近年来，我国数字经济持续创新迭代，推动社会经济高速发展，与此同时，高价值的数据资产也被很多不法分子觊觎，大规模数据安全事件屡有发生。

　　典型的就是2020年新浪微博数据泄露事件。2020年3月4日，有暗网用户发布了一则名为“5.38亿微博用户绑定手机号数据，其中1.72亿有账号基本信息”的交易信息，售价1388美元，泄露数据包括新浪微博用户的手机号、用户ID、账号昵称、头像、粉丝数等。当月24日，工信部在官网发布消息，针对新浪微博因用户查询接口被恶意调用导致App数据泄露问题，工信部网络安全管理局于3月21日对新浪微博相关负责人进行了问询约谈。

　　因为与隐私有关的数据信息对个人的生命财产安全影响巨大，我国立法机关在构建我国网络安全法律体系的过程中，高度重视对数据安全事件的处置。近年来，陆续出台的网络安全法、数据安全法、反电信网络诈骗法等与数据安全合规有关的法律法规，对于企业主动通报或公布数据泄露事件均作出了明确规定。

　　例如，网络安全法第二十二条要求，网络产品、服务的提供者发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告；数据安全法第二十九条规定，发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告；反电信网络诈骗法第二十六条第二款规定，互联网服务提供者依照本法规定对有关涉诈信息、活动进行监测时，发现涉诈违法犯罪线索、风险信息的，应当依照国家有关规定，根据涉诈风险类型、程度情况移送公安、金融、电信、网信等部门。

　　国外很多大企业都有主动通报数据安全事件的先例。今年10月11日，丰田汽车在一份声明中表示，有29.6万名接受T-connect服务的客户资料可能已经被泄露，时间跨度从2017年12月一直持续到今年9月15日，泄露信息包括电子邮箱地址和客户编号等。今年5月，通用汽车曾发布声明称，其注意到今年4月11日至29日期间，部分在线客户账户出现了可疑登录，导致在未经用户授权的情况下，客户的奖励积分被兑换成了礼品卡。而在2021年6月，大众汽车也曾表示，有将近330万名客户或潜在买家的数据遭泄露，信息包含姓名、地址、手机号码、邮件等。大众汽车称该事件是由于其供应商在2019年8月至2021年5月期间将客户数据“未经保护”地留在互联网上造成的。从上述3起数据泄露事件的公告情况看，涉事企业主体均在发现数据泄露事件后1个月左右主动公布了事件相关情况以及调查进展。但我国实践中，甚少有企业主动公开发现或查明的数据安全事件。中外企业之所以有如此差异，主要存在三方面原因。

　　我国数据安全法第四十五条规定，违反本法第二十九条规定的，可以处以责令改正、警告以及罚款等行政处罚，最严重的处罚是200万元以下罚款和吊销营业执照。与之相对比，英国数据隐私监管机构曾于2019年以违反欧盟GDPR为由，对国际连锁酒店集团万豪开出过9900万英镑的罚单，执法力度可见一斑。如果我国不能建立与数据泄露造成的后果相适应的处罚标准，作为经营主体的企业不可避免地会滋生侥幸心理，回避履行数据安全相关的法律义务。

　　在缺乏严厉处罚的同时，我国法律对于企业积极主动履行合规义务同样缺乏奖励机制。企业在决定是否主动公布数据安全事件时，不仅会考虑监管压力，还会考虑网民、投资者等多方面的态度和观感，因此，执法机关需要在给企业施加压力的同时给予足够的奖励，以抵消企业对负面事件影响企业形象、投资价值的担忧。例如，反电信网络诈骗法第四十六条第二款规定，电信业务经营者、银行业金融机构、非银行支付机构、互联网服务提供者等违反本法规定，造成他人损害的，依照《中华人民共和国民法典》等法律的规定承担民事责任；第四十七条规定，人民检察院在履行反电信网络诈骗职责中，对于侵害国家利益和社会公共利益的行为，可以依法向人民法院提起公益诉讼。执法机关可以根据上述条文出台相应政策，规定只要主动报送数据安全事件，企业可以免除在相关事件中的行政和民事责任，不再提起公益诉讼。免除民事责任、避免公益诉讼风险等奖励措施将有效引导企业积极主动履行数据合规义务。

　　为了支撑企业积极履行数据合规义务，政企之间建立顺畅的信息流通和反馈机制必不可少。目前，政企之间关于数据合规和安全情况的报送缺乏规范化、制度化的流通渠道，不同政府部门之间同样如此。我国网络安全法规定，网络安全的主管机关包括网信、电信、公安等部门，无论是要保证处罚措施严格有力，还是确保激励机制落实到位，都离不开主管机关之间的信息同步和协同配合。因此，建议网络安全的主管机关建立统一的数据安全事件报送平台，以该平台的数据作为对企业履行法定数据合规义务奖惩的重要依据，避免因部门不同导致重复处罚、执法尺度差距过大等不利于企业履行数据合规义务的情形。