数字经济时代，数据已成为众多企业的核心资产之一。在助力企业增强竞争力的同时，数据泄露[1]（data breach）所带来的潜在风险也不容忽视。随着互联网的深度普及，互联网在与个人结合得愈发紧密，给生活带来空前便利的同时，全球也已进入数据泄露事件的高发期。2016年，雅虎公司即公布了2013年、2014年两起重大数据泄露事件，所涉账号数以十亿计。
　　目前，全球范围内有关数据保护方面的法律愈加完善与严苛。尤其在我国《网络安全法》业已施行的当下，有效识别与收集、存储、使用和分享用户个人信息等相关的潜在风险，防止数据泄露及在发生数据泄露等安全事件时及时进行有效的应对，对企业而言至关重要。 
　　一、美欧在数据泄露方面的法律规制
　　信息革命带来的副产品数据泄露，是一个世界性难题，对于经济发达、科技领先的美欧亦是如此。
　　（一）美国
　　美国法律对于数据泄露的一项重要规制措施是通知机制。2002年，美国加利福尼亚州通过了第一部州立数据泄露通知法，之后，针对数据泄露通知义务的法律陆续在美国的47个州通过，另有三部区域性立法得以确立。此外，美国还有一些行业性数据保护法，涉及健康医疗保险、教育、金融服务等特定行业。[2]
　　随着近年来司法实践的发展，各州在相关立法中对“个人信息”的定义和范围进行了渐进式扩充与完善。敏感性（sensitivity）不再是个人信息的必备要素，在某些州立法中，一些不具有敏感性的信息也逐步被纳入到了个人信息的范围，进而导致通知义务的范围随之扩大。同时，一些州对于具体的通知义务也通过修订法律的形式进行了细化。比如，2017年4月4日，田纳西州颁布的数据泄露通知法的修正案中，改动之一就是添加了一个最长为45天的数据泄露通知窗口时间，要求所有在该州开展商业运营且拥有或被授权使用包含个人信息在内的计算机数据的企业或个人，在安全系统遭受入侵或者田纳西州公民的个人信息被泄露时，及时发出相关通知公告。
　　2017年6月，美国最大医疗保险公司Anthem宣布，其已同意支付1.15亿美元就数据泄露事件与原告达成和解。2015年，Anthem的数据库因遭遇黑客攻击，导致7900万名客户的个人信息被泄露。这些个人信息包括姓名、出生日期、地址、邮箱地址、就业信息、收入信息以及社保号码等。此后，Anthem接到了超过100起用户提起的诉讼，法院对其进行了合并审理。若和解协议得到法院的批准，该案将打破美国数据泄露和解赔偿金额的最高纪录。
　　同月，美国生物制药和医疗设备商业化支持服务提供商CoPilot表示，其将支付13万美元就其违反法律规定延迟通报信息泄露一案与纽约州总检察长达成和解，并作出整改计划。2015年10月，CoPilot存储的超过22万名患者的数据遭到泄露，而直至2017年1月，该公司仍未就数据泄露事件告知相关患者。在和解协议中，CoPilot承诺，除非在执法机构以书面形式明确要求的情况下，未来如发生数据泄露情况，将及时通知。
　　（二）欧盟
　　在欧盟层面，目前仅包含电信通讯信息等在内的特定种类的信息强制性地要求数据泄露之后的通知义务。但是在不久的将来，即 2018年5月《通用数据保护条例》（General Data Protection Regulation, “GDPR”）生效之后，这一形势将发生改变。GDPR规定了特定情形下的通知义务，而作为欧盟层面的法规，其将直接适用于欧盟各成员国。
　　欧盟将“个人数据泄露”（personal data breach）定义为：个人数据在传输、存储或进行其他处理时的安全问题引发的个人数据被意外或非法破坏、丢失、更改，或者未经授权披露或访问。[3]在设定数据泄露的通知义务时，采用了双重危害可能性标准：对于可能对个人权利或自由产生危害的数据泄露，公司须在发觉之后的72小时内通报相关数据保护监管机构；对于可能对个人权利或自由产生高度危险的数据泄露，除向监管机构进行通报外，公司还须尽快通知受安全事件影响的个人数据主体而不得无故拖延。如企业未依照法律规定向监管机构进行报告，将可能承担严重的法律后果：企业最高可被处以1000万欧元或其全球年营业额2%的罚款，以两项数额中较高者为准。
　　在成员国层面，德国国会于2017年7月通过了新的《联邦数据保护法》（Federal Data Protection Act)，通过修订本国法律以具体适用GDPR。德国成为欧盟成员国中，首个为配合GDPR的适用而修订本国数据保护法的国家。预计之后将会有越来越多的欧盟国家为GDPR的适用采取行动。 
　　二、中国对数据泄露的法律规制现状
　　在法律层面，目前对数据泄露（个人信息泄露）作出规定的主要包括2013年10月25日修订的《消费者权益保护法》和2017年6月1日生效的《网络安全法》。其中，《消费者权益保护法》第二十九条第二款规定，“经营者及其工作人员对收集的消费者个人信息必须严格保密，不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施，确保信息安全，防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时，应当立即采取补救措施。”
　　《网络安全法》则进一步明确了通知义务，其第四十二条第二款规定，“网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。”违反该条规定，招致的法律责任将可能是非常严重的，包括没收违法所得、一百万元以下罚款、责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等。
　　在刑事责任方面，《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第九条规定，“网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使用户的公民个人信息泄露，造成严重后果的，应当依照刑法第二百八十六条之一的规定，以拒不履行信息网络安全管理义务罪定罪处罚。”
　　此外，于2016年12月21日公开征求意见的推荐性国家标准《信息安全技术 个人信息安全规范（征求意见稿）》在第九条明确了个人信息控制者对于个人信息安全事件所负有的一系列预防性与应对性义务，包括：制定个人信息安全事件应急预案、定期（至少每年一次）组织内部相关人员进行应急响应培训和应急演练、以及针对个人信息安全事件的处置流程和安全事件的应急告知方案与公开披露要求等。虽然该国家标准尚处在制定阶段，但其对相关企业开展针对性合规工作，具有重要的借鉴意义。
　　三、中国企业如何应对数据泄露法律风险
　　通常而言，数据泄露往往并非企业主动为之，而是多由于遭受到外部攻击或内部人员违规所致，企业本身即是数据泄露的直接受害者。数据泄露事件的发生及应对措施不当可能会对企业造成重大损失，也直接关乎用户切身利益甚至引发较为严重的社会问题。尽管业务模式与行业特性存在不同之处，采取有效的预防性措施避免数据泄露以及妥当地应对可能的数据泄露事件，对于企业尤其是掌握海量用户个人信息的互联网企业、跨国公司来说尤为重要。
　　参考美欧在数据泄露方面的法律规制情况，结合时下我国相关法律的发展现状，我们建议企业可以从以下四个方面，做好应对措施：
　　（一）尽快建立、健全企业关于网络安全、数据保护的合规及保障体系；
　　（二）结合网络安全、数据保护领域立法、执法的最新动向，有针对性地开展网络安全及数据保护的培训工作；
　　（三）对自身存在的系统漏洞以及数据泄露风险进行系统性的排查，对于从中可能发现的问题，及时予以纠正和处理；
　　（四）如经排查，确实发现存在发生数据泄露等信息安全事件的危险，应及时寻求专业的数据保护解决方案及法律意见，预防并应对可能面临的因处理不当而产生的不利后果。
　　针对前述第（一）项措施，几点具体的建议如下：
　　1. 落实网络安全保障措施：识别出作为公司重要资产的包含用户个人信息在内的各种数据，采取安全措施，如实体防护、访问控制、系统检测等对其进行有效的保护；
　　2. 针对潜在的数据泄露制定应急预案：数据泄露风险难以完全避免，但详尽而周到的应急预案（如包括具体如何履行数据泄露通知义务）通常可以显著降低相关风险。在此基础上，适时的“桌面演习”也有助于评估、测试预案的科学性与可行性；
　　3. 寻求网络安全与数据保护方面的专业法律意见，为起草和执行安全保障措施与应急预案等提供助益。

[1] 本文所称“数据泄露”主要系指与用户个人信息有关的数据泄露。
[2] 如：《面向经济和临床健康的健康信息技术法》（Health Information Technology for Economic and Clinical Health Act）、《家庭教育权和隐私权法》（Family Educational Rights and Privacy Act）、《金融服务现代化法》（Gramm-Leach-Bliley Act）。
[3] ‘Personal data breach’ means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed。