数据泄露中企业对用户的损害赔偿问题研究
2021-10-19马宇飞
马宇飞
摘 要:非法抓取、窃取、破坏数据库数据的行为使得数据企业与用户承受了巨大损失。在用户数据权益保护方面,《数据安全法》第27条规定了网络运营者对用户数据的安全保护义务,但如何对用户进行损害赔偿尚不明确。在用户数据权利尚未被立法确认的前提下,可以以《民法典》第1197条、1198条为请求权基础,结合数据经营实践确定“知道或应当知道”、“采取必要措施”以及“违反安全保障(数据安全保护)义务”的具体标准,构建用户数据权益救济框架,使违反义务的企业承担损害赔偿责任。
关键词:用户数据权益;数据安全保护义务;损害赔偿;网络安全;汉德公式
中图分类号:D 912 文献标识码:A 文章编号:2096-9783(2021)05-0075-10
自网络服务平台化以来,大量用户数据藉由网络服务得以集中于数据服务企业。与此同时,非法抓取、窃取、破坏数据库数据的行为也逐渐增多,使得数据企业与用户承受了巨大损失。如何依法保护企业、用户的数据权益就成为了学界、实务界讨论的焦点。在企业数据权益的保护上,司法中将企业对用户数据的占有作为企业竞争利益通过《中华人民共和国反不正当竞争法》(以下简称《反不正当竞争法》)第2条加以保护,并在“新浪诉脉脉”案1、“淘宝诉美景”案2等案例中取得了良好的示范效果;同时,学界也广泛出现了关于企业对其持有数据享有财产权的讨论,如“所有权保护说”[1]“知识产权保护说”[2]“债权保护说”[3]“新型数据产权说”[4]等。但在用户数据权益保护上,则不那么乐观。首先,碍于数据上权益构成的复杂性,我国立法对用户是否对其数据享有权利、享有何种权利的问题做了留白处理,导致数据泄露时用户因缺少明确的规则指引而无法通过主张权利直接得到救济;其次,上述关于“企业数据财产权”的讨论也进一步压缩了用户数据权益的存在空间,加之“朱某诉百度”案3等间接否定用户在其数据上享有权益的判例,也使得用户在主张其数据权益时显得无所适从。
认定一种行为是否构成侵权,既可以通过判断行为是否侵害他人权利的方式认定,也可通过判断行为是否违反法律中对他人应尽的义务的方式进行认定。虽然《反不正当竞争法》第2条并不能适用于购买数据企业网络服务的用户,但企业间数据不正当竞争的司法实践不免使人反思,是否可以构建一种企业涉数据行为的违法性评价模型,采用判断企业是否违反数据安全作为义务的方式绕开难以确定的用户数据权利确定的问题,从而达到保护用户数据权益的目的。《数据安全法》第52条肯定了数据安全保护义务的民法适用性,但如何在民事纠纷中适用尚需探索。学界对通过何种途径保护用户数据权益存在不同观点,但均不否认用户对其存储于企业数据库的数据享有一定的权益。如此,基于侵权责任规则保护用户数据权益的讨论便可以展开。2021年出台的《数据安全法》第27条规定:“开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。”因此,以企业是否违反数据安全保护义务为支点构建用户数据权益的民法保护框架已经具备了基本条件4。企业数据泄露包含因企业自身原因导致用户数据泄露与第三人原因导致用户数据泄露两种。本文将聚焦于第三人原因导致用户数据泄露中企业对用户的侵权赔偿展开讨论。
一、企业数据泄露侵害用户数據权益的主要类型
在企业数据泄露的原因中,除去企业故意及系统故障以外,唯一的可能就是第三人侵入数据库。随着大数据价值被挖掘,黑客攻击的目的也从单纯的删除数据、瘫痪网络系统转变为更具经济价值的数据库窃取。从现阶段来看,数据窃取的方式主要有二种:其一,未经同意的数据抓取,如2018年剑桥分析公司(Cambridge Analytica)通过网络抓取了Facebook超过5000万用户信息,导致了著名的Facebook“数据门”事件;其二,漏洞攻击,如2019年5月,图形设计工具网站Canva遭到黑客攻击,1.37亿用户的电子邮件、用户名、姓名、居住城市以及使用bcrypt密码加密和散列的信息被盗。在我国,漏洞攻击又以撞库方式窃取数据最为常见,如2019年2月抖音APP遭到恶意撞库攻击,导致上千万账号数据泄露。上述两种数据窃取类型中,企业未采用足够的数据安全措施均是原因所在。
(一) 数据抓取
长期以来,数据抓取一直是企业数据安全面临的最主要问题。曾引起学界广泛讨论的“eBay v. Bidder's Edge”案、5“hiQ v. LinkedIn”案、6“大众点评诉百度”案、7“新浪诉脉脉”案8,以及绝大部分的企业间数据不正当竞争纠纷均属于数据抓取问题的范畴。数据抓取是指通过爬虫程序以识别代码的方式自动获取数据库信息,并将该信息以秒为单位大量提取的行为。对于一般网页而言,数据抓取在代码层能够实现的基础在于以Roberts协议为代表的网络协议允许网络爬虫进入页面抓取内容;对于非开放性数据库,则会设置更复杂的防火墙进一步防止爬虫或其他未经许可的数据抓取行为,对数据合作方则以单独提供API接口的方式实现数据共享。在数据纠纷案件中,依照抓取方与被抓取方是否存在合作协议可以将网络抓取行为分为两种。
无合作协议的网络抓取行为主要为抓取以网页为代表的无防火墙数据,是否涉及侵权的认定主要取决于Roberts协议是否允许爬虫进行抓取。Robots协议(或称爬虫协议、机器人协议)是网站设置的一种文本文档,这种文本文档一般以robots.txt的格式存在。网站通过设置Robots协议来告知搜索引擎哪些信息可以抓取,哪些信息不能抓取,以此来保护网站信息的安全。实践中,对网络抓取行为进行限制的技术手段早已不限于Roberts协议一种,无论采用何种技术手段,这类协议在企业间数据侵权上的性质与Roberts协议并无本质差别,均为数据持有方对特定数据是否可以被他人抓取的意思表示。只要这一意思表示存在明显的客观体现且不通过一定技术手段无法获取,那么违反这一意思表示的抓取行为就可能构成非法获取计算机信息系统数据罪9,或构成不正当竞争行为10。对于一般用户而言,非法获取计算机信息系统数据罪入罪需要获取一定组数或较大价值的信息11,且《反不正当竞争法》也并未赋予一般用户诉讼主体地位,故其数据权益并不能从《刑法》与《反不正当竞争法》中得到直接救济。
存在合作协议的网络抓取主要发生于数据共享合作中。在数据共享环节,对数据库的有限度开放主要使用API接口实现。API接口是数据库留给合作方程序的一个调用接口,合作方的程序通过调用数据库API接口而使数据库执行该程序的命令,从而实现数据库内容的共享。因事前存在数据合作协议,因此合作方抓取行为既涉及侵权认定也涉及是否违约的认定。主要涉及合作方无技术障碍抓取数据库方未开放API接口权限的数据,与数据库方过失越权提供API接口两种情形。在已生效的判决中,一般认为无论在合同层面还是代码层面,只要被抓取方存在明确的不同意数据抓取的意思表示,抓取行为就会被认定为不合法。被抓取企业是否对用户数据采用了足够的安全措施,一般会被作为判断被爬取方数据权益是否被法律保护的条件,而非抓取行为本身是否合法的条件进行考量。同时,司法实践中对用户数据的保护仅限于个人信息,且一般仅对单组数据是否构成个人信息进行判断,故用户数据权益亦无法通过这一方式得到间接救济。
目前,我国立法中对于用户数据的权属问题并未明确规定,但通过对《网络安全法》《个人信息保护法》《数据安全法》的观察不难发现,企业虽然在其持有的用户数据上对特定用户外第三人享有权益,也需要承担保护用户数据的义务。在以上两种数据抓取类型中,抓取行为对用户主体的损害产生与否以及损害的大小取决于数据库方是否采用了足够的技术手段与管理手段防止数据非法抓取的发生。在当前复杂的数据安全环境下,仅采用如Roberts协议等简单的技术手段防止抓取并不能有效的防止数据安全事件的发生,不应当将其视为企业对数据泄露事件的免责事由;同时,在API接口管理上,数据库方因内部管理、编程疏忽而导致API接口超越权限提供的情形,也应当承担管理上的责任。因此,对数据企业的数据安全要求,不仅包含技术方面的要求,也应当包含管理上的要求。
(二) 撞库窃取
当前,网络安全攻击已经从传统直接侵害型的DDoS分布式拒绝服务攻击,转向间接工具型的信息窃取。其中,撞库攻击更是给企业和用户带来巨大损失。所谓撞库,就是利用用户在不同的网站使用相同用户名、密码的注册习惯,通过一定方式获取或破解A网站账号数据库,再依账号批量登录B网站,从而窃取B网站用户账号内信息的行为。其特点在于登录目标网站无侵入痕迹,且盗取数据后往往无法进行追溯。
不同于对数据库的直接侵入,撞库并非通过破解数据库防火墙实现窃取数据的目的。撞库的流程分为拖库、洗库、撞库三个阶段:拖库,即为通过技术手段或社工手段(即通过企业内部员工渠道)批量获取目标账号数据;洗库,即为对批量获取的账号数据进行分类整理;撞库,即使用已整理好的结构化数据批量登录目标平台提取账号信息,间接的侵入数据库。虽然撞库在代码层通过合法途径接入数据库,但其本质上依旧属于侵害企业、用户数据合法权益的侵权行为。我国刑事审判中已有将独立的撞库行为归入非法获取计算机信息系统数据罪的判例,但在民法的视野下,企业是否需要对第三人撞库窃取账号内财产的行为对账号主体负责则存在争议。目前,我国法律尚缺少对此类行为中企业责任的直接认定依据,在实践中尚需要借助表见代理制度,即企业是否采用了足够的身份认定方式来确定企业责任12。这种方式受制于大众对形成表见代理的事实达成一定程度的共识,但在不同行业间数据安全系统构建差异巨大的数据安全领域毫无疑问是不具备普遍适用性的。因此,对于数据泄露引发的法律纠纷,至关重要的是要确定一种司法分析模型,不仅可以帮助用户决定是否提起诉讼,同时也可以使持有用户数据的企业可以依靠该模型提供的预测结果来使自己免受诉讼。
二、用户数据权益救济困境的成因分析
(一) 我国民事立法中对用户数据权益保护的留白及其影响
纵观我国保障用户数据安全的法律,主要呈现出行政责任为主的特点,相应的民事规则尚无专门性规定。为保护数据安全而设置的企业义务在《数据安全法》中被统称为“数据安全保护义务”,现行法律中主要体现在《数据安全法》第27、第30、第33条,主要包含以下义务类型:其一,人员管理义务,即制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;其二,技术防范义务,即采用技术措施防范计算机病毒和网络攻击、网络侵入等危害网络安全行为;其三,可追溯性保证义务,即从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录;其四,风险评估义务,即对数据处理活动定期展开风险评估,并向主管部门报送风险评估报告。当企业发生数据泄露或可能泄露时,则依照《数据安全法》第29条负有事后的补救与通知义务。违反第27条、29条、30条与第33条的规定,分别依照第45条、47条承担行政法律责任。《数据安全管理办法(征求意见稿)》《征信业务管理办法(征求意见稿)》涉及个人用户信息保护的部分,以及《贵州省大数据安全保障条例》等地方性法规也基本与《数据安全法》对数据安全保护义务的规定一致,但均未涉及具体的违反数据安全保护义务的认定标准。
《数据安全法》的最重要功能在于维护网络空间主权、国家网络安全,设置数据安全保护义务的主要目的是在公共利益层面保护数据安全,因此违反数据安全保护义务的法律责任以行政罚款为主。因立法中并没有直接规定企业对用户的民事法律责任,故用户数据权益救济尚需从民事立法中寻找依据。遗憾的是,《民法典》并未直接赋予用户对其数据所享有的权利——虽然第1038条规定了信息處理者对个人信息的安全保护义务,且在条文适用情形上与《数据安全法》第29条相同,但同样仅概括性的确定了企业应当采取的补救措施和向主管部门报告的义务,未规定违反该义务的民事责任,且在适用范围上仅限于用户个人信息一类客体,故依旧无法对用户数据权益的民法保护提供一般的制度框架。因此,《民法典》中的侵权责任规则与《数据安全法》第27、第30、第33条规定的“数据安全保护义务”就成为了救济用户数据权益最重要的法律依据。
(二) 企业对用户的侵权责任认定标准尚待明确
关于第三人导致用户数据泄露所引发的用户权益救济,《民法典》侵权责任编中最为明确的法律依据是第1197条,在网络服务提供者(企业)知道或应当知道网络用户(侵权人用户)利用其网络服务侵害他人(其他用户)的民事权益,未采取必要措施的,与侵权人承担连带责任。不难看出,该条的适用要求侵害行为必须利用该网络服务,即该网络服务必须具备工具性。但在第三人原因导致的数据泄露中,既包含以网络服务为工具的侵权行为,也包含不以其为工具的侵权行为。因此,该法条并不能涵盖所有情形。在网络侵权中,可以作为“通知、取下”规则兜底条款的《民法典》第1198条同样具有适用空间[5]。虽然数据企业并不属于传统意义上的实体公共、经营场所的管理者、经营者,但用户以账号的形式在数据企业的经营场所(数据库)中进行活动的状态与公共场所、经营场所的特定人的人身权利状态并无显著区别。同时,司法裁判中已存在将网络平台经营者依据“收益与风险相一致”的原则视为“公共场所的管理人”的判例,明确了其对用户的安全保障义务13。因此,第1197条与1198条第2款均可作为用户主张其数据权益的依据。如图1所示,二者的区别在于依照第1197条主张权利时需证明企业服务的工具性、企业知道或应当知道侵权行为存在与未对该侵权行为采取必要措施,而依照第1198条第2款主张时则需要证明企业未对用户数据权益尽到安全保障义务,即数据安全保护义务14。但在实践层面而言,无论是《民法典》第1197、1198条的适用关系,还是《民法典》第1197条、《数据安全法》第29条中“知道或应当知道”、“采取必要措施”與《民法典》第1198条第2款“尽到安全保障义务”在数据泄露中的标准,均有待明确。
三、企业违反数据安全保护义务的民事责任
在设计企业承担侵权责任的认定标准时,固然采用最严格的标准最能保护用户数据权益不受侵害,但也要兼顾企业对泄露事件的可预见性与可负担性。企业采用技术、管理手段保障数据安全的能力通常会受到数据能力、经济能力的限制,而其数据能力又很大程度的受制于其经济能力。对此,有观点认为期望小型数据企业负担与大型互联网企业相同的安全投入显然是不合理的[6]。但在另一方面,经济能力与数据能力的欠缺也并不能构成数据企业侵害用户数据权益的免责事由。对与企业违反数据安全保护义务的标准设置及责任承担的确定,即需要法经济学的推导,也需要根据侵权行为的构成要件进行判断。
(一) 基于“汉德公式”的责任认定模型及其启示
碍于数据行业的复杂性,企业违反数据安全保护义务的责任承担始终是一个较难解决的问题。对此,有观点认为应当通过汉德公式(Hand Formula)对企业是否需要对用户承担数据侵权责任进行推导。该观点将“泄露的数据类型(type of data compromised)”作为可能性损害(PL)的评价方式,“足够的数据保护措施与经济投入(effort and cost)”作为预防措施(B)的评价方式初步构建了企业需要对数据泄露承担责任与否的判断模型。如图2所示,该模型以可能性损害为纵轴,以预防措施为横轴,并将不同企业数据安全力度下的用户数据分为四个区间:区间一为易受侵害的用户数据且企业未存在足够的数据保护措施与经济投入,此时企业应当承担数据泄露责任;区间二为易受侵害的用户数据且企业已存在足够的保护措施与资金投入,此时企业应当在存在用户数据损害时承担数据泄露责任;区间三为不易受到侵害的用户数据且企业未存在足够的保护措施及资金投入,企业同样应当对用户存在数据损害时承担数据泄露责任;区间四为不易受到损害的数据且企业已存在足够的保护措施与资金投入,在这种情形下,企业不应当承担数据泄露责任[7]。
这一模型以“可能性损害”与“预防措施”为标准实现了对企业数据安全责任的类型化,并以汉德公式为基础提出了企业数据安全责任认定问题的解决方案,但其提出的具体标准尚有不合理与有待明确之处:其一,纵轴“可能性损害”的评价方式因数据泄露损害难以确定而采用“泄露的数据类型”作为评价标准十分牵强。实践中数据泄露的风险并不与数据的种类强相关,一般具有价值的信息均具有敏感属性。数据窃取的目的就是获取敏感信息,一般体现为以账号为单位整体窃取,故将这一分类作为标准无太大意义,反而直接采用可能性损害的最直接量化形式——可能泄露的字节数更加适当;其二,横轴“预防措施”的评价方式采用“足够的数据保护措施与经济投入”也不尽合理。首先,资金投入并不能说明企业信息安全措施的有效性,例如企业安全系统外包与自研的成本相差巨大,并不能直接说明企业是否积极进行预防。其次,何种程度的数据安全保护措施属于“足够”也并未予以阐明。虽然该模型的具体设计存在些许问题,但其以汉德公式为参考提出的、基于“可能性损害”与“预防措施”的责任划分框架,依然能够为《民法典》第1197条、1198条第2款中数据企业承担侵权责任的具体标准的解释与认定提供参考。
(二) 企业承担数据泄露侵权责任的判断标准
不同于上述因用户损害无法计算而采用妥协方案的责任模型,在以我国《民法典》第1197条为代表的互联网服务中第三人侵权的企业连带责任认定规则中,普遍将“知道或应当知道”与“采取必要措施”作为判断互联网企业是否需要承担连带责任的主观与客观条件。这两项具体标准中,“知道或应当知道”标准基本与汉德公式中的损害可能性(PL)等同,均为企业对损害的心理预期;“采取必要措施”与“预防措施(B)”的差异也并不大。因此,可以以“知道或应当知道”与“采取必要措施”作为更合理的衡量企业是否应当承担连带责任的标准。在另一方面,《民法典》第1198条第2款安全保障义务的归责方式与网络侵权中对互联网服务提供者的归责方式不同,需要依照经营者、管理者是否对损害存在过错进行规则[8]。因此,判断企业是否尽到安全保障义务(即数据安全保护义务),也需要同时讨论其是否对数据泄露具有过错。
1. “知道或应当知道”的认定
在对“知道或应当知道”的理解上,客观的认定标准从严到宽有三种:其一,企业发生数据泄露;其二,企业发生足以引起关注的数据泄露;其三,企业重复发生基于同一漏洞的数据泄露。在这三种标准的选取中,最为严格的是第一种。虽然采用严格的标准更利于用户权益保护,但这一标准无疑对企业过于苛刻—毕竟没有人可以设计出毫无漏洞的安全系统。就算仅从技术角度出发、不考虑数据企业员工内部窃取数据的情况,数据泄露的可能性也是客观上存在的。在这一点上,第三种标准则更多的考虑到企业的技术能力限制,仅在企业出现相同原因的数据泄露时方使企业承担责任,但这一标准又未免太过宽松—仅为对“知道”而非“知道或应当知道”第三人侵权发生的进行判断,起不到督促企业及时修补已发现漏洞的作用,也间接的包容了在数据安全方面不作为的企业,显然有悖于我国数据安全立法的初衷。因此,需要在二者之间选取折中方案—即排除如0-DAY等未知漏洞等无法预知的风险的情形15,在企业发生足以引起关注的数据泄露时视为“知道或应当知道”,客观体现为依照当前一般数据企业技术水平能够被监测到的异常数据流、确定属实的关于导致数据泄露漏洞的新闻报道及公告、监管部门文件及《网络安全法》第21条规定的企业内部日志文件与《数据安全法》第30条规定的风险评估报告等。对于数据流“大量”的认定,基于客观可确定的制度设计原则,应当以字节为单位,结合实践中的一般技术能力与分析能力确定可识别的异常数据流大小。
2. “采取必要措施”的认定
在对企业“采取必要措施”的认定上,最为直接的参考就是企业在泄露发生后是否依照相應的国家标准与行业标准对网络、数据安全漏洞进行排查与修补。数据安全的保障分为技术与管理两个层面,技术层面的保障往往需要依赖于管理层面的保障而起到实际作用[9]。在数据安全管理方面,ISMS(Information Security Management System)国际标准已在行业内取得广泛认可,并作为各类型、各种规模数据企业解决信息安全问题的普遍方案。该数据安全体系具体由ISO27000至ISO27013系列标准组成,其中ISO27001(GB/T22080)主要规定了信息安全管理体系的要求,一般用于认证;ISO27002(GB/T22081)则详尽规定了包括但不限于《数据安全法》第27至33条的18个安全控制节点的具体安全管理措施。除ISMS外,行业中也形成了诸多如CISCO NIST 800-64等软件工程安全开发理论和标准。在这些行业标准中,ISMS管理标准已经成为我国国家标准体系的组成部分,具有更强的权威性与可适用性。ISMS对数据安全风险的评估与处置进行了详细规定,主要包括数据安全风险的识别、分析、评价以及处置方案的提出、批准、实施与关闭,并要求保留有关数据安全风险处置过程的全部文件化信息16。如果企业可以依照上述标准有效处理数据安全风险,则应当认为其已采取必要措施。需要指出的是,在我国ISMS为推荐标准而非强制性要求,仅能作为判断企业是否“采取必要措施”的参考标准。若企业有其他证据可以证明其已采取有效措施,则同样应当予以认可。若企业在知道或应当知道数据泄露风险且未采取必要措施时,应当依照《民法典》第1197条承担相应的法律后果。
3. 违反安全保障义务的认定
企业对数据泄露的安全保障义务即《数据安全法》规定的安全保护义务,但对于如何判断企业违反了该义务,法律中并没有明确规定。判断企业是否违反安全保障义务,需对其是否具有过错进行考察。在司法实践中,一般采用“明知或应知”作为判断标准17。本文认为,在企业数据安全保护的范围内,“明知或应知”的判断标准与前述“知道或应当知道”的判断标准相同,即存在能够被监测到的异常数据流、确定属实的关于导致数据泄露漏洞的新闻报道及公告企业内部日志文件等信息证明数据安全风险已存在,且企业未能采取必要措施防止数据损害发生时,视为违反数据安全保护义务,依照《民法典》第1198条承担相应法律后果。需要指出的是,安全保障义务中要求的“必要措施”(下称充分措施)较前文所述《民法典》第1197条要求的必要措施(下称补救措施)内容更加广泛:前者仅要求依照《数据安全法》第27条采取对风险的补救措施,而后者则不仅要求采取补救措施,还要求采取《数据安全法》第29条中规定的预防措施,即一旦产生数据泄露,就算企业采取措施消除了数据风险,但依然可能会因为没有满足《数据安全法》第29条而承担相应的补充责任。
(三) 企业违反数据安全保护义务的侵权责任形态
无论是依照《民法典》第1197条还是第1198条第2款,企业承担数据安全责任的认定要件均包括“知道或应当知道数据存在泄漏风险”与“未采取必要措施”。但二者不同的是,依照《民法典》第1197条规定,网络服务提供者仅需要在网络用户利用其网络服务侵害他人民事权益时承担责任,而第1198条第2款的具体认定标准参照《数据安全法》中的要求,并不包含这一规定。对于第三人窃取用户数据是否属于这一情形,则因对“用户”与“利用其网络服务”的解释不同而存在两种观点:对二者采用广义解释的观点认为,“用户”应当指一切互联网用户18,只要侵权人窃取数据时网络服务提供者的服务为其提供便利或可能,即属于“利用其网络服务”的范畴,属于这一情形;对二者采用狭义解释的观点认为,“用户”指接受特定网络服务的相对人,侵权人窃取数据时企业所提供的网络服务具有工具性,方才属于“利用其服务”,故第三人窃取用户数据不属于这一情形。依照两种不同解释,《民法典》第1197条规与第1198条规定的不同法律后果会在不同范围内产生竞合。但无论竞合范围几何,因第1197条为互联网侵权特别规定,均应当依照特别先于一般的规则优先于第1198条适用。对于上述两种观点,本文认为因《民法典》为广泛调整平等主体之间的财产关系与人身关系的法律,故应当采用广义“用户”与“利用网络服务”的概念,不因此对第1197条与1198条承担法律责任的前提进行区分。
综上所述,在具体责任承担标准的设计上,可以以“企业是否知道或应当知道数据风险”为纵轴,“企业是否已采取必要措施”为横轴区分四个区间(如图3所示):第一区间为,企业知道或应当知道数据风险且未采取补救措施的,应当依照《民法典》第1197条承担连带责任;第二区间为,企业知道或应当知道数据风险、采取措施不充分且产生损害的,应当依照《民法典》第1198条承担相应的补充责任;第三区间为,企业不应当知道数据泄露且未采取充分措施,无过错不需承担补充责任;第四区间为,企业不应当知道数据泄露且已采取充分措施,尽到安全保障义务不需承担责任。需要指出的是,第三区间所述“不承擔补充责任”仅指企业基于当前数据安全业务所应具备的客观技术水平与管理水平无法知道数据泄露而导致的无过错不承担补充责任,而非基于其自身现有技术水平与管理水平无法知道数据泄露而不承担补充责任。企业因自身技术水平与管理水平存在缺陷而导致用户数据权益受到损害的,应当依照第二区间承担相应的补充责任,并可以在承担责任后向第三人追偿。
四、用户数据权益损害赔偿的认定
因数据泄露导致的用户数据权益损害无法恢复原状,故数据企业承担违反数据安全保护义务的民事责任的方式应当以损害赔偿为主。企业对用户数据权益的损害赔偿包含两个部分:其一是对用户数据内涵的商业秘密、著作权、知识产权等权利、权益的损害赔偿;其二是对用户已授权数据企业使用的用户数据利益的损害赔偿。对法律规定的具体权益的损害赔偿应当依照相关法律规则处理,而已转移的企业数据利益的损害,则是本部分讨论的内容。
(一) 数据定价的基本方式
在当前的学术讨论中,数据定价的基本方式可以概括为协议定价与客观定价两种。其中,协议定价是双方当事人通过自愿协商的方式,就已泄露的数据价值达成合意;客观定价是指在双方当事人难以对数据价值达成合意时,通过一定方式认定特定数据的价值。
因数据具有非消耗性、非排他性、价值随着数据聚合程度增加而增加、价值受获取渠道与持有者处理能力影响等特征,其价格往往很难客观衡量。因此,遵循财产规则通过自由协商的方式由当事人协议对数据定价,能够通过自愿交易避免数据的定价困境,无疑是数据定价的最优选择[10]。在数据交易中,持有用户数据的企业与用户经过协商达成一致意见是意思自治和合同自由原则在数据行业的体现,比如Google在2012年开展的Screenwise Trends Panel市场调查项目,以支付报酬的方式收集用户的实用信息等[11]。但需要注意的是,数据企业与用户之间服务协议的内容,必须以用户数据为唯一标的,否则将因其他标的介入而导致实际数据对价难以计算。相较于以服务换数据,这种单纯的数据购买在实践中似乎并不多见,也使得可以通过这种方式确定数据价格的情形变得十分有限。
当无法通过协商方式对数据价格达成一致的情形下,通过一种客观方式确定数据价格即成为最优的定价方案。但如何确定一种科学的定价方式始终是一个较难解决的问题。对于特定数据的客观定价方式,已有观点提出可以根据附加征税的报价[12]、数据生产成本计价等[13],但这些方式同样存在着许多问题:如征税报价根本上是自我报价,且不论政府征税是否可行,其本身就缺少客观性;数据生产成本计价虽然具备客观性,但仅限于已被处理后的结构化数据,未被处理的非结构化数据无法进行折算,本身不具备普遍适用性。同时,上述方法也均存在在诉讼中难以操作的问题—即需要对案中涉及的所有具体数据进行逐一价格认定,考虑到实践中动辄以TB为单位的数据量,实际是一项不可能完成的任务。因此,对特定数据的客观定价仅存在理论上的可能,且适用范围受限,并不具有普遍适用性与可行性。用户数据权益的损害赔偿依旧需要在寻找一种在个案中对涉诉数据的价格进行概括性认定的方法。
(二) 个案中数据损害赔偿的计算
在个案中,用户数据损害如可能计算损失,应当以用户收到的损失计算损害赔偿的具体数额;无法计算损失的,则应当为用户提供一种一般化的损害赔偿计算方式。对此,已有学者提出根据数据企业的结算报告推测、根据市场价格推测与经济实验推测等多种方法[14]。本文认为,对于数据价值折算方法的选择,应当以具有确定性、可预期性与客观性的特征为判断标准:首先,这一方法应当是一个确定的公式,该公式的结构应当是固定的,而非基于离散采样取平均值,或依据样本数量变化而产生不同计算结果的计算方法;其次,这一方法应当保证最低限度的可预期性,至少应当使当事用户在将数据交付给企业时存在对数据价值的心理预期,且在数据泄露事件发生时客观上能够确定;最后,这一方法应当可以客观的反应数据在泄露时的价值。数据的价值随着主体的不同、时间的不同而变化,折算个案中数据的价值应当结合数据的具体处理环境与泄露发生的时间,客观地确定当年特定数据企业的数据市场价值。因此,基于平均值采样法的市场价格推测方式与基于模拟交易的实验推测法均予以排除。根据企业结算报告折算的方法不仅更为科学,也与《个人信息保护法(草案)》第65条的损害赔偿计算方式相同,更有利于保持法律规则的一致性。
在根据企业结算报告折算用户数据价值的具体公式设置上,该方法以用户的账号为基本单位,提出的公式为“用户数据价值折算=企业年度数据经营业务销售额÷账号数”[15]。但结合实践而言,不同账号下的数据量往往差异巨大,故应当使用数据的基本单位——字节替换公式中的“账号”,重构公式为“用户数据价值折算=(企业年度数据经营业务销售额÷数字经营总字节数)×用户存储于企业的字节数(实际泄露的字节数)”。如此,数据泄露中用户数据权益的损害赔偿范围就得以确定,最终由法院依照案件具体情形在该范围内确定具体的赔偿数额。需要指出的是,该公式中的“年度数据经营业务销售额”仅包含该企业的数据合法交易(包括向用户出售的数据服务、向第三方出售的基于用户数据的数据服务),非法交易而产生的数据盈利不应被包含在内。
结 语
我国《民法典》第127条规定:“法律对数据、网络虚拟财产的保护有规定的,依照其规定”,《数据安全法》也于第四章对数据安全保护义务的类型进行了规定,但在数据泄露中企业数据安全保护义务的边界与违反该义务应对用户承担何种形态的民事责任上尚不明确。综上所述,在用户数据权利尚未被立法保护的前提下,可以以《民法典》第1197条、1198条第2款为制度基础,通过明确企业数据安全保护义务与民法上的安全保障义务、互联网侵权责任规则的关系的方式保护用户合法权益。在数据泄露中企业对用数据权益的损害赔偿问题上,应当结合数据经营实践确定“知道或应当知道”、“采取必要措施”以及“违反安全保障(数据安全保护)义务”的具体标准,使未尽到数据安全保护义务的企业依照《民法典》第1197、1198条的规定承担连带或补充责任,并在數据层面承担以其年度数据经营业务销售额为核算标准的损害赔偿责任。
诚然,对于单一用户数据层面的救济可能损害赔偿并不算多,但是用户数据权益集腋成裘,其总量必然是巨大的。企业数据泄露的损害最终是由用户和社会承担,如果忽视这些受损害的个体的权益,最终会导致法律威慑的失效[16]。在《数据安全法》未对企业泄露用户数据应当承担何种民事责任予以规定的立法现状下,以《民法典》第1197条、1198条作为用户主张其数据权益的请求权基础,确定企业在违反数据安全保护义务时对用户的损害赔偿责任,既可以鼓励企业通过提高数据库安全性使自己获得竞争优势,也可以使企业在没有采用必要手段保护数据库时对其不作为承担法律责任。
参考文献:
[1] 王融. 关于大数据交易核心法律问题——数据所有权的探讨[J]. 大数据,2015(2):49-55。
[2] 杨立新. 衍生数据是数据专有权的客体[N]. 中国社会科学报,2016-7-13(5)。
[3] 张素华,李雅男. 数据保护的路径选择[J]. 学术界,2018(7):52-61。
[4] 齐爱民,盘佳. 数据主权的确立与大数据保护的基本原则[J]. 苏州大学学报(哲学社会科学版),2015(1):64-70。
[5] 李小草. 《电子商务法》电商平台知识产权保护规定的法体系适用研究[J]. 法律适用,2020(13):124-135。
[6] Caitlin Kenny. The Equifax Data Breach and the Resulting Legal Recourse[J]. Brook. J.Corp. Fin. & Com. L. ,2018,13:238.
[7] Lauren M. Lozada. The (Possibly) Injured Consumer: Standing in Data Breach Litigation[J]. St. John's L. Rev. , 2019,93:484.
[8] 王利明. 侵权责任法研究(下卷)[M]. 北京:中国人民大学出版社,2018:157-159。
[9] 石祖文. 大型互联网企业安全架构[M]. 北京:电子工业出版社,2020:36。
[10] 吴超. 从原材料到资产——数据资产化的挑战和思考[J]. 中国科学院院刊,2018(8):791-795。
[11] Brok. Is Screenwise Trends Panel A Scam? Can They Be Trusted?[EB/OL]. (2014-3-17)[2021-8-2]. https://fulltimejobfromhome.com/is-screenwise-trends-panel-a-scam-can-they-be-trusted.
[12] Eric A. Posner & E. Glen Weyl. Property Is Only Another Name for Monopoly[J], J. Legal Analysis, 2017,9:51.
[13] 戴昕. 数据隐私问题的维度扩展与议题转换:法律经济学视角[J]. 交大法学,2019(1):49。
[14] 城田真琴. 数据中间商[M]//邓一多,译. 北京:北京联合出版公司,2016:94-119。
[15] 城田真琴. 数据中间商[M]//邓一多,译. 北京:北京联合出版公司,2016:96。
[16] Daniel J. Solove & Danielle Keats Citron. Risk and Anxiety: A Theory of Data-Breach Harms[J]. Tex. L. Rev. 2018,96:737.
Research on Enterprise's Compensation for Damages to Users in Data Leakage
Ma Yufei
(School of Law, University of International Business and Economics, Beijing 100029, China)
Abstract: The behaviors of illegal obtaining, stealing, and destroying database data have caused data companies and users to suffer huge losses. Regarding the protection of user data rights, although Article 27 of the Data Security Law stipulates the security protection obligations of network operators for user data, it is not clear how to compensate users for damages in the civil law. Under the premise that user data rights have not been confirmed by legislation, Articles 1197 and 1198 of the Civil Code can be used as the basis for requesting rights. The specific standards of "know or should know", "take necessary measures" and "breach of security protection (data security protection) obligation" are determined based on the data operation practice, and the relief framework of users' data rights and interests is constructed to make the enterprises that violate the obligation assume the liability for damages.
Key words: user data rights; data security protection obligations; compensation for damages; cyber security; hand formula
