美国数据泄露通知制度研究

为应对日益频繁的数据泄露事件,具有及时止损功能的数据泄露通知制度逐渐受到各法治国家的重视。美国是世界上最早确立数据泄露通知制度的国家,截至2018年,其50个州均颁布了数据泄露通知法,内容涉及触发条件、通知流程、处罚机制等诸多方面。通过对美国各州立法的考察,可以为我国的数据泄露通知制度立法提供借鉴。在立法模式层面,国家应出台详尽的数据泄露通知规范;在立法理念层面,应在保护消费者权益的同时兼顾数据处理者的利益;在立法技术层面,应当从触发条件、通知流程、处罚机制等方面制定系统完善的数据泄露通知规则。

论数据泄露通知义务的制度构造

数据泄露通知义务不仅是数据安全保障义务的次生性规范,更是个人数据主体知情权与决定权对应的告知义务所映射的独立性要求,其实质是融入实体法的管理性义务规范。因此,数据泄露通知义务本质上既属于安全价值对应的公法义务,又属于自由价值对应的私权保护规范,其制度设计亦会反向促使义务主体不断更新数字密码技术手段,完善数据加密实践,逐步形成“事前—事中—事后”的协同数据安全防范机制。数据泄露通知义务的制度构造实现了通知行为触发三方(“一点”贯穿“三线”)共同介入风险分摊的有效机制,有利于缓和规则抽象性和监管具象性需求之间的矛盾。对于数据安全事件的治理,应当以数据泄露通知为连接点实现多方共治的安全防范协同机制,强化数据泄露的管理过程控制和深度利用治理。

论跨境数据泄露通知制度的规范逻辑与实践逻辑交互

借助流动性风险理论,解释数据强连接性反应的强流动性与数据泄露反应的流动性风险之间存在的张力,有效弥补“场景—风险”理论聚焦具体化规制思路而忽视上位性抽象概念逻辑涵摄的不足。其具体指向包含跨境数据控制者对数据流动样态引起的损害可能性与不确定性认知、流动性与风险度的正相关关系和风险承担模式的判断。在此基础上构建跨境数据泄露通知制度是数据泄露通知制度与数据跨境保护规则交融的规范逻辑,实现数据安全与跨境自由流动、技术扩张与规则限制、规则保护与监管制约的有效平衡价值。尝试构建针对性的跨境数据泄露通知规则、明确数据跨境泄露通知的监管联动与多边合作,助力形成体系化跨境数据泄露保护框架,有效实现数据安全保障的实践逻辑。

澳大利亚数据泄露通知制度及其启示

与大数据的广泛运用如影相随的是数据泄露事件频现,而数据泄露通知制度的重要价值在于其能有效止损,故近年来该制度备受各主要国家的关注。采用文献调研法、文本分析法考察澳大利亚数据泄露通知制度发现,澳大利亚的数据泄露通知制度综合考虑了通知义务人、通知对象、通知时间、触发条件、通知内容、通知方式及通知例外等因素,其信息专员办公室另制定配套指南,使其数据泄露通知制度得以有效实施。我国可汲取澳大利亚的立法经验,在《数据安全法》中明确数据泄露通知制度,合理界定数据泄露通知范围,规范泄露通知的触发流程。

个人信息保护中数据泄露通知制度的规范逻辑及其证成

个人信息保护领域中,数据泄露通知制度是各国普遍采用的应对数据泄露问题的法律制度。“数据泄露”的中文表述与英文“data breach”存在语义上的不统一,从而形成了制度内涵上的理解差异,于是产生了认识和实践数据泄露通知制度的问题。数据泄露通知制度实际上是对数据安全保障义务的违反所产生的一项次生性、独立性法律义务,其本身能够构成完整的制度设计路径。讨论数据泄露通知制度的应然解释、构建逻辑、法律性质、主观要件等,可以从更丰富的维度理解并执行该制度。

美国联邦个人信息泄露通知制度及其借鉴意义

美国是世界上最早确立个人信息泄露通知制度的国家,但由于两党制掣肘、联邦和州两套法律体系并行等体制性困境,时至今日在联邦层面仍然缺乏综合性的个人信息泄露通知法,仅在公共部门管理、医疗健康、金融服务等领域颁布较为完善的单行立法。我国应当重视个人信息泄露通知的综合性立法工作,允许特定行业制定个人信息泄露通知规范,构建系统明晰的个人信息泄露通知规则体系。