì)資源優(yōu)勢彌補相關監(jiān)管部門的信息赤字和執(zhí)法資源的不足，實現(xiàn)監(jiān)管成本同公共安全間的平衡。數(shù)據(jù)泄露通知制度的運行邏輯乃最小限度干預數(shù)據(jù)控制/處理者進行數(shù)據(jù)控制、分析、處理等數(shù)據(jù)活動的同時以最小成本實現(xiàn)相關主管部門持續(xù)性監(jiān)管數(shù)據(jù)安全風險的現(xiàn)實需求。數(shù)據(jù)泄露等安全事件具有隱蔽性、滯后性等特點，此類安全事件后需經(jīng)數(shù)據(jù)流通、分析、處理等多個鏈條與違法主體后才能夠造成對相關數(shù)據(jù)主體的損害，而且難以實現(xiàn)反向追溯，鎖定數(shù)據(jù)泄露的“幕后黑手”。我國相關部門若想實現(xiàn)全覆蓋的數(shù)據(jù)安全檢查機制，對廣泛數(shù)據(jù)控制/處理主體進行日常性檢查以發(fā)現(xiàn)可能存在的數(shù)據(jù)安全風險點的成本較高。而且，若有關監(jiān)管部門欲進行日常性檢查，還需預設具有相對普適性、抽象性的合規(guī)標準，但囿于技術(shù)、人力、財力等多因素的影響，數(shù)據(jù)控制/處理主體之間也存在著較大差異，這就導致有關監(jiān)管部門還需在普適性標準的基礎之上結(jié)合具體情況進行分析判斷，無形之中進一步提高了檢查成本。而反身法理論的引入能夠保證有關監(jiān)管部門較為高效地發(fā)現(xiàn)數(shù)據(jù)安全保障機制的“痛點”，以此安全事件為契機，對相關數(shù)據(jù)控制/處理主體進行定向安全執(zhí)法檢查，從而縮小檢查范圍。

綜上，面對精妙復雜且高度專業(yè)的數(shù)據(jù)技術(shù)，數(shù)據(jù)安全保障機制不應再被國家的中心地位這一傳統(tǒng)模式所禁錮，而是應當積極思考國家與其他主體對等的多中心治理模式的可能性。數(shù)據(jù)泄露通知制度本土完善亦需思考如何在反身法理論指引下實現(xiàn)各社會子系統(tǒng)間的協(xié)調(diào)運行，從而應對該制度的現(xiàn)實挑戰(zhàn)與規(guī)范缺憾。

四、風險分擔視野下數(shù)據(jù)泄露通知制度的本土建構(gòu)

現(xiàn)階段，我國對于數(shù)據(jù)泄露通知制度這一義務性規(guī)范具體化、完善化的需求強烈。但該制度絕非簡單的報告、通知，也絕非將數(shù)據(jù)安全保障之壓力完全落在以企業(yè)為代表的數(shù)據(jù)控制/處理者身上。這便需要在反身法理論的指導下實現(xiàn)我國數(shù)據(jù)泄露通知制度的本土完善，通過數(shù)據(jù)控制/處理者、相關數(shù)據(jù)主體所代表的社會子系統(tǒng)與相關監(jiān)管部門所代表的法律子系統(tǒng)的協(xié)調(diào)運行來實現(xiàn)風險的分擔與防控。

（一）風險評估：數(shù)據(jù)泄露通知義務履行之條件

數(shù)據(jù)泄露通知義務的觸發(fā)條件可謂是“牽一發(fā)而動全身”，過低的觸發(fā)閾值將使得履行成本過高、相關數(shù)據(jù)主體“信息過載”等問題涌現(xiàn)，而過高的觸發(fā)閾值又將使得數(shù)據(jù)控制/處理者的自由裁量空間過大，在盲目自信或經(jīng)營利益等因素的驅(qū)使下選擇不報告數(shù)據(jù)泄露事件，導致數(shù)據(jù)泄露通知制度成為象征性規(guī)范。因此，我國立法完善的實踐中可吸納引入風險評估機制以合理界定數(shù)據(jù)泄露通知義務的啟動閾值。具言之，需評估數(shù)據(jù)泄露事件是否會造成對數(shù)據(jù)安全的損害及其損害程度來判斷數(shù)據(jù)泄露通知義務的啟動與否，而非將本制度作為數(shù)據(jù)泄露發(fā)生的觸底機制。

據(jù)此，數(shù)據(jù)泄露通知義務提起的風險評估機制可建構(gòu)一綜合標準體系，即根據(jù)“數(shù)據(jù)泄露發(fā)生的預見可能性—數(shù)據(jù)泄露的損害程度—數(shù)據(jù)控制/處理者消除風險或挽回損失的能力”這三要素綜合評估數(shù)據(jù)泄露事件的嚴重性，從而判斷數(shù)據(jù)控制/處理者是否需要就數(shù)據(jù)泄露事件進行通知。簡言之，數(shù)據(jù)泄露通知義務的提起應當以嚴重的數(shù)據(jù)泄露為事實前提。例如，若所涉數(shù)據(jù)敏感度較低，經(jīng)數(shù)據(jù)分析處理活動也無法與特定個人相聯(lián)結(jié)，此時即便數(shù)據(jù)泄露事件實質(zhì)性發(fā)生，則不具有數(shù)據(jù)泄露通知的強制性義務。而若所涉數(shù)據(jù)類型為敏感、重要數(shù)據(jù)，或經(jīng)數(shù)據(jù)分析、處理活動后可獲取一部分敏感、重要數(shù)據(jù)，當數(shù)據(jù)控制/處理者具有對數(shù)據(jù)泄露等安全事件結(jié)果預見可能性，則可考慮提起數(shù)據(jù)泄露通知義務。同時，也需進一步判斷數(shù)據(jù)控制/處理者是否具有結(jié)果避免可能性與能力?？梢氲谌皆u估機構(gòu)在規(guī)定時限內(nèi)對數(shù)據(jù)泄露事件進行評估，判斷數(shù)據(jù)控制/處理者現(xiàn)有的數(shù)據(jù)安全技術(shù)能力或自身的財力、物力資源是否足以實現(xiàn)風險的消除或損害的挽回。若答案是肯定的，則數(shù)據(jù)控制/處理者不具有履行數(shù)據(jù)泄露通知義務的必要性，僅需要及時完成補救即可；否則須在規(guī)定時限內(nèi)合規(guī)完成數(shù)據(jù)泄露通知。

其中，數(shù)據(jù)泄露損害程度的判斷同樣應構(gòu)建綜合性判斷體系，數(shù)據(jù)的類型、體量，數(shù)據(jù)安全保障措施的采用與否，被泄露數(shù)據(jù)的流向，都應當作為考量因素納入其中。首先，數(shù)據(jù)類型以及體量在一定程度上影響著數(shù)據(jù)泄露的損害程度。以生物識別信息為例，現(xiàn)階段生物識別信息與國家、社會公共安全息息相關，而且因其“唯一性”“不可更改性”等天然特性，生物識別信息與特定個人的關聯(lián)程度遠高于一般敏感個人信息。因此，泄露生物特征信息的危害性遠高于一般敏感個人信息。而與個人信息相關的數(shù)據(jù)中又因其與特定個人的聯(lián)結(jié)程度、社會應用程度等因素存在差異。例如，特定個人的姓名、民族等信息的泄露危害性就遠低于身份證號、家庭住址等身份信息的泄露。而泄露數(shù)據(jù)體量與數(shù)據(jù)泄露損害程度之間的關聯(lián)更是不必多言，生成式AI等數(shù)據(jù)處理分析技術(shù)的快速發(fā)展使得多個看似毫無聯(lián)系、雜亂無章而且絲毫與重要、敏感信息無關聯(lián)的“小數(shù)據(jù)”變?yōu)榕c特定個人掛鉤的敏感信息。更何況，數(shù)據(jù)權(quán)屬主體的多寡本就會影響數(shù)據(jù)泄露的潛在危害性。其次，數(shù)據(jù)安全保障措施的預設能夠在一定程度上減輕數(shù)據(jù)泄露的損害，加密技術(shù)過硬或設置多層技術(shù)安全盾的重要、敏感數(shù)據(jù)即便被泄露也可能無法被解密，此時甚至難言造成了“數(shù)據(jù)泄露”。最后，被泄露數(shù)據(jù)的去向亦決定了數(shù)據(jù)泄露的損害程度。數(shù)據(jù)泄露的原因包括黑客入侵、公司內(nèi)部人員通過工作便利竊取等，但有時純粹是因員工或他人過失造成的數(shù)據(jù)存儲實體在物理層面脫離控制。數(shù)據(jù)泄露之所以存在危害性是因為在數(shù)據(jù)泄露后，新數(shù)據(jù)控制者將會對相關泄露數(shù)據(jù)進行控制或分析處理活動，也即其危害性在于后續(xù)的數(shù)據(jù)處理活動。因此，數(shù)據(jù)的流向主體以及后續(xù)的數(shù)據(jù)處理活動在一定程度上決定著數(shù)據(jù)泄露的危害程度。

綜上，數(shù)據(jù)泄露通知義務的具體履行可參考表1：當數(shù)據(jù)安全風險程度達到一級時，僅需通知相關部門；達到二級時，企業(yè)應當立即履行數(shù)據(jù)泄露通知義務，及時通知用戶及主管部門，以有效防控風險，阻止損害的擴張；達到三級時，不僅需要及時通知用戶以及主管部門，數(shù)據(jù)控制/處理者還應在啟動數(shù)據(jù)泄露通知的同時采取所有必要的預防措施，包括描述個人數(shù)據(jù)泄露的性質(zhì)，提出減輕潛在負面影響的建議。

即便是為數(shù)據(jù)泄露通知義務的提起設置了諸多評估要素，仍然應當考量某些無法在客觀層面上被充分計算、徹底消除的風險在主觀層面上可以通過價值可認同、過程可信任、責任可追究等風險治理機制被消融，進而數(shù)據(jù)控制/處理者無須履行數(shù)據(jù)泄露通知義務。因此，我國可借鑒域外經(jīng)驗，規(guī)定善意例外和加密例外等特殊情形，以實現(xiàn)技術(shù)擴張—數(shù)據(jù)安全、運營成本—公共安全間的平衡。所謂“善意（good faith）”例外情形，通常適用于員工在正常履行工作職責過程中發(fā)生的無意訪問相關數(shù)據(jù)的情形，要求數(shù)據(jù)不具有被披露的風險。善意例外的設置，一方面是為了保障企業(yè)運營成本同公共安全間的平衡，避免將對數(shù)據(jù)安全風險影響微弱的違規(guī)行為納入數(shù)據(jù)泄露通知義務的履行對象中來。另一方面，雷納教授曾提出風險的多重定義“公式”——風險（R）＝概率（P）×后果大?。∕）＋信任（T）責任（L）認同（C），其中信任（T）、責任（L）、認同（C）不一定需按照乘積計算，但這三個要素與風險總體評價之間呈正相關性。不論按照風險的工程學還是社會學，風險評價所考慮的其實都是對風險制造和治理者的信任程度、受風險影響者的可接受程度和責任承擔者（利益相對方）的承擔能力[12]。即便員工在工作過程中無意訪問數(shù)據(jù)造成的數(shù)據(jù)泄露事件，相關數(shù)據(jù)個體也可因員工與企業(yè)間的雇傭關系合理信賴企業(yè)（平臺）能夠為此承擔責任并履行相應補救義務。而加密例外情形本質(zhì)上與風險評估中的“是否采取安全措施”要素相同，即該數(shù)據(jù)是加密的，而且公司不認為外部攻擊者有辦法解密數(shù)據(jù)。如果數(shù)據(jù)是加密的，被侵害的風險很低，就不具有通知關涉主體之必要。但這并不意味著所有采取加密措施的數(shù)據(jù)都可豁免數(shù)據(jù)控制/處理者的數(shù)據(jù)泄露通知義務，當涉及個人健康信息等敏感、重要數(shù)據(jù)時，則不應當按特殊情形豁免。之所以設置加密例外情形，主要意在通過正向激勵推動企業(yè)在事前積極為其所控制、處理的數(shù)據(jù)設置安全保障措施，這也與數(shù)據(jù)泄露通知制度的價值取向——風險防控相契合。

（二）風險分擔：數(shù)據(jù)控制/處理者—監(jiān)管機構(gòu)—個人的介入路徑

以自由價值為底色的數(shù)據(jù)保護體系橫貫于不平等主體之間，其目的在于盡可能地彌補技術(shù)在國家、企業(yè)與個人之間的“參差賦權(quán)”，強化個人對信息的控制[13]。這實際上正達成了反身法理論所強調(diào)的在法律子系統(tǒng)中引入其他社會子系統(tǒng)的有益效能并實現(xiàn)各子系統(tǒng)的整合、協(xié)調(diào)[14]。風險端口前移后的數(shù)據(jù)泄露通知制度，其實質(zhì)不僅在于數(shù)據(jù)泄露事件發(fā)生后損失的自力救濟，更在于通過通知促使有關監(jiān)管部門、數(shù)據(jù)相關主體及時介入，與數(shù)據(jù)控制/處理者形成有效聚合，從而構(gòu)建三足鼎立的風險分擔機制。換言之，數(shù)據(jù)泄露通知義務的履行可觸發(fā)數(shù)據(jù)相關主體及時采取防護或挽救措施，有關行政監(jiān)管部門及時投入監(jiān)管資源以保護具有泄露風險的數(shù)據(jù)，以最小成本實現(xiàn)監(jiān)管資源最精準的投入[3]。

風險分擔機制的具體運作流程應當如下：首先，數(shù)據(jù)控制/處理者在觸發(fā)數(shù)據(jù)泄露通知義務的履行后，對內(nèi)倒查自糾數(shù)據(jù)泄露事件發(fā)生的因果關系要點和管理漏洞，對現(xiàn)有的數(shù)據(jù)安全保障機制進行優(yōu)化；對外的著力點則應放置在數(shù)據(jù)泄露事件發(fā)生后的挽損機制，即考慮采取何種措施能夠?qū)崿F(xiàn)對數(shù)據(jù)泄露事件的最大效率補救，保障所涉數(shù)據(jù)回歸至安全狀態(tài)的同時化解商業(yè)風險，即企業(yè)聲譽的挽回。其次，有關監(jiān)管部門在接到數(shù)據(jù)控制/處理者的通知后應迅速介入，展開對數(shù)據(jù)泄露事件危害程度的評估，如根據(jù)泄露數(shù)據(jù)的類型、體量，數(shù)據(jù)控制/處理者是否具備相關數(shù)據(jù)安全保障措施等要素判斷數(shù)據(jù)泄露事件對于社會公共安全、國家安全以及經(jīng)濟運行、數(shù)據(jù)技術(shù)擴張等方面的負面影響程度?？紤]數(shù)據(jù)泄露事件所造成的危害可能具有相當?shù)牟豢煽匦砸约皵?shù)據(jù)控制/處理者力量的有限性，為保障數(shù)據(jù)相關主體權(quán)利之維護以及數(shù)據(jù)主權(quán)之穩(wěn)定，相關監(jiān)管部門應當以提供良好的公共服務、維護數(shù)據(jù)流通秩序為理念指向，根據(jù)評估結(jié)果采取有效措施與數(shù)據(jù)控制/處理者共同展開對數(shù)據(jù)泄露事件的補救。同時，還需對數(shù)據(jù)控制/處理者內(nèi)部構(gòu)建的數(shù)據(jù)安全保障機制進行審查與指導，以實現(xiàn)對預期數(shù)據(jù)安全風險的有效預防。值得強調(diào)的是，商譽損失、運營成本增加等原因使得許多數(shù)據(jù)控制/處理者在發(fā)現(xiàn)發(fā)生數(shù)據(jù)泄露事件（的可能）后，往往會選擇忽視或掩蓋，反而造成更大范圍的公共安全損害或經(jīng)濟損失?；诮?jīng)濟利益、技術(shù)發(fā)展等長久性考量，未來我國數(shù)據(jù)泄露通知制度的規(guī)范設計可以鼓勵數(shù)據(jù)控制/處理者投資數(shù)據(jù)安全建設機制為著力點，出臺更多惠企政策。例如，在滿足一定條件后可豁免相關數(shù)據(jù)控制/處理者的責任承擔、商譽挽救等以反向刺激數(shù)據(jù)控制/處理者實現(xiàn)風險預防的前置調(diào)控，即構(gòu)建、優(yōu)化完善數(shù)據(jù)安全保障機制。最后，被泄露數(shù)據(jù)的相關主體在接到數(shù)據(jù)泄露通知后，其可能會因此數(shù)據(jù)泄露事件而對數(shù)據(jù)控制/處理者產(chǎn)生不信任感而對其后續(xù)的數(shù)據(jù)控制、利用等處理行為產(chǎn)生抗拒感，此時相關數(shù)據(jù)主體完全可以行使決定權(quán)、刪除權(quán)等數(shù)據(jù)相關權(quán)利，還可以就已經(jīng)造成的人身、精神、財產(chǎn)損害主張損害賠償，以實現(xiàn)其本不應承擔且無法預料到損失的挽回。

綜上，數(shù)據(jù)控制/處理者—相關監(jiān)管部門—相關數(shù)據(jù)主體的依次介入可形成數(shù)據(jù)泄露后風險分擔機制的有效聚合，三方主體各自采取其應當或能夠采取的手段以實現(xiàn)共同的目標：通過風險的分配實現(xiàn)數(shù)據(jù)安全風險的有效防范與化解。

五、結(jié)語

數(shù)據(jù)泄露基于數(shù)據(jù)自身流動性與外部技術(shù)擴張的雙重需求而不可避免，單純依照既往數(shù)據(jù)泄露通知制度的發(fā)展邏輯無法增益于數(shù)據(jù)流通乃至后續(xù)利用環(huán)節(jié)，無法實現(xiàn)社會風險治理功能。面對不斷擴張且危害結(jié)果嚴重化、影響范圍擴大化的數(shù)據(jù)安全風險，固化于規(guī)范層面的數(shù)據(jù)泄露通知制度的理論邏輯已從損害救濟擴張至救濟與風險防控雙管齊下，但仍然存在諸多不足。這也是為何需要在現(xiàn)行數(shù)據(jù)安全立法體系，即法律子系統(tǒng)之外引入其他社會子系統(tǒng)以紓解現(xiàn)有缺憾的原因。在反身法理論指導下，數(shù)據(jù)泄露通知制度完善的基本邏輯是通過各社會子系統(tǒng)的協(xié)調(diào)運行來應對數(shù)據(jù)運用過程中不可規(guī)避的固有風險，這便需要更加豐沛的制度供給為相關監(jiān)管部門、關涉數(shù)據(jù)主體同數(shù)據(jù)控制/處理者間建立有效連接提供滋養(yǎng)，從而構(gòu)建有效風險分擔機制?？梢哉f，數(shù)據(jù)泄露通知制度將是我國數(shù)據(jù)安全保障機制從“控制型”向“保障型”轉(zhuǎn)向的重要成果。

參考文獻：

[1] 高銘暄. 當代刑法前沿問題研究[M]. 北京：人民法院出版社，2019：234.

[2] MULLIGAN D K， BAMBERGER K A. Security Breach Notification Laws： Views from Chief Security Officers[R/OL]. （2007-12-07）[2023-12-26]. http：//www.law.berkeley.edu/clinics/samuelson/cso study.pdf.

[3] 方禹. 個人信息保護中數(shù)據(jù)泄露通知制度的規(guī)范邏輯及其證成[J]. 經(jīng)貿(mào)法律評論，2022（5）：94?98.

[4] 崔聰聰. 數(shù)據(jù)泄露通知制度研究[J]. 西南民族大學學報（人文社科版），2019，40（10）：79.

[5] 劉妍. 美國數(shù)據(jù)泄露通知義務及其啟示[D]. 湘潭：湘潭大學，2021：18?19.

[6] 陸宇峰 .“自創(chuàng)生”系統(tǒng)論法學：一種理解現(xiàn)代法律的新思路[J]. 政法論壇，2014，32（4）：155.

[7] HOPT K J， GUNTHER T. Corporate governance and directors' liabilities： legal， economic， and sociological analyses on corporate social responsibility[M]. Berlin： Walter de Gruyter， 1985： 63.

[8] 貢塔·托依布納. 魔陣·剝削·異化——托依布納法律社會學文集[M]. 泮偉江，等譯. 北京：清華大學出版社，2012：280?284.

[9] 楊炳霖. 回應性管制以安全生產(chǎn)為例的管制法和社會學研究[M]. 北京：知識產(chǎn)權(quán)出版社，2012：20.

[10] 申衛(wèi)星. 論數(shù)據(jù)用益權(quán)[J]. 中國社會科學，2020（11）：115.

[11] 潘靜. 個人信息的聲譽保護機制[J]. 現(xiàn)代法學，2021，43（2）：156.

[12] 史蒂夫·雷納. 文化理論與風險分析[M]//克里姆斯基，戈爾丁. 風險的社會理論學說，徐元玲，等譯. 北京：北京出版社，2005：106.

[13] 王磊. 參差賦權(quán)：人工智能技術(shù)賦權(quán)的基本形態(tài)、潛在風險與應對策略[J]. 自然辯證法通訊，2021，43（2）：20.

[14] 譚冰霖. 環(huán)境規(guī)制的反身法路向[J]. 中外法學，2016，28（6）：1519.

From Remedy to Prevention and Control： Theoretical Logic and Local

Construction of Data Breach Notification System

Feng Mingyu

（School of Law， Nanjing Normal University， Nanjing 210023， China）

Abstract： The tension between data utilisation and data security has given rise to the emergence of the data breach notification system， which not only guarantees the timely intervention of data-related individuals and the relevant regulatory authorities after the occurrence of data security incidents， but also encourages the obligated subjects to continuously update their digital cryptography and improve data encryption technology. However， there is still room for improvement in the local construction of the data breach notification system， and it is necessary to take the underlying jurisprudence of the data breach notification system as the logical origin， innovate the data breach notification system based on the theory of the law of inversion， and build a semiautonomous social system of data security through the intervention paths of data controllers/processors-supervisory agencies-individuals， so as to provide security guarantee covering the whole life cycle of the data.

Keywords： data leakage; value balancing; reflexive law; risk allocation