十国/地区数据保护法十大合规要点对比 | #7 发生安全事件时数据泄露通知的要求

Original 王捷资深出海法律顾问出海互联网法律观察

2024-08-25

必读收藏

十国/地区个人信息保护法十大合规要点大比对

本文是“十国/地区数据保护法十大合规要点对比”系列的第七部分，主要是围绕发生安全事件时数据泄露通知的要求进行解读、对比与分析。

第一部分请参见：十国/地区数据保护法十大合规要点对比 | #1 法律适用范围与域外适用效力

第二部分请参见：十国/地区数据保护法十大合规要点对比 | #2 个人信息处理规则与特别注意事项

第三部分请参见：十国/地区数据保护法十大合规要点对比 | #3 数据本地化存储要求

第四部分请参见：十国/地区数据保护法十大合规要点对比 | #4 数据跨境传输规则与要求

第五部分请参见：十国/地区数据保护法十大合规要点对比 | #5 数据主体在个人信息处理活动中的权利

第六部分请参见：十国/地区数据保护法十大合规要点对比 | #6 数据影响评估（DPIA/PIA）要求

第七部分：发生安全事件时数据泄露通知的要求

数据泄露通知则是指当发生个人数据泄露安全事件时候，个人信息的控制者与处理者需要就泄露事件向不同的主体发出通知和报告的义务。

数据泄露无小事，它总是不可避免地发生在日常业务运营的过程中，一旦出现数据泄露等不同类型的安全事件时，将会对个人信息主体造成不同程度的危害和影响。造成数据泄露的原因纷繁复杂，例如网络运营者自身的系统漏洞、没有及时更新技术措施、黑客的故意攻击、内部管理人员的不法操作或故意泄露等等，难以进行完全的消除与遏制。

因此，不同地区和国家的数据保护法律通过在立法中确定“数据泄露通知制度”以加强对数据泄露的管理，通过及时采取有效措施和控制损害范围的扩大，来有效保障数据主体权益。

（一）我国个人信息保护法解读：

GDPR第33和34条规定了在发生个人数据泄露的情形时，数据控制者通知监管机构和受影响数据主体的要求，强制要求数据控制者应当在发现数据泄露的72小时内将个人数据泄露的情况报告监管机构，除非个人数据泄露不太可能会对自然人的权利和自由造成风险。如果数据泄露可能对自然人的权利和自由产生较高风险，数据控制者还应当立即将个人数据泄露的情况通知数据主体。

我国个保法在参考和借鉴海外数据保护立法的基础上，亦通过明确的法律规定，对数据泄露通知作出具体的要求：

1 明确了需要执行数据泄露通知义务的情况

个保法要求，个人信息处理者在发生或者可能发生（1）个人信息泄露；（2）个人信息被篡改；（3）个人信息丢失的情况下，需要履行数据泄露通知的义务。

从目前的规定来看，触发数据泄露通知的情形主要在两大点：

一是，只要是个人信息遭受了泄露等情形的，不管该等个人信息是否是敏感类型的个人信息、还是一般的个人信息，都可能需要启动到数据泄露通知制度；

二是，明确了触发通知的具体场景，包括遭遇泄露、被篡改以及丢失的情况。个保法没有就具体遭遇泄露的个人信息的数量进行规定，可以看出，其不以“数量的多少”来判定是否需要启动数据泄露通知制度，而是以是否确实“发生了泄露、篡改和丢失”的实质情况，以及是否“对数据主体造成危害的”定性上作为启动数据泄露通知制度的主要判定基准。

2 明确了履行数据泄露通知义务的主体

与GDPR类似，在我国个保法的立法语境下，要求“个人信息处理者”承担数据泄露通知的义务，即，有权并能自主决定个人数据处理的目的、方式的企业、组织和个人都会成为履行数据泄露通知的义务主体。

3 明确了数据泄露需要通知的对象

参考海外数据立法经验，我国个保法也对被通知的对象分为两类主体：

数据监管部门：履行个人信息保护职责的部门

数据主体本身：个人用户。

但是，我国个保法没有像部分海外数据法律的规定一样，以数据泄露事件的数量与规模作为是否通知数据监管部门的判断基础，而是明确规定了，只要发生或可能发生个人信息泄露、篡改、丢失的情况下，个人信息处理者都应当通知履行个人信息保护职责的监管部门。鉴于我国目前在个人信息监管方面仍处于多头监管的状态，在通知数据监管部门的要求及范围等方面，仍期待接下来的司法解释、政策指南给出更多的指导规定。

关于是否需要通知到“个人信息主体”，我国个保法也提供了一定的豁免情形。如果个人信息处理者能够及时立即地采取措施，并能够有效避免信息泄露、篡改、丢失所造成的危害的话，则发生了数据泄露事件的个人信息处理者可以不通知到个人信息主体。但请注意，个保法对于“选择不通知”的豁免是规定了比较严格的条件的，既要求个人信息处理者需要“立即”采取措施，也要求该等措施是能够“有效避免”对个人信息主体的危害的。

同时，还对“选择不通知”的豁免给出了限制条件，即当履行个人信息保护职责的部门认为数据泄露事件可能造成危害的，则对应的数据监管部门有权要求个人信息处理者通知到个人。

4 明确了需要执行数据泄露通知义务的情况

确认了是否启动数据泄露通知后，关于通知中应当包含哪些具体的内容，也是通知制度中的关键部分。我国个保法对此也作出了明确的规定，通知应当包括：

发生或者可能发生个人信息泄露、篡改、丢失的信息种类；

发生的原因；

本事件可能造成的危害；

个人信息处理者采取的补救措施；

个人可以采取的减轻危害的措施；

个人信息处理者的联系方式。

05 通知时间的限制要求

海外部分较发达地区的数据保护法律对数据泄露通知的形式、时间以及通知程序作出明确的规定。目前，我国个保法中，在通知的时间要求上并没有例如“72小时”或者“两个工作日”的规定，而是采取“立即采取补救措施”+“及时通知”的要求。

企业在发生数据泄露事件后，在执行通知的形式、时间和流程上的具体要求，也需要接下来进一步的司法解释、指南和标准来进行阐明，为企业提供更加具体的实操指示。

（二）海外主要个人信息保护法律对比：

总体来说

数据泄露也是网络安全最主要的威胁之一，有必要在数据泄露的情况下规定一套有效的管理通知制度与补救措施采取义务。各国在数据泄露通知制度方面也逐渐通过立法来进行明确，包括在触发通知的情形、通知主体、通知对象、通知的内容、通知的形式和流程、通知的时间要求以及违反数据泄露通知义务的处罚制度上都有了比较具体和细化的规定。企业应当对如何执行和落实数据泄露通知制度进行较高程度的关注，避免因没有执行数据泄露通知或落实不到位而造成更为严重的危害结果。

【声明】：以上内容可能会因法律法规修改而变更，司法实践中依个案实际情况来处理。本文内容仅代表作者个人观点，不构成法律意见，作者以及“出海互联网法律观察”均不为内容的分析正确性以及内容获得者由此采取的任何行为承担法律责任。

作者介绍

王捷

执业律师，垦丁W&W国际法律团队创始人，联合国世界丝绸之路委员会专家，广东省法学会信息通讯法学研究会理事，荷兰RuG国际经济法与商法硕士，专注于网络法领域的研究和实务，特别是互联网产品合规、出海合规以及全球数据保护与个人信息保护合规，已为多家知名互联网公司及大中型外资企业提供专业法律服务，覆盖智能终端制造、IOT、人工智能、云计算与服务、社交网络平台、移动互联网、电子商务及平台、短视频视听直播、网络游戏、以及个人信息保护、数据安全等行业领域。

王捷律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作，拥有10年的科技型公司实务经验与中外律所从业背景，深耕海内外多条业务线。专业能力模块包括产品风险管控、业务流程搭建、风险分析评估、数据保护与合规、纠纷案件处理、竞对攻防布局、政府监管合规、海外公司治理、投资项目管理等。她能更准确理解客户核心需求，快速响应并提供基础到战略的有效支持，并为各类出海互联网企业拓展印度、东南亚、中东、非洲、欧美等新兴及重要市场提供有效的合规解决方案与落地支持。

同时为出海互联网法律观察公众号主理人，合著《互联网全球数据合规法律观察报告》，并输出多篇专业互联网与数据合规文章，部分文章刊登于威科先行专业数据库中。

联系方式：

夏律

垦丁律师事务所W&W国际法律团队律师助理。

协助全球数据合规资讯周刊编写，追踪各国数据合规执法状况。

近期更新：

越南发布新跨境广告法令下的跨境广告服务商的合规要求

大数据杀熟-互联网法律人的周末私享会

佛罗里达州众议院通过了《佛罗里达隐私保护法》

爱尔兰数据保护委员会：Facebook5.33亿用户数据泄露

欧盟委员会提出AI专门立法提案

爱尔兰DPC称Facebook发生5.33亿用户数据泄露

欧委会与韩国发表数据流通联合声明