數據銷毀之發生數據泄露，如何上報監管、通知用戶

近期，個人信息泄露事件頻發，知名品牌DIOR、卡地亞等均向其用戶發出數據泄露通知，引起了廣泛關注。根據境內法律法規要求，企業發生個人信息泄露事件時，通常需履行向監管部門報告（“上報”）和向個人信息主體告知（“通知”）的義務。本文將對該等上報和通知義務的履行要求進行梳理。

一、發生個人信息泄露，如何通知個人？

1、什么情況下需要通知？

并非所有個人信息泄露事件，都需要通知個人。

《個人信息保護法》第五十七條規定了個人信息泄露時的通知義務，并設置了豁免條件。原則上發生或者可能發生個人信息泄露等情形的，個人信息處理者應當通知個人，但如果個人信息處理者采取措施能夠有效避免信息泄露造成危害的，可以不通知個人。

其他法律法規規定中也延續了《個人信息保護法》的這一豁免邏輯。根據《網絡數據安全管理條例》第十一條第二款的規定，網絡數據安全事件對個人合法權益造成危害的，網絡數據處理者應當及時通知利害關系人。《工業和信息化領域數據安全管理辦法（試行）》第二十八條第四款也規定，工業和信息化領域數據處理者對發生的可能損害用戶合法權益的數據安全事件，應當及時告知用戶。

綜上，當發生個人信息泄露事件時，應當判斷是否會對個人權益造成危害，如果已采取的相應措施能夠避免造成危害的，可以不通知個人，否則，應當履行對個人的通知義務。

2、通知的時間要求

《個人信息保護法》并未規定當發生個人信息泄露事件時，通知個人的具體時間要求。《網絡數據安全管理條例》征求意見稿中曾規定應當在“三個工作日內”通知利害關系人，但正式稿中并沒有保留該等三個工作日的時間要求，僅規定應當“及時”通知。《工業和信息化領域數據安全管理辦法（試行）》也僅規定應當“及時”告知用戶。

因此，當前國內法項下并沒有強制規定發生個人信息泄露事件時，通知個人的具體時間要求，僅原則性規定應當“及時”通知。建議實操中把握“及時”的標準，可暫參考上述《網絡數據安全管理條例》征求意見稿中“三個工作日內”的要求。

3、通知的方式和內容

《網絡數據安全管理條例》第十一條第二款規定了幾種通知的方式，包括“電話、短信、即時通信工具、電子郵件或者公告等”。在近期發生的幾起個人信息泄露事件中，相關企業也采取了短信、郵件的通知方式。對于通知的內容，該條規定包括了“安全事件和風險情況、危害后果、已經采取的補救措施等”。

《個人信息保護法》第五十七條第一款對通知內容的規定則更為具體，包括發生或者可能發生個人信息泄露、篡改、丟失的信息種類、原因和可能造成的危害；個人信息處理者采取的補救措施和個人可以采取的減輕危害的措施；個人信息處理者的聯系方式

4、不通知的后果

若應當通知而未通知，即屬于違法違規行為，依據《個人信息保護法》等規定，可能被處以責令改正、警告、罰款等處罰。當前實操中，大多涉及數據泄露的案例系因企業未履行數據安全保護義務導致數據泄露而被處罰，但也有處罰案例中涉及的違法行為包括“未及時告知個人”。

在實務場景中，企業面對個人信息泄露事件時，就是否通知用戶常陷入兩難。這不僅是法律合規性的技術判斷，更像是天平兩端的利益權衡 —— 一端是法定通知義務，另一端則是企業對聲譽風險、市場信任的現實考量。如上述分析，并非所有個人信息泄露事件均需要通知，若企業可以合理論證不會對個人權益造成危害，則可以無需通知。否則，還是應當按規定及時通知個人

二、發生個人信息泄露，如何上報監管？

1、是否所有個人信息泄露事件，都要上報？

根據《個人信息保護法》第五十七條規定，發生或者可能發生個人信息泄露等情形時，個人信息處理者應當通知監管部門。對于向監管部門的上報義務，《個人信息保護法》并未設置豁免條件。從文字理解，只要發生個人信息泄露事件，均仍應當上報監管部門。《個人信息保護法》第五十七條同時也規定了責令通知的要求，即如果監管部門認為個人信息泄露可能造成危害的，有權要求個人信息處理者通知個人。而“無條件上報”監管部門的規定一定程度上也是與該等“責令通知”要求相銜接，避免將造成危害與否的決定權完全交給個人信息處理者。

但難點在于，除《個人信息保護法》的上述規定外，其他法律法規中還規定了對網絡安全事件、數據安全事件的上報要求，個人信息泄露事件一定程度上與網絡安全事件、數據安全事件存在交叉，而網絡安全事件和數據安全事件的上報要求可能與《個人信息保護法》的規定并不一致。

根據《網絡安全法》、《數據安全法》的規定，發生網絡安全事件、數據安全事件時，應當按照“規定”向有關主管部門報告。當前關于該等“規定”的要求，主要包括：

• 《國家網絡安全事件應急預案》規定，網絡安全事件發生后，事發單位應當及時報送信息，網絡安全事件是指對網絡和信息系統或者其中的數據造成危害，對社會造成負面影響的事件。
• 《網絡安全事件報告管理辦法（征求意見稿》規定，運營者在發生網絡安全事件時，按照《網絡安全事件分級指南》，屬于較大、重大或特別重大網絡安全事件的，應當于1小時內進行報告。網絡安全事件是指對網絡和信息系統或其中的數據造成危害，對社會造成負面影響的事件。根據《網絡安全事件分級指南》，泄露100萬人以上個人信息，即符合較大網絡安全事件的標準
• 《工業和信息化領域數據安全管理辦法（試行）》第二十七條第三款規定，工業和信息化領域數據處理者應當及時將可能造成較大及以上安全事件的風險向本地區行業監管部門報告。《工業和信息化領域數據安全事件應急預案（試行）》根據數據安全事件對國家安全、企業網絡設施和信息系統、生產運營、經濟運行等造成的影響范圍和危害程度，將數據安全事件分為特別重大、重大、較大和一般四個級別。其中，發生較嚴重個人信息安全事件，涉及100萬人（含）以上1000萬人以下個人信息或者10萬人（含）以上100萬人以下敏感個人信息的為較大安全事件。

綜上規定，網絡安全事件、數據安全事件管理更多關注可能對社會造成負面影響的事件，通常要求上報較大及以上級別的安全事件。對于個人信息泄露事件，如果達到上述規定中的“人數”要求，構成較大及以上級別安全事件，則需要按照網絡安全事件、數據安全事件管理要求進行上報，這一點與《個人信息保護法》規定的“無條件上報”義務并不一致。

需要注意的是，某些特定領域關于上報標準可能有其特殊規定。例如金融領域，根據《中國人民銀行業務領域網絡安全事件報告管理辦法》第十五條規定，金融從業機構發生較大等級以上網絡安全事件后，應當于1小時內報送網絡安全事件事發簡要報告，并在24小時內報送網絡安全事件事發報告。金融從業機構發生網絡安全事件，尚未達到較大等級，但出現相關輿情信息進入社交媒體、搜索引擎或者新聞網站熱點榜等情形，引發較大輿情的，也應當按規定進行報告。根據該《中國人民銀行業務領域網絡安全事件報告管理辦法》規定，泄露500條以上征信信息、財產信息，或者致使泄露5萬條以上個人信息的，即達到“較大網絡安全事件”的門檻。

因此，考慮到網絡安全事件、數據安全事件上報規定與《個人信息保護法》規定下個人信息泄露時的“無條件上報”義務并不完全一致。企業在發生個人信息泄露時，即便未達到網絡安全事件、數據安全事件的上報標準，也應當首先按照《個人信息保護法》規定，主動與監管部門聯系，告知個人信息泄露事件情況，與監管部門確定具體上報要求。若個人信息泄露已經達到網絡安全事件、數據安全事件上報標準的，則除《個人信息保護法》規定外，還應當按照網絡安全事件、數據安全事件相關管理規定履行上報義務。

2、向哪個監管部門報告

通常上報的監管部門包括屬地網信部門以及行業主管監管部門，涉嫌犯罪的，還應當向屬地公安機關報告。例如，對于工信領域的數據處理者，該等行業主管監管部門通常為地方工信部門、通信管理局。對于金融領域的數據處理者，該等行業主管監管部門通常為中國人民銀行或其分支機構、國家金融監督管理總局或其派出機構。

3、報告的時間要求

綜合個人信息保護相關規定，以及網絡安全管理、數據安全管理相關規定，向監管報告的義務通常包括事發報告、事中報告以及事后報告

《個人信息保護法》未規定事發報告的具體時間要求。歐盟GDPR規定，應當盡快且最遲自知道個人數據泄露之時起72小時之內通知監管機構。

若構成較大及以上網絡安全事件、數據安全事件，相關規定可能有更細節的上報時間要求。《網絡安全事件報告管理辦法（征求意見稿）》規定屬于較大、重大或特別重大網絡安全事件的，應當于1小時內進行報告。事件報告后出現新的重要情況或調查取得階段性進展，相關單位應當及時報告。事件處置結束后，運營者應當于5個工作日內對事件原因、應急處置措施、危害、責任處理、整改情況、教訓等進行全面分析總結，形成報告按照原渠道上報。

此外，對于特定行業領域，可能有其特定報告時間規定。例如，工信領域，根據《工業和信息化領域數據安全事件應急預案（試行）》規定，工業和信息化領域數據處理者一旦發現數據安全事件，應當立即先行判斷，對自判為較大及以上事件的，應當立即向地方行業監管部門報告。重大及以上數據安全事件應急工作結束后，涉事數據處理者應當在應急工作結束后5個工作日內形成總結報告，報地方行業監管部門。金融領域，《銀行保險機構數據安全管理辦法》和《中國人民銀行業務領域網絡安全事件報告管理辦法》對于上報時間也有具體要求，可參照執行。

4、報告的方式和內容

《個人信息保護法》未規定發生個人信息泄露時通知監管部門的具體方式，《個人信息保護法》規定通知的內容應當包括：（一）發生或者可能發生個人信息泄露、篡改、丟失的信息種類、原因和可能造成的危害；（二）個人信息處理者采取的補救措施和個人可以采取的減輕危害的措施；（三）個人信息處理者的聯系方式。

《網絡安全事件報告管理辦法（征求意見稿）》中提供了《網絡安全事件信息報告表》，規定應當按照《網絡安全事件信息報告表》報告網絡安全事件。

某些特定行業領域可能對上報的方式和內容有特定要求，例如工信領域，《工業和信息化領域數據安全事件應急預案（試行）》中提供了《數據安全事件上報（模板）》、《數據安全事件應急處置工作總結報告（模板）》，可按照該等模板內容進行上報。金融領域，《中國人民銀行業務領域網絡安全事件報告管理辦法》規定，金融從業機構可以通過電話、即時通信工具、電子郵件、傳真或者中國人民銀行指定的信息系統報送網絡安全事件事發簡要報告、事發報告和事中進展報告，同時，辦法中也對該等報告所應包含的內容作出了規定。

文件硬盤數據銷毀