数据泄露损害问题研究.docx

1、数据泄露损害问题研究一、问题的提出现今，快速发展的大数据与移动互联技术正在为我们创建充满魔力的“数字世界”。在这个世界里，个人的身份、行踪、住址、财务状况甚至连他们的期望、观点、心理、习惯均已能被“数据化”并用于多种商业场景之中，这也造就了阿里巴巴、腾讯、XX、京东、脸书、亚马逊等为数众多的大数据企业。可以说，个人数据的收集、处理及利用已不可避免地成为社会、经济体系的一部分。在这个体系中，数据产品与服务的消费者（以下也称“数据主体”）与采集、处理或利用数据的新兴大数据企业以及金融公司、医疗机构等传统的数据平台（以下统称“数据平台”）各得其所：前者享受便捷的消费服务、个性化的生活体验后者则利用源

2、源不断的“数据燃料”追逐更多的商业利益。然而，社会生活的高度“数据化”也带来了诸多挑战，其中就包括经常爆发的大规模数据泄露事件，黑客等网络偷盗者利用日益复杂的技术或其他手段窃取数据并在黑市上出售牟利或恶意公开，从而给消费者、数据平台乃至整个社会造成重大损失：消费者因个人数据的泄露而遭受多种形态的侵害，数据平台则面临数据泄露受害人的大规模索赔以及监管机构的执法行动，政府也将因行政或刑事执法行动而负担不菲成本。概念上，数据泄露一般指采集、储存、处理以及传输中的个人数据尤其是敏感数据的丢失或被盗、更改、被破坏以及其他XX的访问或公开，从而损及这些数据的机密性、完整性以及可用性的行为。虽然个人数据究竟

3、是权利客体抑或民事利益载体尚存争议，但其应受法律保护却已是普遍共识，毕竟这些数据里蕴含着自然人明显且丰富的人格权益，既包括附着其间的隐私、生活安宁等传统利益，更包括大数据时代特有的“应当受到保护的防御性或保护性利益”即“自然人针对个人信息享有防止因个人数据被非法收集、泄露、买卖或利用而导致自然人既有人身、财产权益遭受侵害甚至人格尊严、个人自由受到损害的利益”。就数据泄露而言，其意味着个人数据尤其是敏感的个人数据身份信息、金融数据、健康数据、性取向、生物识别与基因数据以及地理位置数据等暴露于不安全的状态之中，继而可能对数据主体的人格利益及财产权利造成损害：一是当事人因数据泄露而遭遇身份盗窃、被诈

4、骗或被歧视等未来侵害的风险显著增加，并因此而焦虑不已；二是不当或非法获取数据的第三方将被盗数据公之于众，以达羞辱或恐吓之目的；三是实际发生了身份盗窃或冒用以及金融诈骗等侵害行为以及相应的损害。不难看出，数据泄露将导致诸多不利后果，因而应将其视为一种新型的权益侵害类型，以便向数据主体提供“最大程度的保护”，包括便于他们利用私法手段保护自己权益。问题是，如果说第二、第三种情形下尚易判定损害，那么第一种情形下是否构成损害？若存在损害，受害人如何锁定侵权人并向其追索？此时，看似无辜的数据平台是否应承担责任？鉴于数据泄露损害难以识别与量化，法院对此也几无经验且没有相应的规则可循，因此，无论是对受害人还是

5、法院而言，上述问题都是严峻挑战。如何回应这些挑战，不仅关系到消费者数据隐私与财产安全，也会对大数据产业的可持续发展构成影响。囿于篇幅，本文仅在过失框架下，并结合中华人民共和国民法典（2021年1月1日施行，以下简称“民法典”）相关条款探讨上述第一种情形的损害问题以及相应的问责制。二、风险及焦虑：数据泄露新型侵权的损害认定一般认为，损害是指个人、实体或社会的利益减损，就个人而言，其意味着受害人身体完整性、智力敏锐度、精神稳定性、正常社交能力以及财产等利益的减损，通常表现为身体损害、精神痛苦、财产减少、利益丧失等不利后果。很多时候，数据泄露并不必然导致即时的身体伤害、人格受损或财产损失。相反，更多

6、是受害人因此而遭受相应的风险与焦虑，即未来发生隐私被窥探、身份被盗用或遭遇歧视、诈骗或勒索等侵害风险的显著增加，以及这些风险让他们产生难以言明的恐惧与焦虑等不良的精神或心理反应。简言之，数据泄露更多是关乎“人”而非“物”，其所导致的损害呈现“无形、分散以及风险导向”等特征。不可否认，数据泄露导致当事人遭受的“风险与焦虑”多少显得不那么“真实”，它们很难以肉眼可见的方式呈现在人们面前，既不同于身体伤害带给人们直观冲击进而让目击者对受害人经历的痛苦感同身受，也无法像金钱损失或财产毁坏这种现实损害那样易于发现、评估与量化。虽然有此不同，但不能因此否认数据泄露损害的存在。事实上，它“就像一间拥挤小屋里

7、的那件隐形物品，或许无法看见它，但我们清楚人们是怎样与之遭遇，并因为它的存在而改变自己、设法规避”。不过，因法院多对“损害”作狭义解释，且要求这一损害可被观察与衡量，所以数据泄露导致的“风险与焦虑”这种无形损害能否为现有损害概念所容面临着法律上的挑战。目前，我国法院对数据泄露新型损害问题着墨不多，要么刻意回避，要么采用严格的损害认定标准。实践中，数据泄露导致的人格权受侵害纠纷中，约有40%的裁判结果不支持受害人相应的损害赔偿请求。其中，原告未能证明数据泄露导致其遭受实际损害是其败诉的重要原因之一。反观域外，数据泄露侵权诉讼中同样有不少法院要求原告证明其被泄露的个人信息已被或即将被不法使用，包括

8、其已遭受现实侵害。然而，因受害人根本无力追踪失窃数据，因而难以满足这一证明要求。为此，越来越多的受害人转而主张数据泄露增加了他们未来遭受侵害的风险这一新型损害以及他们因此而产生焦虑或恐惧等精神损害。例如，在美国“克莱帕案”中，人权活动组织等原告就外国情报监控法第702条授权政府对境外可疑恐怖分子实施监控的合宪性问题向纽约南区联邦地区法院提起诉讼。诉讼中，原告提出：第一，他们未来与外国当事人的通讯受到政府监控具有“客观合理的可能性”，这将导致他们受到损害；第二，监控风险如此重大以至于他们不得不花费时间与金钱保护他们的通讯秘密，这些已然构成了现实损害。诸如此类的新型损害能否作为法律上承认的“事实上

9、的损害”常常令法院左右为难。每当解决此类问题时，法院像是在“流沙上跳踢踏舞”。难以否认，数据泄露新型损害的认定充满了挑战，与财产损害以及与身体伤害相牵连的传统精神损害相比，其因继发性、无形性以及不易计量性等特点从而更难识别与评估，甚至还可能被滥用。这正是不少法院拒绝将其视为可予赔偿的损害的主要理由。正如美国联邦最高法院在“克莱帕案”中指出的，受害人并无证据证明其所担心的、未来可能产生的损害已在事实上发生或即将发生（美国联邦高院在未来损害认定上采用“确实已迫在眉睫”标准），原告仅仅是在推测而已。受此影响，不少美国法院拒绝将当事人声称的数据泄露增加了身份被盗的风险且他们因此而焦虑不堪等无形损害视为

10、法律上承认的损害。在这些法院看来，数据泄露造成的所谓损害几乎都是建立在当事人推测或假定基础之上，过于依赖他们的主观感受，与那些已经发生或即将发生的损害相差甚远，单单是身份盗窃或被诈骗风险的增加尚不足以被认定为“事实上的损害”。对此问题，我国法院几乎都未深入论证，相反，多以精神损害未达“严重”或“明显”程度而拒绝认定数据泄露造成了应予赔偿的精神损害。基于上述裁判逻辑，即便数据泄露系数据平台的过错/过失所致，受害人恐怕照样无法获得侵权赔偿，除非他们能够证明存在物理上的身体伤害或财产损失。显然，这样的损害标准于受害人而言过于苛刻，无论是“确实已迫在眉睫”之要求，还是“严重”或“明显”之限定，其字面含

11、义恐将挫败几乎所有基于对未来侵害的恐惧而提出的赔偿请求，从而大大减少当事人提起诉讼或获得救济的机会。鉴于数据泄露事件频发且几乎每次都有为数众多的人受到影响，因此，如若一概否认或过于严苛，既不利于当事人利用私法手段救济自己权利，也会对潜在侵权人数据平台构成错误激励，它们将因责任风险的降低而疏于防范数据泄露风险或减少数据安全保护方面的投入。久而久之，数据泄露事件难免不时爆发。一旦消费者认为与数据平台共享个人数据有损自身利益，那么他们势必会大幅减少与数据平台共享的数据量或干脆拒绝提供其个人数据，以主动化解可能遭受的侵害风险。长远地看，整个数据产业或将因缺乏足够多的“数据燃料”而停滞不前，这显然是“双

12、输”。相反，基于大规模私人诉讼与责任风险的威慑，数据平台或将“被迫”不断地提高数据安全保护的水平，这有利于赢得消费者的信任并最终惠及数据平台自身，因为，在个人数据更有安全保障的情形下，消费者将乐于共享其个人数据，从而为数据平台提供更多可供处理的数据，助推数据平台的可持续发展，最终实现“双赢”。事实上，连“克莱帕案”中持不同意见的美国联邦最高法院法官也坦诚，证明未来损害的确定性对原告而言是个沉重的负担，因此，原告若能证明损害具有“客观合理的可能性”，即可认定存在实际损害。如上文所言，与身体损害或财产损失相比，当事人因数据泄露而徒增的被侵害风险并非那么直观或重大。但无论如何，这些不利后果也难被否认

13、。实践中，要求数据平台履行数据泄露通知义务并采取相应补救措施恰恰都表明了这一风险的存在。更重要的是，大数据时代的数据泄露往往涉及数以百万、千万甚至数以亿计的用户信息，即便泄露事件发生之际尚未发生侵害行为，但这些受害人担心自己个人数据被滥用因而花费时间或金钱加以防范在所难免。况且，随着时间推移，身份被盗用等侵害风险难免会在一定比例的受害人之中实际发生。目前，域外已有不少法院认可数据泄露受害人遭受了法律上承认的损害，从而使“客观合理的可能性”标准有了具体参照。如在“雷米亚斯案”中，美国联邦第七巡回法院就基于下列事实认定原告主张的遭受身份盗窃或信用卡欺诈等未来侵害具有“客观合理的可能性”，并判定原告

14、遭受了“事实上的损害”：首先，约35万张信用卡信息因黑客攻击而泄露，其中，9200张已被用于诈骗；其次，网络攻击发生后约三到六个月才被发现，受害人错失了最佳的防护阶段；最后，法院强调：“黑客为何要侵入商店的数据库并窃取消费者的私人信息？不难料想，他们的目的就是要诈骗消费者或冒用其身份，这只是迟早问题”。而且，如果要求原告等到侵害真正发生才提起诉讼，那么对其极为不利，相反，潜在被告因此获得不当优势数据泄露与发生侵害行为的间隔时间越长，原告就越难证明其所遭受的侵害与被告的数据泄露有关。可见，数据泄露所致的未来侵害风险并非只是想象，损害后果也不言而喻。因此，从宽认定数据损害，以“客观合理的可能性”视

15、角来审视并承认包括风险在内的未来损害，应是“迈向正确方向的一步”，不仅“对原告最有利，而且也将惠及整个社会”。毕竟，一般意义上，这些“风险”都是人为的行为风险，且与自然风险的偶发性、不可控制性相比，它能通过法律予以规范，并可借此降低风险损害或者把风险控制在合理范围内。实际上，未来损害侵害风险增加或某种机会丧失已经被其他领域的判例法及制定法所承认。例如，在美国医疗侵权领域，“风险是损害”概念已被接纳。而在数据泄露与信息不当公开等侵权领域，也有法院强调：损害应是“真实的”而非“抽象的”，但“真实的”损害并不一定是有形的，“无形损害”甚至是“真实损害的风险”有时也足够“具体”进而能够构成“事实上的损

16、害”，只要它们与传统上法院承认的作为诉讼基础的损害具有紧密关系即可。无独有偶，在欧盟，立法者不仅强调“损害”概念应从宽解释，而且认为数据泄露将导致非财产损害，包括身份盗窃或欺诈、权利受限、社会歧视、声誉受损、数据失密以及不法的“数据画像”等引起的无形损害。据此，欧盟立法规定：因数据泄露而遭受身体、财产或非财产损害的当事人，都有权要求违反数据保护条例的数据控制者或处理者承担损害赔偿责任。与欧盟立法类似，印度个人数据保护法案同样采用了宽泛的“损害”概念。至于焦虑或恐惧，一般认为，它也是精神损害的形式之一。当人们有理由相信自己的身份或财产因数据泄露而处于风险之中且难以化解时，自然的反应便是焦虑、恐惧

17、甚至寝食难安，因为遭泄露的个人数据尤其是敏感数据很可能会被用于不法或不当目的，那些令其尴尬或声誉受损的信息的泄露尤让他们心神不宁甚至因此而走上绝路。2015年，Ashley Madison一家提供交友与约会服务的社交网站因黑客攻击而导致数据泄露，不少用户因担心自己的不良倾向与行为被公之于众而焦虑不已，有人甚至因此而自杀。总之，数据泄露对受害人心理或精神产生的不利影响显而易见。不过，与身体侵权具有牵连关系的精神损害相对容易认定且容易被接受不同，仅与未来侵害风险交织在一起的精神损害由于更难度量因而不易获得承认。尽管如此，比较法上，并不依附于身体伤害的纯粹精神损害已被视为一种可予赔偿的损害形式。美国

18、判例法就将隐私侵权以及违反保密义务侵权等情形之中的纯粹精神损害，包括恐惧、焦虑、尴尬、紧张以及失眠，视为可予赔偿的损害，法院不再一味强调精神损害与身体伤害的牵连性，转而重视当事人精神损害之现实，尤其是负有注意义务但却疏于履行这一义务的当事人应为其过失所造成的精神损害承担责任。制定法上，美国第三次侵权法重述第46条规定：因过失导致他人遭受严重情绪不安的行为人应于以下情形承担责任：（1）该过失行为置他人于即时的身体伤害危险之中并导致其情绪不安；或（2）在某些特定种类的活动、事项或关系之中，该过失行为极可能导致当事人严重的情绪不安。同样地，法国法规定了非因身体伤害而引起的身心痛苦、精神创伤等纯粹精神

19、损害的可赔偿性；德国法则通过将精神创伤等精神损害解释为对健康权的侵害从而予以保护。我国也曾有判例支持原告因被告过失侵权而提起的纯粹精神损害赔偿请求。所有这些无不表明，“在法律上人的身体与灵魂/精神已被平等对待”。数据泄露场合下，受害人因担心未来遭受侵害进而产生焦虑等不良精神或心理反应与上述隐私侵权以及违反保密义务侵权情形下的精神损害并无本质不同，均对当事人的精神健康与心理安宁构成了侵害。因此，受害人据此请求精神损害赔偿具有正当性与合法性。值得注意的是，传统上，财产损害赔偿通常采“差额说”。与之不同，非财产损害则以赔偿法定、数额酌定为其要点，多由裁判者在综合考虑精神痛苦严重程度、受害者个人因素等

20、具体情况的基础上酌定。我国民法典侵权责任编第1183条第1款规定，因人身权益受侵害而遭致的精神损害达到“严重”程度时，被害人“有权请求”精神损害赔偿。另根据最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定（法释201411号，以下简称“网络侵权解释”）第17条也规定，网络服务商侵害他人人身权益并导致受害人精神损害达到“严重”程度时，法院才会支持被侵权人的精神损害索赔。显然，上述精神损害“严重”之程度要求将使被侵权人负担较重的证明责任。实践中，确有不少法院以被侵权人未能证明其因数据泄露而遭受“明显的精神痛苦”或“严重的精神损害”为由驳回了他们的精神损害赔偿请求。在这

21、些法院看来，当事人所遭受的精神损害并未达到医学上认定的精神或心理疾病程度。这也是实践中较普遍的认定精神损害是否“严重”或“明显”的标准。其实，“严重这一限制条件似无太大必要，因为它会进一步淡化现代侵权法本已摇摇欲坠的惩罚功能”。比较法上，精神损害程度要件已趋缓和。如欧盟一般数据保护条例第82条第1款规定：“任何因数据控制者或处理者违反本条例而遭受财产或非财产损害的人都有权要求这些侵权人给予赔偿。”无论是规定本身还是该条款的具体解释，均未对“非财产损害”设定“严重”或“明显”这一程度要求，相反，立法者强调可予赔偿的非财产损害并“不限于与羞辱或其他类似严重侵害相关的损害”，而是包括社会歧视、精神压

22、力以及人格自由发展中的障碍等广义损害。同样地，为降低当事人提起精神损害赔偿的门槛，德国新的数据保护立法已删除旧法曾规定的“严重侵害人格权”之要件，以期强化非财产损害的赔偿进而实现更有效的数据保护。我国台湾地区“个人资料保护法”第28条第3款也只是规定：被侵权人“得请法院依侵害情节，以每人每一事件新台币五百元以上二万元以下计算”那些“不易或不能证明其实际损害额”的财产损害及非财产损害的赔偿额度。笔者以为，基于对大规模侵权行为的威慑且彰显现代侵权责任条款的救济功能，未来不应拘泥于民法典侵权责任编第1183条第1款中“严重精神损害”的字面含义，还应根据受害人具体情形评估其主张的精神损害是否合理，同时

23、避免简单将其等同为临床上确诊的精神疾病。当然，灵活或从宽解释并不意味无需对精神损害的真实性进行审查或对那些显著轻微的权益侵害行为动辄得咎，被侵权人仍须向法院提供能证明精神损害的初步证据，包括其因精神痛苦或焦虑等负面情绪而遭受身体上的某种伤害或日常行为已因此而受到妨碍等，但该证明责任不在于强求受害人证明其经受的焦虑或精神痛苦已达精神病症或心理疾病等程度，相反，受害人只要能证明数据泄露已令一个理性人产生足够的精神压力或痛苦即可，以图在侵权责任条款所具有的权益保护与协调行为自由两大功能之间实现平衡。三、损害归因：数据泄露侵权因果关系证明难题的破解数据泄露损害发生的直接原因往往是网络偷盗者的故意侵害行

24、为，数据平台的疏失多是损害发生的间接原因或条件，数据平台故意泄露个人数据则另当别论。这也是数据平台作为被告时惯常的抗辩。这一抗辩如果不是阻断了数据损害与数据平台行为之间的因果关系，那么至少也是增加受害人证明因果关系的难度。因此，若在法律上向数据平台课以确保数据安全的积极作为义务，那么数据泄露侵权中数据平台的不作为或过失即可作为损害的直接原因力而非仅仅是条件而已。问题是，数据平台是否应负担这一义务以及数人侵权场合下如何证明损害与数据平台行为之间的因果关系？（一）归因前提：解释论视角下的信息安全保护义务1.信息安全保护义务的证成关于个人信息，我国民法典总则第111条以及“人格权编”第1034条规定

25、：个人信息受法律保护。其中，民法典总则第111条（即现行民法总则第111条）确立了个人信息保护的一般原则，即向数据收集者或处理者等当事人课以“确保信息安全”之积极作为义务以及不得“非法收集、使用、加工、传输”或“非法买卖、提供或者公开”自然人个人信息等不作为义务。这一规定揭示了个人信息的权利/权益客体地位，不仅“从民事基本法的高度赋予了自然人个人信息保护的权利”，而且“彰显了法律对人格尊严和人格自由的尊重”。在此基础上，民法典人格权编第1038条第2款进一步规定：数据收集或处理者等当事人应承担“确保其收集、存储的个人信息安全，防止信息泄露、篡改、丢失”的义务。此外，全国人大常委会关于加强网络信

26、息保护的决定第4条、消费者权益保护法第29条第2款以及网络安全法第42条第2款同样向采集、使用个人信息的经营者或网络运营者课以了“确保信息安全”义务。基于文义上的理解并考虑体系解释，“确保信息安全”的意涵无非是要求数据平台采取合理必要的技术与管理性保障措施，从而使其控制或占有的个人数据处于“安全”状态，即避免以电子或其他形式存在的个人数据免遭泄露、失窃、毁损或XX的访问等。整体上看，这些立法确立了数据平台保护信息安全的一般性积极作为义务。只是，在属性上，“确保信息安全”之保护义务（“信息安全保护义务”）究竟是交易层面上的合同义务还是类似于侵权领域内特定场所经营者、管理者或特定活动组织者应负的安

27、全保障义务有待澄清。根据民法典侵权责任编第1198条第1款规定，银行及商场等经营场所的经营者、体育场馆及车站等公共场所的管理者或群众性活动组织者负有相应的安全保障义务。这一义务主要源于如下理念：即“每项社会交往的开启都会对他人产生影响，其中潜在的危险也会对他人产生危害，因此每个开启或主导社会交往之人都应适当注意相关人员的安全”。文义上，民法典侵权责任编第1198条第1款与现行侵权责任法第37条第1款一样，仍只是规定传统物理空间的经营者、管理者或组织者应负担合理注意义务，网络空间管理者或网络交易经营者/组织者并未被明定其内。然而，本质上，数据平台提供的网络交往或交易同样具备“开启、参与社会交往”

28、以及“给他人权益带来潜在危险”两项核心特征，由此，它们同样也应有义务排除正在发生的侵害行为且对未来妨害负有审查控制义务。具言之，数据平台大量采集、储存个人数据，并利用“数据画像”实施营利活动或从事其他数据交易；同时，这些数据处理行为使个人数据处于被泄露或被偷盗的风险之中。鉴于“从危险中获取经济利益者也经常被视为具有制止危险义务的人”，因此，要求数据平台承担信息安全保护义务再自然不过。换言之，数据平台创设了一个数据驱动的服务或社会交往场景，那么这种创造理应包括为该场景的安全提供保障，采取合理必要措施避免数据泄露自是保护的题中之义。可见，若对民法典侵权责任编第1198条第1款作扩张解释，就不难推导

29、出数据平台亦应负信息安全保护义务。总之，基于合理事由掌握个人整体信息的组织应积极、谨慎地采取有效措施防止信息泄露，且未经权利人允许，任何人不得扩散和不当利用能指向特定个人的整体信息。更重要的是，这些掌管大量个人信息的数据平台应被合理地推定为具有保护个人数据免受泄露的相应能力，这不仅是它们的“社会责任，也是其应尽的法律义务”。基于对民法典侵权责任编第1198条第1款的扩张解释，且考虑个人信息的人格权属性，民法典“总则”及“人格权编”中关于个人信息的安全保护义务本质上与“侵权责任编”中的安全保障义务并无二致。而且，立法体例上，意在确权的民法典已将个人信息纳入“人格权编”中进行保护，这也表明立法者旨

30、在承认自然人对其个人信息享有权利且已将其建立在维护人格尊严及自由而非财产自由之基础之上。因此，援用“侵权责任编”而非“合同编”中的责任规则对个人信息进行保护或提供救济就更合乎逻辑。进一步而言，人们访问网站、搜索查询、网上购物并提供其个人数据时，多半是因为相信这些数据采集或管理平台在提供数字产品与网络服务时会保护好他们的个人数据，更不会滥用或泄露这些数据。事实上，几乎所有的数据平台都会在它们的隐私政策中声明了这一点。无疑，这是一种特殊的“数字信任”，“蕴含着人们对数字产品与服务提供者利用个人数据是使他们受益而非损害他们利益的基本信念”。正所谓，“如果你劝诱他人相信你，那就不能转身背叛他的信任”。

31、这恰好与民法典总则第7条关于诚信原则的规定具有内在的一致性。因为，诚信原则之内涵与英美信义法所强调的忠诚地对待信任、诚实地履行义务、遵守合理的商业标准、不得欺诈或获取不当利益等基本法理是相通的，且“都是法律实质理性的体现”。基于此，数据平台不仅不应利用自身优势侵害数据主体利益，包括基于“数据画像”实施的操纵、歧视以及XX使用数据等短期逐利行为，而且还要负担更高标准的注意义务，采取合理且必要的措施保护消费者“托付”的数据。可见，若从诚信视角阐释信息安全保护义务，那么可将保护理念嵌入更广泛的数据安全管理体系之中，不仅不是废弃传统侵权领域安全保障义务所强调的采取必要措施防止数据泄露这一关乎数据安全的

32、关键举措（匿名化或加密处理、去中心化存储等要求自然也属保护义务应有之义），而且还将在更广泛范围内要求数据平台提高数据安全保护水平，侧重点不再仅仅是数据平台是否采取了安全防护措施，而是这些保护措施是否符合法定标准、行业标准甚或数据主体的合理期待。2.合理谨慎：信息安全保护义务的内核具体而言，数据平台应负担事前与事后的安全保护/注意义务。事前的安全保护义务主要包括数据采集阶段的获取同意与谨慎处理义务，前者要求数据平台于采集数据前应获取数据主体的“知情同意”，后者则要求数据平台不得过度处理（包括收集、存储、使用、传输、公开等）个人信息，并遵循合法、正当、必要以及透明度等限制性要求。这些义务已先后被我国网络安全法第22条第3款、第41条与第42条第1款以及民法典人格权编第1035条接纳。民法典人格权编第1038条第2款进一步规定数据平台应采取合理必要的技术或管理措施“确保其收集、存储的个人信息安全”，亦即确保数据的完整性与保密性，防止受保护的个人信息泄露、丢失或遭第三方窃取、篡改或XX访问。该义务与我国消费者权益保护法第29条以及网络安全法第21条、第22条第1款、第23条