摘    要：

數(shù)據(jù)安全保護(hù)義務(wù)貫穿于數(shù)據(jù)產(chǎn)權(quán)、數(shù)據(jù)要素流通和交易等基本制度，對(duì)于保護(hù)民事主體的合法權(quán)益，維護(hù)國(guó)家安全，促進(jìn)數(shù)字經(jīng)濟(jì)的發(fā)展，至關(guān)重要。我國(guó)數(shù)據(jù)安全義務(wù)的規(guī)范體系由數(shù)據(jù)安全、網(wǎng)絡(luò)安全與個(gè)人信息保護(hù)三個(gè)方面的法律組成，存在相應(yīng)的適用順序。當(dāng)事人也可以約定數(shù)據(jù)安全保護(hù)義務(wù)。任何實(shí)施數(shù)據(jù)處理活動(dòng)的組織或個(gè)人都是數(shù)據(jù)處理者，負(fù)有數(shù)據(jù)安全保護(hù)義務(wù)。數(shù)據(jù)處理者應(yīng)當(dāng)根據(jù)數(shù)據(jù)安全風(fēng)險(xiǎn)確定所采取的相應(yīng)的技術(shù)措施和其他必要措施，重要數(shù)據(jù)的處理者還負(fù)有兩項(xiàng)特殊的義務(wù)。數(shù)據(jù)處理者違反數(shù)據(jù)安全保護(hù)義務(wù)，導(dǎo)致數(shù)據(jù)被第三人取得進(jìn)而被非法利用，造成他人損害的，直接侵權(quán)人應(yīng)當(dāng)承擔(dān)全部的賠償責(zé)任，而數(shù)據(jù)處理者應(yīng)承擔(dān)與其過(guò)錯(cuò)、原因力相應(yīng)的賠償責(zé)任。

關(guān)鍵詞：數(shù)據(jù)安全;網(wǎng)絡(luò)安全;個(gè)人信息保護(hù);處理者;侵權(quán);            

作者簡(jiǎn)介：程嘯，清華大學(xué)法學(xué)院教授，法學(xué)博士。;

基金：國(guó)家社科基金重大項(xiàng)目“大數(shù)據(jù)時(shí)代個(gè)人數(shù)據(jù)保護(hù)與數(shù)據(jù)權(quán)利體系研究”（項(xiàng)目編號(hào)：18ZDA146）;清華大學(xué)自主科研計(jì)劃項(xiàng)目“個(gè)人信息權(quán)益研究”（項(xiàng)目編號(hào)：2021THZWYY02）的階段性研究成果;

一、引言

現(xiàn)代社會(huì)是信息時(shí)代、網(wǎng)絡(luò)社會(huì)，數(shù)據(jù)正處于越來(lái)越重要的地位。人們將數(shù)據(jù)比喻為“21世紀(jì)的石油”，還有人說(shuō)它是“數(shù)字經(jīng)濟(jì)的血液”。2020年3月30日頒布的《中共中央國(guó)務(wù)院關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見(jiàn)》明確將數(shù)據(jù)作為一種生產(chǎn)要素，與傳統(tǒng)的生產(chǎn)要素如土地、勞動(dòng)力、資本、技術(shù)等并列，并提出，加快培育數(shù)據(jù)要素市場(chǎng)，推進(jìn)政府?dāng)?shù)據(jù)開(kāi)放共享、提升社會(huì)數(shù)據(jù)資源價(jià)值、加強(qiáng)數(shù)據(jù)資源整合和安全保護(hù)。總之，數(shù)據(jù)作為新型生產(chǎn)要素，是數(shù)字化、網(wǎng)絡(luò)化、智能化的基礎(chǔ)，已快速融入生產(chǎn)、分配、流通、消費(fèi)和社會(huì)服務(wù)管理等各環(huán)節(jié)，深刻改變著生產(chǎn)方式、生活方式和社會(huì)治理方式。在現(xiàn)代社會(huì)，無(wú)論是確認(rèn)數(shù)據(jù)的產(chǎn)權(quán)，實(shí)現(xiàn)數(shù)據(jù)的流通、交易、使用、分配，還是建立科學(xué)合理的數(shù)據(jù)要素治理格局，都離不開(kāi)數(shù)據(jù)安全。數(shù)據(jù)安全貫穿于數(shù)據(jù)產(chǎn)權(quán)制度、數(shù)據(jù)要素流通和交易制度、數(shù)據(jù)要素收益分配制度以及數(shù)據(jù)要素治理制度當(dāng)中，它對(duì)于保護(hù)自然人、法人和非法人組織等民事主體的合法權(quán)益，維護(hù)國(guó)家安全，促進(jìn)數(shù)字經(jīng)濟(jì)的發(fā)展至關(guān)重要。倘若不能有效地保護(hù)數(shù)據(jù)安全，就無(wú)法構(gòu)建數(shù)據(jù)基礎(chǔ)制度，也不可能真正發(fā)揮數(shù)據(jù)要素的作用。正因如此，2022年12月2日公布的《中共中央國(guó)務(wù)院關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見(jiàn)》始終將數(shù)據(jù)安全作為重中之重，高度重視數(shù)據(jù)安全保護(hù)，該意見(jiàn)共有14處提及數(shù)據(jù)安全，并明確要求“建立實(shí)施數(shù)據(jù)安全管理認(rèn)證制度”、“構(gòu)建數(shù)據(jù)安全合規(guī)有序跨境流通機(jī)制”、“健全網(wǎng)絡(luò)和數(shù)據(jù)安全保護(hù)體系”以及“規(guī)范企業(yè)參與政府信息化建設(shè)中的政務(wù)數(shù)據(jù)安全管理”。

數(shù)據(jù)安全是指通過(guò)采取必要措施，確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力（我國(guó)數(shù)據(jù)安全法第3條第3款）。所謂數(shù)據(jù)安全保護(hù)義務(wù)，是指有關(guān)組織或個(gè)人負(fù)有的采取必要措施，保護(hù)數(shù)據(jù)的安全，從而防止未經(jīng)授權(quán)的訪問(wèn)以及數(shù)據(jù)的泄露、篡改、丟失，并在已經(jīng)或可能發(fā)生數(shù)據(jù)泄露、篡改、丟失時(shí)采取相應(yīng)補(bǔ)救措施的義務(wù)。2021年9月1日起施行的《中華人民共和國(guó)數(shù)據(jù)安全法》（以下簡(jiǎn)稱(chēng)“《數(shù)據(jù)安全法》”）以“保障數(shù)據(jù)安全”作為主要的立法目的，該法對(duì)于數(shù)據(jù)安全保護(hù)義務(wù)的主體、內(nèi)容以及相應(yīng)的法律責(zé)任等作出了規(guī)定。盡管數(shù)據(jù)安全保護(hù)義務(wù)非常重要，但是理論界對(duì)于數(shù)據(jù)安全保護(hù)義務(wù)的研究卻較為薄弱。對(duì)于數(shù)據(jù)安全保護(hù)義務(wù)的來(lái)源、數(shù)據(jù)安全保護(hù)義務(wù)的主體、具體內(nèi)容的確定與判斷標(biāo)準(zhǔn)，以及違反數(shù)據(jù)安全保護(hù)義務(wù)的侵權(quán)責(zé)任等，尚缺乏深入的研究。有鑒于此，筆者不揣鄙陋，擬在本文中對(duì)我國(guó)法上的數(shù)據(jù)安全保護(hù)義務(wù)做一系統(tǒng)研究，以供理論界與實(shí)務(wù)界參考。

二、數(shù)據(jù)安全保護(hù)義務(wù)的產(chǎn)生途徑

數(shù)據(jù)安全保護(hù)義務(wù)的產(chǎn)生途徑即該義務(wù)的來(lái)源包括法定與約定兩種。法定的數(shù)據(jù)安全保護(hù)義務(wù)是通過(guò)法律、法規(guī)中的強(qiáng)制性規(guī)范而直接確定相應(yīng)主體所負(fù)有的保護(hù)數(shù)據(jù)安全的義務(wù)，如我國(guó)數(shù)據(jù)安全法、個(gè)人信息保護(hù)法等法律中規(guī)定的數(shù)據(jù)安全保護(hù)義務(wù)。約定的數(shù)據(jù)安全保護(hù)義務(wù)是在數(shù)據(jù)處理活動(dòng)中當(dāng)事人之間通過(guò)合同的約定而產(chǎn)生的一方所負(fù)有的數(shù)據(jù)安全保護(hù)義務(wù)，如A公司委托B公司處理某些數(shù)據(jù)，雙方在委托合同中約定受托人B公司負(fù)有相應(yīng)的數(shù)據(jù)安全保護(hù)義務(wù)。

（一）我國(guó)數(shù)據(jù)安全保護(hù)義務(wù)的規(guī)范體系與適用

確保數(shù)據(jù)得到有效的保護(hù)，防止其泄露、丟失、篡改或被非法利用，對(duì)于保護(hù)民事主體的合法權(quán)益、維護(hù)社會(huì)公共利益、保護(hù)國(guó)家安全等至關(guān)重要。故此，各國(guó)立法機(jī)關(guān)都通過(guò)法律法規(guī)對(duì)于數(shù)據(jù)安全保護(hù)義務(wù)作出具體的規(guī)定。以美國(guó)為例，從聯(lián)邦立法到州立法均有關(guān)于數(shù)據(jù)安全保護(hù)義務(wù)的規(guī)定，大致可以分為四個(gè)部分：一是聯(lián)邦法規(guī)，即聯(lián)邦政府中負(fù)責(zé)監(jiān)督那些受高度監(jiān)管的行業(yè)（如醫(yī)療保健、金融服務(wù)行業(yè)）的政府部門(mén)頒布的法規(guī)，如HIPAA Security Rule；二是消費(fèi)者保護(hù)法規(guī)，即在聯(lián)邦貿(mào)易委員會(huì)（FTC）和州檢察長(zhǎng)等消費(fèi)者保護(hù)監(jiān)管機(jī)構(gòu)發(fā)布的消費(fèi)者保護(hù)法規(guī)中規(guī)定的數(shù)據(jù)安全保護(hù)義務(wù)，如FTC Section 5；三是數(shù)據(jù)泄露通知相關(guān)法律的規(guī)定；四是加利福尼亞、馬薩諸塞、紐約和俄亥俄等一些州的立法對(duì)于特定的數(shù)據(jù)安全義務(wù)的規(guī)定。1

我國(guó)對(duì)于數(shù)據(jù)安全保護(hù)義務(wù)作出規(guī)定的法律規(guī)范主要包括三個(gè)層次，即法律、法規(guī)和規(guī)章。法律如數(shù)據(jù)安全法、網(wǎng)絡(luò)安全法、個(gè)人信息保護(hù)法等；法規(guī)包括行政法規(guī)和地方性法規(guī)，行政法規(guī)如《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》《中華人民共和國(guó)電信條例》《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》等，地方性法規(guī)如《山西省計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》《寧夏回族自治區(qū)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例》《上海市數(shù)據(jù)條例》等。規(guī)定數(shù)據(jù)安全保護(hù)義務(wù)的部門(mén)規(guī)章主要是公安部、國(guó)家網(wǎng)信辦、工信部等國(guó)家部委頒布的，如《數(shù)據(jù)出境安全評(píng)估辦法》《汽車(chē)數(shù)據(jù)安全管理若干規(guī)定（試行）》《電信和互聯(lián)網(wǎng)用戶(hù)個(gè)人信息保護(hù)規(guī)定》《信息安全等級(jí)保護(hù)管理辦法》等。就我國(guó)數(shù)據(jù)安全保護(hù)義務(wù)的法律規(guī)范體系而言，需要注意的是，從法律即全國(guó)人民代表大會(huì)及其常務(wù)委員會(huì)制定的規(guī)范性法律文件層面來(lái)看，它們是由數(shù)據(jù)安全、網(wǎng)絡(luò)安全和個(gè)人信息保護(hù)這三方面的法律所組成的。具體而言：

1. 數(shù)據(jù)安全方面的法律規(guī)范

《數(shù)據(jù)安全法》是數(shù)據(jù)安全保護(hù)義務(wù)最基本的法律淵源，該法以保護(hù)數(shù)據(jù)安全為立法目的，確立建立了諸多基本的數(shù)據(jù)安全制度（第3章），如數(shù)據(jù)分類(lèi)分級(jí)保護(hù)、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、數(shù)據(jù)安全應(yīng)急處置、數(shù)據(jù)安全審查以及數(shù)據(jù)出口管制等，還專(zhuān)章對(duì)于數(shù)據(jù)安全保護(hù)義務(wù)作出了規(guī)定。此外，《數(shù)據(jù)安全法》還就政務(wù)數(shù)據(jù)的安全保護(hù)以及國(guó)家機(jī)關(guān)的數(shù)據(jù)安全保護(hù)義務(wù)作出了規(guī)定（第5章）。

2. 網(wǎng)絡(luò)安全方面的法律規(guī)范

我國(guó)網(wǎng)絡(luò)安全方面的法律主要包括《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱(chēng)“《網(wǎng)絡(luò)安全法》”）、《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》等。網(wǎng)絡(luò)安全（cyber security）與數(shù)據(jù)安全（data security）既有聯(lián)系也有區(qū)別。通說(shuō)將網(wǎng)絡(luò)安全分為四個(gè)層面，即物理安全、運(yùn)行安全、數(shù)據(jù)安全與內(nèi)容安全，分別對(duì)應(yīng)基礎(chǔ)設(shè)施的安全、信息系統(tǒng)的安全、信息自身的安全以及信息利用的安全。2《網(wǎng)絡(luò)安全法》將網(wǎng)絡(luò)安全分為網(wǎng)絡(luò)運(yùn)行安全和網(wǎng)絡(luò)信息安全，該法第76條第2項(xiàng)將網(wǎng)絡(luò)安全界定為“通過(guò)采取必要措施，防范對(duì)網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運(yùn)行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力”。由此可見(jiàn)，網(wǎng)絡(luò)安全中的網(wǎng)絡(luò)信息安全就包括了網(wǎng)絡(luò)數(shù)據(jù)安全�！毒W(wǎng)絡(luò)安全法》第四章“網(wǎng)絡(luò)信息安全”中關(guān)于保護(hù)網(wǎng)絡(luò)用戶(hù)信息的安全的規(guī)定，也就是對(duì)網(wǎng)絡(luò)數(shù)據(jù)安全的規(guī)定。3

3. 個(gè)人信息保護(hù)方面的法律規(guī)范

我國(guó)個(gè)人信息保護(hù)方面的法律主要包括民法典、個(gè)人信息保護(hù)法、電子商務(wù)法、未成年人保護(hù)法以及《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》等。電子化方式記載的個(gè)人信息就是個(gè)人數(shù)據(jù)，保護(hù)個(gè)人信息當(dāng)然包含了保護(hù)個(gè)人數(shù)據(jù)安全，而數(shù)據(jù)安全保護(hù)義務(wù)所指向的數(shù)據(jù)也包括了個(gè)人數(shù)據(jù)和非個(gè)人數(shù)據(jù)。《中華人民共和國(guó)個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱(chēng)“《個(gè)人信息保護(hù)法》”）明確要求個(gè)人信息處理者應(yīng)當(dāng)對(duì)其個(gè)人信息處理活動(dòng)負(fù)責(zé)，并采取必要措施保障所處理的個(gè)人信息的安全（第9條）。同時(shí)，該法第五章“個(gè)人信息處理者的義務(wù)”中對(duì)于個(gè)人信息處理者應(yīng)當(dāng)根據(jù)個(gè)人信息的處理目的、處理方式、個(gè)人信息的種類(lèi)以及對(duì)個(gè)人權(quán)益的影響、可能存在的安全風(fēng)險(xiǎn)等，采取相應(yīng)的措施防止未經(jīng)授權(quán)的訪問(wèn)以及個(gè)人信息泄露、篡改、丟失（第51條），以及在已經(jīng)發(fā)生或者可能發(fā)生個(gè)人信息泄露、篡改、丟失時(shí)應(yīng)當(dāng)采取的補(bǔ)救措施（第57條）等作出了規(guī)定。

在上述三方面法律對(duì)數(shù)據(jù)安全保護(hù)義務(wù)均有規(guī)定的情形下，應(yīng)注意它們的適用關(guān)系。筆者認(rèn)為，一方面，只要處理的數(shù)據(jù)屬于個(gè)人數(shù)據(jù)即以電子方式記載的個(gè)人信息的，則數(shù)據(jù)安全保護(hù)義務(wù)就具體表現(xiàn)為個(gè)人數(shù)據(jù)保護(hù)即個(gè)人信息保護(hù)義務(wù)，此時(shí)應(yīng)當(dāng)優(yōu)先適用個(gè)人信息保護(hù)法方面的法律規(guī)定，沒(méi)有規(guī)定的則適用數(shù)據(jù)安全保護(hù)法的相關(guān)規(guī)定；另一方面，如果是線上處理數(shù)據(jù)即利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)開(kāi)展的數(shù)據(jù)處理活動(dòng)，則無(wú)論處理的數(shù)據(jù)是個(gè)人數(shù)據(jù)還是非個(gè)人數(shù)據(jù)，都應(yīng)當(dāng)同時(shí)適用網(wǎng)絡(luò)安全方面的法律，即在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上履行數(shù)據(jù)安全保護(hù)義務(wù)，至于線下處理數(shù)據(jù)則不適用。

（二）約定數(shù)據(jù)安全保護(hù)義務(wù)的情形

除了法律、法規(guī)和規(guī)章對(duì)數(shù)據(jù)安全保護(hù)義務(wù)的規(guī)定外，在數(shù)據(jù)處理的實(shí)踐中，基于各種考慮，當(dāng)事人還往往通過(guò)合同對(duì)數(shù)據(jù)安全保護(hù)義務(wù)作出約定。具體而言，當(dāng)事人約定數(shù)據(jù)安全保護(hù)義務(wù)的情形主要有以下三類(lèi)：其一，委托處理數(shù)據(jù)的場(chǎng)合，即一方當(dāng)事人委托另一方當(dāng)事人為其處理某些數(shù)據(jù)，即提供相應(yīng)的數(shù)據(jù)處理服務(wù)的情形。例如，C公司委托D公司為其處理某些數(shù)據(jù)時(shí)，由于受托人D公司將接觸到相應(yīng)的數(shù)據(jù)，故此，為了保護(hù)數(shù)據(jù)的安全，當(dāng)事人需要對(duì)于受托人的數(shù)據(jù)安全保護(hù)義務(wù)作出約定。不過(guò)，對(duì)于國(guó)家機(jī)關(guān)委托他人處理政務(wù)數(shù)據(jù)時(shí)，法律上有強(qiáng)制性的規(guī)定。我國(guó)數(shù)據(jù)安全法第40條明確要求，國(guó)家機(jī)關(guān)委托他人建設(shè)、維護(hù)電子政務(wù)系統(tǒng)，存儲(chǔ)、加工政務(wù)數(shù)據(jù)，應(yīng)當(dāng)經(jīng)過(guò)嚴(yán)格的批準(zhǔn)程序，并應(yīng)當(dāng)監(jiān)督受托方履行相應(yīng)的數(shù)據(jù)安全保護(hù)義務(wù)。受托方應(yīng)當(dāng)依照法律、法規(guī)的規(guī)定和合同約定履行數(shù)據(jù)安全保護(hù)義務(wù)，不得擅自留存、使用、泄露或者向他人提供政務(wù)數(shù)據(jù)。此外，我國(guó)個(gè)人信息保護(hù)法第21條規(guī)定，個(gè)人信息處理者在委托處理個(gè)人信息時(shí)，應(yīng)當(dāng)與受托人約定包括個(gè)人信息保護(hù)措施等在內(nèi)的事項(xiàng)，還要求委托人要對(duì)受托人的個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督。

其二，提供數(shù)據(jù)或轉(zhuǎn)移數(shù)據(jù)以及共享數(shù)據(jù)的情形。當(dāng)數(shù)據(jù)處理者需要將數(shù)據(jù)提供給其他的處理者、因?yàn)楣�司的分立合并等而發(fā)生數(shù)據(jù)轉(zhuǎn)移，或者因數(shù)據(jù)的共享利用使得其他主體能接觸到數(shù)據(jù)時(shí)，為了確保數(shù)據(jù)的安全，當(dāng)事人往往要對(duì)數(shù)據(jù)安全保護(hù)義務(wù)作出約定。例如，希望接受信用卡的商家必須通過(guò)合同的約定來(lái)遵守支付卡行業(yè)的數(shù)據(jù)安全標(biāo)準(zhǔn)，否則銀行就不會(huì)同意該商家接受信用卡。同樣，想要發(fā)起電子支付訂單（如從客戶(hù)的銀行賬戶(hù)中扣款）的企業(yè)，也必須同意適用電子支付系統(tǒng)（例如ACH支付系統(tǒng)）的規(guī)則，包括約定數(shù)據(jù)安全保護(hù)義務(wù)的條款。4再如，在商業(yè)活動(dòng)中對(duì)于第三方供應(yīng)商（third-party vendor）的風(fēng)險(xiǎn)尤其是數(shù)據(jù)及網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)管理，成為現(xiàn)代企業(yè)風(fēng)險(xiǎn)管理中越來(lái)越重要的環(huán)節(jié)。許多企業(yè)在與第三方供應(yīng)商簽訂的合同（如與云服務(wù)提供商簽訂的合同）中會(huì)通過(guò)很多條款來(lái)詳細(xì)約定數(shù)據(jù)安全保護(hù)義務(wù)，這些條款包括：（1）供應(yīng)商合規(guī)性條款，即要求第三方供應(yīng)商陳述并保證遵守與個(gè)人信息的擁有或使用相關(guān)的所有可適用的法律和條例，并要求遵守本企業(yè)的隱私和信息保證政策以及相關(guān)做法；（2）安全程序條款，即要求第三方供應(yīng)商在可行的范圍內(nèi)維護(hù)其自身的隱私和信息安全計(jì)劃，并對(duì)其安全和信息保證實(shí)踐進(jìn)行定期風(fēng)險(xiǎn)評(píng)估；（3）保障措施條款，即通過(guò)合同要求企業(yè)的供應(yīng)商保證其能夠?qū)崿F(xiàn)對(duì)企業(yè)數(shù)據(jù)的適當(dāng)保護(hù)；（4）賠償條款，即第三方供應(yīng)商應(yīng)就為其未能遵守適用的隱私法導(dǎo)致數(shù)據(jù)丟失或因過(guò)錯(cuò)而致數(shù)據(jù)泄露承擔(dān)相應(yīng)的賠償責(zé)任等；（5）保密條款，即要求第三方供應(yīng)商確保充分保護(hù)企業(yè)的數(shù)據(jù)，并且通過(guò)相應(yīng)的約定來(lái)處理合同履行完畢后數(shù)據(jù)的保護(hù)、銷(xiāo)毀和歸還等問(wèn)題。5

其三，保險(xiǎn)公司承保數(shù)據(jù)安全事件的責(zé)任保險(xiǎn)的情形。6國(guó)外保險(xiǎn)公司為數(shù)據(jù)安全事件提供相應(yīng)的責(zé)任保險(xiǎn)時(shí)，為了能夠控制風(fēng)險(xiǎn)，在決定是否承保前，保險(xiǎn)公司會(huì)組織專(zhuān)業(yè)人士對(duì)投保人的數(shù)據(jù)安全保護(hù)的現(xiàn)狀加以了解，通過(guò)詳細(xì)詢(xún)問(wèn)等風(fēng)險(xiǎn)評(píng)估流程來(lái)了解投保人的數(shù)據(jù)安全治理水平以及防火墻、加密、補(bǔ)丁、密碼強(qiáng)度、多因素身份驗(yàn)證等特定保護(hù)措施的使用情況如何。在決定承保后，保險(xiǎn)公司會(huì)對(duì)被保險(xiǎn)人提出相應(yīng)的數(shù)據(jù)安全保護(hù)的要求，要求被保險(xiǎn)人承諾采取相應(yīng)的措施，盡到相應(yīng)的義務(wù)來(lái)保障數(shù)據(jù)的安全。并且在合同中明確約定，如果被保險(xiǎn)人沒(méi)有履行這些數(shù)據(jù)安全保護(hù)義務(wù)，則一旦出現(xiàn)數(shù)據(jù)安全事件時(shí)，就無(wú)法獲得保險(xiǎn)公司的理賠。7

三、數(shù)據(jù)安全保護(hù)義務(wù)的主體與適用范圍

數(shù)據(jù)安全保護(hù)義務(wù)的主體就是數(shù)據(jù)的處理者，而該義務(wù)所指向的客體即適用的對(duì)象是數(shù)據(jù)處理者所處理的數(shù)據(jù)。《數(shù)據(jù)安全法》對(duì)于數(shù)據(jù)與數(shù)據(jù)處理都有相應(yīng)的界定。依據(jù)該法，所謂數(shù)據(jù)，是指任何以電子或者其他方式對(duì)信息的記錄。數(shù)據(jù)處理，包括數(shù)據(jù)的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)等。

（一）數(shù)據(jù)處理者是數(shù)據(jù)安全保護(hù)義務(wù)的主體

數(shù)據(jù)安全保護(hù)義務(wù)的首要主體就是數(shù)據(jù)處理者，8即實(shí)施數(shù)據(jù)的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)等活動(dòng)的主體，包括自然人、法人或者非法人組織。我國(guó)數(shù)據(jù)安全法等法律沒(méi)有界定數(shù)據(jù)處理者。筆者認(rèn)為，數(shù)據(jù)處理者是指任何實(shí)施了數(shù)據(jù)的收集、存儲(chǔ)、加工、傳輸、提供、公開(kāi)等處理活動(dòng)的組織或個(gè)人。數(shù)據(jù)處理者的界定不同于個(gè)人信息處理者。依據(jù)《個(gè)人信息保護(hù)法》第73條第（一）項(xiàng)，個(gè)人信息處理者是指“在個(gè)人信息處理活動(dòng)中自主決定處理目的、處理方式的組織、個(gè)人”。我國(guó)法上的個(gè)人信息處理者相當(dāng)于歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）上的個(gè)人數(shù)據(jù)控制者。9任何不是自主決定個(gè)人信息的處理目的與處理方式的組織或個(gè)人，雖然客觀上實(shí)施了處理個(gè)人信息的行為，也不是個(gè)人信息處理者，而是受委托處理個(gè)人信息的受托人（《個(gè)人信息保護(hù)法》第59條）。然而，對(duì)于數(shù)據(jù)處理者而言，卻不需將自主決定數(shù)據(jù)的處理目的和處理方式作為核心判斷要素。這是因?yàn)�，《個(gè)人信息保護(hù)法》以是否自主地決定處理目的與處理方式來(lái)作為認(rèn)定個(gè)人信息處理者標(biāo)準(zhǔn)的根本原因在于：只有個(gè)人信息處理者才是個(gè)人信息保護(hù)法實(shí)施中的關(guān)鍵行為者，其是個(gè)人信息保護(hù)法設(shè)定的向個(gè)人負(fù)擔(dān)的各種義務(wù)的首要承擔(dān)者。10如果只是客觀上實(shí)施了個(gè)人信息處理的行為，但卻是根據(jù)他人決定的處理目的與處理方式來(lái)這樣做的組織或個(gè)人，受托人不需要負(fù)擔(dān)太多的義務(wù)，尤其是可以豁免《個(gè)人信息保護(hù)法》第13條、第17條等關(guān)于獲取處理個(gè)人信息的合法性來(lái)源的義務(wù)、通知義務(wù)以及該法第5章規(guī)定的指定個(gè)人信息保護(hù)負(fù)責(zé)人、合規(guī)審計(jì)等義務(wù)，其僅僅負(fù)有特定的義務(wù)，即依法采取必要措施保障所處理的個(gè)人信息的安全以及協(xié)助個(gè)人信息處理者履行個(gè)人信息保護(hù)法所規(guī)定的義務(wù)即可（《個(gè)人信息保護(hù)法》第59條）。數(shù)據(jù)處理中，處理者所處理的數(shù)據(jù)既包括個(gè)人數(shù)據(jù)（即個(gè)人信息），也包括其他數(shù)據(jù)。就保護(hù)數(shù)據(jù)安全的義務(wù)而言，無(wú)論處理者是自主地決定數(shù)據(jù)處理目的和處理方式，還是依據(jù)他人的指示來(lái)處理數(shù)據(jù)，都負(fù)有數(shù)據(jù)安全保護(hù)義務(wù)。故此，只要是實(shí)施了數(shù)據(jù)處理活動(dòng)的組織和個(gè)人，就是數(shù)據(jù)處理者，既包括自然人、企事業(yè)單位等民事主體，也包括國(guó)家機(jī)關(guān)以及法律、法規(guī)授權(quán)的具有管理公共事務(wù)職能的組織。

（二）數(shù)據(jù)安全保護(hù)義務(wù)適用于所有的數(shù)據(jù)處理活動(dòng)

數(shù)據(jù)安全保護(hù)義務(wù)指向的客體是數(shù)據(jù)處理者所處理的數(shù)據(jù)。也就是說(shuō)，只要是數(shù)據(jù)處理者所處理的數(shù)據(jù)，數(shù)據(jù)處理者都負(fù)有數(shù)據(jù)安全保護(hù)義務(wù)。依據(jù)不同的標(biāo)準(zhǔn)，人們可以對(duì)數(shù)據(jù)進(jìn)行不同的分類(lèi)，如依據(jù)是否與已經(jīng)識(shí)別或者可識(shí)別的自然人相關(guān)，可以將其分為個(gè)人數(shù)據(jù)與非個(gè)人數(shù)據(jù)。凡是與已經(jīng)識(shí)別或者可識(shí)別的自然人相關(guān)的數(shù)據(jù)都屬于個(gè)人數(shù)據(jù)，也即個(gè)人信息，11而那些與已識(shí)別或可識(shí)別的自然人無(wú)關(guān)的數(shù)據(jù)或者匿名化處理的數(shù)據(jù)，都屬于非個(gè)人數(shù)據(jù)。此外，依據(jù)制作、產(chǎn)生數(shù)據(jù)的主體和來(lái)源的不同，可以將數(shù)據(jù)分為政務(wù)數(shù)據(jù)與非政務(wù)數(shù)據(jù)。政務(wù)數(shù)據(jù)，也稱(chēng)政府?dāng)?shù)據(jù)、政府信息等，它是指政府部門(mén)及法律法規(guī)授權(quán)的具有行政職能的事業(yè)單位和社會(huì)組織（即政務(wù)部門(mén)）在履行職責(zé)過(guò)程中制作或獲取的數(shù)據(jù)，包括政務(wù)部門(mén)直接或通過(guò)第三方依法采集的、依法授權(quán)管理的和因履行職責(zé)需要依托政務(wù)信息系統(tǒng)形成的數(shù)據(jù)等。12除了政務(wù)數(shù)據(jù)之外的其他數(shù)據(jù)統(tǒng)稱(chēng)為非政務(wù)數(shù)據(jù)，其中，既包括自然人、公司企業(yè)等民事主體從事經(jīng)營(yíng)服務(wù)活動(dòng)中依法收集的數(shù)據(jù)，也包括醫(yī)療、教育、供水、供電、供氣、通信、文旅、體育、環(huán)境保護(hù)、交通運(yùn)輸?shù)裙�共企業(yè)事業(yè)單位在提供公共服務(wù)中依法收集的數(shù)據(jù)。我國(guó)一些地方性法規(guī)將這些提供公共服務(wù)的組織所收集的數(shù)據(jù)稱(chēng)為“公共服務(wù)數(shù)據(jù)”，并將其與政務(wù)數(shù)據(jù)統(tǒng)稱(chēng)“公共數(shù)據(jù)”。13《數(shù)據(jù)安全法》第五章專(zhuān)門(mén)對(duì)政務(wù)數(shù)據(jù)的安全保護(hù)作出了規(guī)定，就政務(wù)部門(mén)尤其是國(guó)家機(jī)關(guān)而言，其在數(shù)據(jù)的安全保護(hù)上具有雙重角色，一方面，作為數(shù)據(jù)的處理者，其應(yīng)當(dāng)履行數(shù)據(jù)安全保護(hù)義務(wù)，建立健全數(shù)據(jù)安全管理制度，落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任，保障政務(wù)數(shù)據(jù)安全。另一方面，政務(wù)數(shù)據(jù)應(yīng)當(dāng)實(shí)現(xiàn)政務(wù)部門(mén)之間的共享，同時(shí)還需向社會(huì)開(kāi)放。《政務(wù)信息資源共享管理暫行辦法》第5條明確規(guī)定，政務(wù)信息資源的共享應(yīng)當(dāng)是以共享為原則，不共享為例外，遵循需求導(dǎo)向，無(wú)償使用等原則。我國(guó)政府信息公開(kāi)條例第13條明確規(guī)定，除依法確定為國(guó)家秘密的政府信息，法律、行政法規(guī)禁止公開(kāi)的政府信息，以及公開(kāi)后可能危及國(guó)家安全、公共安全、經(jīng)濟(jì)安全、社會(huì)穩(wěn)定的政府信息，涉及商業(yè)秘密、個(gè)人隱私等公開(kāi)會(huì)對(duì)第三方合法權(quán)益造成損害的政府信息以及行政機(jī)關(guān)內(nèi)部事務(wù)信息等不公開(kāi)外，政府信息都應(yīng)當(dāng)公開(kāi)。

就數(shù)據(jù)安全保護(hù)義務(wù)適用的數(shù)據(jù)而言，“重要數(shù)據(jù)”這個(gè)概念非常重要。首次提出“重要數(shù)據(jù)”概念的是《網(wǎng)絡(luò)安全法》。該法第21條要求網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，采取相應(yīng)的措施來(lái)履行安全保護(hù)義務(wù)，其中的一項(xiàng)措施就是“采取數(shù)據(jù)分類(lèi)、重要數(shù)據(jù)備份和加密等措施”。此外，該法第37條要求關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在我國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)制定的辦法進(jìn)行安全評(píng)估。《網(wǎng)絡(luò)安全法》并未界定何為“重要數(shù)據(jù)”。《數(shù)據(jù)安全法》也對(duì)重要數(shù)據(jù)作出了規(guī)定，依據(jù)該法第21條，國(guó)家建立數(shù)據(jù)分類(lèi)分級(jí)保護(hù)制度，根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對(duì)國(guó)家安全、公共利益或者個(gè)人、組織合法權(quán)益造成的危害程度，對(duì)數(shù)據(jù)實(shí)行分類(lèi)分級(jí)保護(hù)。國(guó)家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)有關(guān)部門(mén)制定重要數(shù)據(jù)目錄，加強(qiáng)對(duì)重要數(shù)據(jù)的保護(hù)。關(guān)系國(guó)家安全、國(guó)民經(jīng)濟(jì)命脈、重要民生、重大公共利益等數(shù)據(jù)屬于國(guó)家核心數(shù)據(jù)，實(shí)行更加嚴(yán)格的管理制度。各地區(qū)、各部門(mén)應(yīng)當(dāng)按照數(shù)據(jù)分類(lèi)分級(jí)保護(hù)制度，確定本地區(qū)、本部門(mén)以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄，對(duì)列入目錄的數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)。不過(guò)，對(duì)于何為“重要數(shù)據(jù)”，《數(shù)據(jù)安全法》也沒(méi)有作出具體規(guī)定。

2021年8月16日國(guó)家互聯(lián)網(wǎng)信息辦公室、國(guó)家發(fā)展改革委、工信部、公安部與交通運(yùn)輸部聯(lián)合發(fā)布的《汽車(chē)數(shù)據(jù)安全管理若干規(guī)定（試行）》第3條第5款將重要數(shù)據(jù)界定為：是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國(guó)家安全、公共利益或者個(gè)人、組織合法權(quán)益的數(shù)據(jù)，包括：（1）軍事管理區(qū)、國(guó)防科工單位以及縣級(jí)以上黨政機(jī)關(guān)等重要敏感區(qū)域的地理信息、人員流量、車(chē)輛流量等數(shù)據(jù)；（2）車(chē)輛流量、物流等反映經(jīng)濟(jì)運(yùn)行情況的數(shù)據(jù)；（3）汽車(chē)充電網(wǎng)的運(yùn)行數(shù)據(jù)；（4）包含人臉信息、車(chē)牌信息等的車(chē)外視頻、圖像數(shù)據(jù)；（6）國(guó)家網(wǎng)信部門(mén)和國(guó)務(wù)院發(fā)展改革、工業(yè)和信息化、公安、交通運(yùn)輸?shù)扔嘘P(guān)部門(mén)確定的其他可能危害國(guó)家安全、公共利益或者個(gè)人、組織合法權(quán)益的數(shù)據(jù)。此外，2022年7月7日國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布的《數(shù)據(jù)出境安全評(píng)估辦法》第19條將重要數(shù)據(jù)界定為“是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等，可能危害國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共健康和安全等的數(shù)據(jù)”。顯然，重要數(shù)據(jù)的安全具有特別重大的意義，為了更好地保護(hù)重要數(shù)據(jù)，防止重要數(shù)據(jù)被篡改、破壞、泄露或者被他人非法獲取、非法利用，從而產(chǎn)生危害國(guó)家安全等后果，故此，《數(shù)據(jù)安全法》第27條第2款與第30條針對(duì)重要數(shù)據(jù)的處理者專(zhuān)門(mén)規(guī)定了數(shù)據(jù)安全保護(hù)義務(wù)的兩項(xiàng)特別內(nèi)容。

四、數(shù)據(jù)安全保護(hù)義務(wù)的內(nèi)容

（一）數(shù)據(jù)安全保護(hù)義務(wù)的基本內(nèi)容

《數(shù)據(jù)安全法》第27條第1款對(duì)于數(shù)據(jù)處理者的數(shù)據(jù)安全保護(hù)義務(wù)提出了一般性的要求，即建立健全全流程數(shù)據(jù)安全管理制度，組織開(kāi)展數(shù)據(jù)安全教育培訓(xùn)，采取相應(yīng)的技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全。依據(jù)該條第2款的規(guī)定，如果是利用信息網(wǎng)絡(luò)開(kāi)展數(shù)據(jù)處理活動(dòng)的，則應(yīng)當(dāng)在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，履行前述數(shù)據(jù)安全保護(hù)義務(wù)。此外，《網(wǎng)絡(luò)安全法》第21條、《個(gè)人信息保護(hù)法》第51條分別就網(wǎng)絡(luò)運(yùn)營(yíng)者如何按照網(wǎng)絡(luò)安全等級(jí)保護(hù)的要求履行安全保護(hù)義務(wù)，以及個(gè)人信息處理者如何保護(hù)個(gè)人信息安全作出了具體的規(guī)定。此外，《數(shù)據(jù)安全法》第29條規(guī)定，開(kāi)展數(shù)據(jù)處理活動(dòng)應(yīng)當(dāng)加強(qiáng)風(fēng)險(xiǎn)監(jiān)測(cè)，發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施；發(fā)生數(shù)據(jù)安全事件時(shí)，應(yīng)當(dāng)立即采取處置措施，按照規(guī)定及時(shí)告知用戶(hù)并向有關(guān)主管部門(mén)報(bào)告。結(jié)合上述規(guī)定可知，數(shù)據(jù)安全保護(hù)義務(wù)包括以下四項(xiàng)基本內(nèi)容：（1）建立健全全流程數(shù)據(jù)安全管理制度；（2）組織開(kāi)展數(shù)據(jù)安全教育培訓(xùn)；（3）采取相應(yīng)的技術(shù)措施和其他必要措施；（4）風(fēng)險(xiǎn)監(jiān)測(cè)義務(wù)與采取補(bǔ)救措施、處置措施的義務(wù)。在上述四項(xiàng)內(nèi)容中，需要研究的是，首先，如何判斷數(shù)據(jù)處理者采取了相應(yīng)的技術(shù)措施和其他必要措施？其次，當(dāng)存在數(shù)據(jù)泄露的風(fēng)險(xiǎn)或者已經(jīng)發(fā)生數(shù)據(jù)泄露后，數(shù)據(jù)處理者應(yīng)當(dāng)采取何種補(bǔ)救措施或處置措施？

1. 采取相應(yīng)的技術(shù)措施和其他必要措施

理論界將數(shù)據(jù)處理者為保護(hù)數(shù)據(jù)安全所采取的措施大致分為三類(lèi)：一是物理安全措施（physical security measures），這些安全措施旨在保護(hù)構(gòu)成物理計(jì)算機(jī)系統(tǒng)的有形物品和處理、通信和存儲(chǔ)數(shù)據(jù)的網(wǎng)絡(luò)，包括服務(wù)器、用于訪問(wèn)系統(tǒng)的設(shè)備、存儲(chǔ)設(shè)備等。例如，柵欄、墻壁和其他障礙物；鎖具、保險(xiǎn)箱和保險(xiǎn)庫(kù)；武裝警衛(wèi)；傳感器和警鈴。二是技術(shù)安全措施（technical security measures），這些安全措施涉及使用納入計(jì)算機(jī)硬件、軟件和相關(guān)設(shè)備的安全措施，旨在確保系統(tǒng)可用性、控制對(duì)系統(tǒng)和信息的訪問(wèn)、對(duì)尋求訪問(wèn)的人員進(jìn)行身份驗(yàn)證、保護(hù)通過(guò)系統(tǒng)傳輸和存儲(chǔ)在系統(tǒng)上的信息的完整性，并在適當(dāng)?shù)那闆r下確保機(jī)密性。例如，防火墻、入侵檢測(cè)軟件、訪問(wèn)控制軟件、防病毒軟件、密碼、PIN碼、智能卡、生物識(shí)別令牌和加密過(guò)程。三是行政安全措施（administrative security measures），也稱(chēng)組織性安全措施，包括管理程序，約束、操作程序，問(wèn)責(zé)程序，政策和補(bǔ)充行政控制，以防止未經(jīng)授權(quán)的訪問(wèn)并提供計(jì)算資源和數(shù)據(jù)的可接受保護(hù)級(jí)別。行政安全程序通常包括人事管理、員工使用政策、培訓(xùn)和紀(jì)律。14從比較法來(lái)看，歐盟《通用數(shù)據(jù)保護(hù)條例》將數(shù)據(jù)控制者采取的措施分為兩類(lèi)：技術(shù)性措施與組織性措施（technical and organisational measures）。15該條例第32條要求控制者和處理者實(shí)施與數(shù)據(jù)處理風(fēng)險(xiǎn)相適應(yīng)的技術(shù)措施和組織措施，對(duì)他們施加數(shù)據(jù)安全責(zé)任。作為第一步，控制者和處理者必須識(shí)別和評(píng)估數(shù)據(jù)處理帶來(lái)的特定風(fēng)險(xiǎn)，特別注意意外或非法破壞、丟失、更改、未經(jīng)授權(quán)披露或訪問(wèn)個(gè)人數(shù)據(jù)的風(fēng)險(xiǎn)。第二步，他們必須確定并實(shí)施安全措施作為緩解措施。16歐盟《通用數(shù)據(jù)保護(hù)條例》要求數(shù)據(jù)控制者或處理者采取的是“相應(yīng)的”（appropriate）的技術(shù)性措施和組織性措施，這體現(xiàn)了比例原則的要求。也就是說(shuō)，在確定如何確保數(shù)據(jù)的安全方面，比例原則需要考慮用于實(shí)現(xiàn)目標(biāo)的手段是否與目標(biāo)的重要性相對(duì)應(yīng)以及是否有必要實(shí)現(xiàn)目標(biāo)。17因此，應(yīng)根據(jù)安全措施是否有合理可能實(shí)現(xiàn)其目標(biāo)來(lái)評(píng)估安全措施的使用，以及權(quán)衡相互競(jìng)爭(zhēng)的各項(xiàng)利益即評(píng)估一項(xiàng)措施對(duì)值得保護(hù)合法利益的影響，并根據(jù)所追求的目標(biāo)的重要性來(lái)確定后果是否合理。在美國(guó)，聯(lián)邦以及州法的數(shù)據(jù)安全保護(hù)義務(wù)法律體系對(duì)數(shù)據(jù)處理者應(yīng)當(dāng)履行的安全保護(hù)義務(wù)的要求可以分為三個(gè)層次：首先，數(shù)據(jù)處理者應(yīng)當(dāng)評(píng)估其面臨的安全風(fēng)險(xiǎn)并在此基礎(chǔ)上采取合理的舉措（reasonable steps）應(yīng)對(duì)該等風(fēng)險(xiǎn)；其次，數(shù)據(jù)處理者作出的保護(hù)數(shù)據(jù)的努力不僅應(yīng)當(dāng)是合理的，適合其資源和風(fēng)險(xiǎn)水平的，還應(yīng)當(dāng)是系統(tǒng)的、有組織的。具體而言包括五個(gè)部分：風(fēng)險(xiǎn)評(píng)估、正規(guī)的政策、組織領(lǐng)導(dǎo)、培訓(xùn)和審計(jì)（risk assessment,formal policy,leadership,training,and audit），它們組成了一個(gè)循環(huán)。再次，數(shù)據(jù)處理者應(yīng)當(dāng)采取基本的技術(shù)措施保護(hù)數(shù)據(jù)安全，如訪問(wèn)控制（access controls）、加密（encryption）、多重身份認(rèn)證（multifactor authentication）。18

我國(guó)數(shù)據(jù)安全法第27條將數(shù)據(jù)處理者采取的措施分為兩類(lèi)，即技術(shù)措施與其他必要措施。技術(shù)措施是指?jìng)�(gè)人信息處理者所采取的確保處理活動(dòng)合法并保護(hù)個(gè)人信息安全的技術(shù)方法或技術(shù)手段。誠(chéng)如美國(guó)學(xué)者萊斯格所言，互聯(lián)網(wǎng)的性質(zhì)并非是由上帝的旨意所決定，而僅僅是由它的架構(gòu)設(shè)計(jì)所決定，“網(wǎng)絡(luò)可以被設(shè)計(jì)成這樣：我們能夠知悉用戶(hù)是誰(shuí)，他在哪里以及他在做什么。一旦網(wǎng)絡(luò)被設(shè)計(jì)成這樣，它就將成為有史以來(lái)最具有規(guī)制能力的空間”。19《網(wǎng)絡(luò)安全法》第21條中列舉的技術(shù)措施包括：防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施；數(shù)據(jù)分類(lèi)、重要數(shù)據(jù)備份和加密等措施�！秱�(gè)人信息保護(hù)法》第51條規(guī)定的技術(shù)措施包括加密、去標(biāo)識(shí)化等安全技術(shù)措施。所謂的數(shù)據(jù)分類(lèi)，是指按照某種標(biāo)準(zhǔn)（如重要程度）對(duì)數(shù)據(jù)進(jìn)行區(qū)分、歸類(lèi)，并加以相應(yīng)的保護(hù)。數(shù)據(jù)備份是指為了防止系統(tǒng)故障或者其他安全事件而導(dǎo)致數(shù)據(jù)丟失、毀損，將數(shù)據(jù)從應(yīng)用主機(jī)的硬盤(pán)或陣列復(fù)制、存儲(chǔ)到其他介質(zhì)。20加密是指通過(guò)加密算法將明文的個(gè)人信息變?yōu)椴豢勺x的一段代碼，只有獲得密鑰的人才能讀取原文。經(jīng)過(guò)加密后的個(gè)人信息可以很好地防止被他人未經(jīng)授權(quán)的訪問(wèn)或被非法竊取或篡改。加密算法主要有三類(lèi)，即對(duì)稱(chēng)加密算法、非對(duì)稱(chēng)加密算法以及哈希算法。通過(guò)加密技術(shù)，“為每一個(gè)數(shù)據(jù)包配上一把密鑰，他人不可以篡改或偽造這把密鑰，因此，用戶(hù)對(duì)于數(shù)據(jù)包的安全性大可放心。同時(shí)，這項(xiàng)驗(yàn)證功能也可以在整個(gè)互聯(lián)網(wǎng)上，識(shí)別信息的發(fā)送方和接收方，因此，幾乎完全抹殺了用戶(hù)匿名的可能性”。21所謂去標(biāo)識(shí)化，是指?jìng)�(gè)人信息經(jīng)過(guò)處理，使其在不借助額外信息的情況下無(wú)法識(shí)別特定自然人的過(guò)程（《個(gè)人信息保護(hù)法》第73條第（三）項(xiàng)）。其他必要措施，是指除了技術(shù)措施之外的其他對(duì)于保護(hù)數(shù)據(jù)安全屬于必要的措施，理論上也包括了組織、宣傳、培訓(xùn)等措施。由于我國(guó)數(shù)據(jù)安全法已將“全流程數(shù)據(jù)安全管理制度，組織開(kāi)展數(shù)據(jù)安全教育培訓(xùn)”單列，故此，其他必要措施主要包括：數(shù)據(jù)處理者為履行數(shù)據(jù)安全保護(hù)義務(wù)而對(duì)于數(shù)據(jù)處理的內(nèi)部程序、權(quán)限分工與工作流程進(jìn)行的設(shè)計(jì)；制定并組織實(shí)施數(shù)據(jù)安全事件的應(yīng)急預(yù)案等。就數(shù)據(jù)處理者究竟應(yīng)當(dāng)采取哪些技術(shù)措施，《數(shù)據(jù)安全法》提出的要求是“相應(yīng)的”，這與歐盟《通用數(shù)據(jù)保護(hù)條例》相同。所謂“相應(yīng)的”，是指與數(shù)據(jù)處理者所面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)相適應(yīng)，也就是說(shuō)，數(shù)據(jù)處理者應(yīng)當(dāng)根據(jù)其處理的數(shù)據(jù)的類(lèi)型、數(shù)據(jù)處理活動(dòng)的類(lèi)型、面臨的風(fēng)險(xiǎn)等因素來(lái)確定所要采取的技術(shù)措施。對(duì)于重要數(shù)據(jù)和敏感的個(gè)人數(shù)據(jù)，應(yīng)當(dāng)采取更強(qiáng)的技術(shù)措施來(lái)確保數(shù)據(jù)的安全。

需要注意的是，《數(shù)據(jù)安全法》第27條第1款第二句規(guī)定，利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)開(kāi)展數(shù)據(jù)處理活動(dòng)，應(yīng)當(dāng)在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，履行上述數(shù)據(jù)安全保護(hù)義務(wù)。我國(guó)的網(wǎng)絡(luò)安全等級(jí)保護(hù)制度最早是由1994年國(guó)務(wù)院頒布的《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》所規(guī)定的，該條例第9條規(guī)定：“計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)。安全等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)的具體辦法，由公安部會(huì)同有關(guān)部門(mén)制定�！�2007年公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)務(wù)院信息工作辦公室聯(lián)合印發(fā)了《信息安全等級(jí)保護(hù)管理辦法》。該辦法依據(jù)信息系統(tǒng)受到破壞后對(duì)公民、法人和其他組織的合法權(quán)益造成的損害的程度，以及是否損害國(guó)家安全、社會(huì)秩序和公共利益和損害的程度，將信息系統(tǒng)的安全保護(hù)等級(jí)分為五級(jí)，從第一級(jí)到第五級(jí)依次規(guī)定了每個(gè)等級(jí)的范圍、信息系統(tǒng)運(yùn)營(yíng)者的義務(wù)及對(duì)應(yīng)的措施。顯然，信息安全等級(jí)保護(hù)制度的分類(lèi)也必須考慮處理者所處理的數(shù)據(jù)的類(lèi)別�！毒W(wǎng)絡(luò)安全法》在前述規(guī)定的基礎(chǔ)上于第21條第1款明確規(guī)定，國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行相應(yīng)的安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問(wèn)，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。

2. 補(bǔ)救措施和處置措施的類(lèi)型

依據(jù)《數(shù)據(jù)安全法》第29條，數(shù)據(jù)處理者應(yīng)當(dāng)進(jìn)行風(fēng)險(xiǎn)監(jiān)測(cè)的義務(wù)以及在發(fā)現(xiàn)風(fēng)險(xiǎn)時(shí)采取補(bǔ)救措施，在出現(xiàn)數(shù)據(jù)安全事件時(shí)采取處置措施的義務(wù)。《網(wǎng)絡(luò)安全法》第25條和《個(gè)人信息保護(hù)法》第57條，也分別有相應(yīng)的規(guī)定。前者明確規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時(shí)處置系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險(xiǎn)；在發(fā)生危害網(wǎng)絡(luò)安全的事件時(shí)，立即啟動(dòng)應(yīng)急預(yù)案，采取相應(yīng)的補(bǔ)救措施，并按照規(guī)定向有關(guān)主管部門(mén)報(bào)告。后者規(guī)定，在發(fā)生或者可能發(fā)生個(gè)人信息泄露、篡改、丟失的時(shí)候，個(gè)人信息處理者應(yīng)當(dāng)立即采取補(bǔ)救措施并履行通知義務(wù)。

數(shù)據(jù)處理者通過(guò)風(fēng)險(xiǎn)監(jiān)測(cè)發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施。顯然，該補(bǔ)救措施是針對(duì)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險(xiǎn)而言的，既包括技術(shù)措施，如修復(fù)系統(tǒng)漏洞、進(jìn)行加密，也包括組織措施，如重新劃定數(shù)據(jù)訪問(wèn)權(quán)限等。而在出現(xiàn)了數(shù)據(jù)安全事件的情況下，需要采取的就是處置措施。所謂數(shù)據(jù)安全事件，是指由于人為原因（如工作人員的疏忽或者黑客攻擊）、軟硬件缺陷或故障、自然災(zāi)害等，導(dǎo)致數(shù)據(jù)泄露、丟失、篡改等對(duì)社會(huì)造成負(fù)面影響的事件。數(shù)據(jù)安全事件中最常見(jiàn)的是數(shù)據(jù)泄露。數(shù)據(jù)泄露的原因主要有三類(lèi)：其一，系統(tǒng)故障（IT和業(yè)務(wù)流程故障）；其二，人為失誤（玩忽職守的員工或承包商無(wú)意中引起數(shù)據(jù)泄露）；其三，惡意攻擊（由黑客或犯罪的內(nèi)部人士引起）。22就個(gè)人數(shù)據(jù)泄露而言，用戶(hù)憑證被盜是最常見(jiàn)的數(shù)據(jù)泄露的根本原因，利用泄露的用戶(hù)憑證是攻擊者最常用的切入點(diǎn)。23客觀上來(lái)說(shuō)，導(dǎo)致個(gè)人數(shù)據(jù)泄露危險(xiǎn)增加的因素包括：個(gè)人信息的保存時(shí)間；個(gè)人信息的擴(kuò)散，即現(xiàn)有的個(gè)人信息的副本數(shù)量；訪問(wèn)，即有權(quán)限訪問(wèn)個(gè)人信息的人數(shù)、個(gè)人信息能夠訪問(wèn)的方式以及獲取訪問(wèn)權(quán)限的難易程度；流動(dòng)性，即訪問(wèn)、傳輸及其處理個(gè)人信息的方式所需要的時(shí)間；價(jià)值，即個(gè)人信息的價(jià)值。24根據(jù)IBM Security發(fā)布的《2022年數(shù)據(jù)泄露成本報(bào)告》，2022年全球數(shù)據(jù)泄露事件給企業(yè)和組織造成的經(jīng)濟(jì)損失和影響力度達(dá)到前所未有的水平，單個(gè)數(shù)據(jù)泄露事件給來(lái)自全球的受訪組織造成了平均高達(dá)435萬(wàn)美元的損失，全球數(shù)據(jù)泄露成本在過(guò)去兩年間上漲近13%。2022年全球數(shù)據(jù)泄露的每條記錄成本為164美元，該報(bào)告還發(fā)現(xiàn)，83%的受訪組織遭遇過(guò)不止一次的數(shù)據(jù)泄露事件。25一旦發(fā)生數(shù)據(jù)泄露等數(shù)據(jù)安全事件，數(shù)據(jù)處理者應(yīng)當(dāng)立即采取處置措施，按照規(guī)定及時(shí)告知用戶(hù)并向有關(guān)主管部門(mén)報(bào)告。這些處置措施包括消除導(dǎo)致數(shù)據(jù)泄露的程序漏洞、修改密碼、暫停服務(wù)等措施，從而防止數(shù)據(jù)被進(jìn)一步泄露或非法竊取以及避免或減少由此給他人合法權(quán)益、國(guó)家安全等造成的損害與風(fēng)險(xiǎn)。

（二）數(shù)據(jù)安全保護(hù)義務(wù)的特別要求

對(duì)于重要數(shù)據(jù)的處理者，《數(shù)據(jù)安全法》規(guī)定了兩項(xiàng)特別的數(shù)據(jù)安全保護(hù)義務(wù)：一是，明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)的義務(wù)，從而落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任（第27條第2款）。二是，定期開(kāi)展風(fēng)險(xiǎn)評(píng)估的義務(wù)（第30條）。同時(shí)，在《個(gè)人信息保護(hù)法》中也針對(duì)特殊的個(gè)人信息處理者以及特定的個(gè)人信息處理活動(dòng)，為個(gè)人信息處理者規(guī)定了兩項(xiàng)特別的義務(wù)：一是，指定個(gè)人信息保護(hù)負(fù)責(zé)人的義務(wù)（第52條）；二是，個(gè)人信息保護(hù)影響評(píng)估與記錄的義務(wù)（第55—56條）。

1. 確定數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)的義務(wù)

確定數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)的義務(wù)有助于更好地對(duì)數(shù)據(jù)處理活動(dòng)進(jìn)行監(jiān)督和管理，開(kāi)展數(shù)據(jù)安全教育培訓(xùn)，提供預(yù)防數(shù)據(jù)泄露等數(shù)據(jù)安全保護(hù)方面的專(zhuān)業(yè)知識(shí)。26數(shù)據(jù)安全負(fù)責(zé)人制度以及個(gè)人信息保護(hù)負(fù)責(zé)人都是借鑒了國(guó)外的“數(shù)據(jù)保護(hù)官”（data protection officer,DPO）制度。德國(guó)是最早引入數(shù)據(jù)保護(hù)官（Datenschutzbeauftragter）概念的國(guó)家，1977年的德國(guó)《聯(lián)邦數(shù)據(jù)保護(hù)法》第38條規(guī)定，企業(yè)負(fù)有法定義務(wù)任命數(shù)據(jù)保護(hù)官，作為政府?dāng)?shù)據(jù)保護(hù)機(jī)關(guān)監(jiān)管職能的補(bǔ)充，從而實(shí)現(xiàn)企業(yè)的自我監(jiān)督。27此后，法國(guó)（1978年）、比利時(shí)（1992年）、波蘭（1997年）、瑞典（1998年）、英國(guó)（1998年）等國(guó)家相繼規(guī)定了數(shù)據(jù)保護(hù)官。281995年歐盟《個(gè)人數(shù)據(jù)保護(hù)指令》第18條第2款規(guī)定，如果數(shù)據(jù)控制者根據(jù)相關(guān)國(guó)家的法律任命了個(gè)人數(shù)據(jù)保護(hù)官負(fù)責(zé)確保在內(nèi)部以獨(dú)立的方式執(zhí)行根據(jù)本指令所制定的國(guó)家規(guī)定以及保留控制者進(jìn)行的處理操作的登記，則可以簡(jiǎn)化或免除向監(jiān)督機(jī)關(guān)通知的義務(wù)。這是歐盟法律中首次出現(xiàn)個(gè)人數(shù)據(jù)保護(hù)官的概念。2000年12月18日歐洲議會(huì)與理事會(huì)頒布了《針對(duì)歐共體機(jī)構(gòu)和組織所處理的個(gè)人數(shù)據(jù)的保護(hù)及此類(lèi)數(shù)據(jù)的自由流動(dòng)條例》（EC 45/2001），該條例的第8節(jié)（第24—26條）對(duì)數(shù)據(jù)保護(hù)官的任命與任務(wù)、對(duì)數(shù)據(jù)保護(hù)官的通知與通知的內(nèi)容、數(shù)據(jù)保護(hù)官對(duì)通知的記錄等內(nèi)容作出了規(guī)定。不過(guò)，該條例只是要求歐共體機(jī)構(gòu)和組織設(shè)立數(shù)據(jù)保護(hù)官，并不適用于私營(yíng)企業(yè)。2018年的歐盟《通用數(shù)據(jù)保護(hù)條例》對(duì)數(shù)據(jù)保護(hù)官作出了更加全面的規(guī)定，依據(jù)該條例第37條，只要符合規(guī)定情形的數(shù)據(jù)的控制者與處理者，無(wú)論是公權(quán)力部門(mén)或機(jī)構(gòu)還是企業(yè)或企業(yè)集團(tuán)，都必須設(shè)立數(shù)據(jù)保護(hù)官。此外，該條例第38條與第39條就數(shù)據(jù)保護(hù)官的地位和任務(wù)作出了詳細(xì)的規(guī)定。第29條工作組認(rèn)為，“數(shù)據(jù)保護(hù)官將成為促進(jìn)諸多組織遵守歐盟《通用數(shù)據(jù)保護(hù)條例》條款的新的法律框架的核心”，“數(shù)據(jù)保護(hù)官是問(wèn)責(zé)制的基石，任命數(shù)據(jù)保護(hù)官可以促進(jìn)合規(guī)，成為企業(yè)的競(jìng)爭(zhēng)優(yōu)勢(shì)”，“數(shù)據(jù)保護(hù)官還充當(dāng)了各個(gè)利益相關(guān)方（如監(jiān)管機(jī)構(gòu)、數(shù)據(jù)主體以及組織內(nèi)部的業(yè)務(wù)部門(mén)）的中間人”。29

就我國(guó)法而言，如果數(shù)據(jù)處理者處理的數(shù)據(jù)是重要數(shù)據(jù)，就必須確定數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)，同時(shí)，如果數(shù)據(jù)處理者處理的數(shù)據(jù)包括了個(gè)人信息，并且處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門(mén)規(guī)定的數(shù)量，那么還必須指定個(gè)人信息保護(hù)負(fù)責(zé)人。當(dāng)然，數(shù)據(jù)安全負(fù)責(zé)人和個(gè)人信息保護(hù)負(fù)責(zé)人可以是同一人。所謂處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門(mén)規(guī)定的數(shù)量究竟是多少，目前沒(méi)有直接的規(guī)定。但是，由于《個(gè)人信息保護(hù)法》第40條規(guī)定了處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門(mén)規(guī)定數(shù)量的個(gè)人信息處理者確需向境外提供的，應(yīng)當(dāng)通過(guò)國(guó)家網(wǎng)信部門(mén)組織的安全評(píng)估，而國(guó)家網(wǎng)信辦頒布的《數(shù)據(jù)出境安全評(píng)估辦法》第4條第2項(xiàng)規(guī)定，處理100萬(wàn)人以上個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息的，應(yīng)當(dāng)經(jīng)過(guò)安全評(píng)估。故此，可以認(rèn)為，當(dāng)數(shù)據(jù)處理者處理100萬(wàn)人以上個(gè)人信息的，必須要指定個(gè)人信息保護(hù)負(fù)責(zé)人。

2. 定期開(kāi)展風(fēng)險(xiǎn)評(píng)估并報(bào)告的義務(wù)

依據(jù)《數(shù)據(jù)安全法》第30條，重要數(shù)據(jù)的處理者應(yīng)當(dāng)按照規(guī)定對(duì)其數(shù)據(jù)處理活動(dòng)定期開(kāi)展風(fēng)險(xiǎn)評(píng)估，并向有關(guān)主管部門(mén)報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告。風(fēng)險(xiǎn)評(píng)估報(bào)告應(yīng)當(dāng)包括處理的重要數(shù)據(jù)的種類(lèi)、數(shù)量，開(kāi)展數(shù)據(jù)處理活動(dòng)的情況，面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)及其應(yīng)對(duì)措施等。這主要是因?yàn)橹匾獢?shù)據(jù)的處理涉及到國(guó)家安全、社會(huì)穩(wěn)定、公共安全等重要的利益，一旦這些數(shù)據(jù)遭到篡改、破壞、泄露或者非法獲取、非法利用等，就很可能危害前述重要利益。故此，重要數(shù)據(jù)的處理者要定期開(kāi)展風(fēng)險(xiǎn)評(píng)估。所謂定期究竟是多長(zhǎng)時(shí)間，首先依據(jù)法律法規(guī)的規(guī)定，如《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》第17條明確要求，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施每年至少進(jìn)行一次網(wǎng)絡(luò)安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估，對(duì)發(fā)現(xiàn)的安全問(wèn)題及時(shí)整改，并按照保護(hù)工作部門(mén)的要求報(bào)送情況。如果數(shù)據(jù)處理者處理的數(shù)據(jù)包括了個(gè)人信息，那么依據(jù)《個(gè)人信息保護(hù)法》第55、56條規(guī)定，在實(shí)施以下個(gè)人信息處理活動(dòng)之前，個(gè)人信息處理者應(yīng)當(dāng)先進(jìn)行個(gè)人信息保護(hù)影響評(píng)估，并對(duì)處理情況進(jìn)行記錄：（1）處理敏感個(gè)人信息；（2）利用個(gè)人信息進(jìn)行自動(dòng)化決策；（3）委托處理個(gè)人信息、向其他個(gè)人信息處理者提供個(gè)人信息、公開(kāi)個(gè)人信息；（4）向境外提供個(gè)人信息；（5）其他對(duì)個(gè)人權(quán)益有重大影響的個(gè)人信息處理活動(dòng)。

《數(shù)據(jù)安全法》針對(duì)重要數(shù)據(jù)處理者要求的風(fēng)險(xiǎn)評(píng)估和《個(gè)人信息保護(hù)法》規(guī)定的個(gè)人信息保護(hù)影響評(píng)估，既有相同之處，也有不同之處。二者的相同之處在于它們都有助于保護(hù)數(shù)據(jù)的安全。二者的不同之處在于其主要功能與內(nèi)容不同。對(duì)數(shù)據(jù)處理活動(dòng)進(jìn)行風(fēng)險(xiǎn)評(píng)估的根本目的是保護(hù)數(shù)據(jù)安全，做到防患于然或者是亡羊補(bǔ)牢，因此，風(fēng)險(xiǎn)評(píng)估可以是在數(shù)據(jù)安全事件沒(méi)有發(fā)生時(shí)進(jìn)行，也可以是在已經(jīng)發(fā)生了數(shù)據(jù)安全事件之后進(jìn)行，其主要功能是評(píng)估數(shù)據(jù)處理活動(dòng)是否存在風(fēng)險(xiǎn)、潛在風(fēng)險(xiǎn)的嚴(yán)重性、危險(xiǎn)的頻率以及確認(rèn)避免危險(xiǎn)的措施等。30因此，風(fēng)險(xiǎn)評(píng)估報(bào)告的內(nèi)容包括處理的重要數(shù)據(jù)的種類(lèi)、數(shù)量，開(kāi)展數(shù)據(jù)處理活動(dòng)的情況，面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)及其應(yīng)對(duì)措施等。個(gè)人信息保護(hù)影響評(píng)估屬于預(yù)防性的個(gè)人信息保護(hù)手段，其主要是針對(duì)那些對(duì)于個(gè)人權(quán)益可能造成較高風(fēng)險(xiǎn)的個(gè)人信息處理活動(dòng)展開(kāi)的。也就是說(shuō)，個(gè)人信息處理者在實(shí)施此類(lèi)高風(fēng)險(xiǎn)的個(gè)人信息處理活動(dòng)之前開(kāi)展評(píng)估，確定處理目的、處理方式等是否合法、正當(dāng)、必要，該處理活動(dòng)對(duì)個(gè)人權(quán)益產(chǎn)生何種影響及風(fēng)險(xiǎn)程度如何，個(gè)人信息處理者所采取的安全保護(hù)措施是否合法、有效，安全保護(hù)措施是否與風(fēng)險(xiǎn)程度相適應(yīng)，并在評(píng)估結(jié)論的基礎(chǔ)上決定是否實(shí)施該處理活動(dòng)以及如何在符合法律、行政法規(guī)的情形下安全地實(shí)行該處理活動(dòng)。因此，個(gè)人信息保護(hù)影響評(píng)估在個(gè)人信息保護(hù)方面具有防患于未然的作用；同時(shí)，個(gè)人信息保護(hù)影響評(píng)估也可以科學(xué)地協(xié)調(diào)個(gè)人信息權(quán)益保護(hù)與個(gè)人信息合理利用的關(guān)系。高風(fēng)險(xiǎn)意味著更重的義務(wù)與責(zé)任，基于責(zé)任原則，個(gè)人信息處理者應(yīng)當(dāng)對(duì)其個(gè)人信息處理活動(dòng)負(fù)責(zé)，并采取必要措施保障所處理的個(gè)人信息的安全（《個(gè)人信息保護(hù)法》第9條）。個(gè)人信息處理者不是不可以從事高風(fēng)險(xiǎn)的處理活動(dòng)，但需要為此負(fù)責(zé)，要承擔(dān)更高的注意義務(wù)，采取更嚴(yán)格的安全保護(hù)措施，事前的個(gè)人信息保護(hù)影響評(píng)估與記錄義務(wù)正是責(zé)任原則的體現(xiàn)。此外，個(gè)人信息保護(hù)影響評(píng)估及其記錄也有助于證明個(gè)人信息處理活動(dòng)符合法律、行政法規(guī)的要求，也就是說(shuō)，處理者可以通過(guò)向監(jiān)管機(jī)關(guān)提供該記錄來(lái)證明處理行為的合法性。例如，歐盟第29條工作組在其發(fā)布的DPIA指南中認(rèn)為，“數(shù)據(jù)保護(hù)影響評(píng)估”（data protection impact assessment,DPIA）是一個(gè)旨在描述處理的過(guò)程，評(píng)估其必要性和比例性，并通過(guò)評(píng)估因處理個(gè)人數(shù)據(jù)而對(duì)自然人的權(quán)利和自由所造成的風(fēng)險(xiǎn)以及提出解決的措施，從而有助于對(duì)此等風(fēng)險(xiǎn)加以管理。DPIA是問(wèn)責(zé)制的重要工具，其不僅有助于數(shù)據(jù)控制者遵守《通用數(shù)據(jù)保護(hù)條例》的要求，也有助于其證明已經(jīng)采取了適當(dāng)?shù)拇胧﹣?lái)確保遵守該條例。一言以蔽之，DPIA就是一個(gè)建立并證明合規(guī)性的程序。31

五、違反數(shù)據(jù)安全義務(wù)的民事責(zé)任

違反數(shù)據(jù)安全義務(wù)產(chǎn)生的法律責(zé)任包括行政責(zé)任、刑事責(zé)任和民事責(zé)任。例如，《數(shù)據(jù)安全法》第45條對(duì)于開(kāi)展數(shù)據(jù)處理活動(dòng)的組織、個(gè)人不履行該法第27條、第29條、第30條規(guī)定的數(shù)據(jù)安全保護(hù)義務(wù)的情形，依據(jù)后果嚴(yán)重程度的不同分別規(guī)定了責(zé)令改正，警告，罰款，責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓，吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或者吊銷(xiāo)營(yíng)業(yè)執(zhí)照等不同的行政處罰。再如，《個(gè)人信息保護(hù)法》第66條對(duì)于處理個(gè)人信息未履行該法規(guī)定的個(gè)人信息保護(hù)義務(wù)的情形，也依據(jù)情節(jié)嚴(yán)重程度的不同分別規(guī)定了責(zé)令改正，警告，沒(méi)收違法所得，對(duì)違法處理個(gè)人信息的應(yīng)用程序責(zé)令暫�；蛘呓K止提供服務(wù)，罰款，責(zé)令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓，通報(bào)有關(guān)主管部門(mén)吊銷(xiāo)相關(guān)業(yè)務(wù)許可或者吊銷(xiāo)營(yíng)業(yè)執(zhí)照等行政處罰。這里就涉及到不同法律中的行政處罰責(zé)任的適用關(guān)系問(wèn)題，筆者認(rèn)為，如果數(shù)據(jù)處理者雖然違反了數(shù)據(jù)安全保護(hù)義務(wù)，但數(shù)據(jù)中沒(méi)有個(gè)人信息的，則僅適用《數(shù)據(jù)安全法》。然而，一旦涉及到個(gè)人信息的，則應(yīng)當(dāng)適用《個(gè)人信息保護(hù)法》。因?yàn)閭�(gè)人信息即個(gè)人數(shù)據(jù)的保護(hù)相對(duì)于數(shù)據(jù)安全保護(hù)義務(wù)而言，屬于特別法。就違反數(shù)據(jù)安全義務(wù)的民事責(zé)任，《數(shù)據(jù)安全法》只是作了一個(gè)宣示性的規(guī)定。該法第52條第1款規(guī)定：“違反本法規(guī)定，給他人造成損害的，依法承擔(dān)民事責(zé)任�！痹摽钪械拿袷仑�(zé)任既包括侵權(quán)責(zé)任，也包括違約責(zé)任。違約責(zé)任主要涉及到違約金、損害賠償?shù)�，由�?dāng)事人在合同中加以約定，適用《中華人民共和國(guó)民法典》（以下簡(jiǎn)稱(chēng)“《民法典》”）合同編的相關(guān)規(guī)定。由于違約責(zé)任必須以當(dāng)事人之間存在有效的合同約定為前提，故此本部分主要討論違反數(shù)據(jù)安全義務(wù)的侵權(quán)責(zé)任中的兩個(gè)問(wèn)題，一是侵權(quán)賠償責(zé)任的歸責(zé)原則；二是數(shù)據(jù)處理者違反數(shù)據(jù)安全義務(wù)的行為與第三人的侵權(quán)行為結(jié)合的侵權(quán)責(zé)任。

（一）違反數(shù)據(jù)安全義務(wù)的侵權(quán)賠償責(zé)任的歸責(zé)原則

數(shù)據(jù)處理者違反數(shù)據(jù)安全義務(wù)，導(dǎo)致數(shù)據(jù)泄露、丟失、篡改或被他人竊取、非法利用的，構(gòu)成對(duì)他人人身、財(cái)產(chǎn)權(quán)益的侵害，從而造成他人損害的，數(shù)據(jù)處理者需要承擔(dān)侵權(quán)賠償責(zé)任。由于《數(shù)據(jù)安全法》第52條第1款只是規(guī)定“依法”承擔(dān)民事責(zé)任，此處的“依法”實(shí)際上屬于指引性規(guī)范，即在有相應(yīng)的法律作出規(guī)定時(shí)，適用該法律；沒(méi)有規(guī)定的，則應(yīng)當(dāng)適用《民法典》關(guān)于侵權(quán)賠償責(zé)任的基本歸責(zé)原則的規(guī)定，即第1165條第1款的過(guò)錯(cuò)責(zé)任。

從我國(guó)現(xiàn)行法律規(guī)定來(lái)看，只有《個(gè)人信息保護(hù)法》作出了特別的規(guī)定。申言之，對(duì)于個(gè)人信息處理者因處理個(gè)人信息侵害個(gè)人信息權(quán)益造成損害的侵權(quán)賠償責(zé)任，《個(gè)人信息保護(hù)法》第69條第1款專(zhuān)門(mén)規(guī)定了過(guò)錯(cuò)推定責(zé)任，即個(gè)人信息處理者必須證明自己沒(méi)有過(guò)錯(cuò)，否則就推定其有過(guò)錯(cuò)。這主要是考慮到個(gè)人在個(gè)人信息處理活動(dòng)中處于弱勢(shì)地位，要求其證明處理者具有過(guò)錯(cuò)非常困難，為了更好地保護(hù)個(gè)人信息權(quán)益，法律上專(zhuān)門(mén)作出了規(guī)定。32故此，在數(shù)據(jù)處理者處理的是個(gè)人數(shù)據(jù)，其違反數(shù)據(jù)安全保護(hù)義務(wù)導(dǎo)致個(gè)人數(shù)據(jù)泄露、丟失、篡改或被他人竊取、非法利用的，應(yīng)當(dāng)適用《個(gè)人信息保護(hù)法》第69條規(guī)定的過(guò)錯(cuò)推定責(zé)任。

在數(shù)據(jù)處理者所處理的是非個(gè)人數(shù)據(jù)時(shí)，如果其違反數(shù)據(jù)安全保護(hù)義務(wù)，給他人造成損害的，則應(yīng)當(dāng)依據(jù)《民法典》第1165條第1款的過(guò)錯(cuò)責(zé)任原則承擔(dān)侵權(quán)賠償責(zé)任。也就是說(shuō)，被侵權(quán)人需要證明數(shù)據(jù)處理者存在過(guò)錯(cuò)，不過(guò)，這并不非常困難。如前所述，數(shù)據(jù)安全保護(hù)義務(wù)主要來(lái)自于法律規(guī)定，即由《數(shù)據(jù)安全法》等法律作出了明確規(guī)定，而法律關(guān)于數(shù)據(jù)安全保護(hù)義務(wù)的規(guī)范顯然屬于保護(hù)性規(guī)范，即“以保護(hù)他人為目的的法律（Schutzgesetz）”。我國(guó)民法學(xué)界認(rèn)為，保護(hù)性規(guī)范是以保護(hù)作為私主體的他人為全部或部分目的，該規(guī)范所規(guī)定的行為義務(wù)已經(jīng)明確界定了行為人對(duì)他人的行為義務(wù)，是行為人對(duì)特定人或特定群體的私人所應(yīng)負(fù)的義務(wù)，且過(guò)錯(cuò)往往就是他人違反了其對(duì)特定人或特定群體的私人應(yīng)負(fù)的義務(wù)。33故此，數(shù)據(jù)處理者違反關(guān)于數(shù)據(jù)安全保護(hù)義務(wù)的規(guī)范的行為可以被推定為具有過(guò)錯(cuò)。

（二）數(shù)據(jù)處理者侵權(quán)賠償責(zé)任的類(lèi)型

從發(fā)生的原因來(lái)看，數(shù)據(jù)處理者違反數(shù)據(jù)安全保護(hù)義務(wù)給他人造成的損害可以分為以下三種具體類(lèi)型：

一是單個(gè)數(shù)據(jù)處理者單獨(dú)給他人造成損害的情形。例如，A公司因過(guò)失導(dǎo)致B公司的數(shù)據(jù)在處理中被毀損或者丟失，這種情形下，A公司違反數(shù)據(jù)安全保護(hù)義務(wù)的行為屬于單獨(dú)的給B公司造成了損害。那么，A公司應(yīng)當(dāng)向B公司承擔(dān)侵權(quán)賠償責(zé)任。

二是數(shù)據(jù)處理者與其他主體實(shí)施共同侵權(quán)造成他人損害的情形。例如，兩個(gè)數(shù)據(jù)處理者在共同處理個(gè)人數(shù)據(jù)的過(guò)程中出現(xiàn)個(gè)人數(shù)據(jù)的泄露而給他人造成損害；再如，數(shù)據(jù)處理者與第三人非法買(mǎi)賣(mài)數(shù)據(jù)而造成他人損害，或者數(shù)據(jù)處理者幫助第三人非法利用數(shù)據(jù)侵害他人權(quán)益等，這些情形中數(shù)據(jù)處理者與其他主體往往構(gòu)成共同侵權(quán)行為或無(wú)意思聯(lián)絡(luò)的數(shù)人侵權(quán)，此時(shí)，數(shù)據(jù)處理者與第三人應(yīng)當(dāng)依據(jù)《民法典》第1168條至第1171條的規(guī)定承擔(dān)連帶賠償責(zé)任。34

三是數(shù)據(jù)處理者違反數(shù)據(jù)安全保護(hù)義務(wù)的行為與第三人的侵權(quán)行為只是客觀上相互結(jié)合給他人造成損害，并且不屬于每一個(gè)侵權(quán)行為都足以造成全部損害的情形（即不適用《民法典》第1171條）。例如，C公司沒(méi)有依照法律規(guī)定對(duì)于個(gè)人數(shù)據(jù)采取相應(yīng)的保護(hù)措施，以致數(shù)據(jù)被黑客竊取后非法出售給E,E又利用這些數(shù)據(jù)實(shí)施電信網(wǎng)絡(luò)詐騙，導(dǎo)致F、G等個(gè)人被騙，遭受巨額財(cái)產(chǎn)損失。在這種情形下，如果能夠找到直接侵權(quán)人E,E當(dāng)然要就其給F、G造成的全部損害承擔(dān)賠償責(zé)任。問(wèn)題是C究竟如何承擔(dān)責(zé)任呢？在不能查明直接侵權(quán)人或者直接侵權(quán)人沒(méi)有賠償能力的情形下，C是否承擔(dān)侵權(quán)責(zé)任，非常重要。有的學(xué)者認(rèn)為，應(yīng)當(dāng)區(qū)分不同的情形來(lái)考慮。如果數(shù)據(jù)處理者的數(shù)據(jù)被第三人非法竊取，而第三人是因過(guò)失導(dǎo)致數(shù)據(jù)被泄露、公開(kāi)的，則數(shù)據(jù)處理者與第三人均有過(guò)失，應(yīng)當(dāng)依照《民法典》第1172條承擔(dān)按份責(zé)任；如果第三人在非法竊取數(shù)據(jù)后故意實(shí)施了侵權(quán)行為的，此時(shí)，數(shù)據(jù)處理者僅僅是過(guò)失，而第三人是故意，二者的責(zé)任性質(zhì)處于不同的層次，無(wú)法成立共同侵權(quán)行為，應(yīng)當(dāng)類(lèi)推適用《民法典》第1198條第2款而要求處理者承擔(dān)第三人的行為介入時(shí)的補(bǔ)充責(zé)任。35

筆者認(rèn)為，在數(shù)據(jù)處理者違反數(shù)據(jù)安全保護(hù)義務(wù)，導(dǎo)致數(shù)據(jù)被第三人竊取或偶然取得，進(jìn)而又被第三人非法利用，給他人造成損害的情形，數(shù)據(jù)處理者對(duì)此結(jié)果的發(fā)生是能夠預(yù)見(jiàn)的。雖然處理者本身不能預(yù)見(jiàn)被泄露的數(shù)據(jù)究竟是為第三人故意竊取還是偶然取得，也不能預(yù)見(jiàn)這些數(shù)據(jù)是直接被第三人非法利用，還是由第三人再次非法出售給他人（甚至可能是第三人本身也因過(guò)失而泄露以致為其他人所取得），只要處理者能夠預(yù)見(jiàn)到數(shù)據(jù)泄露后給數(shù)據(jù)主體造成損害的可能性（即損害危險(xiǎn)的增加），就足夠了。第三人取得數(shù)據(jù)是故意竊取抑或偶然獲得，非法利用數(shù)據(jù)造成損害的具體加害人是誰(shuí)、給哪些受害人造成何種損害及損害的大小等情形，無(wú)需處理者能夠預(yù)見(jiàn)。從因果關(guān)系的角度來(lái)看，數(shù)據(jù)處理者違反數(shù)據(jù)安全保護(hù)義務(wù)的行為與民事權(quán)益被侵害已經(jīng)存在相當(dāng)因果關(guān)系。數(shù)據(jù)處理者應(yīng)當(dāng)對(duì)被侵權(quán)人的損害承擔(dān)與其過(guò)錯(cuò)、原因力相應(yīng)的賠償責(zé)任（如考慮泄露的是敏感的還是非敏感的個(gè)人信息等因素）。至于直接給被侵權(quán)人造成損害的第三人，無(wú)論其主觀上是故意還是過(guò)失，均應(yīng)就被侵權(quán)人的全部損害承擔(dān)責(zé)任。由此可見(jiàn)，第三人與數(shù)據(jù)處理者的賠償范圍發(fā)生了部分重疊，在該重疊的部分內(nèi)，二者承擔(dān)連帶責(zé)任。就超出的部分，第三人應(yīng)單獨(dú)承擔(dān)賠償責(zé)任。所以，無(wú)論第三人是故意還是過(guò)失，數(shù)據(jù)處理者都不是與第三人承擔(dān)按份責(zé)任，更不能類(lèi)推適用《民法典》第1198條第2款的第三人侵權(quán)時(shí)安全保障義務(wù)人承擔(dān)的相應(yīng)的補(bǔ)充責(zé)任。具體理由在于：首先，在數(shù)據(jù)處理者沒(méi)有履行數(shù)據(jù)安全保護(hù)義務(wù)而導(dǎo)致第三人竊取數(shù)據(jù)時(shí)，竊取數(shù)據(jù)的第三人本身就是故意的，至于其此后是故意還是過(guò)失進(jìn)一步導(dǎo)致數(shù)據(jù)再次被公開(kāi)或泄露，無(wú)需考慮，即該第三人應(yīng)就被侵權(quán)人遭受的全部損害承擔(dān)賠償責(zé)任。其次，《民法典》第1198條的安全保障義務(wù)僅適用于“賓館、商場(chǎng)、銀行、車(chē)站、機(jī)場(chǎng)、體育場(chǎng)館、娛樂(lè)場(chǎng)所等經(jīng)營(yíng)場(chǎng)所、公共場(chǎng)所”，它們都是物理空間，而非網(wǎng)絡(luò)空間。36再次，數(shù)據(jù)安全保護(hù)義務(wù)不同于《民法典》第1198條第2款的安全保障義務(wù)。所謂數(shù)據(jù)安全本身就意味著數(shù)據(jù)安全保護(hù)義務(wù)人要采取必要措施，確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)以及具備保障持續(xù)安全狀態(tài)的能力。數(shù)據(jù)安全保護(hù)義務(wù)本身就包含了很強(qiáng)的防止和消除數(shù)據(jù)被他人非法利用的內(nèi)容在內(nèi)，這種義務(wù)是直接對(duì)數(shù)據(jù)處理者本身提出的要求，義務(wù)人應(yīng)當(dāng)采取相當(dāng)高的注意來(lái)履行義務(wù)，其強(qiáng)度遠(yuǎn)遠(yuǎn)大于《民法典》第1198條第2款對(duì)安全保障義務(wù)人預(yù)防和制止第三人實(shí)施侵權(quán)行為的要求的強(qiáng)度。37當(dāng)數(shù)據(jù)處理者沒(méi)有履行數(shù)據(jù)安全保護(hù)義務(wù)（例如沒(méi)有對(duì)數(shù)據(jù)處理活動(dòng)加強(qiáng)風(fēng)險(xiǎn)監(jiān)測(cè)，未能發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險(xiǎn)），從而導(dǎo)致數(shù)據(jù)被第三人非法竊取的，無(wú)論第三人是故意地還是過(guò)失地利用非法竊取的數(shù)據(jù)造成他人損害的，數(shù)據(jù)處理者對(duì)于此種損害的發(fā)生都具有過(guò)錯(cuò)和原因力，其要為自己違反數(shù)據(jù)安全保護(hù)義務(wù)的后果負(fù)責(zé)，應(yīng)當(dāng)承擔(dān)相應(yīng)的賠償責(zé)任。數(shù)據(jù)處理者在承擔(dān)相應(yīng)的賠償責(zé)任后不能向第三人追償；第三人如果就全部損害承擔(dān)了賠償責(zé)任，也不能向數(shù)據(jù)處理者追償。

六、結(jié)語(yǔ)

在我國(guó)數(shù)據(jù)安全法、個(gè)人信息保護(hù)法、網(wǎng)絡(luò)安全法等法律已經(jīng)建立起一個(gè)科學(xué)合理的數(shù)據(jù)安全保護(hù)義務(wù)的規(guī)范體系之后，最重要的內(nèi)容是確保數(shù)據(jù)安全保護(hù)義務(wù)得到履行，尤其是數(shù)據(jù)處理者需要建立健全全流程數(shù)據(jù)安全管理制度，通過(guò)相應(yīng)的組織措施、技術(shù)措施和其他必要措施來(lái)具體實(shí)現(xiàn)對(duì)數(shù)據(jù)安全的保護(hù)，并且通過(guò)風(fēng)險(xiǎn)監(jiān)測(cè)以及定期風(fēng)險(xiǎn)評(píng)估機(jī)制來(lái)預(yù)防數(shù)據(jù)安全事件的發(fā)生，惟其如此，才能奠定數(shù)據(jù)交易、數(shù)據(jù)流通與利用的前提，真正發(fā)揮數(shù)據(jù)作為第五大生產(chǎn)要素的功能，促進(jìn)數(shù)字經(jīng)濟(jì)的發(fā)展，在法治的軌道上實(shí)現(xiàn)對(duì)數(shù)據(jù)的充分利用和有效治理，推進(jìn)國(guó)家治理能力與治理體系的現(xiàn)代化。