第七部分：發(fā)生安全事件時(shí)數(shù)據(jù)泄露通知的要求

　　數(shù)據(jù)泄露通知?jiǎng)t是指當(dāng)發(fā)生個(gè)人數(shù)據(jù)泄露安全事件時(shí)候，個(gè)人信息的控制者與處理者需要就泄露事件向不同的主體發(fā)出通知和報(bào)告的義務(wù),。

　　數(shù)據(jù)泄露無小事,，它總是不可避免地發(fā)生在日常業(yè)務(wù)運(yùn)營的過程中，一旦出現(xiàn)數(shù)據(jù)泄露等不同類型的安全事件時(shí),，將會(huì)對個(gè)人信息主體造成不同程度的危害和影響,。造成數(shù)據(jù)泄露的原因紛繁復(fù)雜，例如網(wǎng)絡(luò)運(yùn)營者自身的系統(tǒng)漏洞,、沒有及時(shí)更新技術(shù)措施,、黑客的故意攻擊、內(nèi)部管理人員的不法操作或故意泄露等等,，難以進(jìn)行完全的消除與遏制,。

　　因此，不同地區(qū)和國家的數(shù)據(jù)保護(hù)法律通過在立法中確定“數(shù)據(jù)泄露通知制度”以加強(qiáng)對數(shù)據(jù)泄露的管理,，通過及時(shí)采取有效措施和控制損害范圍的擴(kuò)大,，來有效保障數(shù)據(jù)主體權(quán)益。

　?。ㄒ唬┪覈鴤€(gè)人信息保護(hù)法解讀：

　　GDPR第33和34條規(guī)定了在發(fā)生個(gè)人數(shù)據(jù)泄露的情形時(shí),，數(shù)據(jù)控制者通知監(jiān)管機(jī)構(gòu)和受影響數(shù)據(jù)主體的要求，強(qiáng)制要求數(shù)據(jù)控制者應(yīng)當(dāng)在發(fā)現(xiàn)數(shù)據(jù)泄露的72小時(shí)內(nèi)將個(gè)人數(shù)據(jù)泄露的情況報(bào)告監(jiān)管機(jī)構(gòu),，除非個(gè)人數(shù)據(jù)泄露不太可能會(huì)對自然人的權(quán)利和自由造成風(fēng)險(xiǎn),。如果數(shù)據(jù)泄露可能對自然人的權(quán)利和自由產(chǎn)生較高風(fēng)險(xiǎn)，數(shù)據(jù)控制者還應(yīng)當(dāng)立即將個(gè)人數(shù)據(jù)泄露的情況通知數(shù)據(jù)主體,。

　　我國個(gè)保法在參考和借鑒海外數(shù)據(jù)保護(hù)立法的基礎(chǔ)上,，亦通過明確的法律規(guī)定，對數(shù)據(jù)泄露通知作出具體的要求：

　　1 明確了需要執(zhí)行數(shù)據(jù)泄露通知義務(wù)的情況

　　個(gè)保法要求,，個(gè)人信息處理者在發(fā)生或者可能發(fā)生（1）個(gè)人信息泄露,；（2）個(gè)人信息被篡改；（3）個(gè)人信息丟失的情況下,，需要履行數(shù)據(jù)泄露通知的義務(wù),。

　　從目前的規(guī)定來看，觸發(fā)數(shù)據(jù)泄露通知的情形主要在兩大點(diǎn)：

　　01

　　一是,，只要是個(gè)人信息遭受了泄露等情形的,，不管該等個(gè)人信息是否是敏感類型的個(gè)人信息、還是一般的個(gè)人信息,，都可能需要啟動(dòng)到數(shù)據(jù)泄露通知制度,；

　　02

　　二是，明確了觸發(fā)通知的具體場景,，包括遭遇泄露,、被篡改以及丟失的情況,。個(gè)保法沒有就具體遭遇泄露的個(gè)人信息的數(shù)量進(jìn)行規(guī)定，可以看出,，其不以“數(shù)量的多少”來判定是否需要啟動(dòng)數(shù)據(jù)泄露通知制度,，而是以是否確實(shí)“發(fā)生了泄露、篡改和丟失”的實(shí)質(zhì)情況,，以及是否“對數(shù)據(jù)主體造成危害的”定性上作為啟動(dòng)數(shù)據(jù)泄露通知制度的主要判定基準(zhǔn),。

　　2 明確了履行數(shù)據(jù)泄露通知義務(wù)的主體

　　與GDPR類似，在我國個(gè)保法的立法語境下,，要求“個(gè)人信息處理者”承擔(dān)數(shù)據(jù)泄露通知的義務(wù),，即，有權(quán)并能自主決定個(gè)人數(shù)據(jù)處理的目的,、方式的企業(yè),、組織和個(gè)人都會(huì)成為履行數(shù)據(jù)泄露通知的義務(wù)主體。

　　3 明確了數(shù)據(jù)泄露需要通知的對象

　　參考海外數(shù)據(jù)立法經(jīng)驗(yàn),，我國個(gè)保法也對被通知的對象分為兩類主體：

　　01

　　數(shù)據(jù)監(jiān)管部門：履行個(gè)人信息保護(hù)職責(zé)的部門

　　02

　　數(shù)據(jù)主體本身：個(gè)人用戶,。

　　但是，我國個(gè)保法沒有像部分海外數(shù)據(jù)法律的規(guī)定一樣,，以數(shù)據(jù)泄露事件的數(shù)量與規(guī)模作為是否通知數(shù)據(jù)監(jiān)管部門的判斷基礎(chǔ),，而是明確規(guī)定了，只要發(fā)生或可能發(fā)生個(gè)人信息泄露,、篡改、丟失的情況下,，個(gè)人信息處理者都應(yīng)當(dāng)通知履行個(gè)人信息保護(hù)職責(zé)的監(jiān)管部門,。鑒于我國目前在個(gè)人信息監(jiān)管方面仍處于多頭監(jiān)管的狀態(tài)，在通知數(shù)據(jù)監(jiān)管部門的要求及范圍等方面,，仍期待接下來的司法解釋,、政策指南給出更多的指導(dǎo)規(guī)定。

　　關(guān)于是否需要通知到“個(gè)人信息主體”,，我國個(gè)保法也提供了一定的豁免情形,。如果個(gè)人信息處理者能夠及時(shí)立即地采取措施，并能夠有效避免信息泄露,、篡改,、丟失所造成的危害的話，則發(fā)生了數(shù)據(jù)泄露事件的個(gè)人信息處理者可以不通知到個(gè)人信息主體,。但請注意,，個(gè)保法對于“選擇不通知”的豁免是規(guī)定了比較嚴(yán)格的條件的，既要求個(gè)人信息處理者需要“立即”采取措施,，也要求該等措施是能夠“有效避免”對個(gè)人信息主體的危害的,。

　　同時(shí),，還對“選擇不通知”的豁免給出了限制條件，即當(dāng)履行個(gè)人信息保護(hù)職責(zé)的部門認(rèn)為數(shù)據(jù)泄露事件可能造成危害的,，則對應(yīng)的數(shù)據(jù)監(jiān)管部門有權(quán)要求個(gè)人信息處理者通知到個(gè)人,。

　　4 明確了需要執(zhí)行數(shù)據(jù)泄露通知義務(wù)的情況

　　確認(rèn)了是否啟動(dòng)數(shù)據(jù)泄露通知后，關(guān)于通知中應(yīng)當(dāng)包含哪些具體的內(nèi)容,，也是通知制度中的關(guān)鍵部分,。我國個(gè)保法對此也作出了明確的規(guī)定，通知應(yīng)當(dāng)包括：

　　01

　　發(fā)生或者可能發(fā)生個(gè)人信息泄露,、篡改,、丟失的信息種類；

　　02

　　發(fā)生的原因,；

　　03

　　本事件可能造成的危害,；

　　04

　　個(gè)人信息處理者采取的補(bǔ)救措施；

　　05

　　個(gè)人可以采取的減輕危害的措施,；

　　06

　　個(gè)人信息處理者的聯(lián)系方式,。

　　05 通知時(shí)間的限制要求

　　海外部分較發(fā)達(dá)地區(qū)的數(shù)據(jù)保護(hù)法律對數(shù)據(jù)泄露通知的形式、時(shí)間以及通知程序作出明確的規(guī)定,。目前,，我國個(gè)保法中，在通知的時(shí)間要求上并沒有例如“72小時(shí)”或者“兩個(gè)工作日”的規(guī)定,，而是采取“立即采取補(bǔ)救措施”+“及時(shí)通知”的要求,。

　　企業(yè)在發(fā)生數(shù)據(jù)泄露事件后，在執(zhí)行通知的形式,、時(shí)間和流程上的具體要求，也需要接下來進(jìn)一步的司法解釋,、指南和標(biāo)準(zhǔn)來進(jìn)行闡明,，為企業(yè)提供更加具體的實(shí)操指示。

（二） 海外主要個(gè)人信息保護(hù)法律對比：