笔者认为，数据泄露通知制度应该成为数据治理，特别是个人信息保护的核心制度。数字经济时代数据价值释放的基础是统计数据或者大数据。基于前文个人信息保护目标的阐述，用户应该能够享受积极福利，而同时避免消极后果。数据泄露事件对用户的消极后果最为明显。黑客入侵、员工泄密、系统安全漏洞、设备失窃都有可能造成数据泄露。^[29]错误配置的云存储、未受保护的代码存储库、脆弱的开源软件等也可能造成数据泄露。^[30]这些原因既包含了客观因素——系统漏洞或脆弱性等，也包括了主观因素——内部人员的失误或者黑客的入侵等。这些因素不可能完全消除或者杜绝。数据泄露并不能百分百预防。比如，系统漏洞并不可能完全不存在或者得到彻底弥补，而是需要适时更新。但是，漏洞总是先被发现，然后才有补救措施。其中的时间差，有可能会被黑客等利用而窃取数据。内部的违规操作虽然可以通过权限限定、流程管控等予以规制，但是制度总是存在被违反的可能，同样可能由内因导致数据泄露事件。用户让渡数据所期望获得的是数字便利性的对价，让渡行为实际上是基于信任基础。按照前引数据信托的思路，数据泄露会在很大程度上破坏信任基础，也会触发信托责任。数据泄露事件会动摇信任基础，但并非双方所期待的。通过数据泄露通知制度，可以一定程度上消除信任基础的减损，也就是抵消负外部性。数据泄露通知制度的处罚条件是发生数据泄露事件，那么用户本身并不具有积极的控制权，而是消极的控制权。因此，对于发生数据泄露事件而不通知的，应当处以较高的处罚。

根据GDPR的规定，数据控制者不履行数据泄露通知义务，可处最高1 000万欧元或其全球年营业额2%的罚款。美国没有联邦层面的数据泄露通知法规，但是各州都有数据泄露通知法。部分州规定，个人可以向未履行通知义务造成损害的责任主体提起诉讼赔偿，或者直接依据该州的消费者保护相关法律向泄露方提出损害赔偿。根据各州的规定，有些处罚按照损害人群统计（民事处罚从500美金到50 000美金不等），有些按照泄露次数统计（泄露一次2 500美金），有些则按逾期时间计算（每天最高1 000美金）。^[31]法律责任的提升，目的是防止企业刻意逃避通知义务，提高违法门槛，以促进制度的落地执行。同时，在技术手段上也要形成溯源机制，能够在检查中发现瞒报数据泄露的情况。^[32]试想，在完善的数据泄露通知制度之下，理性企业首先要做的是尽可能避免数据泄露的发生，因为一旦发生数据泄露，就不得不履行通知义务，从而对企业声誉造成影响。这就能够形成一种倒逼机制，理性企业就应该根据业务规模匹配相应的技术保障手段和安全保障等级，来最大可能地防止数据泄露的发生。但是，如果没有这种倒逼机制，就需要通过主动性的监督检查来确保企业安全保障义务履行到位，也需要通过法规、标准等形式规定清楚企业应该适配何种技术保障手段和安全保障等级。通过比较研究，可以合理地预见，如果以法规、标准等形式作出规定，企业倾向于满足最低要求即可；而如果通过倒逼机制，企业倾向于最大程度实现安全保障能力。这就是制度设计的妙处所在。(www.daowen.com)

当然，建立数据泄露通知制度，并不排斥监管部门的监督执法活动。实际上，数据泄露通知制度并不增加行政执法成本，反而降低了行政执法成本。数据泄露通知制度的效果在于威慑性，迫使企业在发生数据泄露事件后一定要履行通知义务。这里最需要指出的是，数据泄露通知是一项独立的法律制度，与其他法律制度平行而非互斥。比如，企业对个人数据负有安全保障义务，监管部门可以行使监管职权，对企业的安全保障义务履行情况进行检查或执法。同样，企业履行了数据泄露通知制度，并未消除履行其他要求的义务。企业发生数据泄露事件后，按照要求履行了通知义务，此时泄露通知的法律义务已经得以履行。但是，如果数据泄露是由于企业自身安全保障义务没有履行到位，同样需要承担安全保障义务不到位的法律责任，该责任并不因为数据泄露通知义务的履行而得以免除。数据泄露通知制度和安全保障制度相互独立而非互斥。同时，数据泄露通知还可以成为监管部门发现违法活动的重要线索。根据中兴通讯和数据法盟联合发布的《GDPR执法案例精选白皮书》^[33]梳理的案件情况，很多企业安全保障义务不到位的查处，都是由数据泄露通知所触发的。企业发生数据泄露后，按照GDPR的规定履行了通知义务，监管部门随即对其进行检查。发现安全保障义务未履行的，就对其进行处罚。可见，完善的数据泄露通知制度可以提高监管效率，从普遍性监督到触发性监督，从“大海捞针”到精准式执法。就数据泄露通知制度本身而言，执法成本也能降低。数据管理过程中，取证是执法的难点之一，监管部门证明企业违法的技术成本较高，难度也很大。数据泄露是显性的，通知或者没通知都是非常清楚的。是否发生了数据泄露，通过简单的技术手段或者日志查询都可以实现。这在很大程度上能够降低执法成本，同时也缩小了监管范围。