我國既有法律法規(guī)有多處涉及對“數(shù)據(jù)泄露”及其他相關行為的描述，主要包括：

可見，現(xiàn)行法下所規(guī)制的行為遠遠超出“數(shù)據(jù)泄露”的范疇，而指向的是更普遍意義上的“數(shù)據(jù)安全事件”，即指向一種既有的受監(jiān)管數(shù)據(jù)^[注1]安全狀態(tài)或秩序的喪失，這種喪失可以是源于不法竊取所導致的泄露、也可能是源于內(nèi)外部原因?qū)е碌臄?shù)據(jù)丟失、篡改、毀壞，或是源于未經(jīng)授權的公開、傳輸?shù)取?/span>^[注2]對于企業(yè)而言，只要發(fā)生此類數(shù)據(jù)安全事件，即需要啟動相應的應急預案和內(nèi)部流程，并履行相應的法律義務。

盡管各國立法都采取了一系列制度安排來力圖確保數(shù)據(jù)的安全，但這些規(guī)則的意義更多在于降低數(shù)據(jù)安全事件的發(fā)生頻率或發(fā)生后的損害后果，而不可能完全地杜絕數(shù)據(jù)安全事件的發(fā)生。很多時候，數(shù)據(jù)安全事件的發(fā)生并非是企業(yè)違反了數(shù)據(jù)安全保障義務所導致的，且其發(fā)生往往超出了數(shù)據(jù)處理者所能控制的范圍，故而從數(shù)據(jù)安全事件治理的角度出發(fā)，僅僅將發(fā)生數(shù)據(jù)安全事件視為違法而處罰數(shù)據(jù)處理者對數(shù)據(jù)治理的幫助極為有限。如何確保受影響的個人/用戶在數(shù)據(jù)安全事件發(fā)生后的權益得到保障，以及如何提高追溯數(shù)據(jù)安全事件的效率，應作為數(shù)據(jù)安全事件治理相關規(guī)則制定時的重點關注要素。

基于此，各國立法普遍規(guī)定了數(shù)據(jù)安全事件發(fā)生之后的通知義務，即向用戶告知數(shù)據(jù)安全事件的相關情況，以及將數(shù)據(jù)安全事件的相關信息告知履行個人信息保護職責的部門，以實現(xiàn)對數(shù)據(jù)安全事件的監(jiān)管。我國《網(wǎng)絡安全法》《個人信息保護法》《網(wǎng)絡數(shù)據(jù)安全管理條例》也均對相應的制度作出了規(guī)定。

我國《網(wǎng)絡安全法》第42條、《個人信息保護法》第57條和《網(wǎng)絡數(shù)據(jù)安全管理條例》第11條均對發(fā)生安全事件后的通知義務作了規(guī)定。

(一) 通知監(jiān)管部門

《網(wǎng)絡安全法》《個人信息保護法》和《網(wǎng)絡數(shù)據(jù)安全管理條例》均明確了向監(jiān)管部門的通知義務。對于通知的時間，參照《網(wǎng)絡安全事件報告管理辦法（征求意見稿）》，當發(fā)生較大、重大或者特別重大網(wǎng)絡事件的，運營者應在1小時內(nèi)報告。收到初次報告后，仍有進一步報告義務的部門和機構，也都應在1小時內(nèi)履行報告義務。

關于如何識別較大、重大或者特別重大網(wǎng)絡安全事件，可以參考以下表格：

同時，參照《網(wǎng)絡安全事件報告管理辦法（征求意見稿）》，報告的內(nèi)容和報告對象應滿足以下要求：

(二) 通知個人/用戶

如果說，就發(fā)生數(shù)據(jù)安全事件如何向監(jiān)管部門報告，既有的法律法規(guī)已經(jīng)給出了一個大致可以指導實操的框架和流程，那么對于在發(fā)生數(shù)據(jù)安全事件后如何向個人/用戶進行告知，實踐中目前還未有較為統(tǒng)一的實踐。對于涉事企業(yè)而言，無論采用何種形式進行通知，都無法避免關于數(shù)據(jù)安全事件的“通知”變成事實上的“公告”，故而通知形式的選擇和通知文案的撰寫很多時候需要考慮多種因素。但從合規(guī)的層面來看，在考慮如何通知數(shù)據(jù)安全事件中受影響的個人/用戶的過程中，至少應當考慮以下要素：

• 通知對象上看，不僅包括受影響的個人，還包括受影響的組織（尤其是對于to B的企業(yè)而言）。盡管《個人信息保護法》第57條僅僅規(guī)定了應當通知相關個人，但結合《網(wǎng)絡數(shù)據(jù)安全管理條例》第11條的規(guī)定、實踐中常見的協(xié)議安排及行業(yè)慣例，企業(yè)往往也需要通知受影響的B端客戶/合作伙伴。

• 通知形式上看，電話、短信、即時通信工具、電子郵件或者公告等都是可以選擇的方式，但從實質(zhì)重于形式的角度出發(fā)，并結合效率上的考慮，短信和電子郵件的方式效果更佳，實踐中使用頻率也更高。

• 通知內(nèi)容上，法定通知內(nèi)容包括：（一）發(fā)生或者可能發(fā)生個人信息泄露、篡改、丟失的信息種類、原因和可能造成的危害；（二）個人信息處理者采取的補救措施和個人可以采取的減輕危害的措施；（三）個人信息處理者的聯(lián)系方式。

  除此之外，需要特別考慮事件所涉及的信息種類的完整性以及與其他業(yè)務文本的一致性。對于某些衍生數(shù)據(jù)，如消費偏好、消費水平等，若可能涉及泄露、篡改、丟失的，也應當披露。對于傳輸至境外的個人信息，若發(fā)生泄露，也應當進行披露。

• 通知時間上，盡管法律法規(guī)并未對向相關方發(fā)出通知的事件作出明確要求，但應當確保在合理的時間內(nèi)盡早告知，以便相關方采取必要的行動，防止損失的擴大。同時，還應當確保通知的時間不違反同B端客戶/合作伙伴之間的協(xié)議約定。

• 盡管根據(jù)《個人信息保護法》第57條規(guī)定，在個人信息處理者采取措施能夠有效避免信息泄露、篡改、丟失造成危害的情況下，個人信息處理者可以不通知個人，但“避免造成危害”這一標準實踐中很難達到，且其認定的主動權也不在企業(yè)自身，故不應對援引該條來豁免對個人通知義務抱有過高的希望。

針對以數(shù)據(jù)泄露為代表的數(shù)據(jù)安全事件的，實踐中更多圍繞企業(yè)是否履行了數(shù)據(jù)泄露通知制度，以及是否履行了數(shù)據(jù)安全保障義務的維度，來考慮企業(yè)是否要因為數(shù)據(jù)安全事件的發(fā)生而擔責，且兩者相對獨立。對于企業(yè)而言，應當認識到：

1.發(fā)生數(shù)據(jù)安全事件并不直接和違法違規(guī)掛鉤。如前所述，數(shù)據(jù)安全事件的發(fā)生往往是違反數(shù)據(jù)處理者自身意愿的，且在很多情況下其發(fā)生并不為數(shù)據(jù)處理者所左右。此外，數(shù)據(jù)安全事件的處置很多時候也需要基于監(jiān)管部門的指導或支持，若是僅僅因為數(shù)據(jù)安全事件的發(fā)生就定義為“違法違規(guī)”對數(shù)據(jù)處理者施加相應的法律責任，反而可能導致更多的數(shù)據(jù)安全事件被“隱而不報”，不利于對相關違法行為的懲處。實踐中所謂因“數(shù)據(jù)泄露”而遭到行政處罰，更多是由于“未落實數(shù)據(jù)安全保障義務”導致“數(shù)據(jù)泄露”而受到行政處罰，而不是僅僅因為發(fā)生了“數(shù)據(jù)泄露”而受到處罰。

2.發(fā)生數(shù)據(jù)安全事件后的通知義務是獨立的法定義務，這意味著無論企業(yè)對于數(shù)據(jù)安全事件的發(fā)生是否有責任，在發(fā)生相應的數(shù)據(jù)安全事件后，都需要履行對監(jiān)管部門和個人的通知義務，而不履行通知義務必然會引發(fā)相應的法律責任。

3.企業(yè)履行了通知義務并不意味著不會承擔任何法律責任。通知義務的獨立性亦體現(xiàn)在和數(shù)據(jù)安全保障義務的并軌，對于履行了通知義務的企業(yè)，若監(jiān)管在調(diào)查過程中發(fā)現(xiàn)就數(shù)據(jù)安全事件相關的數(shù)據(jù)而言，企業(yè)數(shù)據(jù)安全保障義務的履行存在瑕疵，則企業(yè)仍有可能因違反數(shù)據(jù)安全保障義務受到相應的處罰，而如果企業(yè)既未履行通知義務，又被發(fā)現(xiàn)違反數(shù)據(jù)安全保障義務的，則需要一并承擔違反兩項義務分別的法律責任。

對于企業(yè)而言，數(shù)據(jù)安全事件的發(fā)生在數(shù)字經(jīng)濟時代幾乎無法避免。實踐中，企業(yè)在應對數(shù)據(jù)安全事件時，往往面臨合規(guī)上的兩難。既擔心不履行通知義務導致的違規(guī)風險，又擔心履行通知義務后引發(fā)相應的調(diào)查活動，導致數(shù)據(jù)安全保障方面的瑕疵為監(jiān)管部門所知悉而引發(fā)其他合規(guī)風險，這在某種程度上使得法律法規(guī)規(guī)定的通知義務在實踐中的落實受到了一定的限制。

從設立通知義務的本意出發(fā)，立法并無意將數(shù)據(jù)安全事件的發(fā)生直接同違法違規(guī)行為劃等號，因為這不利于數(shù)據(jù)安全執(zhí)法的深入和對相關違法犯罪行為的打擊。故從企業(yè)自身的角度出發(fā)，應當認識到“是否通知”并不具有決定性的作用，落實數(shù)據(jù)安全保障義務，確保數(shù)據(jù)安全方面處于動態(tài)的合規(guī)狀態(tài)，才是決定企業(yè)在發(fā)生數(shù)據(jù)安全事件后是否被處罰的關鍵。

對于企業(yè)而言，一方面應當結合法律法規(guī)的要求落實相應的數(shù)據(jù)合規(guī)義務，包括結合企業(yè)規(guī)模和業(yè)務現(xiàn)狀選擇適宜的數(shù)據(jù)安全策略，建立數(shù)據(jù)泄露防控監(jiān)測機制，并根據(jù)法律法規(guī)規(guī)定制定包含監(jiān)測機制和報告流程的應急預案、定期開展應急演練；另一方面，應當及時跟進相關法律法規(guī)、國家標準的制定進程，并在發(fā)生相關數(shù)據(jù)安全事件時，結合法律法規(guī)中關于通知義務的相關要求，妥善履行相應的通知義務。這既是履行法定義務的要求，也是降低企業(yè)自身、合作伙伴和用戶損失，展現(xiàn)企業(yè)責任的重要方式，亦有利于在特定事件中降低潛在的法律風險。