穿越数据泄露的法律迷雾：合规应对的关键抉择

我国既有法律法规有多处涉及对“数据泄露”及其他相关行为的描述，主要包括：

可见，现行法下所规制的行为远远超出“数据泄露”的范畴，而指向的是更普遍意义上的“数据安全事件”，即指向一种既有的受监管数据^[注1]安全状态或秩序的丧失，这种丧失可以是源于不法窃取所导致的泄露、也可能是源于内外部原因导致的数据丢失、篡改、毁坏，或是源于未经授权的公开、传输等。^[注2]对于企业而言，只要发生此类数据安全事件，即需要启动相应的应急预案和内部流程，并履行相应的法律义务。

尽管各国立法都采取了一系列制度安排来力图确保数据的安全，但这些规则的意义更多在于降低数据安全事件的发生频率或发生后的损害后果，而不可能完全地杜绝数据安全事件的发生。很多时候，数据安全事件的发生并非是企业违反了数据安全保障义务所导致的，且其发生往往超出了数据处理者所能控制的范围，故而从数据安全事件治理的角度出发，仅仅将发生数据安全事件视为违法而处罚数据处理者对数据治理的帮助极为有限。如何确保受影响的个人/用户在数据安全事件发生后的权益得到保障，以及如何提高追溯数据安全事件的效率，应作为数据安全事件治理相关规则制定时的重点关注要素。

基于此，各国立法普遍规定了数据安全事件发生之后的通知义务，即向用户告知数据安全事件的相关情况，以及将数据安全事件的相关信息告知履行个人信息保护职责的部门，以实现对数据安全事件的监管。我国《网络安全法》《个人信息保护法》《网络数据安全管理条例》也均对相应的制度作出了规定。

我国《网络安全法》第42条、《个人信息保护法》第57条和《网络数据安全管理条例》第11条均对发生安全事件后的通知义务作了规定。

(一) 通知监管部门

《网络安全法》《个人信息保护法》和《网络数据安全管理条例》均明确了向监管部门的通知义务。对于通知的时间，参照《网络安全事件报告管理办法（征求意见稿）》，当发生较大、重大或者特别重大网络事件的，运营者应在1小时内报告。收到初次报告后，仍有进一步报告义务的部门和机构，也都应在1小时内履行报告义务。

关于如何识别较大、重大或者特别重大网络安全事件，可以参考以下表格：

同时，参照《网络安全事件报告管理办法（征求意见稿）》，报告的内容和报告对象应满足以下要求：

(二) 通知个人/用户

如果说，就发生数据安全事件如何向监管部门报告，既有的法律法规已经给出了一个大致可以指导实操的框架和流程，那么对于在发生数据安全事件后如何向个人/用户进行告知，实践中目前还未有较为统一的实践。对于涉事企业而言，无论采用何种形式进行通知，都无法避免关于数据安全事件的“通知”变成事实上的“公告”，故而通知形式的选择和通知文案的撰写很多时候需要考虑多种因素。但从合规的层面来看，在考虑如何通知数据安全事件中受影响的个人/用户的过程中，至少应当考虑以下要素：

• 通知对象上看，不仅包括受影响的个人，还包括受影响的组织（尤其是对于to B的企业而言）。尽管《个人信息保护法》第57条仅仅规定了应当通知相关个人，但结合《网络数据安全管理条例》第11条的规定、实践中常见的协议安排及行业惯例，企业往往也需要通知受影响的B端客户/合作伙伴。

• 通知形式上看，电话、短信、即时通信工具、电子邮件或者公告等都是可以选择的方式，但从实质重于形式的角度出发，并结合效率上的考虑，短信和电子邮件的方式效果更佳，实践中使用频率也更高。

• 通知内容上，法定通知内容包括：（一）发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害；（二）个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施；（三）个人信息处理者的联系方式。

  除此之外，需要特别考虑事件所涉及的信息种类的完整性以及与其他业务文本的一致性。对于某些衍生数据，如消费偏好、消费水平等，若可能涉及泄露、篡改、丢失的，也应当披露。对于传输至境外的个人信息，若发生泄露，也应当进行披露。

• 通知时间上，尽管法律法规并未对向相关方发出通知的事件作出明确要求，但应当确保在合理的时间内尽早告知，以便相关方采取必要的行动，防止损失的扩大。同时，还应当确保通知的时间不违反同B端客户/合作伙伴之间的协议约定。

• 尽管根据《个人信息保护法》第57条规定，在个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的情况下，个人信息处理者可以不通知个人，但“避免造成危害”这一标准实践中很难达到，且其认定的主动权也不在企业自身，故不应对援引该条来豁免对个人通知义务抱有过高的希望。

针对以数据泄露为代表的数据安全事件的，实践中更多围绕企业是否履行了数据泄露通知制度，以及是否履行了数据安全保障义务的维度，来考虑企业是否要因为数据安全事件的发生而担责，且两者相对独立。对于企业而言，应当认识到：

1.发生数据安全事件并不直接和违法违规挂钩。如前所述，数据安全事件的发生往往是违反数据处理者自身意愿的，且在很多情况下其发生并不为数据处理者所左右。此外，数据安全事件的处置很多时候也需要基于监管部门的指导或支持，若是仅仅因为数据安全事件的发生就定义为“违法违规”对数据处理者施加相应的法律责任，反而可能导致更多的数据安全事件被“隐而不报”，不利于对相关违法行为的惩处。实践中所谓因“数据泄露”而遭到行政处罚，更多是由于“未落实数据安全保障义务”导致“数据泄露”而受到行政处罚，而不是仅仅因为发生了“数据泄露”而受到处罚。

2.发生数据安全事件后的通知义务是独立的法定义务，这意味着无论企业对于数据安全事件的发生是否有责任，在发生相应的数据安全事件后，都需要履行对监管部门和个人的通知义务，而不履行通知义务必然会引发相应的法律责任。

3.企业履行了通知义务并不意味着不会承担任何法律责任。通知义务的独立性亦体现在和数据安全保障义务的并轨，对于履行了通知义务的企业，若监管在调查过程中发现就数据安全事件相关的数据而言，企业数据安全保障义务的履行存在瑕疵，则企业仍有可能因违反数据安全保障义务受到相应的处罚，而如果企业既未履行通知义务，又被发现违反数据安全保障义务的，则需要一并承担违反两项义务分别的法律责任。

对于企业而言，数据安全事件的发生在数字经济时代几乎无法避免。实践中，企业在应对数据安全事件时，往往面临合规上的两难。既担心不履行通知义务导致的违规风险，又担心履行通知义务后引发相应的调查活动，导致数据安全保障方面的瑕疵为监管部门所知悉而引发其他合规风险，这在某种程度上使得法律法规规定的通知义务在实践中的落实受到了一定的限制。

从设立通知义务的本意出发，立法并无意将数据安全事件的发生直接同违法违规行为划等号，因为这不利于数据安全执法的深入和对相关违法犯罪行为的打击。故从企业自身的角度出发，应当认识到“是否通知”并不具有决定性的作用，落实数据安全保障义务，确保数据安全方面处于动态的合规状态，才是决定企业在发生数据安全事件后是否被处罚的关键。

对于企业而言，一方面应当结合法律法规的要求落实相应的数据合规义务，包括结合企业规模和业务现状选择适宜的数据安全策略，建立数据泄露防控监测机制，并根据法律法规规定制定包含监测机制和报告流程的应急预案、定期开展应急演练；另一方面，应当及时跟进相关法律法规、国家标准的制定进程，并在发生相关数据安全事件时，结合法律法规中关于通知义务的相关要求，妥善履行相应的通知义务。这既是履行法定义务的要求，也是降低企业自身、合作伙伴和用户损失，展现企业责任的重要方式，亦有利于在特定事件中降低潜在的法律风险。