风险与焦虑：关于数据泄露损害的理论

风险与焦虑：关于数据泄露损害的理论

Danielle K. Citron, Daniel Solove

SSRN Electronic Journal, 2016

Danielle K. Citron

University of Virginia School of Law

丹尼尔·希特伦是杰斐逊学者基金会申克杰出法学教授，2019 年，希特伦因其在网络跟踪和隐私方面的工作而被任命为麦克阿瑟研究员；2015 年，英国《展望》杂志将她评为世界50大思想家之一。在过去的十年中，Citron一直与立法者、执法部门和科技公司合作打击网络滥用行为。2019年6月，她在国会就深度伪造的国家安全和隐私风险作证，她一直参与围绕在线平台监管的改革工作。

Daniel Solove

George Washington University Law School

丹尼尔·沙勒夫是乔治华盛顿大学法学院的教授、隐私和网络安全培训公司TeachPrivacy的创始人。作为世界领先的隐私法专家之一，沙勒夫教授曾在世界各地的大学、公司和政府机构演讲，并在包括纽约时报、华盛顿邮报、华尔街在内的数百篇文章和广播中接受媒体采访。他曾在《哈佛法律评论》、《耶鲁法律杂志》等杂志上发表了50多篇法律评论文章。

在有关数据泄露的诉讼中，认定损害大小的问题一直困扰着法院。损害是否存在决定原告是否有资格在联邦法院起诉和他们的诉请是否成立。原告称，数据遭到泄露造成未来损害的风险，如身份盗窃、欺诈或损坏声誉，而这种信息泄露会让他们对上述损害的风险感到焦虑。法院在损害认定问题上难以得出一致结论，大多数法院驳回了数据泄露的诉讼，因为他们认为指控没有表明数据泄露造成了损害。而目前尚未存在一个针对损害认定的，健全的、有原则的办法。

本文作者研究了法院一直难以将数据泄露造成的损害概念化的原因。这很大程度上是因为数据泄露的损害是无形的、风险导向的和分散的。具有这些特征的损害不应该使法院困惑，司法系统已经认识到其他法律领域中无形的、风险导向的和扩散性的损害。作者认为法院对某些形式的数据泄露损害过于轻视，且法院能够且应该发现可辨识的损害。作者在本文中论证了法院如何利用现有的法律条例，用连续性的方法对风险和焦虑进行评估。

、

本文分为三个部分：

在第一部分中，作者讨论了法院目前审理涉及数据泄露损害案件的方式。

在第二部分中，作者将探讨为什么法律难以承认侵犯隐私和安全造成了可认知的损害。

在第三部分中，作者论证了基于风险和焦虑的增加而一致承认损害的法律基础。作者在此基础上为法院提供了一个评估风险和焦虑的框架。

/01/

新出现的有关数据泄露损害的法律

损害是大多数私法请求权所不可缺少的。一般来说，损害被理解为个人、实体或社会利益的损害或阻碍。

法律承认的损害是指法律承认值得纠正、威慑或惩罚的损害。损害被合理预见是许多私法的基本原则。即使被告的行为毫无疑问是错误的和违法的，原告仍须证明自己受到了损害。在普通法中，奥利弗·温德尔·霍姆斯（Oliver Wendell Holmes）将损害认定为侵权法所针对的邪恶。无论被告的行为是否是疏忽、鲁莽或故意，无论被告的行为有多么不当，如果损害未被证明，原告都无法获得救济。可以肯定的是，立法有时允许法定赔偿金或包含违约赔偿金条款，允许在没有额外显示损害的情况下进行补救。

除了私法主张的实质内容之外，联邦法院还要求原告有资格根据美国宪法第三条提起诉讼。常设原则要求原告声称的损害事实上存在。损害必须是具体的，并且是“实际的或即将发生的，而不是猜测或假设的。”如果原告缺乏提起诉讼的资格，联邦法院将无法进行审理。

虽然原告资格和实质诉因的要求不同，但构成两者基础的损害问题却惊人地相似。在大多数情况下，法院对原告资格要求的损害的思考方式与法院在实质性索赔中处理损害的方式几乎相同。之所以关注损害，是因为它是私法主张中法学理论的核心。

无论提出损害是为了确定原告资格或确定私人债权的可认知性，损害都会影响法院对数据泄露案件的思考方式，通常这些案件会在诉讼早期被驳回。法院认定，事实上没有损害以支持诉讼资格，或者认定不存在由各种侵权行为或其他诉讼原因造成的损害。在这一部分中，作者将探讨法院在驳回这些主张时是如何将损害概念化的。

（一）对数据泄露损害的司法处理

在联邦一级的诉讼中，损害通常需要确定两次：首先是为了获得原告资格，其次是为了满足各种诉因。

作者认为，原告关于损害的理论主要为以下三个：（1）数据泄露会造成未来受伤的风险；（2）原告采取预防措施以减少损害的风险；（3）由于数据泄露危及个人数据，原告会感到焦虑。

1、未来受伤的风险。原告提出的一个普遍理论是，数据泄露增加了他们未来身份被盗取或被欺诈的风险。大多数法院拒绝接受这种关于损害的理论。原告身份遭受盗窃的风险的增加被认为是一种过于投机的损害，即使是在窃贼被据称窃取了个人数据的案件中法院认为，身份盗窃风险的增加不是一种“实际损害”，而是“对未来损害的猜测”。

如果一个人的个人信息还未被用于身份盗窃或欺诈，那么法院就会认定原告没有受到损害。在Key v. DSW Inc.一案中，联邦地区法院驳回了这起集体诉讼所指控的“原告身份欺诈的风险增加”，因为原告的“信用信息和银行账户在今天看起来和黑客入侵前一样”。

即使原告量化了数据泄露增加了他们未来受到损害的风险的程度，法庭仍然认为这种损害太过投机，以至于无法继续审理。（如In re Science Applications International Corp. (SAIC) Backup Tape Data Theft Litigation一案。）

当案件涉及黑客的恶意目的或实际、企图滥用泄露个人数据的指控时，法院倾向于认定受到损害的风险是存在的；然而，在大多数情况下，未来受到损害的风险的增加并不能被理解为可认知损害（cognizable harm）。获取这些数据的人的动机不得而知，原告也尚未遭受身份盗窃或其他形式的金融欺诈。目前尚不清楚谁拥有这些数据，以及他们将如何处理这些数据。损害风险“肯定并即将发生”难以被证明，因为数据泄露造成的损害并非立刻显现。即使在许多情况下，黑客访问了个人数据，他们的恶意动机能够被推断出来，法院仍然拒绝承认发现了损害。

2、为防止未来损害的预防性措施。损害的预防措施理论是指：原告通常需要为减轻身份盗窃或欺诈的风险付出一定的金钱、时间成本。但法院通常拒绝这一认可这一说法，并认为原告的这些行为是在“制造”损害。

损害的预防措施理论通常失败的原因在于它是基于未来受到损害的风险增大理论（increased-risk-of-future-injury theory）产生的。如果这些花费被认定为可认知损害，将会激励原告律师指示他们的客户花费时间和金钱采取缓解措施，以便事件被认定为损害。

3、 焦虑原告通常表明数据泄露使他们情绪焦虑，但是法院每一次都否认这一主张，因为原告对身份盗窃或欺诈的担心是基于个人数据会被恶意利用的推测性结论无法用事实来解释。且原告精神上的痛苦与他们对身份被盗用、滥用风险的增加相关性很弱。

（二）狭隘的损害观：发自肺腑的和既定的

法院从一个狭隘的角度看待损害，它们坚持认为数据泄露造成的损害能够轻易被观察到且被量化，原告必须经历身体上或者财产上的损害，或者至少损害是即将发生的。

这种对损害的狭隘理解可以追溯到普通法的发展早期。19世纪的侵权诉讼要求提供身体损害、财产损失的证据，如果被告对原告负有特殊的注意义务，那么在侵权损失中，财产损失可以得到补偿。按照这个原则，法院只在寻求对有形经济损失寻求补救的情况下才承认侵犯隐私权的索赔。在个人数据泄露导致身份盗窃的数据泄露案件中，法院已经发现了足够的损害。但是如果没有人身损害或者经济损失的证据，法院很少承认损害。

但是，数据泄露的损害并不容易通过物理的方式识别，这种损害是无形的。数据泄露会增加个人身份被盗用或者被骗的风险，以及由此带来精神上的痛苦。

/02/

作为损害的危险和焦虑

在本部分，作者探讨了为什么法院一直“与风险和焦虑作斗争”，而风险和焦虑是数据泄露损害中的关键因素。作者在本部分论证：在法律理论中有一个实质性的依据来承认数据泄露损害。这些先例涉及其他法律体系，其中一些与数据泄露法密切相关。法院不应忽视这些承认损害的法律基础。这样做将能确保司法部门的方法在概念上保持一致。此外，承认类似类型损害的其他法律领域的存在表明，可以在不造成法律冲突的情况下承认数据泄露损害。

（一）作为损害的风险

1、了解风险。在数据泄露案件中，法院难以认定风险。问题在于由于不正当获取的个人数据后的未来可能的违法行为难以为人所知，且在数据泄露的下游端多为不同来源的个人数据汇总，法院很难对损害进行概念化。

这意味着被泄露的个人数据可能要在数月或数年后才被滥用，但一旦发生，损害是深远的。身份盗窃的受害者可能面临着经济损失。由于数据泄露和损害的发生存在延迟，在损害发生时很可能已经超过了诉讼时效，且每个受害者损害发生的时间可能不同。

首先，不同于信用卡号码泄露后可以更换信用卡，身份盗窃中的个人数据，如出生日期等不能被更改、生物特征数据如指纹等不能被替换。

其次，评估数据泄露损害大小的困难在于抓捕偷取数据的窃贼是非常困难的。如果不清楚窃贼从何处获得数据，原告将难以将损害与特定的数据泄露联系起来，这阻碍了受害者通过诉讼得到赔偿。

此外，数据泄露的另一个损害是导致受害人参与生活中重要活动的能力的降低。数据泄露后，由于受害者身份盗窃风险的增加，他在信用报告存在瑕疵的情况下，很难获得贷款，从而阻止他购买新房子。在存在身份盗窃风险的风险下，受害人可能不愿意采取购买房屋所需的措施，例如将现有房屋投放市场、寻找房屋以及提供押金。与此同时，存有瑕疵的信用报告也对受害人找寻工作制造了麻烦。

2、将风险识别为可认知损害的法律基础。科学和商业等领域的发展使得法律逐渐关注到风险，现代思想中“风险”的概念已然变得普遍。由于承认数据泄露损害的概念基础已经存在于法律中，因此承认这种损害并不需要对损害的法律概念做出根本转变。

随着时间的推移，盖然性损害已在三个概念相关的领域得到承认：受伤风险增加、机会的丧失和对疾病的恐惧。侵权法已经发展到承认“对未来生病或生病风险增加的恐惧”和“失去避免疾病或身体损害的机会”是可赔偿的损害。从这些可以看出，损害是未来机会的破坏和希望的丧失。

法院已经开始允许人们就医疗事故导致人们失去了“获得更好程度康复的机会” 提起诉讼。这在“未来遭受损害的风险”的案件中，损害赔偿包括“直接造成的失去更有利结果的机会”，以及“因意识到患者避免过去或未来不利损害的前景被侵权破坏或减少而造成的精神痛苦损害”，以及“为检测和应对复发或并发症而监测病情的医疗费用的损害”。例如，在Petriello诉Kalman案（Petriello v. Kalman）中，一名医生因过失损害了原告的肠道。据估计，原告未来患肠梗阻的几率在8%到16%之间。法院的结论是，原告因“在未来可能发生损害的范围内”发生肠梗阻的风险增加而应得到赔偿。

同样，环境法以“风险即损害”的概念为前提。“环境法的一项重大创新是，将风险的概念替代损害，以代替普通法的主张，即损害应通过证明一项行为事实上造成了明显的损害来确定。”法院已经发现，患病风险的增加足以作为达到原告资格和作为监管的依据。

平心而论，如果针对损害风险增加的补救措施得到广泛应用，许多类型的易损性行为将被禁止。鲁莽驾驶汽车的司机增加了其他司机发生事故的可能性。很难想象法律会将鲁莽驾驶造成的损害视为增加的风险。然而，在其他情况下，法律为因医疗事故而增加的健康并发症风险提供了补救措施。为什么会有不同的结果？一旦鲁莽的司机在路过马路时没有发生事故，风险就被消除了。相比之下，医疗事故导致未来并发症的风险没有明确的结论。

与鲁莽驾驶人相比，数据泄露案件中的受伤风险更接近医疗实践场景。对于个人数据泄露到小偷手中的个人来说，损害的风险仍在继续。黑客近期内可能不会利用这些个人数据窃取银行账户和贷款。他们可能会在一年后使用这些个人数据，并非所有的个人数据都会被用于犯罪目的。与此同时，个人会担心他们的信息会被滥用，并花费时间和资源来保护自己免受损害。

诉讼时效规定可能会使得诉讼超出诉讼时效，法院拖延解决问题也可能导致证据的丢失。

尽管法律对风险持谨慎态度，但它已经朝着接受风险概念迈出了重要的一步。以风险为导向的损害越来越受到法律的认可。风险水平的变化会产生重大的财务影响，但法院有具体方法来评估、量化和管理风险。因此，对数据泄露的损害有了进一步的理解。

（二）作为损害的焦虑

1、理解焦虑。数据泄露造成的损害往往会导致受害者对未来受到损害的风险增加感到焦虑。焦虑是情绪痛苦的一种形式，它是一个涵盖性术语，用来描述各种负面和破坏性的感觉，如悲伤、尴尬和焦虑等。在数据泄露的情况下，人们会感到焦虑，因为他们知道，通常是敏感的个人信息可能会被观察到，并被用来损害自己。目前，人们经历了情感上的痛苦，但法院不愿将其视为由数据泄露损害引起的可认知损害。

在数据泄露案件中识别情绪困扰的一个问题是，精神困扰很容易被制造出来。反对承认焦虑的争论集中在这样一个事实上，即焦虑的说法很容易提出，也很难反驳。原告将倾向于用夸张的细节描述自己的痛苦，被告可能对此难以反驳。

人们对情绪困扰的虚假说法的担忧，以及反驳这些说法的困难，无疑是重要问题。但正如我们在下一部分中展示的，法律已经承认与身体或经济损害无关的情绪困扰。在某些隐私案件中，法院承认纯粹的情绪困扰，作者认为，这很可能是因为法院承认大多数人在这些情况下都会感到情绪困扰。本质上，在隐私侵权案件中，似乎存在一种未说明的情绪困扰的客观测试。

事实上，法律的许多其他领域涉及证明主观精神状态。例如，绝大多数刑法都涉及主观精神状态，且必须以最高的证明标准——排除合理怀疑加以证明。尽管存在困难，但法律常常涉及到对一个人内心真实想法的探究。

数据泄露可能会让受害者感到焦虑。对人们来说，最常见的预防措施是信用监测，但这并不能使数据泄露的受害者免遭未来的损害。信用监控只是在盗窃发生后告知人们信用报告中的异常情况，它不能防止数据的滥用。虽然信用监控会检测出个人信用报告中出现的欺诈行为，但并非所有欺诈行为都会记录在受害者的信用报告中。对不涉及信用的泄露个人数据的欺诈性使用通常不会在信用报告中报告。例如，信用报告不会通知受害者，相关的欺诈者正在使用其泄露的登录数据访问其计算机上的私人文件或使用其计算机发送垃圾邮件。

作者认为，如果数据泄露不会使得受害者感到焦虑，那么为什么媒体要经常报道数据泄露案件、相关组织为什么要担忧数据泄露呢？

2、将焦虑视为损害的法律基础。法律中有充分的依据将焦虑视为一种可认知的损害。曾经有一段时间，纯粹的情绪困扰因为太难衡量而被忽视了，这种观点在20世纪中期逐渐消失。取而代之的是，人们越来越多地接受情绪困扰是一种可认知的损害。

在20世纪初，隐私法的根基支持将情绪困扰视为可赔偿的损害。在《隐私权》（The Right to Privacy）中，塞缪尔·沃伦（Samuel Warren）和路易斯·布兰代斯（Louis Brandeis）花了大量精力讨论从有形损害到无形损害的演变。他们主张，在很早的时候，法律只对身体对生命和财产的干扰提供了补救。随后，法律扩大到承认无形损害。很长一段时间后，人们开始有资格保护个人免受噪音和气味、灰尘和烟雾以及过度振动的影响，妨害法应运而生。诽谤法保护名誉，无需证明经济或身体上的痛苦。损害涉及一个人的名誉，而不是有形的损失。

在围绕损害性质追踪法律发展的过程中，沃伦和布兰代斯为隐私侵犯补救措施的法律承认铺平了道路。隐私侵犯主要涉及“感情损害”（injury to the feelings）。沃伦和布兰代斯认为，因隐私侵犯而受损的利益受法律保护，体现个体保护人格不受侵犯的能力。隐私侵犯通过干扰个体决定其个人信息将在多大程度上被披露、共享和披露给他人而造成损害。沃伦和布兰代斯指出，侵犯隐私会干扰一个人“对自己的评估”，造成“精神上的痛苦，远远超过单纯的身体损害。

在沃伦和布兰代斯的文章发表后的一个世纪里，法律逐渐承认隐私侵权，并承认，情绪困扰与身体损害一样严重。根据美国侵权行为法整编，原告可以获得纯粹精神损害赔偿。

法院还认定违反保密侵权行为造成精神损害。法律承认，在保密关系中披露信息涉及“破坏信任、背叛和破坏保密预期的损害”。假设一名医生不正当地违反了患者的保密规定，将患者的医疗数据透露给另一个人。尽管患者健康状况良好，数据不会导致声誉受损。在这种情况下，法院承认该行为造成了损害，其损害包括损害社会对职业关系的信任。

在涉及隐私侵权和违反保密性侵权的案件中，法院认定损害是基于纯粹的情绪困扰或心理损害。恐惧、焦虑、尴尬和失去信任都被认为是损害。羞辱、紧张、担忧和失眠被理解为可补偿的损害。

不同案件背景间的不一致性是非常明显的，与涉及数据泄露的案件相比，涉及隐私侵权和违反保密侵权的案件在认定情感损害方面上的司法认定争议更少。

普通法也承认故意造成情绪困扰以及过失造成情绪困扰的主张。对过失造成情绪困扰的索赔最初仅限于涉及身体损害的案件，但随着时间的推移，这一规定逐渐放宽。在过去的50年里，法院不再强调“身体损害的直接性”，而是强调“原告所遭受的精神痛苦的现实性”。法院已经承认，如果情绪困扰发生在施加独立的、先前存在的注意义务的关系中，则因过失造成的情绪困扰索赔成立。 

身份盗窃风险的增加所带来的损害类似于患慢性病的风险。在一系列案件中，法院在担心感染疾病的案件中允许精神损害赔偿。法院认为，原告可以因害怕感染艾滋病而康复，即使他们尚未感染艾滋病。例如，在约翰逊诉西弗吉尼亚大学医院有限公司案（Johnson v. West Virginia University Hospitals, Inc.）中，法院裁定，一名警察在被艾滋病患者咬伤后，因害怕感染艾滋病而引起情绪困扰，可以提起诉讼。尽管大多数法院要求原告证明其实际接触过艾滋病毒，但部分法院不做要求。法院还允许基于对患癌症的恐惧而进行精神痛苦赔偿。

/03/

一种评估风险和焦虑的方法

许多法院基于对风险和焦虑难以评估和量化的担忧，拒绝将风险和焦虑视为可认知的损害。法院担心，法院没有具体办法评估原告因风险和焦虑的增加而提出的补偿要求。法院担心，因风险和焦虑提起的主张因其投机性、主观性而容易受到律师的操纵，这些律师有夸大数据泄露造成的损害而争取更多的赔偿金的动力。

本部分，作者主张风险和焦虑可以通过一个充分、具体的方式进行评估。虽然风险难以精确测量，但存在可以测量和量化的因素。法院应通过确定理性人采取预防措施产生的合理费用来评估损害，并采用客观标准，评估理性人是否会对数据泄露造成的未来损害的完全风险感到焦虑。

（一）评估损害

1、未来受伤的可能性及程度

法院应审查个人数据的使用或披露将如何影响一个理性人的财务安全、声誉或情绪状态。

从风险的角度来看，未来受伤的可能性和程度是浮动的。严重风险可能存在于低可能性的高强度损害或高可能性的低强度损害中。对于重大潜在损害，即使是可能性很小也是值得关注的。

在许多情况下，评估未来损伤的可能性和程度难度高，这是因为这些数据的潜在用途是巨大的。尽管如此，法院可以评估不同类型的数据在类似数据泄露后被滥用的情况，研究数据泄露中不同类型数据是如何被利用的。法院应审查违规数据可与其他可用数据聚合的程度，以及使用聚合数据造成的损害。

2、数据敏感度和数据暴露

某些类型的数据很容易被归类为敏感数据，因为它们的公布会造成欺诈和身份盗窃的巨大风险。但这并不是说涉及看似毫无用处的个人数据的数据泄露所造成的损害微不足道。个人数据可以很容易地与其他数据结合起来，以揭示敏感信息，从而对个人造成损害。例如，如果人们母亲的婚前姓氏信息被泄露，这似乎无关紧要，但这些数据通常用于密码恢复，可能会危及个人帐户的安全。关于人们最喜欢的书籍、出生地和其他事实的数据也是如此，尽管这些数据单独来看可能并不敏感。

被泄露的数据很容易与数据结合起来，对个人造成损害。尽管不可能提前找出所有可能的排列组合。但有一点是明确的：随着越来越多的个人数据被泄露，进行数据组合以损害个人的可能性将越来越大。

鉴于这些事实，法院应谨慎行事，避免匆忙得出结论，即泄露的数据不会仅仅因为看起来无害而造成损害。

3、缓解措施

另一个考虑因素是：潜在的损害是否有可能通过其他行动得到缓解。如果合理的费用可能会得到补偿，那么在评估损害的可能性时，应该将这一点考虑进去。

4、预防措施的合理性

法院应该关注风险的程度。如果存在重大不确定性，法院应评估试图管理不确定性的行为的合理性。合理性的一个组成部分是根据预防措施的潜在效益评估预防措施的成本。为小规模损害采取代价高昂的措施是不合理的。然而，对小概率的重大损害采取低成本措施是合理的。

（二）评估焦虑

正如法律在其他情况下所承认的那样，精神痛苦应被视为构成损害的充分依据。但并不是每一个情绪困扰的例子都应该被认知。法院应评估原告在特定情况下的情绪困扰是否合理。这将有助于排除不客观、不真实的说法。合理性调查已经在法律的其他部门得以应用，在数据泄露案件中也可以这样做。正如在过失法（negligence law）中，法院对精神压力是否严重和真实进行评估。

（三）案例

数据泄露的性质为法院理解和评估风险的性质以及伴随的焦虑提供了重要的见解。考虑下面的场景：

1、对原告诈骗未遂。正如第一部分所讨论的，法院发现，如果黑客获取原告的个人数据并将其用于欺诈目的，法院几乎一致认为损害存在。涉及欺诈未遂的情况也应以类似的方式看待。在此类案件中，未来受到损害的风险非常高，法院应将该风险视为可认定的损害。

假设欺诈者获得原告的个人数据，并将这些数据在线出售给其他罪犯。虽然还没有人试图使用这些信息，但存在着发生这种情况的巨大风险。在这种情况下，法院应该对损害进行认定。唯一可以降低损害风险的情况是：如果数据本身或与其他数据结合使用，几乎不存在潜在的犯罪使用风险。

2、针对他人的实际或企图欺诈。假设一个黑客获得了包括原告在内的数百个人的个人数据。欺诈者欺诈或试图欺诈其中一些人，但不是原告。黑客损害或试图诈骗与原告处境类似的个人的行为，应足以被认定为未来遭受损害的重大风险。

3、欺诈者获取个人数据但使用情况不明。在许多情况下，欺诈者获取原告的个人数据，原告对其滥用行为一无所知。在这种情况下，黑客犯罪的确切动机可能不得而知。然而，黑客很可能希望将这些数据用于犯罪目的。法院不应要求提供黑客有犯罪动机的证据。实际上，黑客的身份是未知的，因此此类证据难以获得。但黑客的犯罪动机可以推定。正如第七巡回法庭在Remijas案中所问的那样：如果不是出于犯罪目的，黑客为什么还要窃取个人数据？如果一个窃贼闯入一所房子并拿走了珠宝盒，那么可以合理地假设窃贼对珠宝感兴趣。

再次，很像对个人数据的欺诈性使用的分析，法院应该考虑个人数据被盗的类型以及单独或与其他数据相结合的数据是否可能用于欺诈。法院还应考虑原告是否有渠道防止或减少数据被欺诈性使用。

4、带有个人数据的电子设备被盗。假设一个小偷偷了一个包含原告个人数据的便携式电子设备。但个人对数据的使用一无所知，因此，数据被滥用的风险尚不清楚。为了评估存储在设备内部或硬件中的数据是否因电子设备的丢失而被盗，法院可以询问此类设备是否具有独立于数据的重要市场价值、窃贼是否知道设备上数据的性质、设备上数据的性质及其敏感性等。如果数据本身或与其他数据的组合不容易用于欺诈，那么这将极大地减少损害。如果数据是加密的，并且加密密钥没有泄露，解密数据的成本会很高，数据被用于犯罪目的的风险、损害发生的可能性从而降低。

5、带有个人数据的电子设备被丢失。在涉及存储个人数据的丢失设备的案件中，证据通常不支持发现未来受伤的风险。在涉及个人数据的情况下尤其如此，因为单独使用或与其他数据结合使用并不会被视为敏感数据。然而，如果设备上的数据高度敏感，那么，仅仅将这些数据暴露给他人可能会造成足够的情绪困扰损害。如果基于所涉及的数据感到这种焦虑是合理的，那么焦虑就足以造成损害。当然，如果数据是加密的，并且加密密钥没有泄露，那么就不会有任何损害。

6、个人数据在网上曝光。假设原告的个人数据在一段时间内无意中暴露在互联网上。目前尚不清楚是否有人看到或使用了这些数据。本案类似于丢失带有个人数据的电子设备的情况。通常不会有足够的证据证明未来受伤的风险足够大，但如果数据敏感或令人尴尬，则焦虑的产生可能是合理的。

7、个人数据暴露在垃圾桶里。假设有原告个人数据的纸质记录被扔进垃圾箱。这些记录都已恢复，但尚不清楚是否有人在垃圾箱中获得了这些数据。

与上述例子相比，本案例中未来欺诈和焦虑的风险更低。与网上发布的个人数据不同，纸质记录比电子数据更难使用；犯罪分子访问纸质记录、复制数据并将记录留在垃圾箱的几率很低。如果个人数据不敏感，那么风险就很小。

如果个人数据高度敏感怎么办？如果数据包括医疗记录呢？鉴于此类数据事实上被发现的可能性很低，对其滥用的担忧应该被视为不合理。因此，法院不应将风险和伴随的焦虑视为可认知的损害。

8、机构员工的不当访问。假设一名员工不正当地访问与原告个人数据有关的记录，且原告对数据的使用一无所知。分析将取决于数据的性质以及员工可能的动机。医院员工窥探名人的病历的清康熙啊，因为担心私人健康数据的暴露而引起的焦虑是合理的。

/04/

拒绝否认

认识到数据泄露损害对我们的法律体系具有重大的后续影响。司法部门不愿承认损害可能源于避免创造更多诉讼机会的愿望，尤其是集体诉讼。

法律有各种工具为损害提供补救。在数据泄露案件中，一些最常见的措施包括数据泄露通知法、监管执法和诉讼。数据泄露通知法要求向人们提供有关数据泄露的通知，但它们对纠正损害几乎没有作用。此外，通知的成本与违约可能造成的损害程度不成比例。

监管执法可能是有效的，联邦贸易委员会（FTC）、联邦通信委员会（FCC）、卫生与公共服务部（HHS）和州检察长等机构已经对数据泄露的组织采取了执法行动。但监管执法的范围有限，因为监管机构只能追查少数案件。例如，自2002年以来，联邦贸易委员会只提出了大约60起涉及数据安全的案件。此外，个人通常对机构是否采取执法行动几乎没有发言权，参与度低，并且不是所有的州检察长都严格执行这项规定。

私人诉讼具有其他工具所缺乏的功能。此类诉讼允许个人对提起的案件有发言权。这些诉讼为受害者提供补偿，并起到威慑作用。但作为处理数据泄露的法律工具，诉讼存在许多缺陷。

数据泄露特有的一个问题为“乘数问题”。即组织保存了如此多个人数据，以至于即使仅有微小的损害存在，涉及的受害者数量却不少。如今，即使是一家小公司也可以拥有数千万人的数据。法官们不愿意承认损害的原因可能在于，只是为了给每个受害者些许赔偿，就会导致公司破产。

数据泄露带来的挑战是，尽管平均每个人所受的损害很小，但累积起来的影响力却很大。此外，对许多人的少量损害加起来可能比对少数人的大量损害更大。

法院可能还担心，针对数据泄露的集体诉讼通常不会为个人提供多少补救措施。这些诉讼的诉讼费用高昂且耗时，以至于集体诉讼中通常为了避免法律程序的繁琐而选择和解，即使胜诉的可能性极大。

尽管这些担忧是合理的，但法院在评估是否存在法律上可认定的损害时不应关注这些担忧。法院应该分析法律是否应该独立于这种承认的后续后果来承认损害。不应仅仅因为发现损害会涉及到有关补救形式和数量的挑战性问题，就否认损害。

诚然，诉讼是一种有缺陷的法律工具，但处理数据泄露的其他法律工具也有局限性。不承认数据泄露损害是一种回避行为，通常会导致两方面的反应不佳。首先，涉及数据泄露损害的问题没有得到解决。第二个问题是，涉及我们的法律体系运作方式的具体问题被忽视。否认问题阻碍了法律的发展，也是法律难以快速有效应对当代问题的原因之一。

纵观数据泄露损害的法律体系，可以说，法院不愿意承认数据泄露损害。我们的法律体系需要面对数据泄露的损害，否则所造成的成本将由个人和社会承担。 

在本文中，作者试图为理解数据泄露损害奠定概念基础，并展示可用于帮助法律应对数据泄露损害的法律基础。不认识到数据泄露的损害可能会导致对数据安全违规行为的威慑力不足，以及在预防方面的投资不足。处理数据泄露损害是至关重要的。

编辑：苏博晖

翻译：苏博晖

审核：黄昊