論個人信息安全事件通知義務

王玎

關鍵詞：個人信息；數據安全；數據泄露；通知義務

一、問題的提出

個人信息安全事件通知義務，是個人信息未經授權訪問或獲取后，個人信息處理者通知信息主體和報告主管機構的法定義務。《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）第42條第2款規定，在發生或者可能發生個人信息泄露、毀損、丟失的情況時，應當及時告知用戶并向有關主管部門報告；《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）第57條規定，發生或者可能發生個人信息泄露、篡改、丟失的，個人信息處理者應當通知履行個人信息保護職責的部門和個人；《中華人民共和國數據安全法》（以下簡稱《數據安全法》）第29條規定，發生數據安全事件時，應當及時告知用戶并向有關主管部門報告。在域外，歐盟《一般數據保護條例》第33、34條專門規定了“data breach”條款，美國華盛頓哥倫比亞特區和50個州均制定有“Data Breach Notification Act"。域外立法所指的“data breach”就是我國立法中“泄露、毀損、篡改、丟失”等情形，其特征為個人信息未經授權訪問或獲取，使個人信息的完整性、保密性、可用性受到損害。因此，文章擬采用接近《數據安全法》中“數據安全事件”的表述，用“個人信息安全事件”作為“data breach”的對應翻譯和國內立法所指的泄露、毀損、篡改、丟失等情形的統稱。

明確個人信息安全事件通知義務，是為了讓信息主體和監管機構及時采取行動，防范次生損害，保障信息主體財產安全和其他利益。根據IBM發布的《2021年數據安全事件成本報告》，在每起數據安全事件中，個人信息處理者履行通知義務所投入的平均成本為27萬美元，①同時對個人信息處理者聲譽來說也是“一種非常真實的公開羞辱”②。履行通知義務為個人信息處理者帶來的經濟成本和聲譽影響，在客觀上也能夠督促個人信息處理者在事前依法充分履行安全保護義務。因此，“構建合理的數據安全事件通知制度，既可以有效防止數據安全事件發生，還能夠為個人提供充分的補救措施”③。

2012年全國人民代表大會常務委員會發布《關于加強網絡信息保護的決定》，首次在法律層面規定發生或者可能發生信息泄露、毀損、丟失的情況時，應當立即采取補救措施，但并未進一步說明應當采取何種補救措施。2013年6月工業和信息化部《電信和互聯網用戶個人信息保護規定》（工業和信息化部令第24號）進一步明確，對于用戶個人信息發生或者可能發生泄露、毀損、丟失，并造成或者可能造成嚴重后果的，應當立即向準予其許可或者備案的電信管理機構報告。這是我國首次以部門規章形式對個人信息處理者向主管機關履行通知義務作出規定。首次正式規定個人信息處理者在發生數據安全事件后應當通知個人的法律規范是2016年《網絡安全法》。《網絡安全法》第42條第2款規定：“在發生或者可能發生個人信息泄露、毀損、丟失的情況時，應當立即采取補救措施，按照規定及時告知用戶并向有關主管部門報告。”近年來《中華人民共和國民法典》（以下簡稱《民法典》）、《個人信息保護法》等法律，《中國人民銀行金融消費者權益保護實施辦法》等規章，以及《信息安全技術個人信息安全規范》等國家標準相繼明確個人信息安全事件通知義務。上述法律規范均對個人信息安全事件通知義務予以規定，但在內容上并不完全一致。《民法典》第1038條第2款規定：“發生或者可能發生個人信息泄露、篡改、丟失的，應當及時采取補救措施，按照規定告知自然人并向有關主管部門報告。”在《民法典》的基礎上，《個人信息保護法》第57條還規定了通知應當包括的事項，以及可以不予通知的豁免情形。而中國人民銀行2020年發布規章《中國人民銀行金融消費者權益保護實施辦法》將危及金融消費者人身、財產安全或者產生其他不利影響，作為通知消費者和監管機構的前提。2021年公開征求意見的《網絡數據安全管理條例》（征求意見稿）第11條將通知對象的范圍擴大到利害關系人，分別明確了通知利害關系人和通知監管機構的條件，還具體規定了通知的內容、時間、方式。

就上述法律規范對個人信息處理者履行安全事件通知義務的規定，有以下問題需要探討：第一，應當履行通知義務的“個人信息”的范疇應如何確定，具體而言，數據處理者是否需要對所有個人信息安全事件履行通知義務？第二，通知個人和監管機構的內容是否應當作出區別規定，通知個人和監管機構是否應當設定一定門檻條件？第三，《網絡安全法》《數據安全法》《個人信息保護法》對未依法履行通知義務設定了不同的行政法律責任，在法律競合中應當如何選擇適用，未依法履行通知義務的私法和公法責任如何銜接？本文的討論將圍繞上述問題展開。

二、應履行通知義務的“個人信息”范疇

何種類型的個人信息發生安全事件需要通知，是構建通知義務制度的先決問題。根據現行立法，凡個人信息發生安全事件，均應履行通知義務。然而，部分個人信息即使發生安全事件，也不會影響信息主體實際權益。立法一律要求個人信息處理者履行通知義務，難免會為個人信息處理者施予不必要的負擔。因此，有必要對應履行通知義務的“個人信息”范疇作出精細化規定。

（一）法定通知義務中“個人信息”范疇的擴展

我國《網絡安全法》《民法典》《個人信息保護法》等法律對“個人信息”作出不同界定，“個人信息”的認定標準也由“識別說”轉向“關聯說”。《網絡安全法》和《民法典》對“個人信息”的認定均采用“識別說”，認為“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息”①。然而，《個人信息保護法》對個人信息的認定通過采用“關聯說”擴大了“個人信息”的范疇，將“個人信息”界定為“與已識別或者可識別的自然人有關的各種信息”。此外，推薦性國家標準《信息安全技術個人信息安全規范》第3.1條將個人信息界定為“能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息”，并在附錄A中進一步闡明：“由信息本身能夠識別出特定自然人的信息和由特定自然人在其活動中產生的信息，均應判定為個人信息。”②《個人信息保護法》和《信息安全技術個人信息安全規范》實現了由“識別說”到“關聯說”的轉向，這與歐盟《一般數據保護條例》一致，在很大程度上有助于對個人信息權益的保護。“個人信息”外延之廣泛，從《信息安全技術個人信息安全規范》附錄對“個人信息”的列舉來看，包括個人基本資料、個人身份信息、個人上網記錄、個人位置信息等13種類別。

但凡發生上述個人信息安全事件，個人信息處理者是否皆應履行通知義務？目前《網絡安全法》《民法典》《個人信息保護法》并未對發生安全事件后應履行通知義務的“個人信息”加以區別界定。《網絡安全法》第42條第2款規定：“在發生或者可能發生個人信息泄露、毀損、丟失的情況時，應當立即采取補救措施，按照規定及時告知用戶并向有關主管部門報告。”《民法典》第1038條第2款規定：“信息處理者應當采取技術措施和其他必要措施，確保其收集、存儲的個人信息安全，防止信息泄露、篡改、丟失；發生或者可能發生個人信息泄露、篡改、丟失的，應當及時采取補救措施，按照規定告知自然人并向有關主管部門報告。”《個人信息保護法》第57條第1款規定：“發生或者可能發生個人信息泄露、篡改、丟失的，個人信息處理者應當立即采取補救措施，并通知履行個人信息保護職責的部門和個人。”因此，《網絡安全法》《民法典》《個人信息保護法》所界定的“個人信息”發生安全事件，個人信息處理者均應履行通知義務。

“個人信息”由《民法典》采用的“識別說”到《個人信息保護法》采用的“關聯說”的轉向擴大了保護個人信息權益的范疇，但就履行個人信息安全事件通知義務而言，事實上為個人信息處理者施加了諸多非必要負擔。相對“識別”標準的“從信息推及個人”而言，“關聯”標準是從“個人推及信息”，如已知特定自然人，由該特定自然人在其活動中產生的信息（如個人位置信息、個人通話記錄、個人瀏覽記錄等）即視為個人信息。這就意味著凡個人在其活動中產生的一切有個人信息處理者所掌握的信息在發生安全事件后，個人信息處理者均應履行通知義務。在“北京百度網訊科技有限公司與朱某隱私權糾紛案”中，南京市中級人民法院認為：“網絡用戶通過使用搜索引擎形成的檢索關鍵詞記錄，雖然反映了網絡用戶的網絡活動軌跡及上網偏好，具有隱私屬性，但這種網絡活動軌跡及上網偏好一旦與網絡用戶身份相分離，便無法確定具體的信息歸屬主體，不再屬于個人信息范疇”①。但在《個人信息保護法》“關聯說”場景下，“即便設備標示符本身并不能識別出使用者，但如果該使用者是明確而特定的，則該設備標示符因與使用者存在關聯性（曾經使用過），也會被認定為個人信息”②o可見，即使能夠識別到個人的信息發生安全事件，也并非有必要一律履行通知義務。

（二）比較法上通知義務中“個人信息”范疇的限縮

究竟什么樣的個人信息發生安全事件，個人信息處理者才需要履行通知義務？在比較法上，發生個人信息安全事件后并非一律要求個人信息處理者履行通知義務，只有發生特定的個人信息安全事件，個人信息處理者才應履行通知義務。歐盟《一般數據保護條例》在第33條和第34條分別規定了發生個人信息安全事件后，個人信息處理者向監管機構和個人的通知義務，將安全事件對自然人權利和自由造成風險明確作為個人信息處理者通知監管機構和個人的前提條件。而且，只有在個人信息安全事件將給個人造成很高的風險時，才有必要通知個人。③

目前，美國聯邦層面并沒有一部統一的安全事件通知立法。但至2018年，美國華盛頓哥倫比亞特區和50個州均完成了數據安全事件通知法（Data Breach Notification Act）的制定。雖然各州數據安全事件通知立法在“個人信息”的界定上體現出一定差異，但從立法模式來看，各州均對應當履行通知義務的“個人信息”范疇進行了具體描述，并非所有的個人信息發生安全事件后均需要履行通知義務。例如，2018年頒布的《阿拉巴馬州數據安全事件通知法》將發生安全事件后需要履行通知義務的個人信息明確界定為“對個人造成實質損害的敏感個人信息”。④首先，明確發生安全事件后需要履行通知義務的個人信息必須是敏感個人信息，而非一般個人信息。如果是非敏感個人信息的發生安全事件，個人信息處理者則不需要履行通知義務。其次，只有在敏感個人信息安全事件將給個人造成實質損害時，才需要履行通知義務。如果敏感個人信息安全事件不會給個人造成實質損害，個人信息處理者也無需履行通知義務。此外，阿拉巴馬州還對需要履行安全事件通知義務的“敏感個人信息”進行列舉規定，①只有所列舉“敏感個人信息”發生安全事件時，個人信息處理者才需要履行通知義務。美國還有亞利桑那、特拉華、伊利諾伊等14個州的《數據安全事件通知法》將指紋、語音識別或視網膜掃描等獨特的生物特征數據作為受保護的數據元素。②2017年制定的澳大利亞《隱私法修訂案（數據安全事件）》（Privacy Amendment（Notifiable Data Breaches）Bill）明確了個人信息安全事件通知制度的主體、程序、通知對象等內容，③將信息安全事件可能對信息相關個人造成嚴重損害作為履行通知義務的前提條件。2016年生效的《荷蘭數據保護法》（Dutch Data Protection Act）對個人信息安全事件通知義務作出更多限縮規定：并非所有的信息安全事件都必須通知監管機構和個人。只有信息安全事件實際導致或極有可能導致對被保護個人造成不利后果，信息處理者才必須履行通知義務；⑤只有信息安全事件可能會對個人隱私產生不利影響，信息處理者才需要將數據安全事件通知相關個人。⑥

綜上，歐盟《一般數據保護條例》和美國各州《數據安全事件通知法》均對應當履行通知義務的“個人信息”范疇予以限縮。只有個人信息安全事件將對自然人權利和自由造成很高的風險，或者發生安全事件的個人信息屬于特定的敏感個人信息且將對個人造成實質損害時，數據處理者才有通知義務。

（三）以“可能影響實際權益”作為履行通知義務“個人信息”范疇的標準

我國現行《網絡安全法》《民法典》《個人信息保護依法》等法律規定的個人信息處理者應當履行通知義務的“個人信息”范疇并未區別于一般“個人信息”的范疇。在比較法上，歐盟和美國各州對通知義務中“個人信息”范疇進行限縮，意義在于不會對個人造成任何風險和損害就無需通知。對履行通知義務中“個人信息”范疇的限縮規定，能夠在很大程度上為個人信息處理者減輕不必要的成本負擔，也能夠減少個人因被通知信息安全事件而受到的焦慮和困擾。

在金融領域，只有個人財產信息、賬戶信息、金融交易信息和信用信息等個人財務信息才是個人金融信息的核心。2020年《中國人民銀行金融消費者權益保護實施辦法》第34條第2款明確將“對金融消費者產生不利影響”作為個人金融信息安全事件發生后通知金融消費者的前提條件，只有信息泄露、毀損、丟失可能對金融消費者產生其他不利影響的，才應履行通知義務。同樣．2021年公開征求意見的《網絡數據安全管理條例》（征求意見稿）對信息安全事件通知義務作出細化規定，將“造成危害”作為發生安全事件后履行通知義務的必要條件：安全事件對個人、組織造成危害的，數據處理者應當在3個工作日內將安全事件和風險情況、危害后果、已經采取的補救措施等通知利害關系人。依據《網絡數據安全管理條例》（征求意見稿）的規定，發生個人信息安全事件，只有在對個人、組織造成危害時，數據處理者才需要履行通知義務。然而，《中國人民銀行金融消費者權益保護實施辦法》僅能夠適用于金融消費領域；《網絡數據安全管理條例》（征求意見稿）作為《網絡安全法》《數據安全法》《個人信息保護法》的下位行政法規①，雖然對發生個人信息安全事件后個人信息處理者履行通知義務范疇作出更加精細的規定，但無助于從本質上對現行法律制度進行完善，反而還會使個人信息處理者在上下位法的選擇適用中感到無所適從。

綜上，發生安全事件后應當履行通知義務的“個人信息”的外延，不應等同于法律規范中一般認定“個人信息”的外延，并非所有“個人信息”安全事件發生后必然要求個人信息處理者履行通知義務，只有在符合特定條件時個人信息處理者才應當履行通知義務。具體而言，個人信息處理者履行通知義務應當考量“個人信息”的具體內容及其可能造成的損害風險，只有發生安全事件的“個人信息”內容可能影響信息主體實際權益時，才有必要通知信息主體。可能影響的實際權益既可能是“身體、心理、情感、經濟等方面的損失，也可能是包括對聲譽以及其他任何方面造成的實質損失”②。而其他不會影響信息主體實際權益的“個人信息”發生安全事件，則不會觸發個人信息處理者通知義務。這樣作出制度安排，也有助于降低個人信息處理者的義務成本。

三、通知內容與條件的對象適配

明確發生個人信息安全事件后向信息主體和監管機構履行通知義務，是為了讓信息主體和監管機構及時采取行動，防范次生損害，保障信息主體財產安全和其他利益。因此，在發生個人信息安全事件后，法律要求個人信息處理者履行通知義務所包含的內容至關重要，關系到監管機構和信息主體決定進一步采取何種措施。目前，《個人信息保護法》對發生個人信息安全事件后應當通知的內容進行了規定，但存在著通知內容與對象混同和未明確通知不同對象條件的問題。因此，有必要厘清通知信息主體和監管機構在內容和條件上的區別，做好不同對象的適配。

（一）向信息主體和監管機構履行通知義務的不同法律基礎及條件

國內外立法均要求信息處理者在發生個人信息安全事件后分別通知信息主體和監管機構，但通知信息主體和監管機構的理論基礎并不相同，通知信息主體和監管機構的條件也應存在差異。履行個人信息安全事件通知義務是信息安全保護義務的重要內容，而信息安全保護義務具有私法和公法兩方面淵源，私法從個人信息所適用的場合出發，確定個人信息所對應的具體法益內容，公法則主要針對個人信息處理過程予以規制，③它們決定了個人信息安全事件通知義務的法律基礎以及向信息主體和監管機構履行通知義務的不同條件要求。

1．向信息主體履行通知義務的法律基礎和條件

通知信息主體是信息處理者基于民事和行政雙重法律關系所負有的義務。2018年，由北京市互聯網法院作出判決的何小飛訴北京密境和風科技有限公司網絡侵權責任糾紛案，已經明確了侵權責任法所賦予的物理空間管理人的安全保障義務能夠轉介到虛擬空間。①由此，網絡服務提供者完全可能因未盡到安全保障義務而產生網絡侵權責任。個人信息安全事件通知是信息安全保障義務的重要內容，若信息處理者在發生個人信息安全事件后未履行通知義務給信息主體造成了次生損害，信息處理者就應為次生損害承擔侵權責任。同時，維護他方當事人人身或財產上利益的合同附隨義務賦予了信息處理者在提供其他服務的同時履行數據安全保護義務的責任。信息處理者在發生個人信息安全事件后如未履行通知義務且給信息主體造成了次生損害，信息主體可根據《民法典》第509條所規定的附隨義務追究合同相對方違約責任。因此，由侵權責任和合同附隨義務產生的私法責任是信息處理者向信息主體履行通知義務最根源的理論基礎。現行立法明確要求信息處理者向信息主體履行通知義務，則是在此基礎上為信息處理者履行通知義務增加了公法屬性。

從通知信息主體的角度來看．根據私法上侵權責任和合同責任的要求，只要發生個人信息安全事件，信息處理者原則上應當通知信息主體。但《個人信息保護法》在公法層面賦予了信息處理者在發生個人信息安全事件后豁免履行通知義務的條件，即履行通知義務的例外：“個人信息處理者采取措施能夠有效避免信息泄露、篡改、丟失造成危害的，個人信息處理者可以不通知個人……”這意味著即使發生個人信息安全事件，只要個人信息處理者采取措施能夠有效避免信息安全事件造成危害，就可以不通知信息主體。域外相關立法均有類似規定，如歐盟《一般數據保護條例》第34條第1款規定：“當個人信息安全事件可能對自然人權利和自由造成較高風險時，信息處理者應當及時通知信息主體”②；澳大利亞《隱私法修訂案（數據安全事件）》明確規定：“個人信息處理者在通知前已采取補救措施使信息安全事件不會對信息主體造成嚴重傷害，即可不通知個人。”③究竟個人信息安全事件在何種情況下不會對個人造成危害或風險？歐盟《一般數據保護條例》第34條第3款規定，對于已經采用數據加密等保護措施，能夠確保不會對自然人權利和自由造成較高風險時，即可不適用通知信息主體的規定。④從美國各州的數據安全事件通知立法來看，對介人信息采用加密技術后，即使發生安全事件，也不會對個人信息造成影響。美國50個州的數據安全事件通知立法均規定有加密安全港規則，這意味著如果個人信息已被加密，信息處理者就不必通知信息主體。⑤例如，加利福尼亞州立法明確，個人信息安全事件通知義務不適用于被加密并且密鑰并未被他人獲取的個人信息；⑥科羅拉多州立法規定，數據安全事件通知法律不適用于被加密、編輯或通過其他方式得到保護而使他人不可讀或不可用的信息。⑦“加密”所指的“密碼”（cryptograph）并非日常生活中登錄電腦、手機等設備或操作系統、電子郵箱等服務器時使用的“口令”（password）。“加密”所指的“密碼”是指“采用特定變換的方法對信息等進行加密保護、安全認證的技術”。①將個人信息的“明文”通過加密技術處理后就成為了“密文”，即使發生安全事件，他人所獲取的也是作為“密文”的個人信息。只要他人不掌握密鑰，就無法將作為“密文”的個人信息還原為作為“明文”的個人信息。因此，密碼技術是保護信息機密性、完整性、可用性的重要手段。美國各州聯邦法律通過豁免個人信息處理者在加密數據發生安全事件時履行通知義務，來鼓勵個人信息處理者在處理個人信息時廣泛采用加密技術。但是，在數據安全保護中使用商用密碼的成本較高，美國科羅拉多等州法律規定采用混淆、標記化或掩蔽等措施的個人信息發生安全事件，也無需履行通知義務。②綜上，個人信息處理者在對個人信息采用加密等技術手段后，即使發生個人信息安全事件，也不會對個人造成任何損害，在這種情況下，個人信息處理者即可不履行通知義務。

2．向監管機構履行報告義務的法律基礎和條件

報告監管機構是信息處理者基于行政法律關系所負有的基本義務。較之通知信息主體，通知監管機構是在公法關系基礎上國家賦予個人信息處理者的數據安全保護義務。賦予個人信息處理者通知監管機構的法定義務是由個人信息的公共安全屬性決定的。我國近年出臺的網絡安全和數據安全法律規范將個人信息匯聚后的體量作為界定數據重要程度的考量因素，③充分說明當個人數據匯聚形成一定規模后，就達到了關涉公共安全和國家安全的程度。因此，對于達到一定規模的個人信息發生安全事件，個人信息處理者就有必要及時通知監管機構。《網絡數據安全管理條例》（征求意見稿）明確規定，發生10萬人以上個人信息泄露、毀損、丟失等數據安全事件時，數據處理者應當通知設區的市級網信部門等監管機構。

向監管機構履行通知義務是法律賦予個人信息處理者的公法義務。根據《個人信息保護法》第57條規定，發生個人信息安全事件，個人信息處理者應當通知履行個人信息保護職責的部門和個人；個人信息處理者采取措施能夠有效避免造成危害的，個人信息處理者可以不通知個人。由上，在采取措施能夠有效避免個人信息安全事件造成危害時，即可豁免通知信息主體，但并未豁免通知監管機構。這一制度設計并不符合向信息主體和監管機構履行通知義務的理論邏輯。具體來說，發生個人信息安全事件后，個人信息處理者向信息主體履行通知義務同時具有私法和公法的要求。其中，依據私法上侵權責任和合同責任，只要發生個人信息安全事件，信息處理者原則上應當通知信息主體。《個人信息保護法》對個人信息處理者履行通知義務的要求是將私法義務公法化的確認和重申。因此，從通知義務的私法和公法性質關系來看，私法屬性具有基礎性，公法屬性具有附加性。《個人信息保護法》明確，通過采取措施能夠有效避免信息泄露、篡改、丟失造成危害的可以不履行通知義務，本質上屬于通過公法規定減免個人信息處理者的私法義務。個人信息安全事件直接影響信息主體的安全和利益，當個人信息匯聚形成一定規模后，其危害才具有社會性，①達到關涉公共安全和國家安全的程度。因此，從理論邏輯來看，法律應當優先免除公法賦予的通知義務，而不宜越過公法上的通知義務直接免除私法上的通知義務。這意味著法律在賦予個人信息處理者豁免通知信息主體條件之前，需要優先明確豁免通知監管機構的條件。

美國諸多州數據安全事件立法即采用通知信息主體優先于通知監管機構的做法。例如，美國佛羅里達州立法規定，如果超過500人受到信息安全事件影響，信息處理者必須在30天內通知佛羅里達州法律事務部；②佐治亞州要求，如果超過1萬名消費者受到個人信息安全事件的影響，信息處理者必須立即通知全國所有的消費者征信機構；③科羅拉多州立法明確，只有超過1000名科羅拉多居民的信息發生安全事件，才需要通知所有全國消費者信用報告機構等監管機構。④綜上，“各州法律通常要求達到一個門檻才需要通知司法部長或消費者征信機構，最常見的是有超過1000名受影響的居民”⑤。事實上，《網絡數據安全管理條例》（征求意見稿）也采用了通知信息主體優先于通知監管機構的立法思路，第11條在規定通知信息主體的基礎上明確，發生10萬人以上個人信息泄露、毀損、丟失等數據安全事件時，還應當向設區的市級網信部門和有關主管部門進行報告。根據這一規定，并非發生個人信息安全事件一律需要向監管機構進行報告，只有規模達到10萬人以上才需要報告。較之《個人信息保護法》第57條的規定，《網絡數據安全管理條例》（征求意見稿）第11條確定通知監管機構的條件符合履行個人信息安全事件通知義務的理論邏輯，未來審議稿宜堅持通知信息主體優先于通知監管機構的立法思路。

（二）對監管機構和信息主體的通知內容作出區別規定

《民法典》第1038條規定了發生或者可能發生個人信息安全事件的，應當及時采取補救措施，按照規定告知自然人并向有關主管部門報告，但并未就告知自然人和報告有關主管部門的內容加以詳細規定。《個人信息保護法》則對發生個人信息安全事件后個人信息處理者應當通知的內容作出較為詳細規定，在第57條第1款明確了個人信息處理者對監管機構和個人作出通知的內容應當包括下列事項：第一，發生或者可能發生個人信息安全事件的信息種類、原因和可能造成的危害；第二，個人信息處理者采取的補救措施和個人可以采取的減輕危害的措施；第三，個人信息處理者的聯系方式。《個人信息保護法》將發生個人信息安全事件后的通知內容歸納為個人信息安全事件的基本情況、已經采取和未來可以采取的措施、聯系方式等3個方面，具有一定的合理性。但這一規定的問題在于將通知數據主體和監管機構的內容混同規定，導致通知有關對象的內容欠缺針對性。《個人信息保護法》規定將以上三類事項同時通知監管機構和個人，但監管機構和信息主體需要獲知的信息有所區別。

對監管機構而言，發生個人信息安全事件后，需要從整體上掌握相關信息的種類、體量、原因，以及個人信息處理者采取的相關措施。向監管機構告知相關信息的種類，如個人醫療健康信息、行動軌跡信息，有助于監管機構集中資源對個人信息處理者采取補救措施和開展有針對性的指導；告知發生安全事件信息的體量，有助于監管機構對安全事件的影響范圍和風險大小作出準確評估；告知發生安全事件的原因，有助于監管機構盡快找到風險源頭并及時作出處置、展開執法；告知已經和準備采取的相關措施，是為了讓監管機構對相關措施的必要性、有效性作出評估，并對個人信息處理者采取的補救行動進行監督和指導。總體而言，通知監管機構一方面有利于對信息安全事件的處置工作，另一方面能夠“識別經常受到網絡攻擊的目標，暴露數據安全基礎設施漏洞，明確未來增強數據安全保護措施的方向”①。

對信息主體而言，發生個人信息安全事件后，有必要及時掌握與自身相關信息的內容、可能造成的損害、未來應采取的防范措施。例如，建議信息主體及時修改相關服務器密碼。國家標準《信息安全技術個人信息安全規范》專門對發生個人信息安全事件后通知信息主體的內容作出規定，包括5個方面：安全事件的內容和影響、已采取或將要采取的處置措施、個人信息主體自主防范和降低風險的建議、針對個人信息主體提供的補救措施、個人信息保護負責人和個人信息保護工作機構的聯系方式。要求個人信息處理者及時告知信息主體安全事件，是為了讓信息主體知曉相關信息的具體內容，及時采取相關措施防范未來可能面臨的財產、聲譽等方面的次生損害。

因此，將通知監管機構和信息主體的內容混同規定，不利于監管機構和信息主體有針對性地獲取信息，進而影響監管機構和信息主體對信息安全事件風險的評估和進一步采取防范、補救措施。歐盟《一般數據保護條例》對通知信息主體和監管機構的內容作出不同規定，在第33條和第34條分別規定了在發生個人信息安全事件后個人信息處理者通知監管機構和信息主體的不同內容。尤其明確了應當通知監管機構相關信息主體、信息記錄的種類、信息的大致數量等內容，而以上內容無需通知信息主體。②美國各州相關數據安全事件立法同樣就通知監管機構和信息主體的內容作出區別規定。例如，《阿拉巴馬州數據安全事件通知法案》規定，通知信息主體的內容主要包括發生安全事件信息的具體情況等5項內容，通知監管機構的內容包括信息安全事件的情況概要等4項內容。

《網絡數據安全管理條例》（征求意見稿）對信息主體和監管機構的通知內容作出了區別規定。明確通知利害關系人的內容包括安全事件和風險情況、危害后果、已經采取的補救措施通知；通知監管機構的內容包括安全事件涉及的數據數量、類型、可能的影響、已經或擬采取的處置措施等事件基本信息和事件原因、危害后果、責任處理、改進措施等情況的調查評估報告。上述規定較為合理地對通知信息主體和監管機構的內容作出細化區分處理，未來審議稿宜堅持這一思路。

四、未履行通知義務的法律責任

《網絡安全法》《數據安全法》《個人信息保護法》等法律規范已經為數據安全保護義務構建起行政、民事、刑事為一體的綜合責任體系。個人信息安全事件通知義務是信息安全保護義務的重要組成部分，違反通知義務在行政、民事、刑事責任方面具有不同的功能定位和責任標準。具體而言，在刑事責任領域，未履行個人信息安全事件通知義務的行為本身，并不涉及刑事責任問題；在行政責任領域，不同法律所規定的個人信息處理者未履行通知義務的責任并不一致；在民事責任領域，民事賠償的方式和標準尚不明確。個人信息安全事件通知義務的行政責任和民事責任亟待進一步厘清釋明。

（一）行政法律責任的競合

《網絡安全法》第42條第2款規定了個人信息處理者通知義務，同時在第64條規定了未履行相關義務的法律責任。《數據安全法》第29條規定，發生數據安全事件時，應當立即采取處置措施，按照規定及時告知用戶并向有關主管部門報告；同時在第45條規定了不履行通知義務的行政法律責任。《網絡數據安全管理條例》（征求意見稿）在第11條詳細規定了通知信息主體和監管機構的義務，同時在第60條規定了不履行通知義務的行政法律責任，具體內容與《數據安全法》第45條的規定完全一致。《個人信息保護法》作為保護個人信息的專門法律，在第57條專門對個人信息安全事件通知義務作出詳細規定，同時在第66條規定了不履行通知義務的行政法律責任。

然而，《網絡安全法》《數據安全法》《個人信息保護法》對通知義務行政法律責任的規定并不一致，為法律適用造成了困惑和分歧，具體體現在三個方面：第一，未履行通知義務的一般行政法律責任。對于末履行通知義務的一般情形，《網絡安全法》和《數據安全法》均規定了對個人信息處理者和主管人員較高額度的罰款和沒收違法所得等責任，而《個人信息保護法》僅規定了責令改正和警告兩類處罰。第二，未履行通知義務且拒不改正的行政法律責任。未履行通知義務屬于個人信息處理者對行政法律義務的不作為，法律所規定的“拒不改正”可以被廣義解釋為拒不履行行政法律義務。個人信息處理者未履行通知義務，監管機構責令改正其拒不改正的，將承擔更為嚴重的行政法律責任。對于拒不改正的責任，《網絡安全法》并未作出規定，《數據安全法》規定的責任要重于《個人信息保護法》。《數據安全法》規定，可處50萬元以上200萬元以下罰款，并可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照；而《個人信息保護法》僅規定并處100萬元以下罰款。第三，未履行通知義務且造成嚴重后果的行政法律責任。對于加重行政處罰的情形，《網絡安全法》《數據安全法》《個人信息保護法》均規定可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照。但在對個人信息處理者罰款方面，《網絡安全法》未作出規定，《數據安全法》規定的處50萬元以上200萬元以下罰款，要明顯輕于《個人信息保護法》規定的5000萬元以下或者上一年度營業額5%以下罰款。

綜上，《網絡安全法》和《數據安全法》所規定的未履行通知義務的一般責任要重于《個人信息保護法》的規定；《網絡安全法》未對拒不改正責任作出規定，《數據安全法》對拒不改正的責任規定要重于《個人信息保護法》的規定；但在造成嚴重后果的責任方面，《網絡安全法》和《數據安全法》又顯著輕于《個人信息保護法》的規定。由此產生了法律責任適用競合問題。從法律責任規定體例來看，《個人信息保護法》對所有未履行該法規定的個人信息保護義務的行政法律責任集中在一個條文中作出規定，即未履行個人信息保護義務的適用情形均適用統一的法律責任規定；《網絡安全法》將未履行涉及信息主體相關義務的法律責任規定在同一個條款之中；而《數據安全法》將數據處理者未履行數據安全保護義務的法律責任規定在同一條款當中。囿于三部法律規制側重點的不同，對未履行個人信息泄露通知義務的責任作出了不同規定。

從《網絡安全法》《數據安全法》《個人信息保護法》三部法律的關系來看，在個人信息保護領域，《個人信息保護法》屬于《網絡安全法》和《數據安全法》的特別法。因此，在未履行個人信息安全事件通知義務的行政法律責任競合時，更適宜優先適用《個人信息保護法》的規定。此外，履行不同的個人信息保護義務或數據安全保護義務對保護個人信息的效果、作用有著顯著區別，需要針對具體情形作出裁量判斷。總體來看，較之《個人信息保護法》規定的個人信息跨境提供前應履行的安全評估，采取相應的加密、去標識化等安全技術措施，進行個人信息保護影響評估等義務而言，個人信息安全事件通知義務作為事后補救措施，對保護個人信息所發揮的效果和對個人信息權益的影Ⅱ向要略遜一籌，這意味著個人信息處理者違反個人信息安全事件通知義務的法律責任較之同一條款中涉及違反其他法定義務的責任而言應作出從輕處理。

（二）未履行通知義務的民事與行政責任銜接

從個人信息安全事件通知義務的私法和公法性質關系來看，私法屬性具有基礎性。在發生個人信息安全事件后，個人信息處理者應當首先承擔私法上的侵權和違約責任。在此基礎上，法律之所以又賦予個人信息處理者公法上的義務和責任，一方面是因為個人數據匯聚形成一定規模后不僅關乎個人利益，還涉及公共安全和國家安全，個人信息處理者應當承擔公法上的義務；另一方面是因為民事責任的實施效果不佳，難以發揮民事賠償的救濟功能。對于后者，具體而言，雖然《個人信息保護法》明確在信息主體權益受到損害時，由個人信息處理者承擔過錯推定責任，①同時授權人民檢察院、法律規定的消費者組織和由國家網信部門確定的組織，在眾多個人權益受到侵害時，可以依法向人民法院提起訴訟，②但信息主體的受損權益依然難以得到有效彌補。個人信息處理者需要對全體被侵權人承擔高昂的賠償總額，但對于龐大體量中的每一個信息權益主體來說，其獲得的賠償卻微不足道。例如，在美國依可菲公司數據泄露案中，依可菲（Equifax）公司是美國最大的財務健康狀況的信用報告機構之一，客戶范圍幾乎涵蓋全體美國人。2017年，有1.43億份客戶記錄被盜取，信息涉及姓名、地址、出生日期、社保號碼、駕照號碼，其中還包括約20萬人的信用卡號碼。③最終依可菲公司總共支付的賠償金高達約6.5億美元，而信息權益受到損害的個體所獲得的賠償金額卻不足5美元。④依可菲案中因個人信息泄露而引發的賠償屬于實體損害。舉重以明輕，個人信息處理者因未履行個人信息安全事件通知這一程序性義務而承擔的違約或侵權責任．則更加難以量化測算，且對信息主體的補償意義更加微不足道。在政務數據領域，如果國家機關發生個人信息安全事件，侵權責任更加難以認定。⑤

此外，《個人信息保護法》中“采取措施能夠有效避免信息泄露、篡改、丟失造成危害的即可不通知個人”這一規定，不僅豁免了個人信息處理者私法層面的通知義務，也相應免除了私法層面的侵權和違約責任。可見，在未履行個人信息安全事件通知義務的責任中，民事賠償的救濟功能基本處于失靈狀態。《個人信息保護法》等法律從公法層面要求個人信息處理者履行個人信息安全事件通知義務，在很大程度上補足了民事責任的缺陷。由此，在未履行通知義務的法律責任中，應當限縮私法層面的賠償責任，更多適用行政法中的處罰責任。

結語

個人信息安全事件通知義務是信息安全保護義務的重要環節。從美國數據安全立法來看，不同的數據安全制度散見于各個單行法律或各州法律中。唯獨在個人信息安全事件領域，各州都步調一致地專門制定有個人信息安全事件通知法，尤其可見個人信息安全事件通知義務在整個數據安全制度中的重要地位。我國《數據安全法》和《個人信息保護法》雖然規定有個人信息安全事件通知義務，但目前還存在未對履行通知義務的“個人信息”范疇進行特別界定，通知內容與對象混同，通知信息主體與監管機構條件不明，未履行通知義務的法律責任未能細化等問題。對上述問題作出回應，不僅能夠對個人信息安全事件通知制度作出整體改進，還能夠減輕個人信息處理者無必要的義務負擔，在激勵個人信息處理者為社會提供優質數字服務和督促個人信息處理者依法履行數據安全保護義務之間找到更為優化的平衡點。