摘    要：

數據安全保護義務貫穿于數據產權、數據要素流通和交易等基本制度，對于保護民事主體的合法權益，維護國家安全，促進數字經濟的發展，至關重要。我國數據安全義務的規范體系由數據安全、網絡安全與個人信息保護三個方面的法律組成，存在相應的適用順序。當事人也可以約定數據安全保護義務。任何實施數據處理活動的組織或個人都是數據處理者，負有數據安全保護義務。數據處理者應當根據數據安全風險確定所采取的相應的技術措施和其他必要措施，重要數據的處理者還負有兩項特殊的義務。數據處理者違反數據安全保護義務，導致數據被第三人取得進而被非法利用，造成他人損害的，直接侵權人應當承擔全部的賠償責任，而數據處理者應承擔與其過錯、原因力相應的賠償責任。

關鍵詞：數據安全;網絡安全;個人信息保護;處理者;侵權;            

作者簡介：程嘯，清華大學法學院教授，法學博士。;

基金：國家社科基金重大項目“大數據時代個人數據保護與數據權利體系研究”（項目編號：18ZDA146）;清華大學自主科研計劃項目“個人信息權益研究”（項目編號：2021THZWYY02）的階段性研究成果;

一、引言

現代社會是信息時代、網絡社會，數據正處于越來越重要的地位。人們將數據比喻為“21世紀的石油”，還有人說它是“數字經濟的血液”。2020年3月30日頒布的《中共中央國務院關于構建更加完善的要素市場化配置體制機制的意見》明確將數據作為一種生產要素，與傳統的生產要素如土地、勞動力、資本、技術等并列，并提出，加快培育數據要素市場，推進政府數據開放共享、提升社會數據資源價值、加強數據資源整合和安全保護。總之，數據作為新型生產要素，是數字化、網絡化、智能化的基礎，已快速融入生產、分配、流通、消費和社會服務管理等各環節，深刻改變著生產方式、生活方式和社會治理方式。在現代社會，無論是確認數據的產權，實現數據的流通、交易、使用、分配，還是建立科學合理的數據要素治理格局，都離不開數據安全。數據安全貫穿于數據產權制度、數據要素流通和交易制度、數據要素收益分配制度以及數據要素治理制度當中，它對于保護自然人、法人和非法人組織等民事主體的合法權益，維護國家安全，促進數字經濟的發展至關重要。倘若不能有效地保護數據安全，就無法構建數據基礎制度，也不可能真正發揮數據要素的作用。正因如此，2022年12月2日公布的《中共中央國務院關于構建數據基礎制度更好發揮數據要素作用的意見》始終將數據安全作為重中之重，高度重視數據安全保護，該意見共有14處提及數據安全，并明確要求“建立實施數據安全管理認證制度”、“構建數據安全合規有序跨境流通機制”、“健全網絡和數據安全保護體系”以及“規范企業參與政府信息化建設中的政務數據安全管理”。

數據安全是指通過采取必要措施，確保數據處于有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力（我國數據安全法第3條第3款）。所謂數據安全保護義務，是指有關組織或個人負有的采取必要措施，保護數據的安全，從而防止未經授權的訪問以及數據的泄露、篡改、丟失，并在已經或可能發生數據泄露、篡改、丟失時采取相應補救措施的義務。2021年9月1日起施行的《中華人民共和國數據安全法》（以下簡稱“《數據安全法》”）以“保障數據安全”作為主要的立法目的，該法對于數據安全保護義務的主體、內容以及相應的法律責任等作出了規定。盡管數據安全保護義務非常重要，但是理論界對于數據安全保護義務的研究卻較為薄弱。對于數據安全保護義務的來源、數據安全保護義務的主體、具體內容的確定與判斷標準，以及違反數據安全保護義務的侵權責任等，尚缺乏深入的研究。有鑒于此，筆者不揣鄙陋，擬在本文中對我國法上的數據安全保護義務做一系統研究，以供理論界與實務界參考。

二、數據安全保護義務的產生途徑

數據安全保護義務的產生途徑即該義務的來源包括法定與約定兩種。法定的數據安全保護義務是通過法律、法規中的強制性規范而直接確定相應主體所負有的保護數據安全的義務，如我國數據安全法、個人信息保護法等法律中規定的數據安全保護義務。約定的數據安全保護義務是在數據處理活動中當事人之間通過合同的約定而產生的一方所負有的數據安全保護義務，如A公司委托B公司處理某些數據，雙方在委托合同中約定受托人B公司負有相應的數據安全保護義務。

（一）我國數據安全保護義務的規范體系與適用

確保數據得到有效的保護，防止其泄露、丟失、篡改或被非法利用，對于保護民事主體的合法權益、維護社會公共利益、保護國家安全等至關重要。故此，各國立法機關都通過法律法規對于數據安全保護義務作出具體的規定。以美國為例，從聯邦立法到州立法均有關于數據安全保護義務的規定，大致可以分為四個部分：一是聯邦法規，即聯邦政府中負責監督那些受高度監管的行業（如醫療保健、金融服務行業）的政府部門頒布的法規，如HIPAA Security Rule；二是消費者保護法規，即在聯邦貿易委員會（FTC）和州檢察長等消費者保護監管機構發布的消費者保護法規中規定的數據安全保護義務，如FTC Section 5；三是數據泄露通知相關法律的規定；四是加利福尼亞、馬薩諸塞、紐約和俄亥俄等一些州的立法對于特定的數據安全義務的規定。1

我國對于數據安全保護義務作出規定的法律規范主要包括三個層次，即法律、法規和規章。法律如數據安全法、網絡安全法、個人信息保護法等；法規包括行政法規和地方性法規，行政法規如《中華人民共和國計算機信息系統安全保護條例》《中華人民共和國電信條例》《計算機信息網絡國際聯網安全保護管理辦法》等，地方性法規如《山西省計算機信息系統安全保護條例》《寧夏回族自治區計算機信息系統安全保護條例》《深圳經濟特區數據條例》《上海市數據條例》等。規定數據安全保護義務的部門規章主要是公安部、國家網信辦、工信部等國家部委頒布的，如《數據出境安全評估辦法》《汽車數據安全管理若干規定（試行）》《電信和互聯網用戶個人信息保護規定》《信息安全等級保護管理辦法》等。就我國數據安全保護義務的法律規范體系而言，需要注意的是，從法律即全國人民代表大會及其常務委員會制定的規范性法律文件層面來看，它們是由數據安全、網絡安全和個人信息保護這三方面的法律所組成的。具體而言：

1. 數據安全方面的法律規范

《數據安全法》是數據安全保護義務最基本的法律淵源，該法以保護數據安全為立法目的，確立建立了諸多基本的數據安全制度（第3章），如數據分類分級保護、數據安全風險評估、數據安全應急處置、數據安全審查以及數據出口管制等，還專章對于數據安全保護義務作出了規定。此外，《數據安全法》還就政務數據的安全保護以及國家機關的數據安全保護義務作出了規定（第5章）。

2. 網絡安全方面的法律規范

我國網絡安全方面的法律主要包括《中華人民共和國網絡安全法》（以下簡稱“《網絡安全法》”）、《全國人民代表大會常務委員會關于維護互聯網安全的決定》等。網絡安全（cyber security）與數據安全（data security）既有聯系也有區別。通說將網絡安全分為四個層面，即物理安全、運行安全、數據安全與內容安全，分別對應基礎設施的安全、信息系統的安全、信息自身的安全以及信息利用的安全。2《網絡安全法》將網絡安全分為網絡運行安全和網絡信息安全，該法第76條第2項將網絡安全界定為“通過采取必要措施，防范對網絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網絡處于穩定可靠運行的狀態，以及保障網絡數據的完整性、保密性、可用性的能力”。由此可見，網絡安全中的網絡信息安全就包括了網絡數據安全�！毒W絡安全法》第四章“網絡信息安全”中關于保護網絡用戶信息的安全的規定，也就是對網絡數據安全的規定。3

3. 個人信息保護方面的法律規范

我國個人信息保護方面的法律主要包括民法典、個人信息保護法、電子商務法、未成年人保護法以及《全國人民代表大會常務委員會關于加強網絡信息保護的決定》等。電子化方式記載的個人信息就是個人數據，保護個人信息當然包含了保護個人數據安全，而數據安全保護義務所指向的數據也包括了個人數據和非個人數據�！吨腥A人民共和國個人信息保護法》（以下簡稱“《個人信息保護法》”）明確要求個人信息處理者應當對其個人信息處理活動負責，并采取必要措施保障所處理的個人信息的安全（第9條）。同時，該法第五章“個人信息處理者的義務”中對于個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等，采取相應的措施防止未經授權的訪問以及個人信息泄露、篡改、丟失（第51條），以及在已經發生或者可能發生個人信息泄露、篡改、丟失時應當采取的補救措施（第57條）等作出了規定。

在上述三方面法律對數據安全保護義務均有規定的情形下，應注意它們的適用關系。筆者認為，一方面，只要處理的數據屬于個人數據即以電子方式記載的個人信息的，則數據安全保護義務就具體表現為個人數據保護即個人信息保護義務，此時應當優先適用個人信息保護法方面的法律規定，沒有規定的則適用數據安全保護法的相關規定；另一方面，如果是線上處理數據即利用互聯網等信息網絡開展的數據處理活動，則無論處理的數據是個人數據還是非個人數據，都應當同時適用網絡安全方面的法律，即在網絡安全等級保護制度的基礎上履行數據安全保護義務，至于線下處理數據則不適用。

（二）約定數據安全保護義務的情形

除了法律、法規和規章對數據安全保護義務的規定外，在數據處理的實踐中，基于各種考慮，當事人還往往通過合同對數據安全保護義務作出約定。具體而言，當事人約定數據安全保護義務的情形主要有以下三類：其一，委托處理數據的場合，即一方當事人委托另一方當事人為其處理某些數據，即提供相應的數據處理服務的情形。例如，C公司委托D公司為其處理某些數據時，由于受托人D公司將接觸到相應的數據，故此，為了保護數據的安全，當事人需要對于受托人的數據安全保護義務作出約定。不過，對于國家機關委托他人處理政務數據時，法律上有強制性的規定。我國數據安全法第40條明確要求，國家機關委托他人建設、維護電子政務系統，存儲、加工政務數據，應當經過嚴格的批準程序，并應當監督受托方履行相應的數據安全保護義務。受托方應當依照法律、法規的規定和合同約定履行數據安全保護義務，不得擅自留存、使用、泄露或者向他人提供政務數據。此外，我國個人信息保護法第21條規定，個人信息處理者在委托處理個人信息時，應當與受托人約定包括個人信息保護措施等在內的事項，還要求委托人要對受托人的個人信息處理活動進行監督。

其二，提供數據或轉移數據以及共享數據的情形。當數據處理者需要將數據提供給其他的處理者、因為公司的分立合并等而發生數據轉移，或者因數據的共享利用使得其他主體能接觸到數據時，為了確保數據的安全，當事人往往要對數據安全保護義務作出約定。例如，希望接受信用卡的商家必須通過合同的約定來遵守支付卡行業的數據安全標準，否則銀行就不會同意該商家接受信用卡。同樣，想要發起電子支付訂單（如從客戶的銀行賬戶中扣款）的企業，也必須同意適用電子支付系統（例如ACH支付系統）的規則，包括約定數據安全保護義務的條款。4再如，在商業活動中對于第三方供應商（third-party vendor）的風險尤其是數據及網絡安全的風險管理，成為現代企業風險管理中越來越重要的環節。許多企業在與第三方供應商簽訂的合同（如與云服務提供商簽訂的合同）中會通過很多條款來詳細約定數據安全保護義務，這些條款包括：（1）供應商合規性條款，即要求第三方供應商陳述并保證遵守與個人信息的擁有或使用相關的所有可適用的法律和條例，并要求遵守本企業的隱私和信息保證政策以及相關做法；（2）安全程序條款，即要求第三方供應商在可行的范圍內維護其自身的隱私和信息安全計劃，并對其安全和信息保證實踐進行定期風險評估；（3）保障措施條款，即通過合同要求企業的供應商保證其能夠實現對企業數據的適當保護；（4）賠償條款，即第三方供應商應就為其未能遵守適用的隱私法導致數據丟失或因過錯而致數據泄露承擔相應的賠償責任等；（5）保密條款，即要求第三方供應商確保充分保護企業的數據，并且通過相應的約定來處理合同履行完畢后數據的保護、銷毀和歸還等問題。5

其三，保險公司承保數據安全事件的責任保險的情形。6國外保險公司為數據安全事件提供相應的責任保險時，為了能夠控制風險，在決定是否承保前，保險公司會組織專業人士對投保人的數據安全保護的現狀加以了解，通過詳細詢問等風險評估流程來了解投保人的數據安全治理水平以及防火墻、加密、補丁、密碼強度、多因素身份驗證等特定保護措施的使用情況如何。在決定承保后，保險公司會對被保險人提出相應的數據安全保護的要求，要求被保險人承諾采取相應的措施，盡到相應的義務來保障數據的安全。并且在合同中明確約定，如果被保險人沒有履行這些數據安全保護義務，則一旦出現數據安全事件時，就無法獲得保險公司的理賠。7

三、數據安全保護義務的主體與適用范圍

數據安全保護義務的主體就是數據的處理者，而該義務所指向的客體即適用的對象是數據處理者所處理的數據�！稊祿�安全法》對于數據與數據處理都有相應的界定。依據該法，所謂數據，是指任何以電子或者其他方式對信息的記錄。數據處理，包括數據的收集、存儲、使用、加工、傳輸、提供、公開等。

（一）數據處理者是數據安全保護義務的主體

數據安全保護義務的首要主體就是數據處理者，8即實施數據的收集、存儲、使用、加工、傳輸、提供、公開等活動的主體，包括自然人、法人或者非法人組織。我國數據安全法等法律沒有界定數據處理者。筆者認為，數據處理者是指任何實施了數據的收集、存儲、加工、傳輸、提供、公開等處理活動的組織或個人。數據處理者的界定不同于個人信息處理者。依據《個人信息保護法》第73條第（一）項，個人信息處理者是指“在個人信息處理活動中自主決定處理目的、處理方式的組織、個人”。我國法上的個人信息處理者相當于歐盟《通用數據保護條例》（GDPR）上的個人數據控制者。9任何不是自主決定個人信息的處理目的與處理方式的組織或個人，雖然客觀上實施了處理個人信息的行為，也不是個人信息處理者，而是受委托處理個人信息的受托人（《個人信息保護法》第59條）。然而，對于數據處理者而言，卻不需將自主決定數據的處理目的和處理方式作為核心判斷要素。這是因為，《個人信息保護法》以是否自主地決定處理目的與處理方式來作為認定個人信息處理者標準的根本原因在于：只有個人信息處理者才是個人信息保護法實施中的關鍵行為者，其是個人信息保護法設定的向個人負擔的各種義務的首要承擔者。10如果只是客觀上實施了個人信息處理的行為，但卻是根據他人決定的處理目的與處理方式來這樣做的組織或個人，受托人不需要負擔太多的義務，尤其是可以豁免《個人信息保護法》第13條、第17條等關于獲取處理個人信息的合法性來源的義務、通知義務以及該法第5章規定的指定個人信息保護負責人、合規審計等義務，其僅僅負有特定的義務，即依法采取必要措施保障所處理的個人信息的安全以及協助個人信息處理者履行個人信息保護法所規定的義務即可（《個人信息保護法》第59條）。數據處理中，處理者所處理的數據既包括個人數據（即個人信息），也包括其他數據。就保護數據安全的義務而言，無論處理者是自主地決定數據處理目的和處理方式，還是依據他人的指示來處理數據，都負有數據安全保護義務。故此，只要是實施了數據處理活動的組織和個人，就是數據處理者，既包括自然人、企事業單位等民事主體，也包括國家機關以及法律、法規授權的具有管理公共事務職能的組織。

（二）數據安全保護義務適用于所有的數據處理活動

數據安全保護義務指向的客體是數據處理者所處理的數據。也就是說，只要是數據處理者所處理的數據，數據處理者都負有數據安全保護義務。依據不同的標準，人們可以對數據進行不同的分類，如依據是否與已經識別或者可識別的自然人相關，可以將其分為個人數據與非個人數據。凡是與已經識別或者可識別的自然人相關的數據都屬于個人數據，也即個人信息，11而那些與已識別或可識別的自然人無關的數據或者匿名化處理的數據，都屬于非個人數據。此外，依據制作、產生數據的主體和來源的不同，可以將數據分為政務數據與非政務數據。政務數據，也稱政府數據、政府信息等，它是指政府部門及法律法規授權的具有行政職能的事業單位和社會組織（即政務部門）在履行職責過程中制作或獲取的數據，包括政務部門直接或通過第三方依法采集的、依法授權管理的和因履行職責需要依托政務信息系統形成的數據等。12除了政務數據之外的其他數據統稱為非政務數據，其中，既包括自然人、公司企業等民事主體從事經營服務活動中依法收集的數據，也包括醫療、教育、供水、供電、供氣、通信、文旅、體育、環境保護、交通運輸等公共企業事業單位在提供公共服務中依法收集的數據。我國一些地方性法規將這些提供公共服務的組織所收集的數據稱為“公共服務數據”，并將其與政務數據統稱“公共數據”。13《數據安全法》第五章專門對政務數據的安全保護作出了規定，就政務部門尤其是國家機關而言，其在數據的安全保護上具有雙重角色，一方面，作為數據的處理者，其應當履行數據安全保護義務，建立健全數據安全管理制度，落實數據安全保護責任，保障政務數據安全。另一方面，政務數據應當實現政務部門之間的共享，同時還需向社會開放。《政務信息資源共享管理暫行辦法》第5條明確規定，政務信息資源的共享應當是以共享為原則，不共享為例外，遵循需求導向，無償使用等原則。我國政府信息公開條例第13條明確規定，除依法確定為國家秘密的政府信息，法律、行政法規禁止公開的政府信息，以及公開后可能危及國家安全、公共安全、經濟安全、社會穩定的政府信息，涉及商業秘密、個人隱私等公開會對第三方合法權益造成損害的政府信息以及行政機關內部事務信息等不公開外，政府信息都應當公開。

就數據安全保護義務適用的數據而言，“重要數據”這個概念非常重要。首次提出“重要數據”概念的是《網絡安全法》。該法第21條要求網絡運營者應當按照網絡安全等級保護制度的要求，采取相應的措施來履行安全保護義務，其中的一項措施就是“采取數據分類、重要數據備份和加密等措施”。此外，該法第37條要求關鍵信息基礎設施的運營者在我國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估�！毒W絡安全法》并未界定何為“重要數據”�！稊祿�安全法》也對重要數據作出了規定，依據該法第21條，國家建立數據分類分級保護制度，根據數據在經濟社會發展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，對數據實行分類分級保護。國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄，加強對重要數據的保護。關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬于國家核心數據，實行更加嚴格的管理制度。各地區、各部門應當按照數據分類分級保護制度，確定本地區、本部門以及相關行業、領域的重要數據具體目錄，對列入目錄的數據進行重點保護。不過，對于何為“重要數據”，《數據安全法》也沒有作出具體規定。

2021年8月16日國家互聯網信息辦公室、國家發展改革委、工信部、公安部與交通運輸部聯合發布的《汽車數據安全管理若干規定（試行）》第3條第5款將重要數據界定為：是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益或者個人、組織合法權益的數據，包括：（1）軍事管理區、國防科工單位以及縣級以上黨政機關等重要敏感區域的地理信息、人員流量、車輛流量等數據；（2）車輛流量、物流等反映經濟運行情況的數據；（3）汽車充電網的運行數據；（4）包含人臉信息、車牌信息等的車外視頻、圖像數據；（6）國家網信部門和國務院發展改革、工業和信息化、公安、交通運輸等有關部門確定的其他可能危害國家安全、公共利益或者個人、組織合法權益的數據。此外，2022年7月7日國家互聯網信息辦公室發布的《數據出境安全評估辦法》第19條將重要數據界定為“是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等，可能危害國家安全、經濟運行、社會穩定、公共健康和安全等的數據”。顯然，重要數據的安全具有特別重大的意義，為了更好地保護重要數據，防止重要數據被篡改、破壞、泄露或者被他人非法獲取、非法利用，從而產生危害國家安全等后果，故此，《數據安全法》第27條第2款與第30條針對重要數據的處理者專門規定了數據安全保護義務的兩項特別內容。

四、數據安全保護義務的內容

（一）數據安全保護義務的基本內容

《數據安全法》第27條第1款對于數據處理者的數據安全保護義務提出了一般性的要求，即建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，采取相應的技術措施和其他必要措施，保障數據安全。依據該條第2款的規定，如果是利用信息網絡開展數據處理活動的，則應當在網絡安全等級保護制度的基礎上，履行前述數據安全保護義務。此外，《網絡安全法》第21條、《個人信息保護法》第51條分別就網絡運營者如何按照網絡安全等級保護的要求履行安全保護義務，以及個人信息處理者如何保護個人信息安全作出了具體的規定。此外，《數據安全法》第29條規定，開展數據處理活動應當加強風險監測，發現數據安全缺陷、漏洞等風險時，應當立即采取補救措施；發生數據安全事件時，應當立即采取處置措施，按照規定及時告知用戶并向有關主管部門報告。結合上述規定可知，數據安全保護義務包括以下四項基本內容：（1）建立健全全流程數據安全管理制度；（2）組織開展數據安全教育培訓；（3）采取相應的技術措施和其他必要措施；（4）風險監測義務與采取補救措施、處置措施的義務。在上述四項內容中，需要研究的是，首先，如何判斷數據處理者采取了相應的技術措施和其他必要措施？其次，當存在數據泄露的風險或者已經發生數據泄露后，數據處理者應當采取何種補救措施或處置措施？

1. 采取相應的技術措施和其他必要措施

理論界將數據處理者為保護數據安全所采取的措施大致分為三類：一是物理安全措施（physical security measures），這些安全措施旨在保護構成物理計算機系統的有形物品和處理、通信和存儲數據的網絡，包括服務器、用于訪問系統的設備、存儲設備等。例如，柵欄、墻壁和其他障礙物；鎖具、保險箱和保險庫；武裝警衛；傳感器和警鈴。二是技術安全措施（technical security measures），這些安全措施涉及使用納入計算機硬件、軟件和相關設備的安全措施，旨在確保系統可用性、控制對系統和信息的訪問、對尋求訪問的人員進行身份驗證、保護通過系統傳輸和存儲在系統上的信息的完整性，并在適當的情況下確保機密性。例如，防火墻、入侵檢測軟件、訪問控制軟件、防病毒軟件、密碼、PIN碼、智能卡、生物識別令牌和加密過程。三是行政安全措施（administrative security measures），也稱組織性安全措施，包括管理程序，約束、操作程序，問責程序，政策和補充行政控制，以防止未經授權的訪問并提供計算資源和數據的可接受保護級別。行政安全程序通常包括人事管理、員工使用政策、培訓和紀律。14從比較法來看，歐盟《通用數據保護條例》將數據控制者采取的措施分為兩類：技術性措施與組織性措施（technical and organisational measures）。15該條例第32條要求控制者和處理者實施與數據處理風險相適應的技術措施和組織措施，對他們施加數據安全責任。作為第一步，控制者和處理者必須識別和評估數據處理帶來的特定風險，特別注意意外或非法破壞、丟失、更改、未經授權披露或訪問個人數據的風險。第二步，他們必須確定并實施安全措施作為緩解措施。16歐盟《通用數據保護條例》要求數據控制者或處理者采取的是“相應的”（appropriate）的技術性措施和組織性措施，這體現了比例原則的要求。也就是說，在確定如何確保數據的安全方面，比例原則需要考慮用于實現目標的手段是否與目標的重要性相對應以及是否有必要實現目標。17因此，應根據安全措施是否有合理可能實現其目標來評估安全措施的使用，以及權衡相互競爭的各項利益即評估一項措施對值得保護合法利益的影響，并根據所追求的目標的重要性來確定后果是否合理。在美國，聯邦以及州法的數據安全保護義務法律體系對數據處理者應當履行的安全保護義務的要求可以分為三個層次：首先，數據處理者應當評估其面臨的安全風險并在此基礎上采取合理的舉措（reasonable steps）應對該等風險；其次，數據處理者作出的保護數據的努力不僅應當是合理的，適合其資源和風險水平的，還應當是系統的、有組織的。具體而言包括五個部分：風險評估、正規的政策、組織領導、培訓和審計（risk assessment,formal policy,leadership,training,and audit），它們組成了一個循環。再次，數據處理者應當采取基本的技術措施保護數據安全，如訪問控制（access controls）、加密（encryption）、多重身份認證（multifactor authentication）。18

我國數據安全法第27條將數據處理者采取的措施分為兩類，即技術措施與其他必要措施。技術措施是指個人信息處理者所采取的確保處理活動合法并保護個人信息安全的技術方法或技術手段。誠如美國學者萊斯格所言，互聯網的性質并非是由上帝的旨意所決定，而僅僅是由它的架構設計所決定，“網絡可以被設計成這樣：我們能夠知悉用戶是誰，他在哪里以及他在做什么。一旦網絡被設計成這樣，它就將成為有史以來最具有規制能力的空間”。19《網絡安全法》第21條中列舉的技術措施包括：防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施；監測、記錄網絡運行狀態、網絡安全事件的技術措施；數據分類、重要數據備份和加密等措施�！秱�人信息保護法》第51條規定的技術措施包括加密、去標識化等安全技術措施。所謂的數據分類，是指按照某種標準（如重要程度）對數據進行區分、歸類，并加以相應的保護。數據備份是指為了防止系統故障或者其他安全事件而導致數據丟失、毀損，將數據從應用主機的硬盤或陣列復制、存儲到其他介質。20加密是指通過加密算法將明文的個人信息變為不可讀的一段代碼，只有獲得密鑰的人才能讀取原文。經過加密后的個人信息可以很好地防止被他人未經授權的訪問或被非法竊取或篡改。加密算法主要有三類，即對稱加密算法、非對稱加密算法以及哈希算法。通過加密技術，“為每一個數據包配上一把密鑰，他人不可以篡改或偽造這把密鑰，因此，用戶對于數據包的安全性大可放心。同時，這項驗證功能也可以在整個互聯網上，識別信息的發送方和接收方，因此，幾乎完全抹殺了用戶匿名的可能性”。21所謂去標識化，是指個人信息經過處理，使其在不借助額外信息的情況下無法識別特定自然人的過程（《個人信息保護法》第73條第（三）項）。其他必要措施，是指除了技術措施之外的其他對于保護數據安全屬于必要的措施，理論上也包括了組織、宣傳、培訓等措施。由于我國數據安全法已將“全流程數據安全管理制度，組織開展數據安全教育培訓”單列，故此，其他必要措施主要包括：數據處理者為履行數據安全保護義務而對于數據處理的內部程序、權限分工與工作流程進行的設計；制定并組織實施數據安全事件的應急預案等。就數據處理者究竟應當采取哪些技術措施，《數據安全法》提出的要求是“相應的”，這與歐盟《通用數據保護條例》相同。所謂“相應的”，是指與數據處理者所面臨的數據安全風險相適應，也就是說，數據處理者應當根據其處理的數據的類型、數據處理活動的類型、面臨的風險等因素來確定所要采取的技術措施。對于重要數據和敏感的個人數據，應當采取更強的技術措施來確保數據的安全。

需要注意的是，《數據安全法》第27條第1款第二句規定，利用互聯網等信息網絡開展數據處理活動，應當在網絡安全等級保護制度的基礎上，履行上述數據安全保護義務。我國的網絡安全等級保護制度最早是由1994年國務院頒布的《計算機信息系統安全保護條例》所規定的，該條例第9條規定：“計算機信息系統實行安全等級保護。安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關部門制定。”2007年公安部、國家保密局、國家密碼管理局、國務院信息工作辦公室聯合印發了《信息安全等級保護管理辦法》。該辦法依據信息系統受到破壞后對公民、法人和其他組織的合法權益造成的損害的程度，以及是否損害國家安全、社會秩序和公共利益和損害的程度，將信息系統的安全保護等級分為五級，從第一級到第五級依次規定了每個等級的范圍、信息系統運營者的義務及對應的措施。顯然，信息安全等級保護制度的分類也必須考慮處理者所處理的數據的類別。《網絡安全法》在前述規定的基礎上于第21條第1款明確規定，國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行相應的安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改。

2. 補救措施和處置措施的類型

依據《數據安全法》第29條，數據處理者應當進行風險監測的義務以及在發現風險時采取補救措施，在出現數據安全事件時采取處置措施的義務�！毒W絡安全法》第25條和《個人信息保護法》第57條，也分別有相應的規定。前者明確規定，網絡運營者應當制定網絡安全事件應急預案，及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險；在發生危害網絡安全的事件時，立即啟動應急預案，采取相應的補救措施，并按照規定向有關主管部門報告。后者規定，在發生或者可能發生個人信息泄露、篡改、丟失的時候，個人信息處理者應當立即采取補救措施并履行通知義務。

數據處理者通過風險監測發現數據安全缺陷、漏洞等風險時，應當立即采取補救措施。顯然，該補救措施是針對數據安全缺陷、漏洞等風險而言的，既包括技術措施，如修復系統漏洞、進行加密，也包括組織措施，如重新劃定數據訪問權限等。而在出現了數據安全事件的情況下，需要采取的就是處置措施。所謂數據安全事件，是指由于人為原因（如工作人員的疏忽或者黑客攻擊）、軟硬件缺陷或故障、自然災害等，導致數據泄露、丟失、篡改等對社會造成負面影響的事件。數據安全事件中最常見的是數據泄露。數據泄露的原因主要有三類：其一，系統故障（IT和業務流程故障）；其二，人為失誤（玩忽職守的員工或承包商無意中引起數據泄露）；其三，惡意攻擊（由黑客或犯罪的內部人士引起）。22就個人數據泄露而言，用戶憑證被盜是最常見的數據泄露的根本原因，利用泄露的用戶憑證是攻擊者最常用的切入點。23客觀上來說，導致個人數據泄露危險增加的因素包括：個人信息的保存時間；個人信息的擴散，即現有的個人信息的副本數量；訪問，即有權限訪問個人信息的人數、個人信息能夠訪問的方式以及獲取訪問權限的難易程度；流動性，即訪問、傳輸及其處理個人信息的方式所需要的時間；價值，即個人信息的價值。24根據IBM Security發布的《2022年數據泄露成本報告》，2022年全球數據泄露事件給企業和組織造成的經濟損失和影響力度達到前所未有的水平，單個數據泄露事件給來自全球的受訪組織造成了平均高達435萬美元的損失，全球數據泄露成本在過去兩年間上漲近13%。2022年全球數據泄露的每條記錄成本為164美元，該報告還發現，83%的受訪組織遭遇過不止一次的數據泄露事件。25一旦發生數據泄露等數據安全事件，數據處理者應當立即采取處置措施，按照規定及時告知用戶并向有關主管部門報告。這些處置措施包括消除導致數據泄露的程序漏洞、修改密碼、暫停服務等措施，從而防止數據被進一步泄露或非法竊取以及避免或減少由此給他人合法權益、國家安全等造成的損害與風險。

（二）數據安全保護義務的特別要求

對于重要數據的處理者，《數據安全法》規定了兩項特別的數據安全保護義務：一是，明確數據安全負責人和管理機構的義務，從而落實數據安全保護責任（第27條第2款）。二是，定期開展風險評估的義務（第30條）。同時，在《個人信息保護法》中也針對特殊的個人信息處理者以及特定的個人信息處理活動，為個人信息處理者規定了兩項特別的義務：一是，指定個人信息保護負責人的義務（第52條）；二是，個人信息保護影響評估與記錄的義務（第55—56條）。

1. 確定數據安全負責人和管理機構的義務

確定數據安全負責人和管理機構的義務有助于更好地對數據處理活動進行監督和管理，開展數據安全教育培訓，提供預防數據泄露等數據安全保護方面的專業知識。26數據安全負責人制度以及個人信息保護負責人都是借鑒了國外的“數據保護官”（data protection officer,DPO）制度。德國是最早引入數據保護官（Datenschutzbeauftragter）概念的國家，1977年的德國《聯邦數據保護法》第38條規定，企業負有法定義務任命數據保護官，作為政府數據保護機關監管職能的補充，從而實現企業的自我監督。27此后，法國（1978年）、比利時（1992年）、波蘭（1997年）、瑞典（1998年）、英國（1998年）等國家相繼規定了數據保護官。281995年歐盟《個人數據保護指令》第18條第2款規定，如果數據控制者根據相關國家的法律任命了個人數據保護官負責確保在內部以獨立的方式執行根據本指令所制定的國家規定以及保留控制者進行的處理操作的登記，則可以簡化或免除向監督機關通知的義務。這是歐盟法律中首次出現個人數據保護官的概念。2000年12月18日歐洲議會與理事會頒布了《針對歐共體機構和組織所處理的個人數據的保護及此類數據的自由流動條例》（EC 45/2001），該條例的第8節（第24—26條）對數據保護官的任命與任務、對數據保護官的通知與通知的內容、數據保護官對通知的記錄等內容作出了規定。不過，該條例只是要求歐共體機構和組織設立數據保護官，并不適用于私營企業。2018年的歐盟《通用數據保護條例》對數據保護官作出了更加全面的規定，依據該條例第37條，只要符合規定情形的數據的控制者與處理者，無論是公權力部門或機構還是企業或企業集團，都必須設立數據保護官。此外，該條例第38條與第39條就數據保護官的地位和任務作出了詳細的規定。第29條工作組認為，“數據保護官將成為促進諸多組織遵守歐盟《通用數據保護條例》條款的新的法律框架的核心”，“數據保護官是問責制的基石，任命數據保護官可以促進合規，成為企業的競爭優勢”，“數據保護官還充當了各個利益相關方（如監管機構、數據主體以及組織內部的業務部門）的中間人”。29

就我國法而言，如果數據處理者處理的數據是重要數據，就必須確定數據安全負責人和管理機構，同時，如果數據處理者處理的數據包括了個人信息，并且處理個人信息達到國家網信部門規定的數量，那么還必須指定個人信息保護負責人。當然，數據安全負責人和個人信息保護負責人可以是同一人。所謂處理個人信息達到國家網信部門規定的數量究竟是多少，目前沒有直接的規定。但是，由于《個人信息保護法》第40條規定了處理個人信息達到國家網信部門規定數量的個人信息處理者確需向境外提供的，應當通過國家網信部門組織的安全評估，而國家網信辦頒布的《數據出境安全評估辦法》第4條第2項規定，處理100萬人以上個人信息的數據處理者向境外提供個人信息的，應當經過安全評估。故此，可以認為，當數據處理者處理100萬人以上個人信息的，必須要指定個人信息保護負責人。

2. 定期開展風險評估并報告的義務

依據《數據安全法》第30條，重要數據的處理者應當按照規定對其數據處理活動定期開展風險評估，并向有關主管部門報送風險評估報告。風險評估報告應當包括處理的重要數據的種類、數量，開展數據處理活動的情況，面臨的數據安全風險及其應對措施等。這主要是因為重要數據的處理涉及到國家安全、社會穩定、公共安全等重要的利益，一旦這些數據遭到篡改、破壞、泄露或者非法獲取、非法利用等，就很可能危害前述重要利益。故此，重要數據的處理者要定期開展風險評估。所謂定期究竟是多長時間，首先依據法律法規的規定，如《關鍵信息基礎設施安全保護條例》第17條明確要求，關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構對關鍵信息基礎設施每年至少進行一次網絡安全檢測和風險評估，對發現的安全問題及時整改，并按照保護工作部門的要求報送情況。如果數據處理者處理的數據包括了個人信息，那么依據《個人信息保護法》第55、56條規定，在實施以下個人信息處理活動之前，個人信息處理者應當先進行個人信息保護影響評估，并對處理情況進行記錄：（1）處理敏感個人信息；（2）利用個人信息進行自動化決策；（3）委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息；（4）向境外提供個人信息；（5）其他對個人權益有重大影響的個人信息處理活動。

《數據安全法》針對重要數據處理者要求的風險評估和《個人信息保護法》規定的個人信息保護影響評估，既有相同之處，也有不同之處。二者的相同之處在于它們都有助于保護數據的安全。二者的不同之處在于其主要功能與內容不同。對數據處理活動進行風險評估的根本目的是保護數據安全，做到防患于然或者是亡羊補牢，因此，風險評估可以是在數據安全事件沒有發生時進行，也可以是在已經發生了數據安全事件之后進行，其主要功能是評估數據處理活動是否存在風險、潛在風險的嚴重性、危險的頻率以及確認避免危險的措施等。30因此，風險評估報告的內容包括處理的重要數據的種類、數量，開展數據處理活動的情況，面臨的數據安全風險及其應對措施等。個人信息保護影響評估屬于預防性的個人信息保護手段，其主要是針對那些對于個人權益可能造成較高風險的個人信息處理活動展開的。也就是說，個人信息處理者在實施此類高風險的個人信息處理活動之前開展評估，確定處理目的、處理方式等是否合法、正當、必要，該處理活動對個人權益產生何種影響及風險程度如何，個人信息處理者所采取的安全保護措施是否合法、有效，安全保護措施是否與風險程度相適應，并在評估結論的基礎上決定是否實施該處理活動以及如何在符合法律、行政法規的情形下安全地實行該處理活動。因此，個人信息保護影響評估在個人信息保護方面具有防患于未然的作用；同時，個人信息保護影響評估也可以科學地協調個人信息權益保護與個人信息合理利用的關系。高風險意味著更重的義務與責任，基于責任原則，個人信息處理者應當對其個人信息處理活動負責，并采取必要措施保障所處理的個人信息的安全（《個人信息保護法》第9條）。個人信息處理者不是不可以從事高風險的處理活動，但需要為此負責，要承擔更高的注意義務，采取更嚴格的安全保護措施，事前的個人信息保護影響評估與記錄義務正是責任原則的體現。此外，個人信息保護影響評估及其記錄也有助于證明個人信息處理活動符合法律、行政法規的要求，也就是說，處理者可以通過向監管機關提供該記錄來證明處理行為的合法性。例如，歐盟第29條工作組在其發布的DPIA指南中認為，“數據保護影響評估”（data protection impact assessment,DPIA）是一個旨在描述處理的過程，評估其必要性和比例性，并通過評估因處理個人數據而對自然人的權利和自由所造成的風險以及提出解決的措施，從而有助于對此等風險加以管理。DPIA是問責制的重要工具，其不僅有助于數據控制者遵守《通用數據保護條例》的要求，也有助于其證明已經采取了適當的措施來確保遵守該條例。一言以蔽之，DPIA就是一個建立并證明合規性的程序。31

五、違反數據安全義務的民事責任

違反數據安全義務產生的法律責任包括行政責任、刑事責任和民事責任。例如，《數據安全法》第45條對于開展數據處理活動的組織、個人不履行該法第27條、第29條、第30條規定的數據安全保護義務的情形，依據后果嚴重程度的不同分別規定了責令改正，警告，罰款，責令暫停相關業務、停業整頓，吊銷相關業務許可證或者吊銷營業執照等不同的行政處罰。再如，《個人信息保護法》第66條對于處理個人信息未履行該法規定的個人信息保護義務的情形，也依據情節嚴重程度的不同分別規定了責令改正，警告，沒收違法所得，對違法處理個人信息的應用程序責令暫停或者終止提供服務，罰款，責令暫停相關業務或者停業整頓，通報有關主管部門吊銷相關業務許可或者吊銷營業執照等行政處罰。這里就涉及到不同法律中的行政處罰責任的適用關系問題，筆者認為，如果數據處理者雖然違反了數據安全保護義務，但數據中沒有個人信息的，則僅適用《數據安全法》。然而，一旦涉及到個人信息的，則應當適用《個人信息保護法》。因為個人信息即個人數據的保護相對于數據安全保護義務而言，屬于特別法。就違反數據安全義務的民事責任，《數據安全法》只是作了一個宣示性的規定。該法第52條第1款規定：“違反本法規定，給他人造成損害的，依法承擔民事責任�！痹摽钪械拿袷仑熑渭劝�括侵權責任，也包括違約責任。違約責任主要涉及到違約金、損害賠償等，由當事人在合同中加以約定，適用《中華人民共和國民法典》（以下簡稱“《民法典》”）合同編的相關規定。由于違約責任必須以當事人之間存在有效的合同約定為前提，故此本部分主要討論違反數據安全義務的侵權責任中的兩個問題，一是侵權賠償責任的歸責原則；二是數據處理者違反數據安全義務的行為與第三人的侵權行為結合的侵權責任。

（一）違反數據安全義務的侵權賠償責任的歸責原則

數據處理者違反數據安全義務，導致數據泄露、丟失、篡改或被他人竊取、非法利用的，構成對他人人身、財產權益的侵害，從而造成他人損害的，數據處理者需要承擔侵權賠償責任。由于《數據安全法》第52條第1款只是規定“依法”承擔民事責任，此處的“依法”實際上屬于指引性規范，即在有相應的法律作出規定時，適用該法律；沒有規定的，則應當適用《民法典》關于侵權賠償責任的基本歸責原則的規定，即第1165條第1款的過錯責任。

從我國現行法律規定來看，只有《個人信息保護法》作出了特別的規定。申言之，對于個人信息處理者因處理個人信息侵害個人信息權益造成損害的侵權賠償責任，《個人信息保護法》第69條第1款專門規定了過錯推定責任，即個人信息處理者必須證明自己沒有過錯，否則就推定其有過錯。這主要是考慮到個人在個人信息處理活動中處于弱勢地位，要求其證明處理者具有過錯非常困難，為了更好地保護個人信息權益，法律上專門作出了規定。32故此，在數據處理者處理的是個人數據，其違反數據安全保護義務導致個人數據泄露、丟失、篡改或被他人竊取、非法利用的，應當適用《個人信息保護法》第69條規定的過錯推定責任。

在數據處理者所處理的是非個人數據時，如果其違反數據安全保護義務，給他人造成損害的，則應當依據《民法典》第1165條第1款的過錯責任原則承擔侵權賠償責任。也就是說，被侵權人需要證明數據處理者存在過錯，不過，這并不非常困難。如前所述，數據安全保護義務主要來自于法律規定，即由《數據安全法》等法律作出了明確規定，而法律關于數據安全保護義務的規范顯然屬于保護性規范，即“以保護他人為目的的法律（Schutzgesetz）”。我國民法學界認為，保護性規范是以保護作為私主體的他人為全部或部分目的，該規范所規定的行為義務已經明確界定了行為人對他人的行為義務，是行為人對特定人或特定群體的私人所應負的義務，且過錯往往就是他人違反了其對特定人或特定群體的私人應負的義務。33故此，數據處理者違反關于數據安全保護義務的規范的行為可以被推定為具有過錯。

（二）數據處理者侵權賠償責任的類型

從發生的原因來看，數據處理者違反數據安全保護義務給他人造成的損害可以分為以下三種具體類型：

一是單個數據處理者單獨給他人造成損害的情形。例如，A公司因過失導致B公司的數據在處理中被毀損或者丟失，這種情形下，A公司違反數據安全保護義務的行為屬于單獨的給B公司造成了損害。那么，A公司應當向B公司承擔侵權賠償責任。

二是數據處理者與其他主體實施共同侵權造成他人損害的情形。例如，兩個數據處理者在共同處理個人數據的過程中出現個人數據的泄露而給他人造成損害；再如，數據處理者與第三人非法買賣數據而造成他人損害，或者數據處理者幫助第三人非法利用數據侵害他人權益等，這些情形中數據處理者與其他主體往往構成共同侵權行為或無意思聯絡的數人侵權，此時，數據處理者與第三人應當依據《民法典》第1168條至第1171條的規定承擔連帶賠償責任。34

三是數據處理者違反數據安全保護義務的行為與第三人的侵權行為只是客觀上相互結合給他人造成損害，并且不屬于每一個侵權行為都足以造成全部損害的情形（即不適用《民法典》第1171條）。例如，C公司沒有依照法律規定對于個人數據采取相應的保護措施，以致數據被黑客竊取后非法出售給E,E又利用這些數據實施電信網絡詐騙，導致F、G等個人被騙，遭受巨額財產損失。在這種情形下，如果能夠找到直接侵權人E,E當然要就其給F、G造成的全部損害承擔賠償責任。問題是C究竟如何承擔責任呢？在不能查明直接侵權人或者直接侵權人沒有賠償能力的情形下，C是否承擔侵權責任，非常重要。有的學者認為，應當區分不同的情形來考慮。如果數據處理者的數據被第三人非法竊取，而第三人是因過失導致數據被泄露、公開的，則數據處理者與第三人均有過失，應當依照《民法典》第1172條承擔按份責任；如果第三人在非法竊取數據后故意實施了侵權行為的，此時，數據處理者僅僅是過失，而第三人是故意，二者的責任性質處于不同的層次，無法成立共同侵權行為，應當類推適用《民法典》第1198條第2款而要求處理者承擔第三人的行為介入時的補充責任。35

筆者認為，在數據處理者違反數據安全保護義務，導致數據被第三人竊取或偶然取得，進而又被第三人非法利用，給他人造成損害的情形，數據處理者對此結果的發生是能夠預見的。雖然處理者本身不能預見被泄露的數據究竟是為第三人故意竊取還是偶然取得，也不能預見這些數據是直接被第三人非法利用，還是由第三人再次非法出售給他人（甚至可能是第三人本身也因過失而泄露以致為其他人所取得），只要處理者能夠預見到數據泄露后給數據主體造成損害的可能性（即損害危險的增加），就足夠了。第三人取得數據是故意竊取抑或偶然獲得，非法利用數據造成損害的具體加害人是誰、給哪些受害人造成何種損害及損害的大小等情形，無需處理者能夠預見。從因果關系的角度來看，數據處理者違反數據安全保護義務的行為與民事權益被侵害已經存在相當因果關系。數據處理者應當對被侵權人的損害承擔與其過錯、原因力相應的賠償責任（如考慮泄露的是敏感的還是非敏感的個人信息等因素）。至于直接給被侵權人造成損害的第三人，無論其主觀上是故意還是過失，均應就被侵權人的全部損害承擔責任。由此可見，第三人與數據處理者的賠償范圍發生了部分重疊，在該重疊的部分內，二者承擔連帶責任。就超出的部分，第三人應單獨承擔賠償責任。所以，無論第三人是故意還是過失，數據處理者都不是與第三人承擔按份責任，更不能類推適用《民法典》第1198條第2款的第三人侵權時安全保障義務人承擔的相應的補充責任。具體理由在于：首先，在數據處理者沒有履行數據安全保護義務而導致第三人竊取數據時，竊取數據的第三人本身就是故意的，至于其此后是故意還是過失進一步導致數據再次被公開或泄露，無需考慮，即該第三人應就被侵權人遭受的全部損害承擔賠償責任。其次，《民法典》第1198條的安全保障義務僅適用于“賓館、商場、銀行、車站、機場、體育場館、娛樂場所等經營場所、公共場所”，它們都是物理空間，而非網絡空間。36再次，數據安全保護義務不同于《民法典》第1198條第2款的安全保障義務。所謂數據安全本身就意味著數據安全保護義務人要采取必要措施，確保數據處于有效保護和合法利用的狀態以及具備保障持續安全狀態的能力。數據安全保護義務本身就包含了很強的防止和消除數據被他人非法利用的內容在內，這種義務是直接對數據處理者本身提出的要求，義務人應當采取相當高的注意來履行義務，其強度遠遠大于《民法典》第1198條第2款對安全保障義務人預防和制止第三人實施侵權行為的要求的強度。37當數據處理者沒有履行數據安全保護義務（例如沒有對數據處理活動加強風險監測，未能發現數據安全缺陷、漏洞等風險），從而導致數據被第三人非法竊取的，無論第三人是故意地還是過失地利用非法竊取的數據造成他人損害的，數據處理者對于此種損害的發生都具有過錯和原因力，其要為自己違反數據安全保護義務的后果負責，應當承擔相應的賠償責任。數據處理者在承擔相應的賠償責任后不能向第三人追償；第三人如果就全部損害承擔了賠償責任，也不能向數據處理者追償。

六、結語

在我國數據安全法、個人信息保護法、網絡安全法等法律已經建立起一個科學合理的數據安全保護義務的規范體系之后，最重要的內容是確保數據安全保護義務得到履行，尤其是數據處理者需要建立健全全流程數據安全管理制度，通過相應的組織措施、技術措施和其他必要措施來具體實現對數據安全的保護，并且通過風險監測以及定期風險評估機制來預防數據安全事件的發生，惟其如此，才能奠定數據交易、數據流通與利用的前提，真正發揮數據作為第五大生產要素的功能，促進數字經濟的發展，在法治的軌道上實現對數據的充分利用和有效治理，推進國家治理能力與治理體系的現代化。