第七部分：發(fā)生安全事件時數(shù)據(jù)泄露通知的要求

　　數(shù)據(jù)泄露通知則是指當發(fā)生個人數(shù)據(jù)泄露安全事件時候，個人信息的控制者與處理者需要就泄露事件向不同的主體發(fā)出通知和報告的義務(wù)。

　　數(shù)據(jù)泄露無小事，它總是不可避免地發(fā)生在日常業(yè)務(wù)運營的過程中，一旦出現(xiàn)數(shù)據(jù)泄露等不同類型的安全事件時，將會對個人信息主體造成不同程度的危害和影響。造成數(shù)據(jù)泄露的原因紛繁復(fù)雜，例如網(wǎng)絡(luò)運營者自身的系統(tǒng)漏洞、沒有及時更新技術(shù)措施、黑客的故意攻擊、內(nèi)部管理人員的不法操作或故意泄露等等，難以進行完全的消除與遏制。

　　因此，不同地區(qū)和國家的數(shù)據(jù)保護法律通過在立法中確定“數(shù)據(jù)泄露通知制度”以加強對數(shù)據(jù)泄露的管理，通過及時采取有效措施和控制損害范圍的擴大，來有效保障數(shù)據(jù)主體權(quán)益。

　?。ㄒ唬┪覈鴤€人信息保護法解讀：

　　GDPR第33和34條規(guī)定了在發(fā)生個人數(shù)據(jù)泄露的情形時，數(shù)據(jù)控制者通知監(jiān)管機構(gòu)和受影響數(shù)據(jù)主體的要求，強制要求數(shù)據(jù)控制者應(yīng)當在發(fā)現(xiàn)數(shù)據(jù)泄露的72小時內(nèi)將個人數(shù)據(jù)泄露的情況報告監(jiān)管機構(gòu)，除非個人數(shù)據(jù)泄露不太可能會對自然人的權(quán)利和自由造成風險。如果數(shù)據(jù)泄露可能對自然人的權(quán)利和自由產(chǎn)生較高風險，數(shù)據(jù)控制者還應(yīng)當立即將個人數(shù)據(jù)泄露的情況通知數(shù)據(jù)主體。

　　我國個保法在參考和借鑒海外數(shù)據(jù)保護立法的基礎(chǔ)上，亦通過明確的法律規(guī)定，對數(shù)據(jù)泄露通知作出具體的要求：

　　1 明確了需要執(zhí)行數(shù)據(jù)泄露通知義務(wù)的情況

　　個保法要求，個人信息處理者在發(fā)生或者可能發(fā)生（1）個人信息泄露；（2）個人信息被篡改；（3）個人信息丟失的情況下，需要履行數(shù)據(jù)泄露通知的義務(wù)。

　　從目前的規(guī)定來看，觸發(fā)數(shù)據(jù)泄露通知的情形主要在兩大點：

　　01

　　一是，只要是個人信息遭受了泄露等情形的，不管該等個人信息是否是敏感類型的個人信息、還是一般的個人信息，都可能需要啟動到數(shù)據(jù)泄露通知制度；

　　02

　　二是，明確了觸發(fā)通知的具體場景，包括遭遇泄露、被篡改以及丟失的情況。個保法沒有就具體遭遇泄露的個人信息的數(shù)量進行規(guī)定，可以看出，其不以“數(shù)量的多少”來判定是否需要啟動數(shù)據(jù)泄露通知制度，而是以是否確實“發(fā)生了泄露、篡改和丟失”的實質(zhì)情況，以及是否“對數(shù)據(jù)主體造成危害的”定性上作為啟動數(shù)據(jù)泄露通知制度的主要判定基準。

　　2 明確了履行數(shù)據(jù)泄露通知義務(wù)的主體

　　與GDPR類似，在我國個保法的立法語境下，要求“個人信息處理者”承擔數(shù)據(jù)泄露通知的義務(wù)，即，有權(quán)并能自主決定個人數(shù)據(jù)處理的目的、方式的企業(yè)、組織和個人都會成為履行數(shù)據(jù)泄露通知的義務(wù)主體。

　　3 明確了數(shù)據(jù)泄露需要通知的對象

　　參考海外數(shù)據(jù)立法經(jīng)驗，我國個保法也對被通知的對象分為兩類主體：

　　01

　　數(shù)據(jù)監(jiān)管部門：履行個人信息保護職責的部門

　　02

　　數(shù)據(jù)主體本身：個人用戶。

　　但是，我國個保法沒有像部分海外數(shù)據(jù)法律的規(guī)定一樣，以數(shù)據(jù)泄露事件的數(shù)量與規(guī)模作為是否通知數(shù)據(jù)監(jiān)管部門的判斷基礎(chǔ)，而是明確規(guī)定了，只要發(fā)生或可能發(fā)生個人信息泄露、篡改、丟失的情況下，個人信息處理者都應(yīng)當通知履行個人信息保護職責的監(jiān)管部門。鑒于我國目前在個人信息監(jiān)管方面仍處于多頭監(jiān)管的狀態(tài)，在通知數(shù)據(jù)監(jiān)管部門的要求及范圍等方面，仍期待接下來的司法解釋、政策指南給出更多的指導(dǎo)規(guī)定。

　　關(guān)于是否需要通知到“個人信息主體”，我國個保法也提供了一定的豁免情形。如果個人信息處理者能夠及時立即地采取措施，并能夠有效避免信息泄露、篡改、丟失所造成的危害的話，則發(fā)生了數(shù)據(jù)泄露事件的個人信息處理者可以不通知到個人信息主體。但請注意，個保法對于“選擇不通知”的豁免是規(guī)定了比較嚴格的條件的，既要求個人信息處理者需要“立即”采取措施，也要求該等措施是能夠“有效避免”對個人信息主體的危害的。

　　同時，還對“選擇不通知”的豁免給出了限制條件，即當履行個人信息保護職責的部門認為數(shù)據(jù)泄露事件可能造成危害的，則對應(yīng)的數(shù)據(jù)監(jiān)管部門有權(quán)要求個人信息處理者通知到個人。

　　4 明確了需要執(zhí)行數(shù)據(jù)泄露通知義務(wù)的情況

　　確認了是否啟動數(shù)據(jù)泄露通知后，關(guān)于通知中應(yīng)當包含哪些具體的內(nèi)容，也是通知制度中的關(guān)鍵部分。我國個保法對此也作出了明確的規(guī)定，通知應(yīng)當包括：

　　01

　　發(fā)生或者可能發(fā)生個人信息泄露、篡改、丟失的信息種類；

　　02

　　發(fā)生的原因；

　　03

　　本事件可能造成的危害；

　　04

　　個人信息處理者采取的補救措施；

　　05

　　個人可以采取的減輕危害的措施；

　　06

　　個人信息處理者的聯(lián)系方式。

　　05 通知時間的限制要求

　　海外部分較發(fā)達地區(qū)的數(shù)據(jù)保護法律對數(shù)據(jù)泄露通知的形式、時間以及通知程序作出明確的規(guī)定。目前，我國個保法中，在通知的時間要求上并沒有例如“72小時”或者“兩個工作日”的規(guī)定，而是采取“立即采取補救措施”+“及時通知”的要求。

　　企業(yè)在發(fā)生數(shù)據(jù)泄露事件后，在執(zhí)行通知的形式、時間和流程上的具體要求，也需要接下來進一步的司法解釋、指南和標準來進行闡明，為企業(yè)提供更加具體的實操指示。

（二） 海外主要個人信息保護法律對比：