论数据处理者的数据安全保护义务

数据处理者的数字基础设施法律地位、履行财产权社会义务的要求以及数据的公共安全属性决定了数据处理者应承担数据安全保护义务。数据安全保护义务制度构建围绕数据分级保护、数据全生命周期保护、数据处理环境保护三方面展开。数据分级是数据全生命周期保护和数据处理环境风险防控的基础;数据全生命周期保护包括内部环节和外部环节的保护措施;数据处理环境保护包括数据风险监测和评估义务、数据处理人员教育培训义务、设置数据安全负责人和管理机构义务、数据泄露通知义务。数据安全保护义务法律责任的重心是行政处罚而非民事赔偿,应注重发挥行政处罚的惩戒和教育功能,限缩私法赔偿中的结果责任。合理配置数据处理者的行政处罚责任,有助于促进数据处理者发挥数据要素资源流转配置作用,防止市场垄断加剧。