航运数字化转型带来便利的同时，也在数据安全保护方面对航运企业提出了更高的要求。近年来，全球范围内已有多家航运企业遭遇恶意软件或黑客的攻击，相关数据泄露，给企业和用户造成极大的损失。虽然，目前已有多部国内法律对数据安全保护予以规范，但关于企业数据泄露之后用户的损害赔偿问题亟待研究。从航运企业应承担的数据安全保护义务出发，分析航运企业因第三人原因导致用户数据泄露的损害赔偿问题，以期解决相关问题。

　　当前，全球航运的数字化转型正在逐渐改变传统航运业的运行方式和发展模式，特别是提单的数字化消除了传统纸质提单在签发、流转过程中的伪造和篡改风险，也进一步降低了航运欺诈的可能性。然而，在航运业迈向数字化、智能化的过程中，数据也会具有越来越高的价值，数据安全问题不可避免地成为航运企业最为关注的焦点。近年来，全球范围内已有多家航运企业遭遇恶意软件或黑客的攻击，相关数据被泄露，造成极大的损失和信息安全隐患。虽然，关于航运业数据安全保护方面已有网络安全法、数据安全法、个人信息保护法等国内法律予以规范，但对于企业数据泄露之后对用户的损害赔偿问题仍亟待研究。因企业数据泄露包括因第三人原因导致用户数据泄露和企业自身原因导致的用户数据泄露，本文将聚焦航运企业因第三人原因导致用户数据泄露的损害赔偿，并且仅针对企业的数据财产权益，不涉及数据中的个人信息。

　　一、航运业数据安全的现状和风险

　　(一)船舶数据

　　船舶在设计、建造、检验、营运过程中会产生大量庞杂的数据，数据被不法泄露和使用将会造成巨大的安全隐患。例如，船舶遭受网络攻击，可造成碰撞、搁浅、环境污染等严重事故，应对不当可导致船舶灭失、人员伤亡的后果，不法分子也可能利用船舶数据泄露控制船舶，构成安全事件。

　　(二)港口数据

　　港口是整个航运产业链条上一个非常重要的节点，一旦港口遭受网络攻击可能导致港口运输系统的瘫痪，无法准确地跟踪和管理货物的流动，同时影响船舶进出港，导致货物无法按时装卸和交付。同时，港口还存储大量重要的数据，例如船舶运行数据、货物数据、客户数据等，如果这些数据被窃取、篡改或销毁，可能会导致重大的经济损失，产生法律问题和信任问题。

　　(三)运输数据

　　1.收货人数据和货物数据

　　收货人数据和货物数据的泄露可能会导致不法分子利用该些数据，通过社交网络等方式骗取其他相关信息，例如物流信息，同时利用这些数据在目标市场上售卖相似乃至仿冒的产品，从而对货主造成经济及名誉损失。

　　2.承运人数据和货物数据

　　承运人数据和货物数据的泄露可能会导致不法分子冒充承运人在航运市场上提供虚假的运输服务，骗取经济利益。

　　(四)航运企业内部数据

　　1.账户数据和交易数据

　　账户数据和交易数据的泄露可能会导致不法分子利用这些数据进行网络钓鱼和欺诈，或制造虚假交易转移资金。2.员工数据和公司数据

　　员工数据和公司数据的泄露可能会导致黑客利用这些数据攻击公司的信息系统，从而进一步获取客户数据、公司财务数据、交易数据等，还可能利用员工数据进行社交软件攻击，骗取其他员工进一步泄露敏感信息。

　　3.客户数据和交易数据

　　客户数据和交易数据的泄露可能会导致黑客通过这些数据进行诈骗，利用伪造的电子邮件或短信欺骗客户输入敏感信息。

　　二、航运企业的数据安全保护义务

　　(一)数据安全保护义务的法律规范

　　1.国内立法

　　我国关于数据安全保护义务的法律规范主要有网络安全法和数据安全法。网络安全法是以保障网络安全为目的的法律，该法将网络安全分为网络运行安全和网络信息安全，对于数据安全的保护规定仅是零散见于部分法条之中，并未作出系统的规范。现行法律中关于企业的数据安全保护义务主要体现在数据安全法中，该部法律是以保护数据安全为目的的立法，确立了诸多数据安全制度，如数据分类分级保护制度，数据安全风险评估、报告、信息共享、监测预警机制，数据安全应急处置机制，数据安全审查制度，数据出口管制制度，以及数据处理者的数据安全保护义务。但是，数据安全法设置数据安全保护义务的主要目的是在公共利益层面保护数据安全，因此，企业违反数据安全保护义务的法律责任以行政罚款为主，仅在第52条中规定了“违反本法规定，给他人造成损害的，依法承担民事责任”这一指引性的内容，并没有直接规定违反数据保护义务的企业对用户承担的民事法律责任。因此，用户向企业主张违反数据保护义务的损害赔偿仍应从其他法律中寻找依据。

　　2.国际海事领域关于网络安全的指导性文件

　　针对海事领域的网络风险防范，国际组织以及行业组织、机构相继制定并发布了一系列的网络安全指导和建议。例如，国际海事组织海上安全委员会发布的《海事网络风险管理指南》以及《安全管理系统之海上网络风险管理决议》，鼓励各国政府在安全管理系统中应反映网络风险管理相关内容，并建议相关公司考虑建立船舶网络风险管理程序文件，并纳入ISM体系;中国船级社发布的《船舶网络系统要求及安全评估指南》(2020年)以及《海事网络风险评估与管理体系指南》(2019年)，为船公司和船东提升船舶网络系统建设水平、建立网络安全管理体系提供指导;波罗的海航运公会、国际航运公会、国际干散货船东协会、国际独立邮轮船东协会等共同发布的《船用网络安全导则》，旨在向行业提供清晰全面的网络安全风险信息，以帮助相关方采取恰当措施应对网络威胁。

　　(二)航运企业数据安全保护义务的内容

　　我国数据安全法系统性地规定了企业数据安全保护义务的内容。具体而言，航运企业在数据安全保护方面应注意以下几点：

　　1.建立健全数据安全管理制度

　　法律要求企业要建立全流程数据安全管理制度、组织开展数据安全教育培训，对重要数据应明确数据安全负责人和管理机构，并且数据安全管理机构和负责人是设置于企业内部的机构，独立于企业的其他业务部门。

　　2.评估加强风险监测和处理

　　主要包括两个方面的义务：一是及时向用户和主管部门报告安全缺陷和漏洞等风险，二是立即采取措施修补缺陷和漏洞等。

　　3.重要数据的风险评估

　　法律要求重要数据的处理者应定期对其数据处理活动开展风险评估，其中，重要数据是指与国家安全、经济发展，以及社会公共利益密切相关的数据。但是法律并没有对重要数据作出明确的说明，国家互联网信息办公室公布的《网络数据安全管理条例(征求意见稿)》中将重要数据分为七种类型，航运企业应关注其数据中是否含有重要数据。

　　4.重要数据出境审核和评估

　　航运企业参与全球贸易，其经营范围决定了数据具有跨境流动的特性。关于数据出境，数据安全法的规定对于关键信息基础设施运营者和其他数据处理者的重要数据出境作了规范性指引。目前，对于关键信息基础设施运营者数据出境适用网络安全法，对于其他数据处理者的重要数据出境适用国家网信办发布的《数据出境安全评估办法》。航运企业在数据跨境传输之前，需对相关法律法规进行审查，以确保符合国家法律规定。三、航运企业数据泄露对用户数据的损害赔偿如前所述，航运数字化转型数积累了丰富的数据，尤其是航运企业数字化转型，通过开发利用原有的服务产品，将部分传统业务搬到线上来运作，提供线上运输航线的查询、订舱、付费、单证签发和货物跟踪等服务，积累了大量船舶、贸易、运输、港口等相关数据，这些数据的泄露会使航运企业和用户承受巨大损失。因此，在因第三人原因致使航运企业用户数据泄露，用户是否能够从航运企业处得到损害赔偿?本文认为，从民法上看，数据权益本身就是一种民事权益类型，我国民法典第127条对数据权益保护作了特别规定，因此，对于民事权益的救济途径可以适用于对数据权益的保护。

　　(一)侵权法途径

　　数据安全法对于数据控制者违反数据安全保护义务侵害非个人数据的责任认定，仅规定了“依法承担民事责任”，并没有具体责任的认定标准。因此，应适用民法典关于侵权赔偿责任基本归责原则的规定，即过错责任，而传统一般侵权责任的构成要件包括违法行为、损害事实、因果关系和过错四个方面。

　　1.违法行为

　　违法行为是指公民或者法人违反法定义务、违反法律所禁止而实施的作为或不作为。数据安全法规定了企业的数据安全保护义务，即数据控制者应当妥善的存储其所收集的用户数据，并采取合理的安全保护措施，防止未经授权的泄露、修改、使用，具体而言包括：数据安全管理义务，数据安全风险监测与事后补救、通知义务，数据安全风险评估义务，数据可追溯性保证义务。同时，民法典中规定了网络服务提供者知道或者应当知道网络用户通过其网络服务实施侵权行为时，未采取必要措施的，应承担连带责任。因此，在航运企业违反法律所要求的数据安全保护义务，或是其知道或应当知道第三人通过其网络实施数据窃取等违法行为，但未采取必要措施，即构成了不作为的侵权行为。

　　2.损害事实

　　传统的侵权法理论认为，侵权法的首要功能即在于填补损害，若无损害，自无填补之必要，损害是构成侵权损害赔偿责任的必要构成要件。损害事实包括人身权益的损害和财产权益的损害，企业数据权益是一种财产性权益，但数据权益损害事实的表现形式与一般财产权益损失有很大不同，数据具有无形性和可复制性的特点，企业数据泄漏并未造成数据的损耗，很大可能并没有造成企业直接的财产损失。但是，如前所述，航运企业数据的泄漏会危及企业和用户的数据安全，可能进一步给企业和用户造成不利后果，即使并未造成直接财产损失，但客观上仍存在数据泄漏后被非法使用的风险增加，也应视为存在损害事实。

　　3.因果关系

　　因果关系是指违法行为与损害事实存在客观的引起与被引起的关系，即行为对损害而言即是事实上的原因又是法律上的原因，那么可以认定行为与损害之间具有因果关系。在企业违反数据安全保护义务，数据被第三人窃取，给用户造成损害的情形下，因企业的违法行为与用户的损害后果之间存在第三人的介入因素，因果关系的判断较为困难。可以采用相当因果关系原则，即企业违反数据安全保护义务时，能够预见到数据可能被第三人窃取从而给用户造成损害，且实际上确实发生数据被第三人窃取致使用户遭受损害，可以认定企业违反数据安全保护义务的行为与用户数据权益被侵害存在相当因果关系，并应根据过错程度和原因力的大小来分辨航运企业对用户所应承担的侵权损害赔偿责任。

　　4.过错

　　司法实践中，判断企业对违反数据安全保护义务是否存在过错，一般采用“知道或应当知道”的标准，即根据当前一般企业的技术水平能够监测到异常数据流、确定属实的关于导致数据泄露漏洞的新闻报道及公告、监管部门文件及企业内部日志文件与风险评估报告显示企业数据泄漏的漏洞或风险已存在，但企业未能采取必要措施防止数据泄漏的发生。对企业是否已采取必要措施的认定上，最为直接的参考就是企业在日常管理中是否依照相应的国家标准和行业标准对网络、数据安全进行风险评估与排查，或有证据证明其已采取有效措施。

　　(二)合同法途径

　　1.当事人约定数据安全保护义务

　　除法律、法规对企业的数据安全保护义务作了规定外，在实践中基于各种考虑，当事人之间往往通过合同对数据安全保护义务作出约定。特别是在海上货物运输过程中，运输环节和参与方较多，在数字化形势下，货主需要提供相关数据提供给航运企业，同时航运企业也需将数据转移给代理、港口等其他方，为确保数据的安全，当事人可以对数据安全保护义务作出约定。以中远海运集装箱运输有限公司的电子商务平台为例，平台注册条款中有关数据安全保护的主要内容包括：(1)保障措施条款，即中远海运集运在提供服务时可向其代理人、集团公司、分包商等提供用户信息，并尽最大努力监督各方安全管理以保障信息安全;(2)保密条款，即要求用户应保持其密码及相关信息保密，不透露给除管理人员、雇佣人员、官方机构以外的第三方，中远海运集运未经用户同意不得向集团公司及其附属公司以外的任何人披露个人数据;(3)安全程序条款，即中远海运集运承诺已实施了适当的组织和技术安全措施，以保护用户个人数据，并对安全措施持续进行评估;(4)赔偿条款，即中远海运集运不承担因任何第三方泄露用户密码或使用用户密码获取的任何货运信息而产生的任何责任，但因中远海运集运重大过失导致的除外。因此，航运企业除应依照法律、法规的规定外，还应按照合同约定履行数据安全保护义务，如有违反用户可依据合同约定要求企业承担违约损害赔偿责任。

　　2.黑客攻击行为是否能够认定为不可抗力

　　黑客攻击是航运企业网络数据安全中面临的最严重的威胁，一旦因黑客攻击而致使用户数据泄漏，不仅会导致自身财产损失，还可能面临用户的损害赔偿。为避免将来可能产生的损害赔偿，根据合同自由原则，当事人可以在合同订立时约定免责条款，如将黑客攻击行为作为免责事由，一旦出现该情况，当事人便可免责。若当事人未明确约定黑客攻击行为为免责事由，航运企业想主张黑客攻击行为系不可抗力，需满足法律规定的成立条件。不可抗力，是指“不能预见、不能避免、不能克服”的客观情况，对不可抗力的理解，应是根据现有的技术水平，一般对某事件发生没有预知能力，并且当事人已尽到最大努力、尽到了合理的注意义务、采取了一切可以采取的措施，仍不能避免某种事件的发生，不能克服事件所造成的后果。因此，对于黑客攻击行为是否属于不可抗力，需根据具体情况进行分析，如航运企业已经满足了相应的国家、行业的技术安全标准，或者其他相应标准的认证，并且已经尽到了充分的安全保障义务，那么此时航运企业系统被黑客攻击造成用户数据泄漏可以认为符合不可抗力的要件。但是，若航运企业并未并没有满足相关的技术安全要求或未通过相应标准的认证，或是未尽到充分的安全保障义务，黑客的攻击行为是可以避免和克服的，那么则不属于不可抗力。虽然，不可抗力发生后，将导致当事人被免除责任。但并不意味着，不可抗力发生后，当事人便可自然被免除全部责任。即使黑客的攻击行为被认定为不可抗力，但航运企业在因黑客攻击而致使用户数据泄漏时，若没有及时采取补救措施，造成用户损失扩大，航运企业仍应对扩大的损失承担赔偿责任。

　　(三)用户数据泄露的民刑交叉问题

　　因第三人原因导致航运企业用户数据泄露的情形可能同时涉及第三人涉嫌诈骗犯罪。例如，诈骗分子利用黑客手段窃取航运企业的用户数据和交易信息，并利用该些数据向用户实施诈骗行为，骗取用户的正常商业汇款，此时若用户向航运企业提起民事诉讼主张损害赔偿，将会产生民刑交叉的问题。最高人民法院在2019年发布的《全国法院民商事审判工作会议纪要》中认为，同一当事人因不同事实分别发生民商事纠纷和涉嫌刑事犯罪，民商事案件与刑事案件应当分别审理。因此，判断刑事程序是否吸收民事程序的首要因素是判断这两类案件是否属于“同一事实”，在“同一事实”的情况下，法院需将民事案件移送公安机关或检察机关，即“先刑后民”。目前，审判实践中的观点认为，“同一事实”是指民事案件与刑事案件主体相同且民事案件的基本事实与刑事案件的基本事实存在竞合或基本竞合的情况。因此，在因第三人原因导致航运企业用户数据泄露且第三人涉嫌诈骗犯罪的情况下，若用户向航运企业提起民事诉讼，此时，刑事案件的当事人与民事案件的当事人并不同一，且民事案件中用户向航运企业主张侵权或违约的损害赔偿的基本案件事实也与刑事案件中第三人涉嫌诈骗的定罪事实并不相同，此种情况下也就不存在刑事程序吸收民事程序的问题。但是，即使在非“同一事实”情况下，若刑事案件事实与民事案件事实存在牵连关系，也要面临刑民程序先后的问题，即民事案件可能需以刑事案件的审理结果为定案依据，主要包括以下几种情形：一是民事案件的“基本事实”无法查清，刑事案件的处理结果更有利于查明事实真相;二是民事案件当事人以刑事犯罪相关事实作为支持其主要诉讼请求依据的;三是直接关系到对民事合同效力、是否承担民事责任、民事责任大小的关键民证据，依赖刑事案件处理结果的。然而，在因第三人原因导致航运企业用户数据泄露且第三人涉嫌诈骗犯罪的情况下，刑事诉讼并不能解决民事诉讼航运企业的责任问题，无需以刑事案件裁判结果为依据。况且，在此类刑事诈骗案件中，诈骗分子与诈骗收款银行账户多位于境外，有时处于多个不同国家，这些客观因素导致刑事程序受阻而无法侦查终结，从有利于保护当事人合法权益为出发点，也应实行民事案件与刑事案件分别审理，先解决民事诉讼程序中可以查清的部分。然而，在“刑民并行”的情况下，可能会存在用户(即受害企业)的重复受偿问题。当用户(受害企业)请求涉嫌刑事犯罪的行为人(第三人)之外的其他主体(航运企业)承担民事责任之时，若在刑事案件中已通过退赃退赔获赔，在民事案件中应将已获赔的部分从损失中予以扣除;若在刑事案件中尚未追回，或尚未执行到位，航运企业仍应按照民事程序中所确认的责任先行向用户进行赔偿，待刑事程序实际执行之时再作调整，以避免用户受偿范围出现重合。

　　四、用户因数据泄露而遭受的侵权损害金额的认定

　　赔偿损失是最广泛适用的侵权责任承担方式，它是指以金钱的方式弥补受害方所遭受的财产或利益损失的一种责任形式。因此，在确定损失赔偿数额时，首先应按照实际损失的金额来认定。在侵权损失赔偿中，对于财产损失都计算方式是按照损失发生时的市场价格或者其他合理方式计算。但是，在实践中，因数据泄露而破坏数据完整性造成直接损害的情形出现的可能性较小，大部分损害表现为对数据非法处理而导致的间接损害。例如，用户货物数据或交易数据的泄露，可能致使第三人利用该数据进行网络欺诈，骗取经济利益。因此，数据权益的用益丧失本身并非可赔偿的损失，其必须转化为所失利益才能获得赔偿。因而，根据市场价格标准或实验室价格推测数据的价值并没有实际适用的余地，因数据泄露所造成的用户损失可以综合考虑数据泄露的时间和规模、过错程度、为减少损失所支付的合理开支等因素确定损失数额。在用户数据权益遭受损害的情况下，往往具体损失的金额很难认定，这主要是由于以下几点原因：一是数据权益本身的特性，如前所述数据具有无形性和可复制性的特点，数据权益遭受损害时往往很难对具体损失金额进行计算;二是缺乏对数据权益损失金额公认的计算方法或认定规则;三是当事人难以对数据权益遭受的损失进行充分举证，因为缺乏对损失认定的统一规则，当事人往往很难对其遭受的损失做到有针对性和充分的举证。那么，在此种情况下法院是否能够酌定赔偿数额?根据现有的法律规定，法院并没有酌定的依据，如果法院根据各种方式均不能确定赔偿数额，进而酌定赔偿金额容易造成法官自由裁量权被滥用，且同类案件的赔偿尺度也很难具有同一性。民法典规定了11种民事责任的承担方式，这些方式既可以单独适用，也可以合并适用，形成了对受害人的全面保护。因此，对于航运企业侵犯用户数据权益而言，除赔偿损失外，停止侵害、消除危险、消除影响、恢复名誉也是侵权责任承担的有效方式。此外，在损害数额不明确的情形下，域外有的法律直接设定法定赔偿额，例如《加州消费者隐私法案》规定，企业因违规而导致泄露、盗窃或披露的，可以主张100美元到750美元的损害赔偿金或实际损害赔偿金。对于我国法定赔偿制度是否能适用于企业数据侵权还需待后续立法的明确。

　　结语

　　航运业已经进入到一个飞速发展的数字化时代，人们对于航运企业数字权益保护和责任承担的关注也会日益增多。虽然，数据权益是一个新兴的权益类型，法律上也缺乏对于企业侵犯数据权益责任承担的具体规定，但是民法典已经对数据和网络虚拟财产的保护作出了规定，民法典侵权责任编与合同编中的许多规则也可以适用于在数据泄露中企业对用户数据权益的损害赔偿。因此，航运企业应持续提升自身数据安全管理能力，以避免承担不作为的法律责任。