武汉律师-武汉律师事务所-武汉律师网：15607149333

联系我们

【律师姓名】：赵化律师

【联系方式】：156-0714-9333（微信同号）,1355-4534-288

【执业证号】：14201201010226533

【执业律所】：湖北东榆律师事务所

【律所地址】：武汉市洪山区南湖大道116号川岚商业大厦1203室（中南财经政法大学北门，公交站：南湖大道茶山刘）

友情提示：本律师不坐班，为方便接待您，来之前请您电话预约，谢谢！

【地铁路线】：乘

至光谷广场站E出口，换乘538路至终点站“南湖大道茶山刘站”

【公交路线】：327路 ; 538路 ; 567路外环;567路内环; 570路 ; 590路 ; 785路至“南湖大道茶山刘站”

您的位置：赵化律师网(赵化) > 律师文集

个人信息泄露事件下企业的通知义务浅析

作者：赵化律师访问次数：243 时间：2022/06/29

随着信息技术的快速发展，在大数据时代，个人信息的安全也变得越来越重要。近年来，不同法域的法律法规均根据其实际情况制定了个人数据信息保护制度，其中均包含了涉及个人信息泄露的相关规定。

2018年5月，被称为“史上最严”的欧盟《通用信息保护条例》（“GDPR”）生效。相比欧盟，美国在联邦层面的保护个人信息的立法分散在诸多不同领域的法律法规中^[1]。在州层面，《2018加利福尼亚州消费者隐私法案》（“CCPA”）成为了美国保护消费者个人数据的标志性法案之一。^[2]中国于2021年11月1日起实施《个人信息保护法》（“《个保法》”），成为中国第一部专门规范个人信息保护的法律。

个人信息保护制度基本的框架为：就受保护的个人信息予以定义、就数据处理者处理个人信息时需要遵守的规则及受保护的主体所拥有的权利予以明确、就个人信息泄露和跨境转移设定法定程序和要求并建立相关罚则等。其中，就个人信息泄露事件发生后，除如何采取相应的补救措施外，有关企业是否还应承担相应的通知义务，是企业关心的一大话题。本文试从比较《个保法》、GDPR、CCPA的角度，对就不同法域内各类企业在个人信息泄露事件发生后的通知义务进行简要比较，以期帮助企业更好地理解在当前大环境下个人数据保护的合规要求。

在详述相关内容前，我们就前述三个法域的主要立法整理下表，将个人信息泄露事件涉及到的通知义务主体及其定义、保护对象、保护标的、通知义务、通知对象以及监管机构做了初步梳理：

概念	《个保法》	GDPR		CCPA
义务主体	个人信息处理者	数据控制者	数据处理者	企业
保护对象	个人	数据主体（已识别或者可识别的自然人）		消费者^[3]
保护标的	个人信息	个人数据		个人信息
义务主体的定义	在个人信息处理活动中自主决定处理目的、处理方式的组织、个人	单独或与他人共同确定个人数据处理的目的和方法的自然人、法人、公共权力机关、代理机构或其他机构	代表数据控制者处理个人数据的自然人、法人、公共权利机关、代理机构或其他机构	在加州开展业务、收集消费者个人信息或代表收集此类信息，且满足一定条件的实体
泄露后是否有通知义务	有			CCPA未明确（加州民法典中有规定）
通知对象	履行个人信息保护职责的监管部门及个人	监管机构	数据处理者	CCPA未明确（加州民法典中规定应通知被泄露个人信息的加州居民或州检察长）
通知对象	可避免泄露危害时企业可以不通知个人	若很可能对自然人的权利与自由带来高风险时，应通知个人	数据处理者	CCPA未明确（加州民法典中规定应通知被泄露个人信息的加州居民或州检察长）
监管机构	国家网信部门、国务院有关部门、县级以上人民政府的有关部门	欧盟各成员国设立的独立公共机构		加州隐私保护署

一、个人信息处理者/数据控制者应对个人信息泄露履行通知义务

（一）泄露的信息是否属于个人信息？

在发生个人信息/个人数据（本文以下统称为“个人信息”）泄露事件时，个人信息处理者/数据控制者首先需要明确的是该事件泄露的信息是否属于法律规定的个人信息。我们就个人信息的定义制作了以下的表格供读者参考：

个人信息	《个保法》	GDPR	CCPA
定义	以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息	任何与已识别或者可识别的自然人（“数据主体”）有关的信息	直接或间接地识别、关系到、描述、能够相关联或可合理地连结到特定消费者或家庭的信息
排除	匿名化信息	匿名化信息	去标识化信息
匿名化信息定义	个人信息经过处理无法识别特定自然人且不能复原	不涉及已识别或可识别的自然人的信息，或以这种方式使数据主体无法或不再被识别的匿名的个人数据	未明确
去标识化信息定义	个人信息经过处理，使其在不借助额外信息的情况下无法识别特定自然人	未明确	不能合理识别、涉及、描述、能够直接或间接与某一特定消费者相关联的信息^[4]

《个保法》与GDPR在个人信息的定义中都强调了已识别的或者可识别的自然人。GDPR对于可识别的自然人通过列举进行了解释，即一个可识别的自然人是一个能够被直接或间接识别的个体，特别是通过诸如姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别的个体。^[5]

《个保法》对于可识别的自然人及其有关信息并未作出具体解释，但《中华人民共和国民法典》第1034条中对个人信息的定义列举出了自然人姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子信箱、健康信息、行踪信息等不同类型的个人信息^[6]。此外，中国已有推荐性国家标准对个人信息进行了列举性的说明。^[7]

相较而言，CCPA中对“个人信息”的定义则比《个保法》及GDPR更为宽泛，但同时其也以列举的方式列出了有代表性的个人信息^[8]，并将家庭、身份关联和设备的信息纳入了个人信息的范畴。

同时，如上表所示，《个保法》与GDPR均指出，对个人信息的保护不适用于匿名化信息^[9]。而在CCPA中，其未明确采用“匿名化”的概念，而是采用了去标识化的概念，即CCPA不限制企业收集、使用、保留、出售或披露已去标识化的或综合消费者中的消费者信息。《个保法》就此有所借鉴，对“去标识化”作出了上表所述的定义，但并未将“去标识化”的个人信息排除在其保护范围外。

此外，CCPA明确定义个人信息不应包括：(a)公开可得的信息；(b)合法获得的、真实的、引起公众关注的信息；及(c)已汇总的信息。这一规定未在《个保法》中体现。

综上，企业在判断泄露的个人信息是否属于中国法律体系上受保护的个人信息时，应综合中国法律中对个人信息的定义进行研判，结合泄露事件的具体情况进行分析。

（二）个人信息泄露如何定义？

在GDPR中，个人信息泄露(personal data breach)是指由于“违反安全保障措施”(breach of security)而导致传输、储存、处理中的个人数据被意外或非法损毁、丢失、更改或未经同意而被公开或访问。^[10]

与GDPR不同的是，CCPA并未对个人信息泄露进行明确定义。相较而言，加州民法典中则将违反安全保障措施(security breach)定义为：“未经授权获取计算机化信息，损害了个人信息的安全性、保密性或完整性，但不包括某些善意取得。”^[11]

我国《个保法》中也未就个人信息泄露这一事件做直接定义，仅规定了在发生或可能发生个人信息泄露、篡改、丢失时，个人信息处理者应履行相应的通知义务。

（三）个人信息泄露事件中的通知义务是什么？

GDPR要求，在个人信息泄露的情形中，数据控制者对监管机构及数据主体均承担通知义务。根据GDPR规定，除非数据控制者可以证明数据泄露对于相关自然人的权利或自由不太可能会带来风险，否则数据控制者应当及时通知监管机构^[12]。当数据泄露可能给相关自然人的权利与自由带来高风险时，数据控制者应当及时通知数据主体^[13]。

《个保法》针对个人信息泄露事件的通知义务的规定与GDPR类似，规定在发生或可能发生个人信息泄露、篡改、丢失，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。此外，《个保法》也设置了免于通知个人的情形，本文第二部分第（一）节将予以详述。

而在CCPA中，仅规定了企业在收集个人信息前应通知消费者特定事项，并未对个人信息泄露后的通知义务作出专门规定。然而，监管机构或个人可充分利用加州民法典中规定的该州信息泄露的一般通知义务规定要求所有在加州开展业务的企业、机构和个人在发生个人信息泄露事件时履行其通知义务^[14]。

（四）如何判断企业是否属于应履行通知义务的实体？

如前所述，CCPA并未明确应履行个人信息泄露后通知义务的实体。根据加州民法典下规定的信息泄露的一般通知义务，我们可推断，满足CCPA中定义的企业应为需履行该等通知义务的实体之一。

而在GDPR中规定，履行个人信息泄露事件通知义务的实体是数据控制者。GDPR中的数据控制者是指决定个人数据处理目的与方式的自然人或法人、公共机关、规制机构或其他实体^[15]。

《个保法》中履行通知义务的“个人信息处理者”的定义与GDPR中的“数据控制者”类似，强调了该等实体对个人信息处理的自主决定。如前所述，个人信息处理者是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。需要注意的是，《个保法》也规定，共同处理个人信息的个人信息处理者对侵害个人信息权益的行为也依法承担连带责任^[16]。据此，我们理解，共同参与处理个人信息的个人信息处理者在出现个人信息泄露风险时也应履行相应的通知义务。

二、企业应就泄露事件具体情况评估如何履行个人信息泄露通知义务

（一）个人信息泄露事件的危害程度决定如何履行通知义务

在GDPR中，若个人信息泄露并不会对自然人的权利或自由产生风险，则数据控制者无需履行其向监管部门的通知义务。^[17]。当个人信息泄露很可能给自然人的权利与自由带来高风险时，数据控制者应当及时通知数据主体。同时，数据控制者若符合GDPR罗列的情形的，其可以不向数据主体履行通知义务^[18]。此外，GDPR下的监管机构基于对数据泄露风险的考虑，可以依职权要求数据控制者履行向数据主体的通知义务^[19]。

与GDPR相似的是，《个保法》规定在发生个人信息泄露事件时，若个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的，个人信息处理者可以不通知个人^[20]。但若监管部门认为可能造成危害的，则个人信息处理者仍应向个人履行通知义务。与GDPR不同的是，《个保法》并未规定可以不向监管部门履行通知义务的情形。

《个保法》上述规定排除了凡有个人信息泄露事件都必须通知相关个人的情况，但是对于个人信息处理者该如何判断“可以避免”个人信息泄露的危害，《个保法》尚未给出具体的判断标准。此外，个人信息处理者向监管部门的通知义务并没有除外情形。由于《个保法》生效的时间距今较短，中国的监管部门尚未对这一规定作出具体的解释，这仍有待未来相关配套实施细则的出台予以完善。

（二）通知内容需包含特定信息，企业对监管部门通知义务的履行有具体的时间限制

GDPR详细规定了数据控制者履行通知义务时应包括的通知内容以及个人信息泄露事件发生后数据控制者履行监管部门通知义务的时限，但并未规定通知数据主体的时限（仅指出不得无故拖延）。与GDPR规定相似，《个保法》中亦详细规定了个人信息处理者履行通知义务时应包括的通知内容^[21]。不过，《个保法》中未就个人信息处理者履行通知义务的时限做具体规定。我们同样也梳理了加州民法典中企业履行通知义务时应包括的通知内容及时限。

下表对数据控制者/个人信息处理者/企业履行通知义务的时限及通知内容进行了梳理：

	《个保法》	GDPR	加州民法典^[22]
通知的具体内容	发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害	个人数据泄露性质的描述以及个人数据泄露的可能后果^[23]	被泄露或被认为被泄露的个人数据类型的明细清单
	发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害	个人数据泄露性质的描述以及个人数据泄露的可能后果^[23]	对个人数据泄露事件的描述
	个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施	控制者对个人数据泄露已经采用或计划采用的措施^[24]	个人数据泄露的日期或数据泄露发生的范围
	个人信息处理者的联系方式	数据保护官的姓名和联系方式或其他能够获取更多信息的联系方式^[25]	报告有关个人数据泄露的实体的名称和联系信息
履行通知义务的时限	未做明确规定，仅要求个人信息处理者“立即”通知	在可行的情况下，不得晚于自控制者意识到发生个人数据泄露起72小时内通知监管机构^[26]，未对通知数据主体规定具体的时限	尽快 (除特殊情况外不能延迟)；若单次泄露涉及超过500位加州居民，应通知州检察长

我们注意到，除上述信息外，就触发履行通知义务的“门槛”、通知的监管机构的具体部门和具体级别等问题，《个保法》及我国现有生效法规尚未作出具体解释。

目前中国正在逐渐构建个人信息保护的法律体系，这包括进一步细化个人信息处理者履行个人信息数据泄露事件的通知义务的相关规定。国家互联网信息办公室于2021年11月14日发布了《网络数据安全管理条例（征求意见稿）》，其中指出：在发生数据安全事件时，数据处理者应在三个工作日内通知利害关系人。发生重要数据或者十万人以上个人信息泄露、毁损、丢失等安全事件时，数据处理者还应在发生安全事件的八小时内向市级网信部门和有关主管部门报告事件基本信息，并在事件处理完毕后五个工作日内向市级网信部门和有关主管部门提供调查评估报告^[27]。尽管上述规定目前仍处于征求意见阶段，但其已表现出了就这一问题的监管姿态。我们期待，相关制度的正式实施将有助于作为个人信息处理者的企业更好地据此建立自己的个人信息保护合规体系。

（三）境外企业可能也须履行其在《个保法》下的通知义务

除均可管辖境内个人信息处理行为之外，各国个人信息保护法律在管辖范围上存在一定不同。GDPR的管辖范围体现为“属地+属人”原则，即GDPR可管辖境外实体对其境内数据主体的个人信息处理行为^[28]。CCPA和加州民法典作为加利福尼亚州立法，其管辖主要体现在“属地”原则，仅管辖在加利福尼亚州内进行的商业活动。

与GDPR和CCPA不同的是，《个保法》对境外个人信息处理者的管辖主要体现的是“属地+例外”的原则，即《个保法》对境外企业（非中国境内实体）在其罗列的例外情形下亦有管辖权。这些例外情形主要包括：向境内自然人提供产品或者服务为目的或分析、评估境内自然人的行为以及法律、行政法规规定的其他情形^[29]。

对于未通过在中国境内设立的实体开展相关业务的境外企业来说，其亦应据此履行《个保法》规定的通知义务。根据《个保法》的规定，境外企业作为个人信息处理者，还需要在中国境内设立专门机构或者指定代表，负责处理个人信息保护相关事务，并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门^[30]。如前一节所述，通知的监管机构的具体部门、级别及相关流程，有待中国相关实施细则的进一步明确。

（四）违反通知义务的罚则

根据GDPR，除需要接受监管部门依职权做出的相关指令外^[31]，如企业违反信息泄露通知义务，其有可能被处以至多1千万欧元或者至多上一财年全球营业额2%的罚款，以孰高者为准；出现违反监管部门对信息泄露事件的相关指令等严重情况的，其将被处以至多2千万欧元或者至多上一财年全球营业额4%的罚款，以孰高者为准。^[32]

《个保法》对于企业违反信息泄露通知义务的罚则有所不同。根据《个保法》，除对企业处以罚款外，监管部门还可以对企业直接负责的主管人员和其他直接责任人员（以下称“企业负责人员”）处以罚款，且也可对企业及企业负责人员处以其他行政处罚。

基于《个保法》第66条的规定，违反信息泄露通知义务的企业可被处以1百万元以下罚款。情节严重的，将被处以5千万元以下或上一年度营业额5%以下的罚款。对企业负责人员，其也可能被处以1万元以上10万元以下罚款，情节严重的，处以10万元以上1百万元以下罚款。

此外，根据情节严重程度，未能履行信息泄露通知义务的个人信息处理者有可能被处以责令改正、给予警告、没收违法所得、责令暂停相关业务、停业整顿、吊销相关业务许可或者吊销营业执照等处罚。企业负责人员可被禁止在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

三、结语

鉴于世界各主要经济体正陆续完善其个人信息保护法律体系，跨国企业可以提早制定针对各司法管辖区内的个人信息保护合规措施。中国的个人信息保护法律体系也在日渐完善。在出现个人信息泄露风险时，企业可以根据其已相应建立的合规体系精确判断其是否承担具体的通知义务，并根据法律要求完成其应履行的通知义务。