近期，個(gè)人信息泄露事件頻發(fā)，知名品牌DIOR、卡地亞等均向其用戶發(fā)出數(shù)據(jù)泄露通知，引起了廣泛關(guān)注。根據(jù)境內(nèi)法律法規(guī)要求，企業(yè)發(fā)生個(gè)人信息泄露事件時(shí)，通常需履行向監(jiān)管部門報(bào)告（“上報(bào)”）和向個(gè)人信息主體告知（“通知”）的義務(wù)。本文將對(duì)該等上報(bào)和通知義務(wù)的履行要求進(jìn)行梳理。

一、發(fā)生個(gè)人信息泄露，如何通知個(gè)人？

1、什么情況下需要通知？

并非所有個(gè)人信息泄露事件，都需要通知個(gè)人。

《個(gè)人信息保護(hù)法》第五十七條規(guī)定了個(gè)人信息泄露時(shí)的通知義務(wù)，并設(shè)置了豁免條件。原則上發(fā)生或者可能發(fā)生個(gè)人信息泄露等情形的，個(gè)人信息處理者應(yīng)當(dāng)通知個(gè)人，但如果個(gè)人信息處理者采取措施能夠有效避免信息泄露造成危害的，可以不通知個(gè)人。

其他法律法規(guī)規(guī)定中也延續(xù)了《個(gè)人信息保護(hù)法》的這一豁免邏輯。根據(jù)《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》第十一條第二款的規(guī)定，網(wǎng)絡(luò)數(shù)據(jù)安全事件對(duì)個(gè)人合法權(quán)益造成危害的，網(wǎng)絡(luò)數(shù)據(jù)處理者應(yīng)當(dāng)及時(shí)通知利害關(guān)系人?！豆I(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》第二十八條第四款也規(guī)定，工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者對(duì)發(fā)生的可能損害用戶合法權(quán)益的數(shù)據(jù)安全事件，應(yīng)當(dāng)及時(shí)告知用戶。

綜上，當(dāng)發(fā)生個(gè)人信息泄露事件時(shí)，應(yīng)當(dāng)判斷是否會(huì)對(duì)個(gè)人權(quán)益造成危害，如果已采取的相應(yīng)措施能夠避免造成危害的，可以不通知個(gè)人，否則，應(yīng)當(dāng)履行對(duì)個(gè)人的通知義務(wù)。

2、通知的時(shí)間要求

《個(gè)人信息保護(hù)法》并未規(guī)定當(dāng)發(fā)生個(gè)人信息泄露事件時(shí)，通知個(gè)人的具體時(shí)間要求?！毒W(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》征求意見稿中曾規(guī)定應(yīng)當(dāng)在“三個(gè)工作日內(nèi)”通知利害關(guān)系人，但正式稿中并沒有保留該等三個(gè)工作日的時(shí)間要求，僅規(guī)定應(yīng)當(dāng)“及時(shí)”通知。《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》也僅規(guī)定應(yīng)當(dāng)“及時(shí)”告知用戶。

因此，當(dāng)前國內(nèi)法項(xiàng)下并沒有強(qiáng)制規(guī)定發(fā)生個(gè)人信息泄露事件時(shí)，通知個(gè)人的具體時(shí)間要求，僅原則性規(guī)定應(yīng)當(dāng)“及時(shí)”通知。建議實(shí)操中把握“及時(shí)”的標(biāo)準(zhǔn)，可暫參考上述《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》征求意見稿中“三個(gè)工作日內(nèi)”的要求。

3、通知的方式和內(nèi)容

《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》第十一條第二款規(guī)定了幾種通知的方式，包括“電話、短信、即時(shí)通信工具、電子郵件或者公告等”。在近期發(fā)生的幾起個(gè)人信息泄露事件中，相關(guān)企業(yè)也采取了短信、郵件的通知方式。對(duì)于通知的內(nèi)容，該條規(guī)定包括了“安全事件和風(fēng)險(xiǎn)情況、危害后果、已經(jīng)采取的補(bǔ)救措施等”。

《個(gè)人信息保護(hù)法》第五十七條第一款對(duì)通知內(nèi)容的規(guī)定則更為具體，包括發(fā)生或者可能發(fā)生個(gè)人信息泄露、篡改、丟失的信息種類、原因和可能造成的危害；個(gè)人信息處理者采取的補(bǔ)救措施和個(gè)人可以采取的減輕危害的措施；個(gè)人信息處理者的聯(lián)系方式

4、不通知的后果

若應(yīng)當(dāng)通知而未通知，即屬于違法違規(guī)行為，依據(jù)《個(gè)人信息保護(hù)法》等規(guī)定，可能被處以責(zé)令改正、警告、罰款等處罰。當(dāng)前實(shí)操中，大多涉及數(shù)據(jù)泄露的案例系因企業(yè)未履行數(shù)據(jù)安全保護(hù)義務(wù)導(dǎo)致數(shù)據(jù)泄露而被處罰，但也有處罰案例中涉及的違法行為包括“未及時(shí)告知個(gè)人”。

在實(shí)務(wù)場(chǎng)景中，企業(yè)面對(duì)個(gè)人信息泄露事件時(shí)，就是否通知用戶常陷入兩難。這不僅是法律合規(guī)性的技術(shù)判斷，更像是天平兩端的利益權(quán)衡 —— 一端是法定通知義務(wù)，另一端則是企業(yè)對(duì)聲譽(yù)風(fēng)險(xiǎn)、市場(chǎng)信任的現(xiàn)實(shí)考量。如上述分析，并非所有個(gè)人信息泄露事件均需要通知，若企業(yè)可以合理論證不會(huì)對(duì)個(gè)人權(quán)益造成危害，則可以無需通知。否則，還是應(yīng)當(dāng)按規(guī)定及時(shí)通知個(gè)人

二、發(fā)生個(gè)人信息泄露，如何上報(bào)監(jiān)管？

1、是否所有個(gè)人信息泄露事件，都要上報(bào)？

根據(jù)《個(gè)人信息保護(hù)法》第五十七條規(guī)定，發(fā)生或者可能發(fā)生個(gè)人信息泄露等情形時(shí)，個(gè)人信息處理者應(yīng)當(dāng)通知監(jiān)管部門。對(duì)于向監(jiān)管部門的上報(bào)義務(wù)，《個(gè)人信息保護(hù)法》并未設(shè)置豁免條件。從文字理解，只要發(fā)生個(gè)人信息泄露事件，均仍應(yīng)當(dāng)上報(bào)監(jiān)管部門。《個(gè)人信息保護(hù)法》第五十七條同時(shí)也規(guī)定了責(zé)令通知的要求，即如果監(jiān)管部門認(rèn)為個(gè)人信息泄露可能造成危害的，有權(quán)要求個(gè)人信息處理者通知個(gè)人。而“無條件上報(bào)”監(jiān)管部門的規(guī)定一定程度上也是與該等“責(zé)令通知”要求相銜接，避免將造成危害與否的決定權(quán)完全交給個(gè)人信息處理者。

但難點(diǎn)在于，除《個(gè)人信息保護(hù)法》的上述規(guī)定外，其他法律法規(guī)中還規(guī)定了對(duì)網(wǎng)絡(luò)安全事件、數(shù)據(jù)安全事件的上報(bào)要求，個(gè)人信息泄露事件一定程度上與網(wǎng)絡(luò)安全事件、數(shù)據(jù)安全事件存在交叉，而網(wǎng)絡(luò)安全事件和數(shù)據(jù)安全事件的上報(bào)要求可能與《個(gè)人信息保護(hù)法》的規(guī)定并不一致。

根據(jù)《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》的規(guī)定，發(fā)生網(wǎng)絡(luò)安全事件、數(shù)據(jù)安全事件時(shí)，應(yīng)當(dāng)按照“規(guī)定”向有關(guān)主管部門報(bào)告。當(dāng)前關(guān)于該等“規(guī)定”的要求，主要包括：

• 《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》規(guī)定，網(wǎng)絡(luò)安全事件發(fā)生后，事發(fā)單位應(yīng)當(dāng)及時(shí)報(bào)送信息，網(wǎng)絡(luò)安全事件是指對(duì)網(wǎng)絡(luò)和信息系統(tǒng)或者其中的數(shù)據(jù)造成危害，對(duì)社會(huì)造成負(fù)面影響的事件。
• 《網(wǎng)絡(luò)安全事件報(bào)告管理辦法（征求意見稿》規(guī)定，運(yùn)營者在發(fā)生網(wǎng)絡(luò)安全事件時(shí)，按照《網(wǎng)絡(luò)安全事件分級(jí)指南》，屬于較大、重大或特別重大網(wǎng)絡(luò)安全事件的，應(yīng)當(dāng)于1小時(shí)內(nèi)進(jìn)行報(bào)告。網(wǎng)絡(luò)安全事件是指對(duì)網(wǎng)絡(luò)和信息系統(tǒng)或其中的數(shù)據(jù)造成危害，對(duì)社會(huì)造成負(fù)面影響的事件。根據(jù)《網(wǎng)絡(luò)安全事件分級(jí)指南》，泄露100萬人以上個(gè)人信息，即符合較大網(wǎng)絡(luò)安全事件的標(biāo)準(zhǔn)
• 《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》第二十七條第三款規(guī)定，工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應(yīng)當(dāng)及時(shí)將可能造成較大及以上安全事件的風(fēng)險(xiǎn)向本地區(qū)行業(yè)監(jiān)管部門報(bào)告?！豆I(yè)和信息化領(lǐng)域數(shù)據(jù)安全事件應(yīng)急預(yù)案（試行）》根據(jù)數(shù)據(jù)安全事件對(duì)國家安全、企業(yè)網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)、生產(chǎn)運(yùn)營、經(jīng)濟(jì)運(yùn)行等造成的影響范圍和危害程度，將數(shù)據(jù)安全事件分為特別重大、重大、較大和一般四個(gè)級(jí)別。其中，發(fā)生較嚴(yán)重個(gè)人信息安全事件，涉及100萬人（含）以上1000萬人以下個(gè)人信息或者10萬人（含）以上100萬人以下敏感個(gè)人信息的為較大安全事件。

綜上規(guī)定，網(wǎng)絡(luò)安全事件、數(shù)據(jù)安全事件管理更多關(guān)注可能對(duì)社會(huì)造成負(fù)面影響的事件，通常要求上報(bào)較大及以上級(jí)別的安全事件。對(duì)于個(gè)人信息泄露事件，如果達(dá)到上述規(guī)定中的“人數(shù)”要求，構(gòu)成較大及以上級(jí)別安全事件，則需要按照網(wǎng)絡(luò)安全事件、數(shù)據(jù)安全事件管理要求進(jìn)行上報(bào)，這一點(diǎn)與《個(gè)人信息保護(hù)法》規(guī)定的“無條件上報(bào)”義務(wù)并不一致。

需要注意的是，某些特定領(lǐng)域關(guān)于上報(bào)標(biāo)準(zhǔn)可能有其特殊規(guī)定。例如金融領(lǐng)域，根據(jù)《中國人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)安全事件報(bào)告管理辦法》第十五條規(guī)定，金融從業(yè)機(jī)構(gòu)發(fā)生較大等級(jí)以上網(wǎng)絡(luò)安全事件后，應(yīng)當(dāng)于1小時(shí)內(nèi)報(bào)送網(wǎng)絡(luò)安全事件事發(fā)簡要報(bào)告，并在24小時(shí)內(nèi)報(bào)送網(wǎng)絡(luò)安全事件事發(fā)報(bào)告。金融從業(yè)機(jī)構(gòu)發(fā)生網(wǎng)絡(luò)安全事件，尚未達(dá)到較大等級(jí)，但出現(xiàn)相關(guān)輿情信息進(jìn)入社交媒體、搜索引擎或者新聞網(wǎng)站熱點(diǎn)榜等情形，引發(fā)較大輿情的，也應(yīng)當(dāng)按規(guī)定進(jìn)行報(bào)告。根據(jù)該《中國人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)安全事件報(bào)告管理辦法》規(guī)定，泄露500條以上征信信息、財(cái)產(chǎn)信息，或者致使泄露5萬條以上個(gè)人信息的，即達(dá)到“較大網(wǎng)絡(luò)安全事件”的門檻。

因此，考慮到網(wǎng)絡(luò)安全事件、數(shù)據(jù)安全事件上報(bào)規(guī)定與《個(gè)人信息保護(hù)法》規(guī)定下個(gè)人信息泄露時(shí)的“無條件上報(bào)”義務(wù)并不完全一致。企業(yè)在發(fā)生個(gè)人信息泄露時(shí)，即便未達(dá)到網(wǎng)絡(luò)安全事件、數(shù)據(jù)安全事件的上報(bào)標(biāo)準(zhǔn)，也應(yīng)當(dāng)首先按照《個(gè)人信息保護(hù)法》規(guī)定，主動(dòng)與監(jiān)管部門聯(lián)系，告知個(gè)人信息泄露事件情況，與監(jiān)管部門確定具體上報(bào)要求。若個(gè)人信息泄露已經(jīng)達(dá)到網(wǎng)絡(luò)安全事件、數(shù)據(jù)安全事件上報(bào)標(biāo)準(zhǔn)的，則除《個(gè)人信息保護(hù)法》規(guī)定外，還應(yīng)當(dāng)按照網(wǎng)絡(luò)安全事件、數(shù)據(jù)安全事件相關(guān)管理規(guī)定履行上報(bào)義務(wù)。

2、向哪個(gè)監(jiān)管部門報(bào)告

通常上報(bào)的監(jiān)管部門包括屬地網(wǎng)信部門以及行業(yè)主管監(jiān)管部門，涉嫌犯罪的，還應(yīng)當(dāng)向?qū)俚毓矙C(jī)關(guān)報(bào)告。例如，對(duì)于工信領(lǐng)域的數(shù)據(jù)處理者，該等行業(yè)主管監(jiān)管部門通常為地方工信部門、通信管理局。對(duì)于金融領(lǐng)域的數(shù)據(jù)處理者，該等行業(yè)主管監(jiān)管部門通常為中國人民銀行或其分支機(jī)構(gòu)、國家金融監(jiān)督管理總局或其派出機(jī)構(gòu)。

3、報(bào)告的時(shí)間要求

綜合個(gè)人信息保護(hù)相關(guān)規(guī)定，以及網(wǎng)絡(luò)安全管理、數(shù)據(jù)安全管理相關(guān)規(guī)定，向監(jiān)管報(bào)告的義務(wù)通常包括事發(fā)報(bào)告、事中報(bào)告以及事后報(bào)告

《個(gè)人信息保護(hù)法》未規(guī)定事發(fā)報(bào)告的具體時(shí)間要求。歐盟GDPR規(guī)定，應(yīng)當(dāng)盡快且最遲自知道個(gè)人數(shù)據(jù)泄露之時(shí)起72小時(shí)之內(nèi)通知監(jiān)管機(jī)構(gòu)。

若構(gòu)成較大及以上網(wǎng)絡(luò)安全事件、數(shù)據(jù)安全事件，相關(guān)規(guī)定可能有更細(xì)節(jié)的上報(bào)時(shí)間要求。《網(wǎng)絡(luò)安全事件報(bào)告管理辦法（征求意見稿）》規(guī)定屬于較大、重大或特別重大網(wǎng)絡(luò)安全事件的，應(yīng)當(dāng)于1小時(shí)內(nèi)進(jìn)行報(bào)告。事件報(bào)告后出現(xiàn)新的重要情況或調(diào)查取得階段性進(jìn)展，相關(guān)單位應(yīng)當(dāng)及時(shí)報(bào)告。事件處置結(jié)束后，運(yùn)營者應(yīng)當(dāng)于5個(gè)工作日內(nèi)對(duì)事件原因、應(yīng)急處置措施、危害、責(zé)任處理、整改情況、教訓(xùn)等進(jìn)行全面分析總結(jié)，形成報(bào)告按照原渠道上報(bào)。

此外，對(duì)于特定行業(yè)領(lǐng)域，可能有其特定報(bào)告時(shí)間規(guī)定。例如，工信領(lǐng)域，根據(jù)《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全事件應(yīng)急預(yù)案（試行）》規(guī)定，工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者一旦發(fā)現(xiàn)數(shù)據(jù)安全事件，應(yīng)當(dāng)立即先行判斷，對(duì)自判為較大及以上事件的，應(yīng)當(dāng)立即向地方行業(yè)監(jiān)管部門報(bào)告。重大及以上數(shù)據(jù)安全事件應(yīng)急工作結(jié)束后，涉事數(shù)據(jù)處理者應(yīng)當(dāng)在應(yīng)急工作結(jié)束后5個(gè)工作日內(nèi)形成總結(jié)報(bào)告，報(bào)地方行業(yè)監(jiān)管部門。金融領(lǐng)域，《銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)安全管理辦法》和《中國人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)安全事件報(bào)告管理辦法》對(duì)于上報(bào)時(shí)間也有具體要求，可參照?qǐng)?zhí)行。

4、報(bào)告的方式和內(nèi)容

《個(gè)人信息保護(hù)法》未規(guī)定發(fā)生個(gè)人信息泄露時(shí)通知監(jiān)管部門的具體方式，《個(gè)人信息保護(hù)法》規(guī)定通知的內(nèi)容應(yīng)當(dāng)包括：（一）發(fā)生或者可能發(fā)生個(gè)人信息泄露、篡改、丟失的信息種類、原因和可能造成的危害；（二）個(gè)人信息處理者采取的補(bǔ)救措施和個(gè)人可以采取的減輕危害的措施；（三）個(gè)人信息處理者的聯(lián)系方式。

《網(wǎng)絡(luò)安全事件報(bào)告管理辦法（征求意見稿）》中提供了《網(wǎng)絡(luò)安全事件信息報(bào)告表》，規(guī)定應(yīng)當(dāng)按照《網(wǎng)絡(luò)安全事件信息報(bào)告表》報(bào)告網(wǎng)絡(luò)安全事件。

某些特定行業(yè)領(lǐng)域可能對(duì)上報(bào)的方式和內(nèi)容有特定要求，例如工信領(lǐng)域，《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全事件應(yīng)急預(yù)案（試行）》中提供了《數(shù)據(jù)安全事件上報(bào)（模板）》、《數(shù)據(jù)安全事件應(yīng)急處置工作總結(jié)報(bào)告（模板）》，可按照該等模板內(nèi)容進(jìn)行上報(bào)。金融領(lǐng)域，《中國人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)安全事件報(bào)告管理辦法》規(guī)定，金融從業(yè)機(jī)構(gòu)可以通過電話、即時(shí)通信工具、電子郵件、傳真或者中國人民銀行指定的信息系統(tǒng)報(bào)送網(wǎng)絡(luò)安全事件事發(fā)簡要報(bào)告、事發(fā)報(bào)告和事中進(jìn)展報(bào)告，同時(shí)，辦法中也對(duì)該等報(bào)告所應(yīng)包含的內(nèi)容作出了規(guī)定。