数据泄露通知义务不仅是数据安全保障义务的次生性规范，更是个人数据主体知情权与决定权对应的告知义务所映射的独立性要求，其实质是融入实体法的管理性义务规范。因此，数据泄露通知义务本质上既属于安全价值对应的公法义务，又属于自由价值对应的私权保护规范，其制度设计亦会反向促使义务主体一直更新数字密码技术方法，完善数据加密实践，逐步形成“事前—事中—事后”的协同数据安全防范机制。数据泄露通知义务的制度构造实现了通知行为触发三方（“一点”贯穿“三线”）共同介入风险分摊的有效机制，有利于缓和规则抽象性和监管具象性需求之间的矛盾。对于数据安全事件的治理，应当以数据泄露通知为连接点实现多方共治的安全防范协同机制，强化数据泄露的管理过程控制和深度利用治理。

  肇始于2002年美国加利福尼亚州《数据安全泄露通知法案》首次将数据泄露这类安全事件的通知义务通过州立法的方式固定下来，但究其根本，依然脱离不了美国在20世纪70年代开展的影响全球信息隐私立法的公平信息实践。1977年美国政府设立的“隐私保护学习委员会”在发展1973年“关于个人数据自动系统的建议小组”提出五项原则基础上形成了八项根本原则，实际上在赋予个体一系列信息权利基础上，也对当时信息收集者或处理者施加一定保障义务，以确保权利在行使中能够有对应的义务行为形成行权闭环，实现真正的权利有效化和安全保障，在此基础上，信息安全保障义务和问责机制被逐渐固定下来，成为约束信息收集者或/和处理者的义务性规范。伴随公平信息实践在全世界内的开展和演变，信息管理和问责原则被逐步演变成多项具体的义务性规范固定下来，面对数据安全及私权保障问题，作为商事主体的企业（平台）被施加于何种程度的义务才能实现效率最大化，本身不仅是监管层面的难题，更是一个产业政策需要直面解决的问题。数据泄露通知义务伴随着加州政府对当时Stephen P.Teale数据中心造成26.5万加州雇员个人隐私信息泄露重大安全事件的反应被州立法确定下来，但应当注意到的是，尽管基于重大影响事件的推动，对数据泄露的渴求和通过安全保障手段保护数据这两对天生的劲敌永远都在此消彼长，无法使得对数据泄露这类安全事件的管理和问责真正结束，其内在蕴含的基本价值取向不仅仅是基于对保护群体性法益而形成的公共利益所面向的公法保护，还有涉及数据个体对数据收集者或处理者基于基本的参与、收集、使用、披露行为行使知情与个体自决权利所指向的私法保护。

  我国现有对数据泄露通知义务的具体规定主要散见于《中华人民共和国民法典》（以下简称《民法典》）、《中华人民共和国网络安全法》（以下简称《网络安全法》）、《中华人民共和国数据安全法》（以下简称《数据安全法》）、《中华人民共和国个人隐私信息保护法》（以下简称《个人隐私信息保护法》）中，相关规范内部间虽有逻辑相连，但形式上相对散乱，其中《网络安全法》第四十二条、《民法典》第一千零三十八条、《数据安全法》第二十九条、《个人隐私信息保护法》第五十七条对其都有较为具体的规定。学界对该问题的研究更多着眼于对数据泄露通知制度的解释论和制度完善方向，以及评介世界各国有关数据泄露通知的解决路径，对其基本价值取向的转变和交融复杂的制度性质本身研究不多，在规范属性上还缺乏对法律义务性规范自身结构的思考，而对这样一些问题的厘清会成为中国制定相关下位法规范或修改现行法律体系中完善数据泄露通知制度规范的基本导向和关键指引。

  在现有研究基础上，本文试图转变研究思路，尝试挖掘公法与私法价值交融性质的数据泄露通知义务所蕴含的多元价值面向，在现有制度规范框架下，探索数据泄露通知制度为“分摊数据监管主体与被监管对象的风险责任”和“数据处理者与数据主体的权利保护关系”所构建的制度设计逻辑，并尝试提出协同治理的框架优化进路，以此促进数据泄露通知义务制度构造本质的再认识。

  数据处理者对数据泄露等安全事件的通知在未被固化为法定义务之前属于自治范畴，数据处理者在考量安全和商业商誉等因素后决定是不是对有关情况做主动通知，当通知行为被规范为一项法定义务时，其具有引起法律责任的规范约束力，也实现了从自治到规制的转变。伴随强制义务的设立，对数据泄露引起的安全事件的治理也逐步从损害救济的思维转向风险预防，同时，强制性义务不仅来源于数据安全保障义务的履行，更来源于对个人数据主体知情权与决定权对应告知义务的要求。义务来源的双重性决定了数据处理者不能仅着眼于数据泄露通知，更应当逐步对内部管理和外部防范机制进行全方位检视。

  数据泄露通知制度的设计原本试图减缓由数据泄露造成的损害，其最终的原因在于由技术的发展和对有限且有效数据资源强烈渴求的双重刺激下，数据泄露实则难以避免，在事前没办法实现绝对控制以保证安全不泄露的基础上，唯有实现前端数据泄露造成损害的缓解与后端对数据泄露进行相对有效赔偿和弥补才能真正的完成该制度意欲反映的保护价值。数据泄露通知制度能够最大限度地防控数据泄露引发的损害[1]。但实际上，数据泄露造成的损害不仅是有关数据主体财产和人格的双重影响，还存在对企业声誉、社会安全、国家安全的多重危害，尽管美国等国家将加密的个人数据排除出数据泄露通知义务履行之外，但面对量子解密技术的发展，加密行为已不再能保证持久有效安全[2]，因此对泄露造成的财产损失、人格利益损害、企业声誉损毁、社会公共安全等没有办法挽回的原生损害，应当及时作出调整规制思路。

  对原生损害的不可避免性催生了对次生损害的高度关注和有效治理，从原有的损害救济思路调整转变为对风险发生（或发现）的预防成为数据处理主体防止次生损害发生的重要思路。本质上，这样的规制思路同互联网时代大型平台面对侵犯权利的行为防止权利人损失扩大而避免承担侵权责任在底层方法逻辑上是一致的。美国各州继加州颁布数据泄露通知专门立法后逐步出台类似的法律保护规则，在触发通知义务履行的门槛标准方面，逐步形成了“泄露认识”“个人实质损害”“合理的伤害可能性”三项标准，其中加利福尼亚州、纽约州、德克萨斯州等采用较低门槛的泄露认识标准，只要在发现和认识到数据泄露事件后就开始履行通知义务，同时结合是不是真的存在“没有经过授权访问”的事实认定发出具体通知。应当注意的是，无论选择何种触发通知义务的标准，实际上都是在将数据安全事件风险治理的端口往前移动，其主要的不同之处在于往前推移的程度不同。在面对数据泄露带来的重大安全影响后，各国已经逐步将最开始将对数据违规处理公司和数据偷窃者的惩罚、对数据被泄露主体的损害补偿转向对数据泄露风险的预防、对数据泄露主体自我保护和公共安全与国家安全的有效保障。

  我国《个人隐私信息保护法》第五十七条规定，发生或有几率发生个人隐私信息泄露等情形，个人信息处理者应当采取补救措施和履行通知义务，其已经明示了泄露认识标准，即实现对发生或存在发生可能性的数据泄露损害实现预期保护，并不单纯严格要求实际发生数据泄露安全事件。质言之，在数据泄露的风险已经没办法完全避免的情况下，通过数据泄露通知的触发尽可能实现对数据泄露造成损害及损害扩大风险的有效预防，这应当是数据泄露通知义务的根本价值取向。

  数据泄露的实质在于因无法对数据安全性和隐秘性的有效控制，从而使数据个体丧失了对其自身身份建构自主性和完整性的支配。通知制度本身无法重建个体对身份建构的自主性和完整性，只是实现了对主体知情权、决定权的保障，通过知情后的理性选择辅以公共政策救济模式试图挽救或重塑个体身份的某些具象化特征。风险预防的逻辑是实现对安全原则建构性框架内外部协调的统一[3]。因此，应当注意到的是，由于规制思路的转变和相关措施的实施，必然导致原有运行方式的成本发生明显的变化，数据泄露通知制度的主要成本负担者在数据处理者（欧盟为数据处理者和控制者），这项义务没有被制度化之前，数据处理者需要仔细考虑成本收益才决定是不是需要通知数据个体已经采取何种方式进行补救，甚至采取退出市场的方式不进行任何补救通知的方案亦有可能，因此，数据泄露通知的制度设定实际上将数据处理者或控制者这类市场主体的自我治理行为转变为法律规制的义务性行为。

  在我国权利本位的立法范式下，法律义务性规范应当成为设置或隐含在法律规范中，实现于法律关系中，主体以相对抑制的作为或不作为的方式保障权利主体获得利益的一种约束手段，在权利义务“规范说”的框架下，义务规范展现出极强的工具属性，其表现为国家分配利益和负担以维护和促成一定集团利益或社会普遍利益实现社会控制的手段[4]。基于自治向规制的形态转变，其作为数据处理者（控制者）安全保障义务的下位性具体义务内容被固定下来，按照义务之间的因果关系，其应当属于补救权利的义务类型，在原有权利受到侵害时产生的权利范式，与之相对的即是违法行为发生后所应负的责任内容[5]。质言之，数据安全事件作为触发第一性义务产生的基础，其具象为众多数据安全事件的具体表现，其中数据泄露作为被法律明确的数据安全事件，其对应的应当是数据安全保障义务中具象化到数据泄露行为的责任承担上。各国法律在面对此问题的时候，综合了数据泄露的事实和技术基础，设定数据处理者（控制者）在数据泄露安全事件发生后应当给予通知的义务性行为，其强制性具有双重规范来源，不仅来源于对数据安全事件发生后应当给予安全挽救的第一性义务履行（数据安全保障义务）的强制性，更来源于对被泄露数据的相关利益主体私权利行使的保障，即数据泄露通知义务的履行能够更有效地敦促数据个体行使知情权、决定权等具体权利内容，以达到更好维护个人身份建构自主性的目标。

  因此，数据泄露通知义务的价值不仅是实现安全的保障，还有对个体知情、决定等权利有效行使对应的义务保障，性质上呈现出跨公私法域的规范特征[6]，在双重强制性来源基础上，其应当属于法律规定情形下的主动告知义务，以使得有关权利主体在获得通知后能够更自主地行使限制或拒绝对数据的后续处理行为。

  由于技术扩张在无法实现禁止数据泄露的事实基础上，无法从前端彻底解决数据泄露问题，事后救济应该成为一项强制行为，其本身就是一件值得立法者思考的问题。在数据泄露通知义务规范的设计上，遵循上述风险预防原则作为基础，在面对发生（或发现）数据泄露就可触发此项义务的履行，对强制性来源二重属性的认定将决定数据处理的有关主体后续的市场行为选择。该项强制性义务的设定使得数据处理者和/或控制者不能再仅仅依附于该项义务的履行而获得责任豁免，理性的市场主体应当根据数据泄露事件的具体发生情况对内部管理和外部防范机制进行全方位检视，一方面减少发生数据泄露这类安全事件的可能性，另一方面实现对市场主体声誉和可持续发展的挽救。基于市场经营的长久性考量，该项义务的设定鼓励数据处理者更多投资网络安全建设以避免造成毁灭性的数据泄露，同时，实现消费者有机会自我保护。至此，该项强制性义务的设定除了在一定条件下豁免泄露主体造成损失扩大的责任承担和商誉挽救、风险预防的前置调控、维护被泄露主体的相关私权利行使之外，还肩负着反向刺激数据处理者和/或控制者优化并完善数据安全保护方案，以此避免造成大面积的损害和利益损失，进而保护社会公众和国家整体的数据安全。

  通知行为的履行并不必然实现数据泄露责任承担的豁免，在其主观状态不明的情况下无法判断是否构成故意或过失。在此前提下必然需要通过制度设计实现风险的分担和重构，让数据处理者免于处在数据泄露惊弓之鸟的状态，也让监管机构能实质性地介入以有效维护私权保障和公共安全。对该风险的分配实际上由通知行为予以触发，数据处理者、监管机构和数据个体分次进入对泄露造成的损害或损害风险中进行实质化解，同时，数据泄露通知制度在通知主体、通知时间、通知方式、通知要求、触发阈值、主要内容、例外情形和违规处罚等方面的规定缓解了数据安全保护义务抽象性和监管部门要求执法规则具体化需求间的矛盾冲突。当然，依然存在是否对归责原则（过错推定责任）对应的责任类型予以豁免，以及举证责任是否存在困难等难题。

  通知行为是法律体系中最为常见的表意形式，业已成为大型互联网平台实现意思表示的有效途径，在以“通知—删除/必要措施”为主要条款的避风港规则项下，通知成为第三方平台采取有关措施前的必经程序，也成为影响平台法律行为定性的关键操作节点，有效的通知和后续的删除等措施能在一定程度上成为消除平台主观故意、排除承担共同侵权责任的关键要素，实际上实现了对平台风险化解的有效机制。

  同样，数据泄露通知制度可以理解为监管机构与被监管对象之间进行风险分摊的制度设计，通过数据泄露通知来触发监管资源的投入，实现行政力量精准介入，同时能够提示用户采取必要防护措施[7]。实际上，监管机构、被监管对象和个人数据主体（用户）同时因通知行为被有效聚合，由此触发三方共同介入实现数据泄露后的风险化解机制，该机制由“一点触发”到“三线贯通”内在逻辑组成，风险分摊的触发机制实质上通过通知行为（即“一点”）完成，并同时牵引被监管对象在特定条件下实现对监管机构和个人履行的告知，三方主体（即“三线”）分别就各自所处地位采取适当性的行为以挽救数据泄露造成的后续损害或扩大损失。被监管对象发出通知后，开始进入事件倒查自纠、损失弥补和反向激励的状态，对内开始逐步纠察发生数据泄露安全事件的因果关系要点和管理漏洞，对外开始维护商业形象与声誉，采取相关补救措施以实现对基于数据泄露安全事件的最大效率补救，化解安全风险和商业风险。监管机构接到通知后，对数据泄露安全事件进行迅速反应，评估其对社会公众安全、国家安全等的实效影响，并采取相应措施与被监管对象共同实现对数据泄露事件造成的负面影响进行有效补救，以提供良好的公共服务为基线和目标，维护数据安全和数据市场秩序。个人接到通知，在知晓包含个人信息的数据遭到泄露后，除行使与个人有关的知情、决定、删除等具体权利外，还可能试图对已经造成的人身和财产损失主张损害赔偿请求，以挽救其不应该承担和无法预料的风险损失，同时，在完整实现个人数据转移或销毁后可能产生对数据再次利用行为的排斥，以杜绝个人数据风险的再度产生。三方通过各自适当的手段实现对数据泄露安全事件风险的防范与化解，以达到风险的有效分配，更好地避免损害扩散。

  在数据泄露通知的具体履行方面，不同环节因三方所处的不同位置承担不同风险设定了相异的义务类型和责任豁免机制，对有关主体充分发挥主观能动性化解风险和控制损害扩大创造了适当空间，其具体包括通知主体、对象、时间、要求、触发阈值、主要内容、例外情形和问责处罚等方面义务规则设定的不同。相异的规则设计实际在底层逻辑上都是“基于风险的进路”（risk-based approach），该进路规定于欧盟1995年的《数据保护指令》，主要考虑技术发展水平和执行成本，要求相关措施与数据处理行为表现的风险以被保护数据性质达到相适应的安全水平，同时，在成本考量上更是对个人信息“权利束”权能展开带来的行政和合规成本的平衡性调试[8]。质言之，在以安全为底线的静态规范已经无法满足实质安全保障的基础上，开始探索从数据处理行为的性质、范围、影响与损害可能性等方面构造不同的保护规则，以使得数据处理者形成内外部协同的有效决策。在此之后，欧盟《通用数据保护条例》等各国的数据立法亦承袭了这样的立法思路。

  我国《民法典》《网络安全法》《数据安全法》《个人信息保护法》关于发生（或发现）数据（个人信息）泄露这类数据安全事件时的数据处理者通知义务行为具有规范体系的一致性，主要强调对发生和存在发生可能性的数据泄露安全事件予以较强的通知义务规制，较少存在例外情形，主要风险分配基于涉及数据泄露所引起的原因、数据处理行为的目的，以及对自然人的权利带来的损害可能性等维度进行划分，规定了义务主体较强的通知义务。欧盟《通用数据保护条例》第33条和第34条所构造的通知义务则更为严苛，强制要求数据控制者或处理者应当在发现数据泄露的72小时内将有关情况报告监管机构，除非该个人数据的泄露不太可能对自然人权利和自由带来损害风险。在欧盟的规则设计中将数据泄露纳入数据风险管理的范畴，实现对已产生风险的有效规制和对预期风险的有效预防。美国在该问题上各州对触发通知义务的条件存在不同的认定标准，最为典型的《加州数据安全泄露通知法案》所采用“泄露认识”的较低触发标准不会降低数据处理者或控制者的通知义务，反而会增加数据处理者或控制者后续的义务履行强度，特别是在例外情形有限的情况下对义务主体的风险控制能力提出更高要求，具体内容规则参见表1。

  法律义务首先意味着“应当”，即法律义务首先是作为被人民期待的行为模式而存在，是应当的规范性行为模式，作为法律义务构成要素的应当，不仅存在外在的道德共识评价还存在本身的规范性，即价值与道德意义的应当和规范与逻辑意义的应当[9]。法律义务本身的规范性逻辑在于其具有规制“行为”和“引起法律责任”的抽象性表述，同时兼具规范的层次性特征。由于其具有的特定抽象属性与在保护体系中的逻辑层次，对法律义务的理解与适用，特别在风险分摊意义上很难不在抽象和具象之间摇摆，如何实现有效衔接解决抽象规则与监管具体化成为当前化解治理难题的重点面向。

  数据安全保障义务的设置作为一项法定义务必须具备法律规范的抽象向度，其能够较大容量地为义务主体充分发挥能动性采取有效且多元的行为模式创造空间，因此其势必无法成为具象化的规则。而监管方或义务履行方对符合法律规定的内生诉求，无论是出于认知经济性（便捷性）抑或信息充分性（准确性）的考量，都需要有关规范具象化为更具体的落地规则和行为指南以指导有关的合规活动。实际上，我国目前关于数据安全保障义务的规范从总体上确定了风险划分的界限，数据安全泄露通知义务的设定成为有效履行数据安全保障义务中面对数据泄露等行为的关键具体一环。

  我国《网络安全法》第九条规定的网络运营者履行网络安全保护基本义务，实际上成为抽象性上位规范要求网络运营者作为网络的管理者、使用者和利用他人网络从事相关服务的网络服务提供者，应当履行法律规定的维护网络安全的义务，同时要求在履行法律、行政法规规定的强制性义务基础上，为实现自身和社会可持续科学发展承担更多社会责任[10]。为全方位符合网络安全保障义务，在个人信息泄露规制方面，《网络安全法》第二十二条和第四十二条分别规定了网络产品、服务提供者保证安全和保护个人信息的义务以及个人信息泄露报告义务，具象化为要求网络产品和服务提供者的安全维护义务、安全缺陷漏洞补救义务、用户信息保护义务、安全风险泄露通知义务。同时，《数据安全法》第四章对开展数据活动主体专设一系列数据安全保障义务，第二十七条强调开展数据活动的合规性要求和重要数据处理者的管理责任，明确数据活动主体的安全保障义务措施。要保障数据安全不仅需要限制数据的用途和公开，还应当辅以合理的安全保障措施[11]。在此要求之下，第二十九条具体规定数据安全漏洞风险的补救措施和发生数据安全事件的告知义务，以履行特定要求下的数据泄露通知义务。同理，在《民法典》第一千零三十八条统辖下，《个人信息保护法》中依然存在相类似的规范制度结构，《个人信息保护法》第五章规定个人信息处理者的义务实际上建构了“抽象—具体”的规范结构范式，第五十一条勾勒出个人信息处理者安全保护义务的总体要求，对个人信息处理者采取的预防措施进行“列举+兜底”式规定，细化到个人信息泄露等安全事件的补救措施和通知义务则是通过第五十七条加以具化规定。因此，对开展数据活动采取风险管理和安全事件的处理措施，《网络安全法》《民法典》《数据安全法》《个人信息保护法》营造出信息、网络、数据全方面安全氛围，意图实现化解风险以强化信息、网络、数据的法治安全建设[12]。从法律规范制定逻辑角度审视数据（个人信息）泄露通知义务的具象化过程，可以发现在确定数据（个人信息）处理者需要承担数据安全保障风险的抽象性义务规范下，逐步就特定领域的安全事件或风险进行类型化细分，笔者将此视为“原则义务（抽象性义务）—一般义务（类型性义务）”的划分模式。同时，为防止技术扩散和认知局限桎梏导致的无法预料风险类型化问题，需要利用抽象性法律规范作为统领性义务，保障在无具体风险类型情形时可以适用到相关行为者予以规制。数据泄露通知义务的衍生过程缓解了被监管者对具化抽象性规范的实际需求。

  尽管如此，实践中对义务性规范具体落地的需求依然强烈，现有所谓的具象化规则已经无法满足实际合规要求，美国学者曾提出由于州法的拼凑性导致规则的模糊，使得有关企业在发生数据泄露后的合规性变得困难且昂贵[13]，对数据泄露通知的有效性判断和实际操作指引还不够充分，该问题的解决有待相关技术或法律标准的出台，以期形成“技术—法律—标准”的联动体系。特别是在标准制定层面，欧盟第29条工作组（The Article 29 Working Party）于2017年通过《关于GDPR个人数据泄露通知的指南》（Guidelines on personal data breach notification under GDPR）,该指南于2018年2月进行修订后的主要作用是细化欧盟GDPR项下数据控制者和处理者履行数据泄露通知义务强制性措施的具体要求。2022年10月，欧盟数据保护委员会（European Data Protection Board，ED⁃PB）又就更新的个人数据泄露通知指南（Guidelines 9/2022 on personal data breach notification under GDPR）征求公众意见，可见该指南文件在法律规范下成为被监管对象寻求合规的主要路径依赖，完善在法律规则下的具象标准是当前完备制度架构内容的主要面向。

  总之，数据泄露通知义务在划定数据安全风险基础上，实现了通过通知行为触发数据处理者—监管机构—个人数据主体三方共同介入治理风险的机制，有效缓解了在数据泄露安全事件领域的规则细化需求，但也应当注意到数据处理者的合规需求远不止于此，逐步构建“技术—法律—标准”的规则联动体系才能更好地实现监管落地。

  规则制定和动态监管之间的张力越大，越说明该领域需要撬动多方进行刚柔并济的协同共治，数据泄露通知义务的构建实现了对数据泄露后续风险的有效规控，但在规则设置和处理结果上，应当摒弃试图通过利用数据泄露通知制度保障数据绝对安全的治理思路，逐步因势转向形成“处理端（数据处理者）—监管端（监管部门所代表的社会公共利益）—用户端（个体数据所有者）”多方协同共治的全流程保护路径范式。

  为了实现预防保护和有效的风险划分，各国在关于数据泄露通知义务规则设定中应全面考量发生或可能发生数据泄露的各类情形，同时，为了实现合理的风险分摊，促进数据处理者充分发挥数据管理职能，兼容数据处理者经济运营成本与数据主体（个人）不受无端频繁通知干扰之间的平衡，各国在规则设计时通常会设置例外条款，如上文提到我国《个人信息保护法》中规定个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的可以不通知个人。本质上，例外条款的作用是反向激励数据处理者采取有效措施防止危害产生或扩大，为其创设一个相对宽容的发展空间，让其可以自行决定是否进行通知，尤其对于那些迫切需要维护信用和商誉的数据处理者，激励其尽快采取有效补救措施以尽最大可能化解危害[14]。但应当注意到的是，如果仅有数据处理者单独进行判断要不要发出通知往往存在信息不对称性，对于是否能够有效避免泄露、篡改、丢失造成危害的实际效果直接决定了其是否可以不履行向个人的通知义务，这直接影响用户知情、决定等权利的后续行使，显然在全流程保护过程中缺少对必要救济措施的评估以作为是否后续通知依据的关键环节，因此，构建对是否采取措施避免信息泄露、篡改、丢失造成危害的行为进行有效性判断的评估机制尤为重要。

  数据泄露通知义务中设置向个人通知的例外条款，在考量数据处理者自主权、经营便捷、通知效率、用户免受打扰感知等因素的前提下，仍然应以安全价值作为基本导向，在发生数据泄露、篡改或丢失造成危害时，应当于选择通知与否前构筑出评估机制，但该评估机制并非强制性义务，而是供给处理者或具有保护职责的监督管理的机构对泄露行为进行评定。数据处理者可以选择通过评估机制完成科学、理性、完整、客观的评估处理，对引起泄露的来源、性质、严重性，以及避免个人信息安全事件发生等内容进行有效评估，为处理者提供后续通知选择供给有效的决策参考依据。同时，对于具有保护职责的监督管理的机构可以要求处理者实现对已经采取措施避免数据泄露的行为进行评估，或借助第三方机构对其数据处理行为进行安全评估，评估结果可以作为要求处理者对个人进行通知的参考意见，真正有效实现避免数据安全事件发生后损害扩大和缓解保护风险的现实化需求。

  数据泄露通知义务的履行实际上将数据处理者、监管机构、个人共同纳入数据安全治理的过程中，各方主体在其权能下行使权利（力）以达到共同应对数据泄露的安全保障。各主体通过数据泄露通知参与数据泄露治理的控制需求霄壤之别，数据处理者在强制履行义务性规范的基础上试图挽回声誉或商誉，完善数据管理内外部体系；监管机构则强化行政监管，通过对数据处理行为的介入实现有效监管，提高监管技术能力以维护数据的公共安全秩序；个人为避免数据泄露后数据的二（多）次受损行使知情权、决定权、可携权等具体权利，同时实现个体信息权利和隐私保护的自力救济。

  协调不同主体多样控制需求的共同底层逻辑在于实现通过数据泄露通知义务的履行倒逼对数据泄露安全事件的过程管理控制，更深度实现数据的利用治理。以安全为基本价值取向的保障义务展开实际上意欲通过过程管理达到对数据个体权利的保障和以数据个体权利形成的公共安全利益的维护，因此，数据处理者和监管机构都应将重心放在个人数据安全治理端。按照数据治理流程和管理结构模型可将过程划分为数据传播、数据过程管理、数据利用三阶段以及设备、网络、服务和应用程序四层级，对其进行网格化数据泄露治理范式能够实现数据泄露全流程的治理体系建设。由于个体用户对数据泄露管理全过程安全和数据利用及隐私建设等领域容错度较低，因此，通过对数据传播、过程管理、数据利用阶段的治理建设尤为重要，同时针对不同职能层级的管理能力建设能够逐步实现较为精细的治理体系。

  如前文所述，由数据泄露通知行为所触发的三方共同介入治理才是数据泄露通知义务的最终目标，但毕竟此时的通知义务履行只能减缓损失或抑制损失扩大，加之不同国家在不同环节为了分担风险设置了通知例外条款，使得事后救济并不能真正实现安全保障的制度价值。

  当前实践中，在用户账号存在安全风险情况下，互联网企业普遍采用风险提示的方式，提示用户进行验证、修改密码操作，某些特定的程度上减少了信息泄露带来的风险[18]。应当意识到，虽然数据泄露通知义务正逐步被数据处理者按规履行，但这并不表示当前数据泄露事件发生频率下降和由于数据泄露造成的危害正在减少，伴随量子解密技术的发展，未来对于网络安全攻防之间的较量势必会上升到一个新阶段，个体的数据安全、社会的公共安全等都会重新面临新的挑战，由数据泄露通知触发的治理机制不能仅仅着眼于事后救济或防止损害扩大，而应以此为契机逐步完善由数据泄露引起的数据安全“事前—事中—事后”保障机制。

  “事前—事中—事后”协同防范机制的建立已经不再仅着眼于数据泄露通知，而是建立在整体安全观下数据安全保障机制的全流程保护，以数据泄露通知为基点形成的数据安全全流程控制、风险评估机制、监测预警体制，最终实现监督管理的机构监管效能的提高和数据处理者自身管理的优化，数据安全风险控制和安全保障能力的提升。

  数据泄露通知义务的设立已经成为全球数据安全保护立法的共识，植根于数据安全保障义务的数据泄露通知，承载着具化数据安全保障的重要使命，其作为次生性强制义务规范融入实体法的规定，不仅意味着公法意义上的管理性规范的构建，还意味着私法意义上保障公民个人数据权利的有效行使，更是实现数据安全保障从个人保护向以多方协同的公共治理视角转变[20]，就规范内质而言，其具有公法与私法交融的双重属性。应当注意的是，尽管存在例外条件，但这项强制性义务的设置已经逐步实现规制思路从损害救济到风险预防的转变，也实现了从“一点触发”到“多方协同”介入共同治理安全风险机制的形成。

  但是，对于数据安全保障义务的全流程控制而言，数据泄露通知仅仅是履行保障义务的“一点”，不能对其制度实效期望过高，应当建立数据保护整体安全保障观念，由数据泄露的保护问题生发出对数据安全的全局与全流程保护机制，以真正实现局部与全局保护的协同演化，实现保护能力的有效提升。

  [3]赵精武.民法上安全原则的确立与展开:以风险社会治理转型为视角[J].暨南学报(哲学社会科学版),2022,44(4):68.

  [5]张文显.法学基本范畴研究[M].北京:中国政法大学出版社,1993:187.

  [6]姚佳.个人隐私信息主体的权利体系——基于数字时代个体权利的多维观察[J].华东政法大学学报,2022,25(2):89.

  [7]方禹.个人隐私信息保护中数据泄露通知制度的规范逻辑及其证成[J].经贸法律评论,2022(5):94.

  [10]杨合庆.中华人民共和国网络安全法释义[M].北京:中国民主法制出版社,2017:54-55.

  [11]高富平.个人数据保护和利用国际规则:源流与趋势[M].北京:法律出版社,2016:9.

  [14]张平.中华人民共和国个人隐私信息保护法理解适用与案例解读[M].北京:中国法制出版社, 2021: 222.

  [19]张珺.个人隐私信息保护:超越个体权利思维的局限[J].大连理工大学学报(社会科学版), 2021, 42(1): 94.

  [20]丁晓东.从个体救济到公共治理:论侵害个人隐私信息的司法应对[J].国家检察官学院学报, 2022, 30(5): 103.

  本文声明丨本文章仅为交流之目的，不代表北宝的法律意见或对相关法规/案件/事件等的解读。

  全球首发！《企业数据确权与全球合规趋势报告（2023年）》在数字中国创新大赛发布