論個(gè)人信息安全事件通知義務(wù)

王玎

關(guān)鍵詞：個(gè)人信息；數(shù)據(jù)安全；數(shù)據(jù)泄露；通知義務(wù)

一、問(wèn)題的提出

個(gè)人信息安全事件通知義務(wù)，是個(gè)人信息未經(jīng)授權(quán)訪問(wèn)或獲取后，個(gè)人信息處理者通知信息主體和報(bào)告主管機(jī)構(gòu)的法定義務(wù)。《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱(chēng)《網(wǎng)絡(luò)安全法》）第42條第2款規(guī)定，在發(fā)生或者可能發(fā)生個(gè)人信息泄露、毀損、丟失的情況時(shí)，應(yīng)當(dāng)及時(shí)告知用戶(hù)并向有關(guān)主管部門(mén)報(bào)告；《中華人民共和國(guó)個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱(chēng)《個(gè)人信息保護(hù)法》）第57條規(guī)定，發(fā)生或者可能發(fā)生個(gè)人信息泄露、篡改、丟失的，個(gè)人信息處理者應(yīng)當(dāng)通知履行個(gè)人信息保護(hù)職責(zé)的部門(mén)和個(gè)人；《中華人民共和國(guó)數(shù)據(jù)安全法》（以下簡(jiǎn)稱(chēng)《數(shù)據(jù)安全法》）第29條規(guī)定，發(fā)生數(shù)據(jù)安全事件時(shí)，應(yīng)當(dāng)及時(shí)告知用戶(hù)并向有關(guān)主管部門(mén)報(bào)告。在域外，歐盟《一般數(shù)據(jù)保護(hù)條例》第33、34條專(zhuān)門(mén)規(guī)定了“data breach”條款，美國(guó)華盛頓哥倫比亞特區(qū)和50個(gè)州均制定有“Data Breach Notification Act"。域外立法所指的“data breach”就是我國(guó)立法中“泄露、毀損、篡改、丟失”等情形，其特征為個(gè)人信息未經(jīng)授權(quán)訪問(wèn)或獲取，使個(gè)人信息的完整性、保密性、可用性受到損害。因此，文章擬采用接近《數(shù)據(jù)安全法》中“數(shù)據(jù)安全事件”的表述，用“個(gè)人信息安全事件”作為“data breach”的對(duì)應(yīng)翻譯和國(guó)內(nèi)立法所指的泄露、毀損、篡改、丟失等情形的統(tǒng)稱(chēng)。

明確個(gè)人信息安全事件通知義務(wù)，是為了讓信息主體和監(jiān)管機(jī)構(gòu)及時(shí)采取行動(dòng)，防范次生損害，保障信息主體財(cái)產(chǎn)安全和其他利益。根據(jù)IBM發(fā)布的《2021年數(shù)據(jù)安全事件成本報(bào)告》，在每起數(shù)據(jù)安全事件中，個(gè)人信息處理者履行通知義務(wù)所投入的平均成本為27萬(wàn)美元，①同時(shí)對(duì)個(gè)人信息處理者聲譽(yù)來(lái)說(shuō)也是“一種非常真實(shí)的公開(kāi)羞辱”②。履行通知義務(wù)為個(gè)人信息處理者帶來(lái)的經(jīng)濟(jì)成本和聲譽(yù)影響，在客觀上也能夠督促個(gè)人信息處理者在事前依法充分履行安全保護(hù)義務(wù)。因此，“構(gòu)建合理的數(shù)據(jù)安全事件通知制度，既可以有效防止數(shù)據(jù)安全事件發(fā)生，還能夠?yàn)閭€(gè)人提供充分的補(bǔ)救措施”③。

2012年全國(guó)人民代表大會(huì)常務(wù)委員會(huì)發(fā)布《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，首次在法律層面規(guī)定發(fā)生或者可能發(fā)生信息泄露、毀損、丟失的情況時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，但并未進(jìn)一步說(shuō)明應(yīng)當(dāng)采取何種補(bǔ)救措施。2013年6月工業(yè)和信息化部《電信和互聯(lián)網(wǎng)用戶(hù)個(gè)人信息保護(hù)規(guī)定》（工業(yè)和信息化部令第24號(hào)）進(jìn)一步明確，對(duì)于用戶(hù)個(gè)人信息發(fā)生或者可能發(fā)生泄露、毀損、丟失，并造成或者可能造成嚴(yán)重后果的，應(yīng)當(dāng)立即向準(zhǔn)予其許可或者備案的電信管理機(jī)構(gòu)報(bào)告。這是我國(guó)首次以部門(mén)規(guī)章形式對(duì)個(gè)人信息處理者向主管機(jī)關(guān)履行通知義務(wù)作出規(guī)定。首次正式規(guī)定個(gè)人信息處理者在發(fā)生數(shù)據(jù)安全事件后應(yīng)當(dāng)通知個(gè)人的法律規(guī)范是2016年《網(wǎng)絡(luò)安全法》?！毒W(wǎng)絡(luò)安全法》第42條第2款規(guī)定：“在發(fā)生或者可能發(fā)生個(gè)人信息泄露、毀損、丟失的情況時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定及時(shí)告知用戶(hù)并向有關(guān)主管部門(mén)報(bào)告?！苯陙?lái)《中華人民共和國(guó)民法典》（以下簡(jiǎn)稱(chēng)《民法典》）、《個(gè)人信息保護(hù)法》等法律，《中國(guó)人民銀行金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》等規(guī)章，以及《信息安全技術(shù)個(gè)人信息安全規(guī)范》等國(guó)家標(biāo)準(zhǔn)相繼明確個(gè)人信息安全事件通知義務(wù)。上述法律規(guī)范均對(duì)個(gè)人信息安全事件通知義務(wù)予以規(guī)定，但在內(nèi)容上并不完全一致。《民法典》第1038條第2款規(guī)定：“發(fā)生或者可能發(fā)生個(gè)人信息泄露、篡改、丟失的，應(yīng)當(dāng)及時(shí)采取補(bǔ)救措施，按照規(guī)定告知自然人并向有關(guān)主管部門(mén)報(bào)告?！痹凇睹穹ǖ洹返幕A(chǔ)上，《個(gè)人信息保護(hù)法》第57條還規(guī)定了通知應(yīng)當(dāng)包括的事項(xiàng)，以及可以不予通知的豁免情形。而中國(guó)人民銀行2020年發(fā)布規(guī)章《中國(guó)人民銀行金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》將危及金融消費(fèi)者人身、財(cái)產(chǎn)安全或者產(chǎn)生其他不利影響，作為通知消費(fèi)者和監(jiān)管機(jī)構(gòu)的前提。2021年公開(kāi)征求意見(jiàn)的《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》（征求意見(jiàn)稿）第11條將通知對(duì)象的范圍擴(kuò)大到利害關(guān)系人，分別明確了通知利害關(guān)系人和通知監(jiān)管機(jī)構(gòu)的條件，還具體規(guī)定了通知的內(nèi)容、時(shí)間、方式。

就上述法律規(guī)范對(duì)個(gè)人信息處理者履行安全事件通知義務(wù)的規(guī)定，有以下問(wèn)題需要探討：第一，應(yīng)當(dāng)履行通知義務(wù)的“個(gè)人信息”的范疇?wèi)?yīng)如何確定，具體而言，數(shù)據(jù)處理者是否需要對(duì)所有個(gè)人信息安全事件履行通知義務(wù)？第二，通知個(gè)人和監(jiān)管機(jī)構(gòu)的內(nèi)容是否應(yīng)當(dāng)作出區(qū)別規(guī)定，通知個(gè)人和監(jiān)管機(jī)構(gòu)是否應(yīng)當(dāng)設(shè)定一定門(mén)檻條件？第三，《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》對(duì)未依法履行通知義務(wù)設(shè)定了不同的行政法律責(zé)任，在法律競(jìng)合中應(yīng)當(dāng)如何選擇適用，未依法履行通知義務(wù)的私法和公法責(zé)任如何銜接？本文的討論將圍繞上述問(wèn)題展開(kāi)。

二、應(yīng)履行通知義務(wù)的“個(gè)人信息”范疇

何種類(lèi)型的個(gè)人信息發(fā)生安全事件需要通知，是構(gòu)建通知義務(wù)制度的先決問(wèn)題。根據(jù)現(xiàn)行立法，凡個(gè)人信息發(fā)生安全事件，均應(yīng)履行通知義務(wù)。然而，部分個(gè)人信息即使發(fā)生安全事件，也不會(huì)影響信息主體實(shí)際權(quán)益。立法一律要求個(gè)人信息處理者履行通知義務(wù)，難免會(huì)為個(gè)人信息處理者施予不必要的負(fù)擔(dān)。因此，有必要對(duì)應(yīng)履行通知義務(wù)的“個(gè)人信息”范疇作出精細(xì)化規(guī)定。

（一）法定通知義務(wù)中“個(gè)人信息”范疇的擴(kuò)展

我國(guó)《網(wǎng)絡(luò)安全法》《民法典》《個(gè)人信息保護(hù)法》等法律對(duì)“個(gè)人信息”作出不同界定，“個(gè)人信息”的認(rèn)定標(biāo)準(zhǔn)也由“識(shí)別說(shuō)”轉(zhuǎn)向“關(guān)聯(lián)說(shuō)”?！毒W(wǎng)絡(luò)安全法》和《民法典》對(duì)“個(gè)人信息”的認(rèn)定均采用“識(shí)別說(shuō)”，認(rèn)為“個(gè)人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人的各種信息”①。然而，《個(gè)人信息保護(hù)法》對(duì)個(gè)人信息的認(rèn)定通過(guò)采用“關(guān)聯(lián)說(shuō)”擴(kuò)大了“個(gè)人信息”的范疇，將“個(gè)人信息”界定為“與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息”。此外，推薦性國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)個(gè)人信息安全規(guī)范》第3.1條將個(gè)人信息界定為“能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息”，并在附錄A中進(jìn)一步闡明：“由信息本身能夠識(shí)別出特定自然人的信息和由特定自然人在其活動(dòng)中產(chǎn)生的信息，均應(yīng)判定為個(gè)人信息。”②《個(gè)人信息保護(hù)法》和《信息安全技術(shù)個(gè)人信息安全規(guī)范》實(shí)現(xiàn)了由“識(shí)別說(shuō)”到“關(guān)聯(lián)說(shuō)”的轉(zhuǎn)向，這與歐盟《一般數(shù)據(jù)保護(hù)條例》一致，在很大程度上有助于對(duì)個(gè)人信息權(quán)益的保護(hù)。“個(gè)人信息”外延之廣泛，從《信息安全技術(shù)個(gè)人信息安全規(guī)范》附錄對(duì)“個(gè)人信息”的列舉來(lái)看，包括個(gè)人基本資料、個(gè)人身份信息、個(gè)人上網(wǎng)記錄、個(gè)人位置信息等13種類(lèi)別。

但凡發(fā)生上述個(gè)人信息安全事件，個(gè)人信息處理者是否皆應(yīng)履行通知義務(wù)？目前《網(wǎng)絡(luò)安全法》《民法典》《個(gè)人信息保護(hù)法》并未對(duì)發(fā)生安全事件后應(yīng)履行通知義務(wù)的“個(gè)人信息”加以區(qū)別界定?！毒W(wǎng)絡(luò)安全法》第42條第2款規(guī)定：“在發(fā)生或者可能發(fā)生個(gè)人信息泄露、毀損、丟失的情況時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定及時(shí)告知用戶(hù)并向有關(guān)主管部門(mén)報(bào)告?！薄睹穹ǖ洹返?038條第2款規(guī)定：“信息處理者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集、存儲(chǔ)的個(gè)人信息安全，防止信息泄露、篡改、丟失；發(fā)生或者可能發(fā)生個(gè)人信息泄露、篡改、丟失的，應(yīng)當(dāng)及時(shí)采取補(bǔ)救措施，按照規(guī)定告知自然人并向有關(guān)主管部門(mén)報(bào)告?！薄秱€(gè)人信息保護(hù)法》第57條第1款規(guī)定：“發(fā)生或者可能發(fā)生個(gè)人信息泄露、篡改、丟失的，個(gè)人信息處理者應(yīng)當(dāng)立即采取補(bǔ)救措施，并通知履行個(gè)人信息保護(hù)職責(zé)的部門(mén)和個(gè)人?！币虼?，《網(wǎng)絡(luò)安全法》《民法典》《個(gè)人信息保護(hù)法》所界定的“個(gè)人信息”發(fā)生安全事件，個(gè)人信息處理者均應(yīng)履行通知義務(wù)。

“個(gè)人信息”由《民法典》采用的“識(shí)別說(shuō)”到《個(gè)人信息保護(hù)法》采用的“關(guān)聯(lián)說(shuō)”的轉(zhuǎn)向擴(kuò)大了保護(hù)個(gè)人信息權(quán)益的范疇，但就履行個(gè)人信息安全事件通知義務(wù)而言，事實(shí)上為個(gè)人信息處理者施加了諸多非必要負(fù)擔(dān)。相對(duì)“識(shí)別”標(biāo)準(zhǔn)的“從信息推及個(gè)人”而言，“關(guān)聯(lián)”標(biāo)準(zhǔn)是從“個(gè)人推及信息”，如已知特定自然人，由該特定自然人在其活動(dòng)中產(chǎn)生的信息（如個(gè)人位置信息、個(gè)人通話記錄、個(gè)人瀏覽記錄等）即視為個(gè)人信息。這就意味著凡個(gè)人在其活動(dòng)中產(chǎn)生的一切有個(gè)人信息處理者所掌握的信息在發(fā)生安全事件后，個(gè)人信息處理者均應(yīng)履行通知義務(wù)。在“北京百度網(wǎng)訊科技有限公司與朱某隱私權(quán)糾紛案”中，南京市中級(jí)人民法院認(rèn)為：“網(wǎng)絡(luò)用戶(hù)通過(guò)使用搜索引擎形成的檢索關(guān)鍵詞記錄，雖然反映了網(wǎng)絡(luò)用戶(hù)的網(wǎng)絡(luò)活動(dòng)軌跡及上網(wǎng)偏好，具有隱私屬性，但這種網(wǎng)絡(luò)活動(dòng)軌跡及上網(wǎng)偏好一旦與網(wǎng)絡(luò)用戶(hù)身份相分離，便無(wú)法確定具體的信息歸屬主體，不再屬于個(gè)人信息范疇”①。但在《個(gè)人信息保護(hù)法》“關(guān)聯(lián)說(shuō)”場(chǎng)景下，“即便設(shè)備標(biāo)示符本身并不能識(shí)別出使用者，但如果該使用者是明確而特定的，則該設(shè)備標(biāo)示符因與使用者存在關(guān)聯(lián)性（曾經(jīng)使用過(guò)），也會(huì)被認(rèn)定為個(gè)人信息”②o可見(jiàn)，即使能夠識(shí)別到個(gè)人的信息發(fā)生安全事件，也并非有必要一律履行通知義務(wù)。

（二）比較法上通知義務(wù)中“個(gè)人信息”范疇的限縮

究竟什么樣的個(gè)人信息發(fā)生安全事件，個(gè)人信息處理者才需要履行通知義務(wù)？在比較法上，發(fā)生個(gè)人信息安全事件后并非一律要求個(gè)人信息處理者履行通知義務(wù)，只有發(fā)生特定的個(gè)人信息安全事件，個(gè)人信息處理者才應(yīng)履行通知義務(wù)。歐盟《一般數(shù)據(jù)保護(hù)條例》在第33條和第34條分別規(guī)定了發(fā)生個(gè)人信息安全事件后，個(gè)人信息處理者向監(jiān)管機(jī)構(gòu)和個(gè)人的通知義務(wù)，將安全事件對(duì)自然人權(quán)利和自由造成風(fēng)險(xiǎn)明確作為個(gè)人信息處理者通知監(jiān)管機(jī)構(gòu)和個(gè)人的前提條件。而且，只有在個(gè)人信息安全事件將給個(gè)人造成很高的風(fēng)險(xiǎn)時(shí)，才有必要通知個(gè)人。③

目前，美國(guó)聯(lián)邦層面并沒(méi)有一部統(tǒng)一的安全事件通知立法。但至2018年，美國(guó)華盛頓哥倫比亞特區(qū)和50個(gè)州均完成了數(shù)據(jù)安全事件通知法（Data Breach Notification Act）的制定。雖然各州數(shù)據(jù)安全事件通知立法在“個(gè)人信息”的界定上體現(xiàn)出一定差異，但從立法模式來(lái)看，各州均對(duì)應(yīng)當(dāng)履行通知義務(wù)的“個(gè)人信息”范疇進(jìn)行了具體描述，并非所有的個(gè)人信息發(fā)生安全事件后均需要履行通知義務(wù)。例如，2018年頒布的《阿拉巴馬州數(shù)據(jù)安全事件通知法》將發(fā)生安全事件后需要履行通知義務(wù)的個(gè)人信息明確界定為“對(duì)個(gè)人造成實(shí)質(zhì)損害的敏感個(gè)人信息”。④首先，明確發(fā)生安全事件后需要履行通知義務(wù)的個(gè)人信息必須是敏感個(gè)人信息，而非一般個(gè)人信息。如果是非敏感個(gè)人信息的發(fā)生安全事件，個(gè)人信息處理者則不需要履行通知義務(wù)。其次，只有在敏感個(gè)人信息安全事件將給個(gè)人造成實(shí)質(zhì)損害時(shí)，才需要履行通知義務(wù)。如果敏感個(gè)人信息安全事件不會(huì)給個(gè)人造成實(shí)質(zhì)損害，個(gè)人信息處理者也無(wú)需履行通知義務(wù)。此外，阿拉巴馬州還對(duì)需要履行安全事件通知義務(wù)的“敏感個(gè)人信息”進(jìn)行列舉規(guī)定，①只有所列舉“敏感個(gè)人信息”發(fā)生安全事件時(shí)，個(gè)人信息處理者才需要履行通知義務(wù)。美國(guó)還有亞利桑那、特拉華、伊利諾伊等14個(gè)州的《數(shù)據(jù)安全事件通知法》將指紋、語(yǔ)音識(shí)別或視網(wǎng)膜掃描等獨(dú)特的生物特征數(shù)據(jù)作為受保護(hù)的數(shù)據(jù)元素。②2017年制定的澳大利亞《隱私法修訂案（數(shù)據(jù)安全事件）》（Privacy Amendment（Notifiable Data Breaches）Bill）明確了個(gè)人信息安全事件通知制度的主體、程序、通知對(duì)象等內(nèi)容，③將信息安全事件可能對(duì)信息相關(guān)個(gè)人造成嚴(yán)重?fù)p害作為履行通知義務(wù)的前提條件。2016年生效的《荷蘭數(shù)據(jù)保護(hù)法》（Dutch Data Protection Act）對(duì)個(gè)人信息安全事件通知義務(wù)作出更多限縮規(guī)定：并非所有的信息安全事件都必須通知監(jiān)管機(jī)構(gòu)和個(gè)人。只有信息安全事件實(shí)際導(dǎo)致或極有可能導(dǎo)致對(duì)被保護(hù)個(gè)人造成不利后果，信息處理者才必須履行通知義務(wù)；⑤只有信息安全事件可能會(huì)對(duì)個(gè)人隱私產(chǎn)生不利影響，信息處理者才需要將數(shù)據(jù)安全事件通知相關(guān)個(gè)人。⑥

綜上，歐盟《一般數(shù)據(jù)保護(hù)條例》和美國(guó)各州《數(shù)據(jù)安全事件通知法》均對(duì)應(yīng)當(dāng)履行通知義務(wù)的“個(gè)人信息”范疇予以限縮。只有個(gè)人信息安全事件將對(duì)自然人權(quán)利和自由造成很高的風(fēng)險(xiǎn)，或者發(fā)生安全事件的個(gè)人信息屬于特定的敏感個(gè)人信息且將對(duì)個(gè)人造成實(shí)質(zhì)損害時(shí)，數(shù)據(jù)處理者才有通知義務(wù)。

（三）以“可能影響實(shí)際權(quán)益”作為履行通知義務(wù)“個(gè)人信息”范疇的標(biāo)準(zhǔn)

我國(guó)現(xiàn)行《網(wǎng)絡(luò)安全法》《民法典》《個(gè)人信息保護(hù)依法》等法律規(guī)定的個(gè)人信息處理者應(yīng)當(dāng)履行通知義務(wù)的“個(gè)人信息”范疇并未區(qū)別于一般“個(gè)人信息”的范疇。在比較法上，歐盟和美國(guó)各州對(duì)通知義務(wù)中“個(gè)人信息”范疇進(jìn)行限縮，意義在于不會(huì)對(duì)個(gè)人造成任何風(fēng)險(xiǎn)和損害就無(wú)需通知。對(duì)履行通知義務(wù)中“個(gè)人信息”范疇的限縮規(guī)定，能夠在很大程度上為個(gè)人信息處理者減輕不必要的成本負(fù)擔(dān)，也能夠減少個(gè)人因被通知信息安全事件而受到的焦慮和困擾。

在金融領(lǐng)域，只有個(gè)人財(cái)產(chǎn)信息、賬戶(hù)信息、金融交易信息和信用信息等個(gè)人財(cái)務(wù)信息才是個(gè)人金融信息的核心。2020年《中國(guó)人民銀行金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》第34條第2款明確將“對(duì)金融消費(fèi)者產(chǎn)生不利影響”作為個(gè)人金融信息安全事件發(fā)生后通知金融消費(fèi)者的前提條件，只有信息泄露、毀損、丟失可能對(duì)金融消費(fèi)者產(chǎn)生其他不利影響的，才應(yīng)履行通知義務(wù)。同樣．2021年公開(kāi)征求意見(jiàn)的《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》（征求意見(jiàn)稿）對(duì)信息安全事件通知義務(wù)作出細(xì)化規(guī)定，將“造成危害”作為發(fā)生安全事件后履行通知義務(wù)的必要條件：安全事件對(duì)個(gè)人、組織造成危害的，數(shù)據(jù)處理者應(yīng)當(dāng)在3個(gè)工作日內(nèi)將安全事件和風(fēng)險(xiǎn)情況、危害后果、已經(jīng)采取的補(bǔ)救措施等通知利害關(guān)系人。依據(jù)《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》（征求意見(jiàn)稿）的規(guī)定，發(fā)生個(gè)人信息安全事件，只有在對(duì)個(gè)人、組織造成危害時(shí)，數(shù)據(jù)處理者才需要履行通知義務(wù)。然而，《中國(guó)人民銀行金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》僅能夠適用于金融消費(fèi)領(lǐng)域；《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》（征求意見(jiàn)稿）作為《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》的下位行政法規(guī)①，雖然對(duì)發(fā)生個(gè)人信息安全事件后個(gè)人信息處理者履行通知義務(wù)范疇作出更加精細(xì)的規(guī)定，但無(wú)助于從本質(zhì)上對(duì)現(xiàn)行法律制度進(jìn)行完善，反而還會(huì)使個(gè)人信息處理者在上下位法的選擇適用中感到無(wú)所適從。

綜上，發(fā)生安全事件后應(yīng)當(dāng)履行通知義務(wù)的“個(gè)人信息”的外延，不應(yīng)等同于法律規(guī)范中一般認(rèn)定“個(gè)人信息”的外延，并非所有“個(gè)人信息”安全事件發(fā)生后必然要求個(gè)人信息處理者履行通知義務(wù)，只有在符合特定條件時(shí)個(gè)人信息處理者才應(yīng)當(dāng)履行通知義務(wù)。具體而言，個(gè)人信息處理者履行通知義務(wù)應(yīng)當(dāng)考量“個(gè)人信息”的具體內(nèi)容及其可能造成的損害風(fēng)險(xiǎn)，只有發(fā)生安全事件的“個(gè)人信息”內(nèi)容可能影響信息主體實(shí)際權(quán)益時(shí)，才有必要通知信息主體?？赡苡绊懙膶?shí)際權(quán)益既可能是“身體、心理、情感、經(jīng)濟(jì)等方面的損失，也可能是包括對(duì)聲譽(yù)以及其他任何方面造成的實(shí)質(zhì)損失”②。而其他不會(huì)影響信息主體實(shí)際權(quán)益的“個(gè)人信息”發(fā)生安全事件，則不會(huì)觸發(fā)個(gè)人信息處理者通知義務(wù)。這樣作出制度安排，也有助于降低個(gè)人信息處理者的義務(wù)成本。

三、通知內(nèi)容與條件的對(duì)象適配

明確發(fā)生個(gè)人信息安全事件后向信息主體和監(jiān)管機(jī)構(gòu)履行通知義務(wù)，是為了讓信息主體和監(jiān)管機(jī)構(gòu)及時(shí)采取行動(dòng)，防范次生損害，保障信息主體財(cái)產(chǎn)安全和其他利益。因此，在發(fā)生個(gè)人信息安全事件后，法律要求個(gè)人信息處理者履行通知義務(wù)所包含的內(nèi)容至關(guān)重要，關(guān)系到監(jiān)管機(jī)構(gòu)和信息主體決定進(jìn)一步采取何種措施。目前，《個(gè)人信息保護(hù)法》對(duì)發(fā)生個(gè)人信息安全事件后應(yīng)當(dāng)通知的內(nèi)容進(jìn)行了規(guī)定，但存在著通知內(nèi)容與對(duì)象混同和未明確通知不同對(duì)象條件的問(wèn)題。因此，有必要厘清通知信息主體和監(jiān)管機(jī)構(gòu)在內(nèi)容和條件上的區(qū)別，做好不同對(duì)象的適配。

（一）向信息主體和監(jiān)管機(jī)構(gòu)履行通知義務(wù)的不同法律基礎(chǔ)及條件

國(guó)內(nèi)外立法均要求信息處理者在發(fā)生個(gè)人信息安全事件后分別通知信息主體和監(jiān)管機(jī)構(gòu)，但通知信息主體和監(jiān)管機(jī)構(gòu)的理論基礎(chǔ)并不相同，通知信息主體和監(jiān)管機(jī)構(gòu)的條件也應(yīng)存在差異。履行個(gè)人信息安全事件通知義務(wù)是信息安全保護(hù)義務(wù)的重要內(nèi)容，而信息安全保護(hù)義務(wù)具有私法和公法兩方面淵源，私法從個(gè)人信息所適用的場(chǎng)合出發(fā)，確定個(gè)人信息所對(duì)應(yīng)的具體法益內(nèi)容，公法則主要針對(duì)個(gè)人信息處理過(guò)程予以規(guī)制，③它們決定了個(gè)人信息安全事件通知義務(wù)的法律基礎(chǔ)以及向信息主體和監(jiān)管機(jī)構(gòu)履行通知義務(wù)的不同條件要求。

1．向信息主體履行通知義務(wù)的法律基礎(chǔ)和條件

通知信息主體是信息處理者基于民事和行政雙重法律關(guān)系所負(fù)有的義務(wù)。2018年，由北京市互聯(lián)網(wǎng)法院作出判決的何小飛訴北京密境和風(fēng)科技有限公司網(wǎng)絡(luò)侵權(quán)責(zé)任糾紛案，已經(jīng)明確了侵權(quán)責(zé)任法所賦予的物理空間管理人的安全保障義務(wù)能夠轉(zhuǎn)介到虛擬空間。①由此，網(wǎng)絡(luò)服務(wù)提供者完全可能因未盡到安全保障義務(wù)而產(chǎn)生網(wǎng)絡(luò)侵權(quán)責(zé)任。個(gè)人信息安全事件通知是信息安全保障義務(wù)的重要內(nèi)容，若信息處理者在發(fā)生個(gè)人信息安全事件后未履行通知義務(wù)給信息主體造成了次生損害，信息處理者就應(yīng)為次生損害承擔(dān)侵權(quán)責(zé)任。同時(shí)，維護(hù)他方當(dāng)事人人身或財(cái)產(chǎn)上利益的合同附隨義務(wù)賦予了信息處理者在提供其他服務(wù)的同時(shí)履行數(shù)據(jù)安全保護(hù)義務(wù)的責(zé)任。信息處理者在發(fā)生個(gè)人信息安全事件后如未履行通知義務(wù)且給信息主體造成了次生損害，信息主體可根據(jù)《民法典》第509條所規(guī)定的附隨義務(wù)追究合同相對(duì)方違約責(zé)任。因此，由侵權(quán)責(zé)任和合同附隨義務(wù)產(chǎn)生的私法責(zé)任是信息處理者向信息主體履行通知義務(wù)最根源的理論基礎(chǔ)?，F(xiàn)行立法明確要求信息處理者向信息主體履行通知義務(wù)，則是在此基礎(chǔ)上為信息處理者履行通知義務(wù)增加了公法屬性。

從通知信息主體的角度來(lái)看．根據(jù)私法上侵權(quán)責(zé)任和合同責(zé)任的要求，只要發(fā)生個(gè)人信息安全事件，信息處理者原則上應(yīng)當(dāng)通知信息主體。但《個(gè)人信息保護(hù)法》在公法層面賦予了信息處理者在發(fā)生個(gè)人信息安全事件后豁免履行通知義務(wù)的條件，即履行通知義務(wù)的例外：“個(gè)人信息處理者采取措施能夠有效避免信息泄露、篡改、丟失造成危害的，個(gè)人信息處理者可以不通知個(gè)人……”這意味著即使發(fā)生個(gè)人信息安全事件，只要個(gè)人信息處理者采取措施能夠有效避免信息安全事件造成危害，就可以不通知信息主體。域外相關(guān)立法均有類(lèi)似規(guī)定，如歐盟《一般數(shù)據(jù)保護(hù)條例》第34條第1款規(guī)定：“當(dāng)個(gè)人信息安全事件可能對(duì)自然人權(quán)利和自由造成較高風(fēng)險(xiǎn)時(shí)，信息處理者應(yīng)當(dāng)及時(shí)通知信息主體”②；澳大利亞《隱私法修訂案（數(shù)據(jù)安全事件）》明確規(guī)定：“個(gè)人信息處理者在通知前已采取補(bǔ)救措施使信息安全事件不會(huì)對(duì)信息主體造成嚴(yán)重傷害，即可不通知個(gè)人。”③究竟個(gè)人信息安全事件在何種情況下不會(huì)對(duì)個(gè)人造成危害或風(fēng)險(xiǎn)？歐盟《一般數(shù)據(jù)保護(hù)條例》第34條第3款規(guī)定，對(duì)于已經(jīng)采用數(shù)據(jù)加密等保護(hù)措施，能夠確保不會(huì)對(duì)自然人權(quán)利和自由造成較高風(fēng)險(xiǎn)時(shí)，即可不適用通知信息主體的規(guī)定。④從美國(guó)各州的數(shù)據(jù)安全事件通知立法來(lái)看，對(duì)介人信息采用加密技術(shù)后，即使發(fā)生安全事件，也不會(huì)對(duì)個(gè)人信息造成影響。美國(guó)50個(gè)州的數(shù)據(jù)安全事件通知立法均規(guī)定有加密安全港規(guī)則，這意味著如果個(gè)人信息已被加密，信息處理者就不必通知信息主體。⑤例如，加利福尼亞州立法明確，個(gè)人信息安全事件通知義務(wù)不適用于被加密并且密鑰并未被他人獲取的個(gè)人信息；⑥科羅拉多州立法規(guī)定，數(shù)據(jù)安全事件通知法律不適用于被加密、編輯或通過(guò)其他方式得到保護(hù)而使他人不可讀或不可用的信息。⑦“加密”所指的“密碼”（cryptograph）并非日常生活中登錄電腦、手機(jī)等設(shè)備或操作系統(tǒng)、電子郵箱等服務(wù)器時(shí)使用的“口令”（password）?！凹用堋彼傅摹懊艽a”是指“采用特定變換的方法對(duì)信息等進(jìn)行加密保護(hù)、安全認(rèn)證的技術(shù)”。①將個(gè)人信息的“明文”通過(guò)加密技術(shù)處理后就成為了“密文”，即使發(fā)生安全事件，他人所獲取的也是作為“密文”的個(gè)人信息。只要他人不掌握密鑰，就無(wú)法將作為“密文”的個(gè)人信息還原為作為“明文”的個(gè)人信息。因此，密碼技術(shù)是保護(hù)信息機(jī)密性、完整性、可用性的重要手段。美國(guó)各州聯(lián)邦法律通過(guò)豁免個(gè)人信息處理者在加密數(shù)據(jù)發(fā)生安全事件時(shí)履行通知義務(wù)，來(lái)鼓勵(lì)個(gè)人信息處理者在處理個(gè)人信息時(shí)廣泛采用加密技術(shù)。但是，在數(shù)據(jù)安全保護(hù)中使用商用密碼的成本較高，美國(guó)科羅拉多等州法律規(guī)定采用混淆、標(biāo)記化或掩蔽等措施的個(gè)人信息發(fā)生安全事件，也無(wú)需履行通知義務(wù)。②綜上，個(gè)人信息處理者在對(duì)個(gè)人信息采用加密等技術(shù)手段后，即使發(fā)生個(gè)人信息安全事件，也不會(huì)對(duì)個(gè)人造成任何損害，在這種情況下，個(gè)人信息處理者即可不履行通知義務(wù)。

2．向監(jiān)管機(jī)構(gòu)履行報(bào)告義務(wù)的法律基礎(chǔ)和條件

報(bào)告監(jiān)管機(jī)構(gòu)是信息處理者基于行政法律關(guān)系所負(fù)有的基本義務(wù)。較之通知信息主體，通知監(jiān)管機(jī)構(gòu)是在公法關(guān)系基礎(chǔ)上國(guó)家賦予個(gè)人信息處理者的數(shù)據(jù)安全保護(hù)義務(wù)。賦予個(gè)人信息處理者通知監(jiān)管機(jī)構(gòu)的法定義務(wù)是由個(gè)人信息的公共安全屬性決定的。我國(guó)近年出臺(tái)的網(wǎng)絡(luò)安全和數(shù)據(jù)安全法律規(guī)范將個(gè)人信息匯聚后的體量作為界定數(shù)據(jù)重要程度的考量因素，③充分說(shuō)明當(dāng)個(gè)人數(shù)據(jù)匯聚形成一定規(guī)模后，就達(dá)到了關(guān)涉公共安全和國(guó)家安全的程度。因此，對(duì)于達(dá)到一定規(guī)模的個(gè)人信息發(fā)生安全事件，個(gè)人信息處理者就有必要及時(shí)通知監(jiān)管機(jī)構(gòu)。《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》（征求意見(jiàn)稿）明確規(guī)定，發(fā)生10萬(wàn)人以上個(gè)人信息泄露、毀損、丟失等數(shù)據(jù)安全事件時(shí)，數(shù)據(jù)處理者應(yīng)當(dāng)通知設(shè)區(qū)的市級(jí)網(wǎng)信部門(mén)等監(jiān)管機(jī)構(gòu)。

向監(jiān)管機(jī)構(gòu)履行通知義務(wù)是法律賦予個(gè)人信息處理者的公法義務(wù)。根據(jù)《個(gè)人信息保護(hù)法》第57條規(guī)定，發(fā)生個(gè)人信息安全事件，個(gè)人信息處理者應(yīng)當(dāng)通知履行個(gè)人信息保護(hù)職責(zé)的部門(mén)和個(gè)人；個(gè)人信息處理者采取措施能夠有效避免造成危害的，個(gè)人信息處理者可以不通知個(gè)人。由上，在采取措施能夠有效避免個(gè)人信息安全事件造成危害時(shí)，即可豁免通知信息主體，但并未豁免通知監(jiān)管機(jī)構(gòu)。這一制度設(shè)計(jì)并不符合向信息主體和監(jiān)管機(jī)構(gòu)履行通知義務(wù)的理論邏輯。具體來(lái)說(shuō)，發(fā)生個(gè)人信息安全事件后，個(gè)人信息處理者向信息主體履行通知義務(wù)同時(shí)具有私法和公法的要求。其中，依據(jù)私法上侵權(quán)責(zé)任和合同責(zé)任，只要發(fā)生個(gè)人信息安全事件，信息處理者原則上應(yīng)當(dāng)通知信息主體?！秱€(gè)人信息保護(hù)法》對(duì)個(gè)人信息處理者履行通知義務(wù)的要求是將私法義務(wù)公法化的確認(rèn)和重申。因此，從通知義務(wù)的私法和公法性質(zhì)關(guān)系來(lái)看，私法屬性具有基礎(chǔ)性，公法屬性具有附加性?！秱€(gè)人信息保護(hù)法》明確，通過(guò)采取措施能夠有效避免信息泄露、篡改、丟失造成危害的可以不履行通知義務(wù)，本質(zhì)上屬于通過(guò)公法規(guī)定減免個(gè)人信息處理者的私法義務(wù)。個(gè)人信息安全事件直接影響信息主體的安全和利益，當(dāng)個(gè)人信息匯聚形成一定規(guī)模后，其危害才具有社會(huì)性，①達(dá)到關(guān)涉公共安全和國(guó)家安全的程度。因此，從理論邏輯來(lái)看，法律應(yīng)當(dāng)優(yōu)先免除公法賦予的通知義務(wù)，而不宜越過(guò)公法上的通知義務(wù)直接免除私法上的通知義務(wù)。這意味著法律在賦予個(gè)人信息處理者豁免通知信息主體條件之前，需要優(yōu)先明確豁免通知監(jiān)管機(jī)構(gòu)的條件。

美國(guó)諸多州數(shù)據(jù)安全事件立法即采用通知信息主體優(yōu)先于通知監(jiān)管機(jī)構(gòu)的做法。例如，美國(guó)佛羅里達(dá)州立法規(guī)定，如果超過(guò)500人受到信息安全事件影響，信息處理者必須在30天內(nèi)通知佛羅里達(dá)州法律事務(wù)部；②佐治亞州要求，如果超過(guò)1萬(wàn)名消費(fèi)者受到個(gè)人信息安全事件的影響，信息處理者必須立即通知全國(guó)所有的消費(fèi)者征信機(jī)構(gòu)；③科羅拉多州立法明確，只有超過(guò)1000名科羅拉多居民的信息發(fā)生安全事件，才需要通知所有全國(guó)消費(fèi)者信用報(bào)告機(jī)構(gòu)等監(jiān)管機(jī)構(gòu)。④綜上，“各州法律通常要求達(dá)到一個(gè)門(mén)檻才需要通知司法部長(zhǎng)或消費(fèi)者征信機(jī)構(gòu)，最常見(jiàn)的是有超過(guò)1000名受影響的居民”⑤。事實(shí)上，《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》（征求意見(jiàn)稿）也采用了通知信息主體優(yōu)先于通知監(jiān)管機(jī)構(gòu)的立法思路，第11條在規(guī)定通知信息主體的基礎(chǔ)上明確，發(fā)生10萬(wàn)人以上個(gè)人信息泄露、毀損、丟失等數(shù)據(jù)安全事件時(shí)，還應(yīng)當(dāng)向設(shè)區(qū)的市級(jí)網(wǎng)信部門(mén)和有關(guān)主管部門(mén)進(jìn)行報(bào)告。根據(jù)這一規(guī)定，并非發(fā)生個(gè)人信息安全事件一律需要向監(jiān)管機(jī)構(gòu)進(jìn)行報(bào)告，只有規(guī)模達(dá)到10萬(wàn)人以上才需要報(bào)告。較之《個(gè)人信息保護(hù)法》第57條的規(guī)定，《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》（征求意見(jiàn)稿）第11條確定通知監(jiān)管機(jī)構(gòu)的條件符合履行個(gè)人信息安全事件通知義務(wù)的理論邏輯，未來(lái)審議稿宜堅(jiān)持通知信息主體優(yōu)先于通知監(jiān)管機(jī)構(gòu)的立法思路。

（二）對(duì)監(jiān)管機(jī)構(gòu)和信息主體的通知內(nèi)容作出區(qū)別規(guī)定

《民法典》第1038條規(guī)定了發(fā)生或者可能發(fā)生個(gè)人信息安全事件的，應(yīng)當(dāng)及時(shí)采取補(bǔ)救措施，按照規(guī)定告知自然人并向有關(guān)主管部門(mén)報(bào)告，但并未就告知自然人和報(bào)告有關(guān)主管部門(mén)的內(nèi)容加以詳細(xì)規(guī)定?！秱€(gè)人信息保護(hù)法》則對(duì)發(fā)生個(gè)人信息安全事件后個(gè)人信息處理者應(yīng)當(dāng)通知的內(nèi)容作出較為詳細(xì)規(guī)定，在第57條第1款明確了個(gè)人信息處理者對(duì)監(jiān)管機(jī)構(gòu)和個(gè)人作出通知的內(nèi)容應(yīng)當(dāng)包括下列事項(xiàng)：第一，發(fā)生或者可能發(fā)生個(gè)人信息安全事件的信息種類(lèi)、原因和可能造成的危害；第二，個(gè)人信息處理者采取的補(bǔ)救措施和個(gè)人可以采取的減輕危害的措施；第三，個(gè)人信息處理者的聯(lián)系方式。《個(gè)人信息保護(hù)法》將發(fā)生個(gè)人信息安全事件后的通知內(nèi)容歸納為個(gè)人信息安全事件的基本情況、已經(jīng)采取和未來(lái)可以采取的措施、聯(lián)系方式等3個(gè)方面，具有一定的合理性。但這一規(guī)定的問(wèn)題在于將通知數(shù)據(jù)主體和監(jiān)管機(jī)構(gòu)的內(nèi)容混同規(guī)定，導(dǎo)致通知有關(guān)對(duì)象的內(nèi)容欠缺針對(duì)性?！秱€(gè)人信息保護(hù)法》規(guī)定將以上三類(lèi)事項(xiàng)同時(shí)通知監(jiān)管機(jī)構(gòu)和個(gè)人，但監(jiān)管機(jī)構(gòu)和信息主體需要獲知的信息有所區(qū)別。

對(duì)監(jiān)管機(jī)構(gòu)而言，發(fā)生個(gè)人信息安全事件后，需要從整體上掌握相關(guān)信息的種類(lèi)、體量、原因，以及個(gè)人信息處理者采取的相關(guān)措施。向監(jiān)管機(jī)構(gòu)告知相關(guān)信息的種類(lèi)，如個(gè)人醫(yī)療健康信息、行動(dòng)軌跡信息，有助于監(jiān)管機(jī)構(gòu)集中資源對(duì)個(gè)人信息處理者采取補(bǔ)救措施和開(kāi)展有針對(duì)性的指導(dǎo)；告知發(fā)生安全事件信息的體量，有助于監(jiān)管機(jī)構(gòu)對(duì)安全事件的影響范圍和風(fēng)險(xiǎn)大小作出準(zhǔn)確評(píng)估；告知發(fā)生安全事件的原因，有助于監(jiān)管機(jī)構(gòu)盡快找到風(fēng)險(xiǎn)源頭并及時(shí)作出處置、展開(kāi)執(zhí)法；告知已經(jīng)和準(zhǔn)備采取的相關(guān)措施，是為了讓監(jiān)管機(jī)構(gòu)對(duì)相關(guān)措施的必要性、有效性作出評(píng)估，并對(duì)個(gè)人信息處理者采取的補(bǔ)救行動(dòng)進(jìn)行監(jiān)督和指導(dǎo)。總體而言，通知監(jiān)管機(jī)構(gòu)一方面有利于對(duì)信息安全事件的處置工作，另一方面能夠“識(shí)別經(jīng)常受到網(wǎng)絡(luò)攻擊的目標(biāo)，暴露數(shù)據(jù)安全基礎(chǔ)設(shè)施漏洞，明確未來(lái)增強(qiáng)數(shù)據(jù)安全保護(hù)措施的方向”①。

對(duì)信息主體而言，發(fā)生個(gè)人信息安全事件后，有必要及時(shí)掌握與自身相關(guān)信息的內(nèi)容、可能造成的損害、未來(lái)應(yīng)采取的防范措施。例如，建議信息主體及時(shí)修改相關(guān)服務(wù)器密碼。國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)個(gè)人信息安全規(guī)范》專(zhuān)門(mén)對(duì)發(fā)生個(gè)人信息安全事件后通知信息主體的內(nèi)容作出規(guī)定，包括5個(gè)方面：安全事件的內(nèi)容和影響、已采取或?qū)⒁扇〉奶幹么胧?、個(gè)人信息主體自主防范和降低風(fēng)險(xiǎn)的建議、針對(duì)個(gè)人信息主體提供的補(bǔ)救措施、個(gè)人信息保護(hù)負(fù)責(zé)人和個(gè)人信息保護(hù)工作機(jī)構(gòu)的聯(lián)系方式。要求個(gè)人信息處理者及時(shí)告知信息主體安全事件，是為了讓信息主體知曉相關(guān)信息的具體內(nèi)容，及時(shí)采取相關(guān)措施防范未來(lái)可能面臨的財(cái)產(chǎn)、聲譽(yù)等方面的次生損害。

因此，將通知監(jiān)管機(jī)構(gòu)和信息主體的內(nèi)容混同規(guī)定，不利于監(jiān)管機(jī)構(gòu)和信息主體有針對(duì)性地獲取信息，進(jìn)而影響監(jiān)管機(jī)構(gòu)和信息主體對(duì)信息安全事件風(fēng)險(xiǎn)的評(píng)估和進(jìn)一步采取防范、補(bǔ)救措施。歐盟《一般數(shù)據(jù)保護(hù)條例》對(duì)通知信息主體和監(jiān)管機(jī)構(gòu)的內(nèi)容作出不同規(guī)定，在第33條和第34條分別規(guī)定了在發(fā)生個(gè)人信息安全事件后個(gè)人信息處理者通知監(jiān)管機(jī)構(gòu)和信息主體的不同內(nèi)容。尤其明確了應(yīng)當(dāng)通知監(jiān)管機(jī)構(gòu)相關(guān)信息主體、信息記錄的種類(lèi)、信息的大致數(shù)量等內(nèi)容，而以上內(nèi)容無(wú)需通知信息主體。②美國(guó)各州相關(guān)數(shù)據(jù)安全事件立法同樣就通知監(jiān)管機(jī)構(gòu)和信息主體的內(nèi)容作出區(qū)別規(guī)定。例如，《阿拉巴馬州數(shù)據(jù)安全事件通知法案》規(guī)定，通知信息主體的內(nèi)容主要包括發(fā)生安全事件信息的具體情況等5項(xiàng)內(nèi)容，通知監(jiān)管機(jī)構(gòu)的內(nèi)容包括信息安全事件的情況概要等4項(xiàng)內(nèi)容。

《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》（征求意見(jiàn)稿）對(duì)信息主體和監(jiān)管機(jī)構(gòu)的通知內(nèi)容作出了區(qū)別規(guī)定。明確通知利害關(guān)系人的內(nèi)容包括安全事件和風(fēng)險(xiǎn)情況、危害后果、已經(jīng)采取的補(bǔ)救措施通知；通知監(jiān)管機(jī)構(gòu)的內(nèi)容包括安全事件涉及的數(shù)據(jù)數(shù)量、類(lèi)型、可能的影響、已經(jīng)或擬采取的處置措施等事件基本信息和事件原因、危害后果、責(zé)任處理、改進(jìn)措施等情況的調(diào)查評(píng)估報(bào)告。上述規(guī)定較為合理地對(duì)通知信息主體和監(jiān)管機(jī)構(gòu)的內(nèi)容作出細(xì)化區(qū)分處理，未來(lái)審議稿宜堅(jiān)持這一思路。

四、未履行通知義務(wù)的法律責(zé)任

《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等法律規(guī)范已經(jīng)為數(shù)據(jù)安全保護(hù)義務(wù)構(gòu)建起行政、民事、刑事為一體的綜合責(zé)任體系。個(gè)人信息安全事件通知義務(wù)是信息安全保護(hù)義務(wù)的重要組成部分，違反通知義務(wù)在行政、民事、刑事責(zé)任方面具有不同的功能定位和責(zé)任標(biāo)準(zhǔn)。具體而言，在刑事責(zé)任領(lǐng)域，未履行個(gè)人信息安全事件通知義務(wù)的行為本身，并不涉及刑事責(zé)任問(wèn)題；在行政責(zé)任領(lǐng)域，不同法律所規(guī)定的個(gè)人信息處理者未履行通知義務(wù)的責(zé)任并不一致；在民事責(zé)任領(lǐng)域，民事賠償?shù)姆绞胶蜆?biāo)準(zhǔn)尚不明確。個(gè)人信息安全事件通知義務(wù)的行政責(zé)任和民事責(zé)任亟待進(jìn)一步厘清釋明。

（一）行政法律責(zé)任的競(jìng)合

《網(wǎng)絡(luò)安全法》第42條第2款規(guī)定了個(gè)人信息處理者通知義務(wù)，同時(shí)在第64條規(guī)定了未履行相關(guān)義務(wù)的法律責(zé)任?！稊?shù)據(jù)安全法》第29條規(guī)定，發(fā)生數(shù)據(jù)安全事件時(shí)，應(yīng)當(dāng)立即采取處置措施，按照規(guī)定及時(shí)告知用戶(hù)并向有關(guān)主管部門(mén)報(bào)告；同時(shí)在第45條規(guī)定了不履行通知義務(wù)的行政法律責(zé)任?！毒W(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》（征求意見(jiàn)稿）在第11條詳細(xì)規(guī)定了通知信息主體和監(jiān)管機(jī)構(gòu)的義務(wù)，同時(shí)在第60條規(guī)定了不履行通知義務(wù)的行政法律責(zé)任，具體內(nèi)容與《數(shù)據(jù)安全法》第45條的規(guī)定完全一致?！秱€(gè)人信息保護(hù)法》作為保護(hù)個(gè)人信息的專(zhuān)門(mén)法律，在第57條專(zhuān)門(mén)對(duì)個(gè)人信息安全事件通知義務(wù)作出詳細(xì)規(guī)定，同時(shí)在第66條規(guī)定了不履行通知義務(wù)的行政法律責(zé)任。

然而，《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》對(duì)通知義務(wù)行政法律責(zé)任的規(guī)定并不一致，為法律適用造成了困惑和分歧，具體體現(xiàn)在三個(gè)方面：第一，未履行通知義務(wù)的一般行政法律責(zé)任。對(duì)于末履行通知義務(wù)的一般情形，《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》均規(guī)定了對(duì)個(gè)人信息處理者和主管人員較高額度的罰款和沒(méi)收違法所得等責(zé)任，而《個(gè)人信息保護(hù)法》僅規(guī)定了責(zé)令改正和警告兩類(lèi)處罰。第二，未履行通知義務(wù)且拒不改正的行政法律責(zé)任。未履行通知義務(wù)屬于個(gè)人信息處理者對(duì)行政法律義務(wù)的不作為，法律所規(guī)定的“拒不改正”可以被廣義解釋為拒不履行行政法律義務(wù)。個(gè)人信息處理者未履行通知義務(wù)，監(jiān)管機(jī)構(gòu)責(zé)令改正其拒不改正的，將承擔(dān)更為嚴(yán)重的行政法律責(zé)任。對(duì)于拒不改正的責(zé)任，《網(wǎng)絡(luò)安全法》并未作出規(guī)定，《數(shù)據(jù)安全法》規(guī)定的責(zé)任要重于《個(gè)人信息保護(hù)法》?！稊?shù)據(jù)安全法》規(guī)定，可處50萬(wàn)元以上200萬(wàn)元以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或者吊銷(xiāo)營(yíng)業(yè)執(zhí)照；而《個(gè)人信息保護(hù)法》僅規(guī)定并處100萬(wàn)元以下罰款。第三，未履行通知義務(wù)且造成嚴(yán)重后果的行政法律責(zé)任。對(duì)于加重行政處罰的情形，《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》均規(guī)定可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或者吊銷(xiāo)營(yíng)業(yè)執(zhí)照。但在對(duì)個(gè)人信息處理者罰款方面，《網(wǎng)絡(luò)安全法》未作出規(guī)定，《數(shù)據(jù)安全法》規(guī)定的處50萬(wàn)元以上200萬(wàn)元以下罰款，要明顯輕于《個(gè)人信息保護(hù)法》規(guī)定的5000萬(wàn)元以下或者上一年度營(yíng)業(yè)額5%以下罰款。

綜上，《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》所規(guī)定的未履行通知義務(wù)的一般責(zé)任要重于《個(gè)人信息保護(hù)法》的規(guī)定；《網(wǎng)絡(luò)安全法》未對(duì)拒不改正責(zé)任作出規(guī)定，《數(shù)據(jù)安全法》對(duì)拒不改正的責(zé)任規(guī)定要重于《個(gè)人信息保護(hù)法》的規(guī)定；但在造成嚴(yán)重后果的責(zé)任方面，《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》又顯著輕于《個(gè)人信息保護(hù)法》的規(guī)定。由此產(chǎn)生了法律責(zé)任適用競(jìng)合問(wèn)題。從法律責(zé)任規(guī)定體例來(lái)看，《個(gè)人信息保護(hù)法》對(duì)所有未履行該法規(guī)定的個(gè)人信息保護(hù)義務(wù)的行政法律責(zé)任集中在一個(gè)條文中作出規(guī)定，即未履行個(gè)人信息保護(hù)義務(wù)的適用情形均適用統(tǒng)一的法律責(zé)任規(guī)定；《網(wǎng)絡(luò)安全法》將未履行涉及信息主體相關(guān)義務(wù)的法律責(zé)任規(guī)定在同一個(gè)條款之中；而《數(shù)據(jù)安全法》將數(shù)據(jù)處理者未履行數(shù)據(jù)安全保護(hù)義務(wù)的法律責(zé)任規(guī)定在同一條款當(dāng)中。囿于三部法律規(guī)制側(cè)重點(diǎn)的不同，對(duì)未履行個(gè)人信息泄露通知義務(wù)的責(zé)任作出了不同規(guī)定。

從《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》三部法律的關(guān)系來(lái)看，在個(gè)人信息保護(hù)領(lǐng)域，《個(gè)人信息保護(hù)法》屬于《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》的特別法。因此，在未履行個(gè)人信息安全事件通知義務(wù)的行政法律責(zé)任競(jìng)合時(shí)，更適宜優(yōu)先適用《個(gè)人信息保護(hù)法》的規(guī)定。此外，履行不同的個(gè)人信息保護(hù)義務(wù)或數(shù)據(jù)安全保護(hù)義務(wù)對(duì)保護(hù)個(gè)人信息的效果、作用有著顯著區(qū)別，需要針對(duì)具體情形作出裁量判斷?？傮w來(lái)看，較之《個(gè)人信息保護(hù)法》規(guī)定的個(gè)人信息跨境提供前應(yīng)履行的安全評(píng)估，采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施，進(jìn)行個(gè)人信息保護(hù)影響評(píng)估等義務(wù)而言，個(gè)人信息安全事件通知義務(wù)作為事后補(bǔ)救措施，對(duì)保護(hù)個(gè)人信息所發(fā)揮的效果和對(duì)個(gè)人信息權(quán)益的影Ⅱ向要略遜一籌，這意味著個(gè)人信息處理者違反個(gè)人信息安全事件通知義務(wù)的法律責(zé)任較之同一條款中涉及違反其他法定義務(wù)的責(zé)任而言應(yīng)作出從輕處理。

（二）未履行通知義務(wù)的民事與行政責(zé)任銜接

從個(gè)人信息安全事件通知義務(wù)的私法和公法性質(zhì)關(guān)系來(lái)看，私法屬性具有基礎(chǔ)性。在發(fā)生個(gè)人信息安全事件后，個(gè)人信息處理者應(yīng)當(dāng)首先承擔(dān)私法上的侵權(quán)和違約責(zé)任。在此基礎(chǔ)上，法律之所以又賦予個(gè)人信息處理者公法上的義務(wù)和責(zé)任，一方面是因?yàn)閭€(gè)人數(shù)據(jù)匯聚形成一定規(guī)模后不僅關(guān)乎個(gè)人利益，還涉及公共安全和國(guó)家安全，個(gè)人信息處理者應(yīng)當(dāng)承擔(dān)公法上的義務(wù)；另一方面是因?yàn)槊袷仑?zé)任的實(shí)施效果不佳，難以發(fā)揮民事賠償?shù)木葷?jì)功能。對(duì)于后者，具體而言，雖然《個(gè)人信息保護(hù)法》明確在信息主體權(quán)益受到損害時(shí)，由個(gè)人信息處理者承擔(dān)過(guò)錯(cuò)推定責(zé)任，①同時(shí)授權(quán)人民檢察院、法律規(guī)定的消費(fèi)者組織和由國(guó)家網(wǎng)信部門(mén)確定的組織，在眾多個(gè)人權(quán)益受到侵害時(shí)，可以依法向人民法院提起訴訟，②但信息主體的受損權(quán)益依然難以得到有效彌補(bǔ)。個(gè)人信息處理者需要對(duì)全體被侵權(quán)人承擔(dān)高昂的賠償總額，但對(duì)于龐大體量中的每一個(gè)信息權(quán)益主體來(lái)說(shuō)，其獲得的賠償卻微不足道。例如，在美國(guó)依可菲公司數(shù)據(jù)泄露案中，依可菲（Equifax）公司是美國(guó)最大的財(cái)務(wù)健康狀況的信用報(bào)告機(jī)構(gòu)之一，客戶(hù)范圍幾乎涵蓋全體美國(guó)人。2017年，有1.43億份客戶(hù)記錄被盜取，信息涉及姓名、地址、出生日期、社保號(hào)碼、駕照號(hào)碼，其中還包括約20萬(wàn)人的信用卡號(hào)碼。③最終依可菲公司總共支付的賠償金高達(dá)約6.5億美元，而信息權(quán)益受到損害的個(gè)體所獲得的賠償金額卻不足5美元。④依可菲案中因個(gè)人信息泄露而引發(fā)的賠償屬于實(shí)體損害。舉重以明輕，個(gè)人信息處理者因未履行個(gè)人信息安全事件通知這一程序性義務(wù)而承擔(dān)的違約或侵權(quán)責(zé)任．則更加難以量化測(cè)算，且對(duì)信息主體的補(bǔ)償意義更加微不足道。在政務(wù)數(shù)據(jù)領(lǐng)域，如果國(guó)家機(jī)關(guān)發(fā)生個(gè)人信息安全事件，侵權(quán)責(zé)任更加難以認(rèn)定。⑤

此外，《個(gè)人信息保護(hù)法》中“采取措施能夠有效避免信息泄露、篡改、丟失造成危害的即可不通知個(gè)人”這一規(guī)定，不僅豁免了個(gè)人信息處理者私法層面的通知義務(wù)，也相應(yīng)免除了私法層面的侵權(quán)和違約責(zé)任。可見(jiàn)，在未履行個(gè)人信息安全事件通知義務(wù)的責(zé)任中，民事賠償?shù)木葷?jì)功能基本處于失靈狀態(tài)。《個(gè)人信息保護(hù)法》等法律從公法層面要求個(gè)人信息處理者履行個(gè)人信息安全事件通知義務(wù)，在很大程度上補(bǔ)足了民事責(zé)任的缺陷。由此，在未履行通知義務(wù)的法律責(zé)任中，應(yīng)當(dāng)限縮私法層面的賠償責(zé)任，更多適用行政法中的處罰責(zé)任。

結(jié)語(yǔ)

個(gè)人信息安全事件通知義務(wù)是信息安全保護(hù)義務(wù)的重要環(huán)節(jié)。從美國(guó)數(shù)據(jù)安全立法來(lái)看，不同的數(shù)據(jù)安全制度散見(jiàn)于各個(gè)單行法律或各州法律中。唯獨(dú)在個(gè)人信息安全事件領(lǐng)域，各州都步調(diào)一致地專(zhuān)門(mén)制定有個(gè)人信息安全事件通知法，尤其可見(jiàn)個(gè)人信息安全事件通知義務(wù)在整個(gè)數(shù)據(jù)安全制度中的重要地位。我國(guó)《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》雖然規(guī)定有個(gè)人信息安全事件通知義務(wù)，但目前還存在未對(duì)履行通知義務(wù)的“個(gè)人信息”范疇進(jìn)行特別界定，通知內(nèi)容與對(duì)象混同，通知信息主體與監(jiān)管機(jī)構(gòu)條件不明，未履行通知義務(wù)的法律責(zé)任未能細(xì)化等問(wèn)題。對(duì)上述問(wèn)題作出回應(yīng)，不僅能夠?qū)€(gè)人信息安全事件通知制度作出整體改進(jìn)，還能夠減輕個(gè)人信息處理者無(wú)必要的義務(wù)負(fù)擔(dān)，在激勵(lì)個(gè)人信息處理者為社會(huì)提供優(yōu)質(zhì)數(shù)字服務(wù)和督促個(gè)人信息處理者依法履行數(shù)據(jù)安全保護(hù)義務(wù)之間找到更為優(yōu)化的平衡點(diǎn)。