近期,个人信息泄露事件频发,知名品牌DIOR、卡地亚等均向其用户发出数据泄露通知,引起了广泛关注。根据境内法律法规要求,企业发生个人信息泄露事件时,通常需履行向监管部门报告(“上报”)和向个人信息主体告知(“通知”)的义务。本文将对该等上报和通知义务的履行要求进行梳理。
一、发生个人信息泄露,如何通知个人?
1、什么情况下需要通知?
并非所有个人信息泄露事件,都需要通知个人。
《个人信息保护法》第五十七条规定了个人信息泄露时的通知义务,并设置了豁免条件。原则上发生或者可能发生个人信息泄露等情形的,个人信息处理者应当通知个人,但如果个人信息处理者采取措施能够有效避免信息泄露造成危害的,可以不通知个人。
其他法律法规规定中也延续了《个人信息保护法》的这一豁免逻辑。根据《网络数据安全管理条例》第十一条第二款的规定,网络数据安全事件对个人合法权益造成危害的,网络数据处理者应当及时通知利害关系人。《工业和信息化领域数据安全管理办法(试行)》第二十八条第四款也规定,工业和信息化领域数据处理者对发生的可能损害用户合法权益的数据安全事件,应当及时告知用户。
综上,当发生个人信息泄露事件时,应当判断是否会对个人权益造成危害,如果已采取的相应措施能够避免造成危害的,可以不通知个人,否则,应当履行对个人的通知义务。
2、通知的时间要求
《个人信息保护法》并未规定当发生个人信息泄露事件时,通知个人的具体时间要求。《网络数据安全管理条例》征求意见稿中曾规定应当在“三个工作日内”通知利害关系人,但正式稿中并没有保留该等三个工作日的时间要求,仅规定应当“及时”通知。《工业和信息化领域数据安全管理办法(试行)》也仅规定应当“及时”告知用户。
因此,当前国内法项下并没有强制规定发生个人信息泄露事件时,通知个人的具体时间要求,仅原则性规定应当“及时”通知。建议实操中把握“及时”的标准,可暂参考上述《网络数据安全管理条例》征求意见稿中“三个工作日内”的要求。
3、通知的方式和内容
《网络数据安全管理条例》第十一条第二款规定了几种通知的方式,包括“电话、短信、即时通信工具、电子邮件或者公告等”。在近期发生的几起个人信息泄露事件中,相关企业也采取了短信、邮件的通知方式。对于通知的内容,该条规定包括了“安全事件和风险情况、危害后果、已经采取的补救措施等”。
《个人信息保护法》第五十七条第一款对通知内容的规定则更为具体,包括发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施;个人信息处理者的联系方式。
4、不通知的后果
若应当通知而未通知,即属于违法违规行为,依据《个人信息保护法》等规定,可能被处以责令改正、警告、罚款等处罚。当前实操中,大多涉及数据泄露的案例系因企业未履行数据安全保护义务导致数据泄露而被处罚,但也有处罚案例中涉及的违法行为包括“未及时告知个人”。
在实务场景中,企业面对个人信息泄露事件时,就是否通知用户常陷入两难。这不仅是法律合规性的技术判断,更像是天平两端的利益权衡 —— 一端是法定通知义务,另一端则是企业对声誉风险、市场信任的现实考量。如上述分析,并非所有个人信息泄露事件均需要通知,若企业可以合理论证不会对个人权益造成危害,则可以无需通知。否则,还是应当按规定及时通知个人。
二、发生个人信息泄露,如何上报监管?
1、是否所有个人信息泄露事件,都要上报?
根据《个人信息保护法》第五十七条规定,发生或者可能发生个人信息泄露等情形时,个人信息处理者应当通知监管部门。对于向监管部门的上报义务,《个人信息保护法》并未设置豁免条件。从文字理解,只要发生个人信息泄露事件,均仍应当上报监管部门。《个人信息保护法》第五十七条同时也规定了责令通知的要求,即如果监管部门认为个人信息泄露可能造成危害的,有权要求个人信息处理者通知个人。而“无条件上报”监管部门的规定一定程度上也是与该等“责令通知”要求相衔接,避免将造成危害与否的决定权完全交给个人信息处理者。
但难点在于,除《个人信息保护法》的上述规定外,其他法律法规中还规定了对网络安全事件、数据安全事件的上报要求,个人信息泄露事件一定程度上与网络安全事件、数据安全事件存在交叉,而网络安全事件和数据安全事件的上报要求可能与《个人信息保护法》的规定并不一致。
根据《网络安全法》、《数据安全法》的规定,发生网络安全事件、数据安全事件时,应当按照“规定”向有关主管部门报告。当前关于该等“规定”的要求,主要包括:
《国家网络安全事件应急预案》规定,网络安全事件发生后,事发单位应当及时报送信息,网络安全事件是指对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件。
《网络安全事件报告管理办法(征求意见稿》规定,运营者在发生网络安全事件时,按照《网络安全事件分级指南》,属于较大、重大或特别重大网络安全事件的,应当于1小时内进行报告。网络安全事件是指对网络和信息系统或其中的数据造成危害,对社会造成负面影响的事件。根据《网络安全事件分级指南》,泄露100万人以上个人信息,即符合较大网络安全事件的标准。
《工业和信息化领域数据安全管理办法(试行)》第二十七条第三款规定,工业和信息化领域数据处理者应当及时将可能造成较大及以上安全事件的风险向本地区行业监管部门报告。《工业和信息化领域数据安全事件应急预案(试行)》根据数据安全事件对国家安全、企业网络设施和信息系统、生产运营、经济运行等造成的影响范围和危害程度,将数据安全事件分为特别重大、重大、较大和一般四个级别。其中,发生较严重个人信息安全事件,涉及100万人(含)以上1000万人以下个人信息或者10万人(含)以上100万人以下敏感个人信息的为较大安全事件。
综上规定,网络安全事件、数据安全事件管理更多关注可能对社会造成负面影响的事件,通常要求上报较大及以上级别的安全事件。对于个人信息泄露事件,如果达到上述规定中的“人数”要求,构成较大及以上级别安全事件,则需要按照网络安全事件、数据安全事件管理要求进行上报,这一点与《个人信息保护法》规定的“无条件上报”义务并不一致。
需要注意的是,某些特定领域关于上报标准可能有其特殊规定。例如金融领域,根据《中国人民银行业务领域网络安全事件报告管理办法》第十五条规定,金融从业机构发生较大等级以上网络安全事件后,应当于1小时内报送网络安全事件事发简要报告,并在24小时内报送网络安全事件事发报告。金融从业机构发生网络安全事件,尚未达到较大等级,但出现相关舆情信息进入社交媒体、搜索引擎或者新闻网站热点榜等情形,引发较大舆情的,也应当按规定进行报告。根据该《中国人民银行业务领域网络安全事件报告管理办法》规定,泄露500条以上征信信息、财产信息,或者致使泄露5万条以上个人信息的,即达到“较大网络安全事件”的门槛。
因此,考虑到网络安全事件、数据安全事件上报规定与《个人信息保护法》规定下个人信息泄露时的“无条件上报”义务并不完全一致。企业在发生个人信息泄露时,即便未达到网络安全事件、数据安全事件的上报标准,也应当首先按照《个人信息保护法》规定,主动与监管部门联系,告知个人信息泄露事件情况,与监管部门确定具体上报要求。若个人信息泄露已经达到网络安全事件、数据安全事件上报标准的,则除《个人信息保护法》规定外,还应当按照网络安全事件、数据安全事件相关管理规定履行上报义务。
2、向哪个监管部门报告
通常上报的监管部门包括属地网信部门以及行业主管监管部门,涉嫌犯罪的,还应当向属地公安机关报告。例如,对于工信领域的数据处理者,该等行业主管监管部门通常为地方工信部门、通信管理局。对于金融领域的数据处理者,该等行业主管监管部门通常为中国人民银行或其分支机构、国家金融监督管理总局或其派出机构。
3、报告的时间要求
综合个人信息保护相关规定,以及网络安全管理、数据安全管理相关规定,向监管报告的义务通常包括事发报告、事中报告以及事后报告。
《个人信息保护法》未规定事发报告的具体时间要求。欧盟GDPR规定,应当尽快且最迟自知道个人数据泄露之时起72小时之内通知监管机构。
若构成较大及以上网络安全事件、数据安全事件,相关规定可能有更细节的上报时间要求。《网络安全事件报告管理办法(征求意见稿)》规定属于较大、重大或特别重大网络安全事件的,应当于1小时内进行报告。事件报告后出现新的重要情况或调查取得阶段性进展,相关单位应当及时报告。事件处置结束后,运营者应当于5个工作日内对事件原因、应急处置措施、危害、责任处理、整改情况、教训等进行全面分析总结,形成报告按照原渠道上报。
此外,对于特定行业领域,可能有其特定报告时间规定。例如,工信领域,根据《工业和信息化领域数据安全事件应急预案(试行)》规定,工业和信息化领域数据处理者一旦发现数据安全事件,应当立即先行判断,对自判为较大及以上事件的,应当立即向地方行业监管部门报告。重大及以上数据安全事件应急工作结束后,涉事数据处理者应当在应急工作结束后5个工作日内形成总结报告,报地方行业监管部门。金融领域,《银行保险机构数据安全管理办法》和《中国人民银行业务领域网络安全事件报告管理办法》对于上报时间也有具体要求,可参照执行。
4、报告的方式和内容
《个人信息保护法》未规定发生个人信息泄露时通知监管部门的具体方式,《个人信息保护法》规定通知的内容应当包括:(一)发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;(二)个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施;(三)个人信息处理者的联系方式。
《网络安全事件报告管理办法(征求意见稿)》中提供了《网络安全事件信息报告表》,规定应当按照《网络安全事件信息报告表》报告网络安全事件。
某些特定行业领域可能对上报的方式和内容有特定要求,例如工信领域,《工业和信息化领域数据安全事件应急预案(试行)》中提供了《数据安全事件上报(模板)》、《数据安全事件应急处置工作总结报告(模板)》,可按照该等模板内容进行上报。金融领域,《中国人民银行业务领域网络安全事件报告管理办法》规定,金融从业机构可以通过电话、即时通信工具、电子邮件、传真或者中国人民银行指定的信息系统报送网络安全事件事发简要报告、事发报告和事中进展报告,同时,办法中也对该等报告所应包含的内容作出了规定。
文件硬盘数据销毁