近期，個人信息泄露事件頻發(fā)，知名品牌DIOR、卡地亞等均向其用戶發(fā)出數(shù)據(jù)泄露通知，引起了廣泛關(guān)注。根據(jù)境內(nèi)法律法規(guī)要求，企業(yè)發(fā)生個人信息泄露事件時，通常需履行向監(jiān)管部門報告（“上報”）和向個人信息主體告知（“通知”）的義務(wù)。本文將對該等上報和通知義務(wù)的履行要求進行梳理。

一、發(fā)生個人信息泄露，如何通知個人？

1、什么情況下需要通知？

并非所有個人信息泄露事件，都需要通知個人。

《個人信息保護法》第五十七條規(guī)定了個人信息泄露時的通知義務(wù)，并設(shè)置了豁免條件。原則上發(fā)生或者可能發(fā)生個人信息泄露等情形的，個人信息處理者應當通知個人，但如果個人信息處理者采取措施能夠有效避免信息泄露造成危害的，可以不通知個人。

其他法律法規(guī)規(guī)定中也延續(xù)了《個人信息保護法》的這一豁免邏輯。根據(jù)《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》第十一條第二款的規(guī)定，網(wǎng)絡(luò)數(shù)據(jù)安全事件對個人合法權(quán)益造成危害的，網(wǎng)絡(luò)數(shù)據(jù)處理者應當及時通知利害關(guān)系人?！豆I(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》第二十八條第四款也規(guī)定，工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者對發(fā)生的可能損害用戶合法權(quán)益的數(shù)據(jù)安全事件，應當及時告知用戶。

綜上，當發(fā)生個人信息泄露事件時，應當判斷是否會對個人權(quán)益造成危害，如果已采取的相應措施能夠避免造成危害的，可以不通知個人，否則，應當履行對個人的通知義務(wù)。

2、通知的時間要求

《個人信息保護法》并未規(guī)定當發(fā)生個人信息泄露事件時，通知個人的具體時間要求?！毒W(wǎng)絡(luò)數(shù)據(jù)安全管理條例》征求意見稿中曾規(guī)定應當在“三個工作日內(nèi)”通知利害關(guān)系人，但正式稿中并沒有保留該等三個工作日的時間要求，僅規(guī)定應當“及時”通知?！豆I(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》也僅規(guī)定應當“及時”告知用戶。

因此，當前國內(nèi)法項下并沒有強制規(guī)定發(fā)生個人信息泄露事件時，通知個人的具體時間要求，僅原則性規(guī)定應當“及時”通知。建議實操中把握“及時”的標準，可暫參考上述《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》征求意見稿中“三個工作日內(nèi)”的要求。

3、通知的方式和內(nèi)容

《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》第十一條第二款規(guī)定了幾種通知的方式，包括“電話、短信、即時通信工具、電子郵件或者公告等”。在近期發(fā)生的幾起個人信息泄露事件中，相關(guān)企業(yè)也采取了短信、郵件的通知方式。對于通知的內(nèi)容，該條規(guī)定包括了“安全事件和風險情況、危害后果、已經(jīng)采取的補救措施等”。

《個人信息保護法》第五十七條第一款對通知內(nèi)容的規(guī)定則更為具體，包括發(fā)生或者可能發(fā)生個人信息泄露、篡改、丟失的信息種類、原因和可能造成的危害；個人信息處理者采取的補救措施和個人可以采取的減輕危害的措施；個人信息處理者的聯(lián)系方式

4、不通知的后果

若應當通知而未通知，即屬于違法違規(guī)行為，依據(jù)《個人信息保護法》等規(guī)定，可能被處以責令改正、警告、罰款等處罰。當前實操中，大多涉及數(shù)據(jù)泄露的案例系因企業(yè)未履行數(shù)據(jù)安全保護義務(wù)導致數(shù)據(jù)泄露而被處罰，但也有處罰案例中涉及的違法行為包括“未及時告知個人”。

在實務(wù)場景中，企業(yè)面對個人信息泄露事件時，就是否通知用戶常陷入兩難。這不僅是法律合規(guī)性的技術(shù)判斷，更像是天平兩端的利益權(quán)衡 —— 一端是法定通知義務(wù)，另一端則是企業(yè)對聲譽風險、市場信任的現(xiàn)實考量。如上述分析，并非所有個人信息泄露事件均需要通知，若企業(yè)可以合理論證不會對個人權(quán)益造成危害，則可以無需通知。否則，還是應當按規(guī)定及時通知個人

二、發(fā)生個人信息泄露，如何上報監(jiān)管？

1、是否所有個人信息泄露事件，都要上報？

根據(jù)《個人信息保護法》第五十七條規(guī)定，發(fā)生或者可能發(fā)生個人信息泄露等情形時，個人信息處理者應當通知監(jiān)管部門。對于向監(jiān)管部門的上報義務(wù)，《個人信息保護法》并未設(shè)置豁免條件。從文字理解，只要發(fā)生個人信息泄露事件，均仍應當上報監(jiān)管部門。《個人信息保護法》第五十七條同時也規(guī)定了責令通知的要求，即如果監(jiān)管部門認為個人信息泄露可能造成危害的，有權(quán)要求個人信息處理者通知個人。而“無條件上報”監(jiān)管部門的規(guī)定一定程度上也是與該等“責令通知”要求相銜接，避免將造成危害與否的決定權(quán)完全交給個人信息處理者。

但難點在于，除《個人信息保護法》的上述規(guī)定外，其他法律法規(guī)中還規(guī)定了對網(wǎng)絡(luò)安全事件、數(shù)據(jù)安全事件的上報要求，個人信息泄露事件一定程度上與網(wǎng)絡(luò)安全事件、數(shù)據(jù)安全事件存在交叉，而網(wǎng)絡(luò)安全事件和數(shù)據(jù)安全事件的上報要求可能與《個人信息保護法》的規(guī)定并不一致。

根據(jù)《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》的規(guī)定，發(fā)生網(wǎng)絡(luò)安全事件、數(shù)據(jù)安全事件時，應當按照“規(guī)定”向有關(guān)主管部門報告。當前關(guān)于該等“規(guī)定”的要求，主要包括：

• 《國家網(wǎng)絡(luò)安全事件應急預案》規(guī)定，網(wǎng)絡(luò)安全事件發(fā)生后，事發(fā)單位應當及時報送信息，網(wǎng)絡(luò)安全事件是指對網(wǎng)絡(luò)和信息系統(tǒng)或者其中的數(shù)據(jù)造成危害，對社會造成負面影響的事件。
• 《網(wǎng)絡(luò)安全事件報告管理辦法（征求意見稿》規(guī)定，運營者在發(fā)生網(wǎng)絡(luò)安全事件時，按照《網(wǎng)絡(luò)安全事件分級指南》，屬于較大、重大或特別重大網(wǎng)絡(luò)安全事件的，應當于1小時內(nèi)進行報告。網(wǎng)絡(luò)安全事件是指對網(wǎng)絡(luò)和信息系統(tǒng)或其中的數(shù)據(jù)造成危害，對社會造成負面影響的事件。根據(jù)《網(wǎng)絡(luò)安全事件分級指南》，泄露100萬人以上個人信息，即符合較大網(wǎng)絡(luò)安全事件的標準
• 《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》第二十七條第三款規(guī)定，工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者應當及時將可能造成較大及以上安全事件的風險向本地區(qū)行業(yè)監(jiān)管部門報告?！豆I(yè)和信息化領(lǐng)域數(shù)據(jù)安全事件應急預案（試行）》根據(jù)數(shù)據(jù)安全事件對國家安全、企業(yè)網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)、生產(chǎn)運營、經(jīng)濟運行等造成的影響范圍和危害程度，將數(shù)據(jù)安全事件分為特別重大、重大、較大和一般四個級別。其中，發(fā)生較嚴重個人信息安全事件，涉及100萬人（含）以上1000萬人以下個人信息或者10萬人（含）以上100萬人以下敏感個人信息的為較大安全事件。

綜上規(guī)定，網(wǎng)絡(luò)安全事件、數(shù)據(jù)安全事件管理更多關(guān)注可能對社會造成負面影響的事件，通常要求上報較大及以上級別的安全事件。對于個人信息泄露事件，如果達到上述規(guī)定中的“人數(shù)”要求，構(gòu)成較大及以上級別安全事件，則需要按照網(wǎng)絡(luò)安全事件、數(shù)據(jù)安全事件管理要求進行上報，這一點與《個人信息保護法》規(guī)定的“無條件上報”義務(wù)并不一致。

需要注意的是，某些特定領(lǐng)域關(guān)于上報標準可能有其特殊規(guī)定。例如金融領(lǐng)域，根據(jù)《中國人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)安全事件報告管理辦法》第十五條規(guī)定，金融從業(yè)機構(gòu)發(fā)生較大等級以上網(wǎng)絡(luò)安全事件后，應當于1小時內(nèi)報送網(wǎng)絡(luò)安全事件事發(fā)簡要報告，并在24小時內(nèi)報送網(wǎng)絡(luò)安全事件事發(fā)報告。金融從業(yè)機構(gòu)發(fā)生網(wǎng)絡(luò)安全事件，尚未達到較大等級，但出現(xiàn)相關(guān)輿情信息進入社交媒體、搜索引擎或者新聞網(wǎng)站熱點榜等情形，引發(fā)較大輿情的，也應當按規(guī)定進行報告。根據(jù)該《中國人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)安全事件報告管理辦法》規(guī)定，泄露500條以上征信信息、財產(chǎn)信息，或者致使泄露5萬條以上個人信息的，即達到“較大網(wǎng)絡(luò)安全事件”的門檻。

因此，考慮到網(wǎng)絡(luò)安全事件、數(shù)據(jù)安全事件上報規(guī)定與《個人信息保護法》規(guī)定下個人信息泄露時的“無條件上報”義務(wù)并不完全一致。企業(yè)在發(fā)生個人信息泄露時，即便未達到網(wǎng)絡(luò)安全事件、數(shù)據(jù)安全事件的上報標準，也應當首先按照《個人信息保護法》規(guī)定，主動與監(jiān)管部門聯(lián)系，告知個人信息泄露事件情況，與監(jiān)管部門確定具體上報要求。若個人信息泄露已經(jīng)達到網(wǎng)絡(luò)安全事件、數(shù)據(jù)安全事件上報標準的，則除《個人信息保護法》規(guī)定外，還應當按照網(wǎng)絡(luò)安全事件、數(shù)據(jù)安全事件相關(guān)管理規(guī)定履行上報義務(wù)。

2、向哪個監(jiān)管部門報告

通常上報的監(jiān)管部門包括屬地網(wǎng)信部門以及行業(yè)主管監(jiān)管部門，涉嫌犯罪的，還應當向?qū)俚毓矙C關(guān)報告。例如，對于工信領(lǐng)域的數(shù)據(jù)處理者，該等行業(yè)主管監(jiān)管部門通常為地方工信部門、通信管理局。對于金融領(lǐng)域的數(shù)據(jù)處理者，該等行業(yè)主管監(jiān)管部門通常為中國人民銀行或其分支機構(gòu)、國家金融監(jiān)督管理總局或其派出機構(gòu)。

3、報告的時間要求

綜合個人信息保護相關(guān)規(guī)定，以及網(wǎng)絡(luò)安全管理、數(shù)據(jù)安全管理相關(guān)規(guī)定，向監(jiān)管報告的義務(wù)通常包括事發(fā)報告、事中報告以及事后報告

《個人信息保護法》未規(guī)定事發(fā)報告的具體時間要求。歐盟GDPR規(guī)定，應當盡快且最遲自知道個人數(shù)據(jù)泄露之時起72小時之內(nèi)通知監(jiān)管機構(gòu)。

若構(gòu)成較大及以上網(wǎng)絡(luò)安全事件、數(shù)據(jù)安全事件，相關(guān)規(guī)定可能有更細節(jié)的上報時間要求。《網(wǎng)絡(luò)安全事件報告管理辦法（征求意見稿）》規(guī)定屬于較大、重大或特別重大網(wǎng)絡(luò)安全事件的，應當于1小時內(nèi)進行報告。事件報告后出現(xiàn)新的重要情況或調(diào)查取得階段性進展，相關(guān)單位應當及時報告。事件處置結(jié)束后，運營者應當于5個工作日內(nèi)對事件原因、應急處置措施、危害、責任處理、整改情況、教訓等進行全面分析總結(jié)，形成報告按照原渠道上報。

此外，對于特定行業(yè)領(lǐng)域，可能有其特定報告時間規(guī)定。例如，工信領(lǐng)域，根據(jù)《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全事件應急預案（試行）》規(guī)定，工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者一旦發(fā)現(xiàn)數(shù)據(jù)安全事件，應當立即先行判斷，對自判為較大及以上事件的，應當立即向地方行業(yè)監(jiān)管部門報告。重大及以上數(shù)據(jù)安全事件應急工作結(jié)束后，涉事數(shù)據(jù)處理者應當在應急工作結(jié)束后5個工作日內(nèi)形成總結(jié)報告，報地方行業(yè)監(jiān)管部門。金融領(lǐng)域，《銀行保險機構(gòu)數(shù)據(jù)安全管理辦法》和《中國人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)安全事件報告管理辦法》對于上報時間也有具體要求，可參照執(zhí)行。

4、報告的方式和內(nèi)容

《個人信息保護法》未規(guī)定發(fā)生個人信息泄露時通知監(jiān)管部門的具體方式，《個人信息保護法》規(guī)定通知的內(nèi)容應當包括：（一）發(fā)生或者可能發(fā)生個人信息泄露、篡改、丟失的信息種類、原因和可能造成的危害；（二）個人信息處理者采取的補救措施和個人可以采取的減輕危害的措施；（三）個人信息處理者的聯(lián)系方式。

《網(wǎng)絡(luò)安全事件報告管理辦法（征求意見稿）》中提供了《網(wǎng)絡(luò)安全事件信息報告表》，規(guī)定應當按照《網(wǎng)絡(luò)安全事件信息報告表》報告網(wǎng)絡(luò)安全事件。

某些特定行業(yè)領(lǐng)域可能對上報的方式和內(nèi)容有特定要求，例如工信領(lǐng)域，《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全事件應急預案（試行）》中提供了《數(shù)據(jù)安全事件上報（模板）》、《數(shù)據(jù)安全事件應急處置工作總結(jié)報告（模板）》，可按照該等模板內(nèi)容進行上報。金融領(lǐng)域，《中國人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)安全事件報告管理辦法》規(guī)定，金融從業(yè)機構(gòu)可以通過電話、即時通信工具、電子郵件、傳真或者中國人民銀行指定的信息系統(tǒng)報送網(wǎng)絡(luò)安全事件事發(fā)簡要報告、事發(fā)報告和事中進展報告，同時，辦法中也對該等報告所應包含的內(nèi)容作出了規(guī)定。