王玎：論個人資訊安全事件通知義務

論個人資訊安全事件通知義務

王玎（北京電子科技學院講師）

|目錄

一、問題的提出

二、應履行通知義務的“個人資訊”範疇

（一）法定通知義務中“個人資訊”範疇的擴充

（二）比較法上通知義務中“個人資訊”範疇的限縮

（三）以“可能影響實際權益”作為履行通知義務“個人資訊”範疇的标準

三、通知内容與條件的對象适配

（一）向資訊主體和監管機構履行通知義務的不同法律基礎及條件

（二）對監管機構和資訊主體的通知内容作出差別規定

四、未履行通知義務的法律責任

（一）行政法律責任的競合

（二）未履行通知義務的民事與行政責任銜接

結語

|摘要

個人資訊安全事件通知是個人資訊處理者履行資訊安全保護義務的重要環節，能夠促使資訊主體和監管機構在發生個人資訊安全事件後及時采取行動，防範次生損害。《網絡安全法》《資料安全法》《個人資訊保護法》均規定了個人資訊安全事件通知義務，但内容不一、詳略有别。從“個人資訊”的範疇來看，隻有發生安全事件的“個人資訊”可能影響資訊主體實際權益時，才有必要通知資訊主體；從通知内容來看，應當對通知監管機構和資訊主體的内容作出差別規定；從通知的理論基礎來看，由侵權責任和合同附随義務産生的私法責任是資訊處理者向資訊主體履行通知義務的理論基礎，向監管機構履行通知義務則是公法要求；從通知的條件來看，對個人資訊采用加密等技術手段後可不向資訊主體履行通知義務，隻有發生安全事件的個人資訊達到一定規模體量才有必要通知監管機構；從通知的法律責任來看，更宜适用作為特别法的《個人資訊保護法》的法律責任規定，同時限縮私法層面的賠償責任，強調公法層面的處罰責任。

|關鍵詞

個人資訊；資料安全；資料洩露；通知義務

|正文

一、問題的提出

個人資訊安全事件通知義務，是個人資訊未經授權通路或擷取後，個人資訊處理者通知資訊主體和報告主管機構的法定義務。《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）第42條第2款規定，在發生或者可能發生個人資訊洩露、毀損、丢失的情況時，應當及時告知使用者并向有關主管部門報告；《中華人民共和國個人資訊保護法》（以下簡稱《個人資訊保護法》）第57條規定，發生或者可能發生個人資訊洩露、篡改、丢失的，個人資訊處理者應當通知履行個人資訊保護職責的部門和個人；《中華人民共和國資料安全法》（以下簡稱《資料安全法》）第29條規定，發生資料安全事件時，應當及時告知使用者并向有關主管部門報告。在域外，歐盟《一般資料保護條例》第33、34條專門規定了“data breach”條款，美國華盛頓哥倫比亞特區和50個州均制定有“Data Breach Notification Act”。域外立法所指的“data breach”就是大陸立法中“洩露、毀損、篡改、丢失”等情形，其特征為個人資訊未經授權通路或擷取，使個人資訊的完整性、保密性、可用性受到損害。是以，文章拟采用接近《資料安全法》中“資料安全事件”的表述，用“個人資訊安全事件”作為“data breach”的對應翻譯和國内立法所指的洩露、毀損、篡改、丢失等情形的統稱。

明确個人資訊安全事件通知義務，是為了讓資訊主體和監管機構及時采取行動，防範次生損害，保障資訊主體财産安全和其他利益。根據IBM釋出的《2021年資料安全事件成本報告》，在每起資料安全事件中，個人資訊處理者履行通知義務所投入的平均成本為27萬美元，[1]同時對個人資訊處理者聲譽來說也是“一種非常真實的公開羞辱”[2]。履行通知義務為個人資訊處理者帶來的經濟成本和聲譽影響，在客觀上也能夠督促個人資訊處理者在事前依法充分履行安全保護義務。是以，“建構合理的資料安全事件通知制度，既可以有效防止資料安全事件發生，還能夠為個人提供充分的補救措施”[3]。

2012年全國人民代表大會常務委員會釋出《關于加強網絡資訊保護的決定》，首次在法律層面規定發生或者可能發生資訊洩露、毀損、丢失的情況時，應當立即采取補救措施，但并未進一步說明應當采取何種補救措施。2013年6月工業和資訊化部《電信和網際網路使用者個人資訊保護規定》（工業和資訊化部令第24号）進一步明确，對于使用者個人資訊發生或者可能發生洩露、毀損、丢失，并造成或者可能造成嚴重後果的，應當立即向準予其許可或者備案的電信管理機構報告。這是大陸首次以部門規章形式對個人資訊處理者向主管機關履行通知義務作出規定。首次正式規定個人資訊處理者在發生資料安全事件後應當通知個人的法律規範是2016年《網絡安全法》。《網絡安全法》第42條第2款規定：“在發生或者可能發生個人資訊洩露、毀損、丢失的情況時，應當立即采取補救措施，按照規定及時告知使用者并向有關主管部門報告。”近年來《中華人民共和國民法典》（以下簡稱《民法典》）、《個人資訊保護法》等法律，《中國人民銀行金融消費者權益保護實施辦法》等規章，以及《資訊安全技術個人資訊安全規範》等國家标準相繼明确個人資訊安全事件通知義務。上述法律規範均對個人資訊安全事件通知義務予以規定，但在内容上并不完全一緻。《民法典》第1038條第2款規定：“發生或者可能發生個人資訊洩露、篡改、丢失的，應當及時采取補救措施，按照規定告知自然人并向有關主管部門報告。”在《民法典》的基礎上，《個人資訊保護法》第57條還規定了通知應當包括的事項，以及可以不予通知的豁免情形。而中國人民銀行2020年釋出規章《中國人民銀行金融消費者權益保護實施辦法》将危及金融消費者人身、财産安全或者産生其他不利影響，作為通知消費者和監管機構的前提。2021年公開征求意見的《網絡資料安全管理條例》（征求意見稿）第11條将通知對象的範圍擴大到利害關系人，分别明确了通知利害關系人和通知監管機構的條件，還具體規定了通知的内容、時間、方式。

就上述法律規範對個人資訊處理者履行安全事件通知義務的規定，有以下問題需要探讨：第一，應當履行通知義務的“個人資訊”的範疇應如何确定，具體而言，資料處理者是否需要對所有個人資訊安全事件履行通知義務？第二，通知個人和監管機構的内容是否應當作出差別規定，通知個人和監管機構是否應當設定一定門檻條件？第三，《網絡安全法》《資料安全法》《個人資訊保護法》對未依法履行通知義務設定了不同的行政法律責任，在法律競合中應當如何選擇适用，未依法履行通知義務的私法和公法責任如何銜接？本文的讨論将圍繞上述問題展開。

二、應履行通知義務的“個人資訊”範疇

何種類型的個人資訊發生安全事件需要通知，是建構通知義務制度的先決問題。根據現行立法，凡個人資訊發生安全事件，均應履行通知義務。然而，部分個人資訊即使發生安全事件，也不會影響資訊主體實際權益。立法一律要求個人資訊處理者履行通知義務，難免會為個人資訊處理者施予不必要的負擔。是以，有必要對應履行通知義務的“個人資訊”範疇作出精細化規定。

（一）法定通知義務中“個人資訊”範疇的擴充

大陸《網絡安全法》《民法典》《個人資訊保護法》等法律對“個人資訊”作出不同界定，“個人資訊”的認定标準也由“識别說”轉向“關聯說”。《網絡安全法》和《民法典》對“個人資訊”的認定均采用“識别說”，認為“個人資訊是以電子或者其他方式記錄的能夠單獨或者與其他資訊結合識别特定自然人的各種資訊”[4]。然而，《個人資訊保護法》對個人資訊的認定通過采用“關聯說”擴大了“個人資訊”的範疇，将“個人資訊”界定為“與已識别或者可識别的自然人有關的各種資訊”。此外，推薦性國家标準《資訊安全技術 個人資訊安全規範》第3.1條将個人資訊界定為“能夠單獨或者與其他資訊結合識别特定自然人身份或者反映特定自然人活動情況的各種資訊”，并在附錄A中進一步闡明：“由資訊本身能夠識别出特定自然人的資訊和由特定自然人在其活動中産生的資訊，均應判定為個人資訊。”[5]《個人資訊保護法》和《資訊安全技術 個人資訊安全規範》實作了由“識别說”到“關聯說”的轉向，這與歐盟《一般資料保護條例》一緻，在很大程度上有助于對個人資訊權益的保護。“個人資訊”外延之廣泛，從《資訊安全技術 個人資訊安全規範》附錄對“個人資訊”的列舉來看，包括個人基本資料、個人身份資訊、個人上網記錄、個人位置資訊等13種類别。

但凡發生上述個人資訊安全事件，個人資訊處理者是否皆應履行通知義務？目前《網絡安全法》《民法典》《個人資訊保護法》并未對發生安全事件後應履行通知義務的“個人資訊”加以差別界定。《網絡安全法》第42條第2款規定：“在發生或者可能發生個人資訊洩露、毀損、丢失的情況時，應當立即采取補救措施，按照規定及時告知使用者并向有關主管部門報告。”《民法典》第1038條第2款規定：“資訊處理者應當采取技術措施和其他必要措施，確定其收集、存儲的個人資訊安全，防止資訊洩露、篡改、丢失；發生或者可能發生個人資訊洩露、篡改、丢失的，應當及時采取補救措施，按照規定告知自然人并向有關主管部門報告。”《個人資訊保護法》第57條第1款規定：“發生或者可能發生個人資訊洩露、篡改、丢失的，個人資訊處理者應當立即采取補救措施，并通知履行個人資訊保護職責的部門和個人。”是以，《網絡安全法》《民法典》《個人資訊保護法》所界定的“個人資訊”發生安全事件，個人資訊處理者均應履行通知義務。

“個人資訊”由《民法典》采用的“識别說”到《個人資訊保護法》采用的“關聯說”的轉向擴大了保護個人資訊權益的範疇，但就履行個人資訊安全事件通知義務而言，事實上為個人資訊處理者施加了諸多非必要負擔。相對“識别”标準的“從資訊推及個人”而言，“關聯”标準是從“個人推及資訊”，如已知特定自然人，由該特定自然人在其活動中産生的資訊（如個人位置資訊、個人通話記錄、個人浏覽記錄等）即視為個人資訊。這就意味着凡個人在其活動中産生的一切有個人資訊處理者所掌握的資訊在發生安全事件後，個人資訊處理者均應履行通知義務。在“北京百度網訊科技有限公司與朱某隐私權糾紛案”中，南京市中級人民法院認為：“網絡使用者通過使用搜尋引擎形成的檢索關鍵詞記錄，雖然反映了網絡使用者的網絡活動軌迹及上網偏好，具有隐私屬性，但這種網絡活動軌迹及上網偏好一旦與網絡使用者身份相分離，便無法确定具體的資訊歸屬主體，不再屬于個人資訊範疇”[6]。但在《個人資訊保護法》“關聯說”場景下，“即便裝置标示符本身并不能識别出使用者，但如果該使用者是明确而特定的，則該裝置标示符因與使用者存在關聯性（曾經使用過），也會被認定為個人資訊”[7]。可見，即使能夠識别到個人的資訊發生安全事件，也并非有必要一律履行通知義務。

（二）比較法上通知義務中“個人資訊”範疇的限縮

究竟什麼樣的個人資訊發生安全事件，個人資訊處理者才需要履行通知義務？在比較法上，發生個人資訊安全事件後并非一律要求個人資訊處理者履行通知義務，隻有發生特定的個人資訊安全事件，個人資訊處理者才應履行通知義務。歐盟《一般資料保護條例》在第33條和第34條分别規定了發生個人資訊安全事件後，個人資訊處理者向監管機構和個人的通知義務，将安全事件對自然人權利和自由造成風險明确作為個人資訊處理者通知監管機構和個人的前提條件。而且，隻有在個人資訊安全事件将給個人造成很高的風險時，才有必要通知個人。[8]

目前，美國聯邦層面并沒有一部統一的安全事件通知立法。但至2018年，美國華盛頓哥倫比亞特區和50個州均完成了資料安全事件通知法（Data Breach Notification Act）的制定。雖然各州資料安全事件通知立法在“個人資訊”的界定上展現出一定差異，但從立法模式來看，各州均對應當履行通知義務的“個人資訊”範疇進行了具體描述，并非所有的個人資訊發生安全事件後均需要履行通知義務。例如，2018年頒布的《阿拉巴馬州資料安全事件通知法》将發生安全事件後需要履行通知義務的個人資訊明确界定為“對個人造成實質損害的敏感個人資訊”。[9]首先，明确發生安全事件後需要履行通知義務的個人資訊必須是敏感個人資訊，而非一般個人資訊。如果是非敏感個人資訊的發生安全事件，個人資訊處理者則不需要履行通知義務。其次，隻有在敏感個人資訊安全事件将給個人造成實質損害時，才需要履行通知義務。如果敏感個人資訊安全事件不會給個人造成實質損害，個人資訊處理者也無需履行通知義務。此外，阿拉巴馬州還對需要履行安全事件通知義務的“敏感個人資訊”進行列舉規定，[10]隻有所列舉“敏感個人資訊”發生安全事件時，個人資訊處理者才需要履行通知義務。美國還有亞利桑那、特拉華、伊利諾伊等14個州的《資料安全事件通知法》将指紋、語音識别或視網膜掃描等獨特的生物特征資料作為受保護的資料元素。[11]2017年制定的澳洲《隐私法修訂案（資料安全事件）》（Privacy Amendment (Notifiable Data Breaches) Bill）明确了個人資訊安全事件通知制度的主體、程式、通知對象等内容，[12]将資訊安全事件可能對資訊相關個人造成嚴重損害作為履行通知義務的前提條件。[13]2016年生效的《荷蘭資料保護法》(Dutch Data Protection Act)對個人資訊安全事件通知義務作出更多限縮規定：并非所有的資訊安全事件都必須通知監管機構和個人。隻有資訊安全事件實際導緻或極有可能導緻對被保護個人造成不利後果，資訊處理者才必須履行通知義務；[14]隻有資訊安全事件可能會對個人隐私産生不利影響，資訊處理者才需要将資料安全事件通知相關個人。[15]

綜上，歐盟《一般資料保護條例》和美國各州《資料安全事件通知法》均對應當履行通知義務的“個人資訊”範疇予以限縮。隻有個人資訊安全事件将對自然人權利和自由造成很高的風險，或者發生安全事件的個人資訊屬于特定的敏感個人資訊且将對個人造成實質損害時，資料處理者才有通知義務。

（三）以“可能影響實際權益”作為履行通知義務“個人資訊”範疇的标準

大陸現行《網絡安全法》《民法典》《個人資訊保護依法》等法律規定的個人資訊處理者應當履行通知義務的“個人資訊”範疇并未差別于一般“個人資訊”的範疇。在比較法上，歐盟和美國各州對通知義務中“個人資訊”範疇進行限縮，意義在于不會對個人造成任何風險和損害就無需通知。對履行通知義務中“個人資訊”範疇的限縮規定，能夠在很大程度上為個人資訊處理者減輕不必要的成本負擔，也能夠減少個人因被通知資訊安全事件而受到的焦慮和困擾。

在金融領域，隻有個人财産資訊、 賬戶資訊、 金融交易資訊和信用資訊等個人财務資訊才是個人金融資訊的核心。[16]2020年《中國人民銀行金融消費者權益保護實施辦法》第34條第2款明确将“對金融消費者産生不利影響”作為個人金融資訊安全事件發生後通知金融消費者的前提條件，隻有資訊洩露、毀損、丢失可能對金融消費者産生其他不利影響的，才應履行通知義務。同樣，2021年公開征求意見的《網絡資料安全管理條例》（征求意見稿）對資訊安全事件通知義務作出細化規定，将“造成危害”作為發生安全事件後履行通知義務的必要條件：安全事件對個人、組織造成危害的，資料處理者應當在3個工作日内将安全事件和風險情況、危害後果、已經采取的補救措施等通知利害關系人。依據《網絡資料安全管理條例》（征求意見稿）的規定，發生個人資訊安全事件，隻有在對個人、組織造成危害時，資料處理者才需要履行通知義務。然而，《中國人民銀行金融消費者權益保護實施辦法》僅能夠适用于金融消費領域；《網絡資料安全管理條例》（征求意見稿）作為《網絡安全法》《資料安全法》《個人資訊保護法》的下位行政法規[17]，雖然對發生個人資訊安全事件後個人資訊處理者履行通知義務範疇作出更加精細的規定，但無助于從本質上對現行法律制度進行完善，反而還會使個人資訊處理者在上下位法的選擇适用中感到無所适從。

綜上，發生安全事件後應當履行通知義務的“個人資訊”的外延，不應等同于法律規範中一般認定“個人資訊”的外延，并非所有“個人資訊”安全事件發生後必然要求個人資訊處理者履行通知義務，隻有在符合特定條件時個人資訊處理者才應當履行通知義務。具體而言，個人資訊處理者履行通知義務應當考量“個人資訊”的具體内容及其可能造成的損害風險，隻有發生安全事件的“個人資訊”内容可能影響資訊主體實際權益時，才有必要通知資訊主體。可能影響的實際權益既可能是“身體、心理、情感、經濟等方面的損失，也可能是包括對聲譽以及其他任何方面造成的實質損失”[18]。而其他不會影響資訊主體實際權益的“個人資訊”發生安全事件，則不會觸發個人資訊處理者通知義務。這樣作出制度安排，也有助于降低個人資訊處理者的義務成本。

三、通知内容與條件的對象适配

明确發生個人資訊安全事件後向資訊主體和監管機構履行通知義務，是為了讓資訊主體和監管機構及時采取行動，防範次生損害，保障資訊主體财産安全和其他利益。是以，在發生個人資訊安全事件後，法律要求個人資訊處理者履行通知義務所包含的内容至關重要，關系到監管機構和資訊主體決定進一步采取何種措施。目前，《個人資訊保護法》對發生個人資訊安全事件後應當通知的内容進行了規定，但存在着通知内容與對象混同和未明确通知不同對象條件的問題。是以，有必要厘清通知資訊主體和監管機構在内容和條件上的差別，做好不同對象的适配。

（一）向資訊主體和監管機構履行通知義務的不同法律基礎及條件

國内外立法均要求資訊處理者在發生個人資訊安全事件後分别通知資訊主體和監管機構，但通知資訊主體和監管機構的理論基礎并不相同，通知資訊主體和監管機構的條件也應存在差異。履行個人資訊安全事件通知義務是資訊安全保護義務的重要内容，而資訊安全保護義務具有私法和公法兩方面淵源，私法從個人資訊所适用的場合出發，确定個人資訊所對應的具體法益内容，公法則主要針對個人資訊處理過程予以規制，[19]它們決定了個人資訊安全事件通知義務的法律基礎以及向資訊主體和監管機構履行通知義務的不同條件要求。

1.向資訊主體履行通知義務的法律基礎和條件

通知資訊主體是資訊處理者基于民事和行政雙重法律關系所負有的義務。2018年，由北京市網際網路法院作出判決的何小飛訴北京密境和風科技有限公司網絡侵權責任糾紛案，已經明确了侵權責任法所賦予的實體空間管理人的安全保障義務能夠轉介到虛拟空間。[20]由此，網絡服務提供者完全可能因未盡到安全保障義務而産生網絡侵權責任。個人資訊安全事件通知是資訊安全保障義務的重要内容，若資訊處理者在發生個人資訊安全事件後未履行通知義務給資訊主體造成了次生損害，資訊處理者就應為次生損害承擔侵權責任。同時，維護他方當事人人身或财産上利益的合同附随義務賦予了資訊處理者在提供其他服務的同時履行資料安全保護義務的責任。資訊處理者在發生個人資訊安全事件後如未履行通知義務且給資訊主體造成了次生損害，資訊主體可根據《民法典》第509條所規定的附随義務追究合同相對方違約責任。是以，由侵權責任和合同附随義務産生的私法責任是資訊處理者向資訊主體履行通知義務最根源的理論基礎。現行立法明确要求資訊處理者向資訊主體履行通知義務，則是在此基礎上為資訊處理者履行通知義務增加了公法屬性。

從通知資訊主體的角度來看，根據私法上侵權責任和合同責任的要求，隻要發生個人資訊安全事件，資訊處理者原則上應當通知資訊主體。但《個人資訊保護法》在公法層面賦予了資訊處理者在發生個人資訊安全事件後豁免履行通知義務的條件，即履行通知義務的例外：“個人資訊處理者采取措施能夠有效避免資訊洩露、篡改、丢失造成危害的，個人資訊處理者可以不通知個人……”這意味着即使發生個人資訊安全事件，隻要個人資訊處理者采取措施能夠有效避免資訊安全事件造成危害，就可以不通知資訊主體。域外相關立法均有類似規定，如歐盟《一般資料保護條例》第34條第1款規定：“當個人資訊安全事件可能對自然人權利和自由造成較高風險時，資訊處理者應當及時通知資訊主體”[21]；澳洲《隐私法修訂案（資料安全事件）》明确規定：“個人資訊處理者在通知前已采取補救措施使資訊安全事件不會對資訊主體造成嚴重傷害，即可不通知個人。”[22]究竟個人資訊安全事件在何種情況下不會對個人造成危害或風險？歐盟《一般資料保護條例》第34條第3款規定，對于已經采用資料加密等保護措施，能夠確定不會對自然人權利和自由造成較高風險時，即可不适用通知資訊主體的規定。[23]從美國各州的資料安全事件通知立法來看，對個人資訊采用加密技術後，即使發生安全事件，也不會對個人資訊造成影響。美國50個州的資料安全事件通知立法均規定有加密安全港規則，這意味着如果個人資訊已被加密，資訊處理者就不必通知資訊主體。[24]例如，加利福尼亞州立法明确，個人資訊安全事件通知義務不适用于被加密并且密鑰并未被他人擷取的個人資訊；[25]科羅拉多州立法規定，資料安全事件通知法律不适用于被加密、編輯或通過其他方式得到保護而使他人不可讀或不可用的資訊。[26]“加密”所指的“密碼”（cryptograph）并非日常生活中登入電腦、手機等裝置或作業系統、電子郵箱等伺服器時使用的“密碼”（password）。“加密”所指的“密碼”是指“采用特定變換的方法對資訊等進行加密保護、安全認證的技術”。[27] 将個人資訊的“明文”通過加密技術處理後就成為了“密文”，即使發生安全事件，他人所擷取的也是作為“密文”的個人資訊。隻要他人不掌握密鑰，就無法将作為“密文”的個人資訊還原為作為“明文”的個人資訊。是以，密碼技術是保護資訊機密性、完整性、可用性的重要手段。美國各州聯邦法律通過豁免個人資訊處理者在加密資料發生安全事件時履行通知義務，來鼓勵個人資訊處理者在處理個人資訊時廣泛采用加密技術。但是，在資料安全保護中使用商用密碼的成本較高，美國科羅拉多等州法律規定采用混淆、标記化或掩蔽等措施的個人資訊發生安全事件，也無需履行通知義務。[28]綜上，個人資訊處理者在對個人資訊采用加密等技術手段後，即使發生個人資訊安全事件，也不會對個人造成任何損害，在這種情況下，個人資訊處理者即可不履行通知義務。

2.向監管機構履行報告義務的法律基礎和條件

報告監管機構是資訊處理者基于行政法律關系所負有的基本義務。較之通知資訊主體，通知監管機構是在公法關系基礎上國家賦予個人資訊處理者的資料安全保護義務。賦予個人資訊處理者通知監管機構的法定義務是由個人資訊的公共安全屬性決定的。大陸近年出台的網絡安全和資料安全法律規範将個人資訊彙聚後的體量作為界定資料重要程度的考量因素，[29]充分說明當個人資料彙聚形成一定規模後，就達到了關涉公共安全和國家安全的程度。是以，對于達到一定規模的個人資訊發生安全事件，個人資訊處理者就有必要及時通知監管機構。《網絡資料安全管理條例》（征求意見稿）明确規定，發生10萬人以上個人資訊洩露、毀損、丢失等資料安全事件時，資料處理者應當通知設區的市級網信部門等監管機構。

向監管機構履行通知義務是法律賦予個人資訊處理者的公法義務。根據《個人資訊保護法》第57條規定，發生個人資訊安全事件，個人資訊處理者應當通知履行個人資訊保護職責的部門和個人；個人資訊處理者采取措施能夠有效避免造成危害的，個人資訊處理者可以不通知個人。由上，在采取措施能夠有效避免個人資訊安全事件造成危害時，即可豁免通知資訊主體，但并未豁免通知監管機構。這一制度設計并不符合向資訊主體和監管機構履行通知義務的理論邏輯。具體來說，發生個人資訊安全事件後，個人資訊處理者向資訊主體履行通知義務同時具有私法和公法的要求。其中，依據私法上侵權責任和合同責任，隻要發生個人資訊安全事件，資訊處理者原則上應當通知資訊主體。《個人資訊保護法》對個人資訊處理者履行通知義務的要求是将私法義務公法化的确認和重申。是以，從通知義務的私法和公法性質關系來看，私法屬性具有基礎性，公法屬性具有附加性。《個人資訊保護法》明确，通過采取措施能夠有效避免資訊洩露、篡改、丢失造成危害的可以不履行通知義務，本質上屬于通過公法規定減免個人資訊處理者的私法義務。個人資訊安全事件直接影響資訊主體的安全和利益，當個人資訊彙聚形成一定規模後，其危害才具有社會性，[30]達到關涉公共安全和國家安全的程度。是以，從理論邏輯來看，法律應當優先免除公法賦予的通知義務，而不宜越過公法上的通知義務直接免除私法上的通知義務。這意味着法律在賦予個人資訊處理者豁免通知資訊主體條件之前，需要優先明确豁免通知監管機構的條件。

美國諸多州資料安全事件立法即采用通知資訊主體優先于通知監管機構的做法。例如，美國佛羅裡達州立法規定，如果超過500人受到資訊安全事件影響，資訊處理者必須在30天内通知佛羅裡達州法律事務部；[31]佐治亞州要求，如果超過1萬名消費者受到個人資訊安全事件的影響，資訊處理者必須立即通知全國所有的消費者征信機構；[32]科羅拉多州立法明确，隻有超過1000名科羅拉多居民的資訊發生安全事件，才需要通知所有全國消費者信用報告機構等監管機構。[33]綜上，“各州法律通常要求達到一個門檻才需要通知司法部長或消費者征信機構，最常見的是有超過1000名受影響的居民”[34]。事實上，《網絡資料安全管理條例》（征求意見稿）也采用了通知資訊主體優先于通知監管機構的立法思路，第11條在規定通知資訊主體的基礎上明确，發生10萬人以上個人資訊洩露、毀損、丢失等資料安全事件時，還應當向設區的市級網信部門和有關主管部門進行報告。根據這一規定，并非發生個人資訊安全事件一律需要向監管機構進行報告，隻有規模達到10萬人以上才需要報告。較之《個人資訊保護法》第57條的規定，《網絡資料安全管理條例》（征求意見稿）第11條确定通知監管機構的條件符合履行個人資訊安全事件通知義務的理論邏輯，未來審議稿宜堅持通知資訊主體優先于通知監管機構的立法思路。

（二）對監管機構和資訊主體的通知内容作出差別規定

《民法典》第1038條規定了發生或者可能發生個人資訊安全事件的，應當及時采取補救措施，按照規定告知自然人并向有關主管部門報告，但并未就告知自然人和報告有關主管部門的内容加以詳細規定。《個人資訊保護法》則對發生個人資訊安全事件後個人資訊處理者應當通知的内容作出較為詳細規定，在第57條第1款明确了個人資訊處理者對監管機構和個人作出通知的内容應當包括下列事項：第一，發生或者可能發生個人資訊安全事件的資訊種類、原因和可能造成的危害；第二，個人資訊處理者采取的補救措施和個人可以采取的減輕危害的措施；第三，個人資訊處理者的聯系方式。《個人資訊保護法》将發生個人資訊安全事件後的通知内容歸納為個人資訊安全事件的基本情況、已經采取和未來可以采取的措施、聯系方式等3個方面，具有一定的合理性。但這一規定的問題在于将通知資料主體和監管機構的内容混同規定，導緻通知有關對象的内容欠缺針對性。《個人資訊保護法》規定将以上三類事項同時通知監管機構和個人，但監管機構和資訊主體需要獲知的資訊有所差別。

對監管機構而言，發生個人資訊安全事件後，需要從整體上掌握相關資訊的種類、體量、原因，以及個人資訊處理者采取的相關措施。向監管機構告知相關資訊的種類，如個人醫療健康資訊、行動軌迹資訊，有助于監管機構集中資源對個人資訊處理者采取補救措施和開展有針對性的指導；告知發生安全事件資訊的體量，有助于監管機構對安全事件的影響範圍和風險大小作出準确評估；告知發生安全事件的原因，有助于監管機構盡快找到風險源頭并及時作出處置、展開執法；告知已經和準備采取的相關措施，是為了讓監管機構對相關措施的必要性、有效性作出評估，并對個人資訊處理者采取的補救行動進行監督和指導。總體而言，通知監管機構一方面有利于對資訊安全事件的處置工作，另一方面能夠“識别經常受到網絡攻擊的目标，暴露資料安全基礎設施漏洞，明确未來增強資料安全保護措施的方向”[35]。

對資訊主體而言，發生個人資訊安全事件後，有必要及時掌握與自身相關資訊的内容、可能造成的損害、未來應采取的防範措施。例如，建議資訊主體及時修改相關伺服器密碼。國家标準《資訊安全技術個人資訊安全規範》專門對發生個人資訊安全事件後通知資訊主體的内容作出規定，包括5個方面：安全事件的内容和影響、已采取或将要采取的處置措施、個人資訊主體自主防範和降低風險的建議、針對個人資訊主體提供的補救措施、個人資訊保護負責人和個人資訊保護工作機構的聯系方式。要求個人資訊處理者及時告知資訊主體安全事件，是為了讓資訊主體知曉相關資訊的具體内容，及時采取相關措施防範未來可能面臨的财産、聲譽等方面的次生損害。

是以，将通知監管機構和資訊主體的内容混同規定，不利于監管機構和資訊主體有針對性地擷取資訊，進而影響監管機構和資訊主體對資訊安全事件風險的評估和進一步采取防範、補救措施。歐盟《一般資料保護條例》對通知資訊主體和監管機構的内容作出不同規定，在第33條和第34條分别規定了在發生個人資訊安全事件後個人資訊處理者通知監管機構和資訊主體的不同内容。尤其明确了應當通知監管機構相關資訊主體、資訊記錄的種類、資訊的大緻數量等内容，而以上内容無需通知資訊主體。[36]美國各州相關資料安全事件立法同樣就通知監管機構和資訊主體的内容作出差別規定。例如，《阿拉巴馬州資料安全事件通知法案》規定，通知資訊主體的内容主要包括發生安全事件資訊的具體情況等5項内容，通知監管機構的内容包括資訊安全事件的情況概要等4項内容。

《網絡資料安全管理條例》（征求意見稿）對資訊主體和監管機構的通知内容作出了差別規定。明确通知利害關系人的内容包括安全事件和風險情況、危害後果、已經采取的補救措施通知；通知監管機構的内容包括安全事件涉及的資料數量、類型、可能的影響、已經或拟采取的處置措施等事件基本資訊和事件原因、危害後果、責任處理、改進措施等情況的調查評估報告。上述規定較為合理地對通知資訊主體和監管機構的内容作出細化區分處理，未來審議稿宜堅持這一思路。

四、未履行通知義務的法律責任

《網絡安全法》《資料安全法》《個人資訊保護法》等法律規範已經為資料安全保護義務建構起行政、民事、刑事為一體的綜合責任體系。個人資訊安全事件通知義務是資訊安全保護義務的重要組成部分，違反通知義務在行政、民事、刑事責任方面具有不同的功能定位和責任标準。具體而言，在刑事責任領域，未履行個人資訊安全事件通知義務的行為本身，并不涉及刑事責任問題；在行政責任領域，不同法律所規定的個人資訊處理者未履行通知義務的責任并不一緻；在民事責任領域，民事賠償的方式和标準尚不明确。個人資訊安全事件通知義務的行政責任和民事責任亟待進一步厘清釋明。

（一）行政法律責任的競合

《網絡安全法》第42條第2款規定了個人資訊處理者通知義務，同時在第64條規定了未履行相關義務的法律責任。《資料安全法》第29條規定，發生資料安全事件時，應當立即采取處置措施，按照規定及時告知使用者并向有關主管部門報告；同時在第45條規定了不履行通知義務的行政法律責任。《網絡資料安全管理條例》（征求意見稿）在第11條詳細規定了通知資訊主體和監管機構的義務，同時在第60條規定了不履行通知義務的行政法律責任，具體内容與《資料安全法》第45條的規定完全一緻。《個人資訊保護法》作為保護個人資訊的專門法律，在第57條專門對個人資訊安全事件通知義務作出詳細規定，同時在第66條規定了不履行通知義務的行政法律責任。

然而，《網絡安全法》《資料安全法》《個人資訊保護法》對通知義務行政法律責任的規定并不一緻，為法律适用造成了困惑和分歧，具體展現在三個方面：第一，未履行通知義務的一般行政法律責任。對于未履行通知義務的一般情形，《網絡安全法》和《資料安全法》均規定了對個人資訊處理者和主管人員較高額度的罰款和沒收違法所得等責任，而《個人資訊保護法》僅規定了責令改正和警告兩類處罰。第二，未履行通知義務且拒不改正的行政法律責任。未履行通知義務屬于個人資訊處理者對行政法律義務的不作為，法律所規定的“拒不改正”可以被廣義解釋為拒不履行行政法律義務。個人資訊處理者未履行通知義務，監管機構責令改正其拒不改正的，将承擔更為嚴重的行政法律責任。對于拒不改正的責任，《網絡安全法》并未作出規定，《資料安全法》規定的責任要重于《個人資訊保護法》。《資料安全法》規定，可處50萬元以上200萬元以下罰款，并可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照；而《個人資訊保護法》僅規定并處100萬元以下罰款。第三，未履行通知義務且造成嚴重後果的行政法律責任。對于加重行政處罰的情形，《網絡安全法》《資料安全法》《個人資訊保護法》均規定可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照。但在對個人資訊處理者罰款方面，《網絡安全法》未作出規定，《資料安全法》規定的處50萬元以上200萬元以下罰款，要明顯輕于《個人資訊保護法》規定的5000萬元以下或者上一年度營業額5%以下罰款。

綜上，《網絡安全法》和《資料安全法》所規定的未履行通知義務的一般責任要重于《個人資訊保護法》的規定；《網絡安全法》未對拒不改正責任作出規定，《資料安全法》對拒不改正的責任規定要重于《個人資訊保護法》的規定；但在造成嚴重後果的責任方面，《網絡安全法》和《資料安全法》又顯著輕于《個人資訊保護法》的規定。由此産生了法律責任适用競合問題。從法律責任規定體例來看，《個人資訊保護法》對所有未履行該法規定的個人資訊保護義務的行政法律責任集中在一個條文中作出規定，即未履行個人資訊保護義務的适用情形均适用統一的法律責任規定；《網絡安全法》将未履行涉及資訊主體相關義務的法律責任規定在同一個條款之中；而《資料安全法》将資料處理者未履行資料安全保護義務的法律責任規定在同一條款當中。囿于三部法律規制側重點的不同，對未履行個人資訊洩露通知義務的責任作出了不同規定。

從《網絡安全法》《資料安全法》《個人資訊保護法》三部法律的關系來看，在個人資訊保護領域，《個人資訊保護法》屬于《網絡安全法》和《資料安全法》的特别法。是以，在未履行個人資訊安全事件通知義務的行政法律責任競合時，更适宜優先适用《個人資訊保護法》的規定。此外，履行不同的個人資訊保護義務或資料安全保護義務對保護個人資訊的效果、作用有着顯著差別，需要針對具體情形作出裁量判斷。總體來看，較之《個人資訊保護法》規定的個人資訊跨境提供前應履行的安全評估，采取相應的加密、去辨別化等安全技術措施，進行個人資訊保護影響評估等義務而言，個人資訊安全事件通知義務作為事後補救措施，對保護個人資訊所發揮的效果和對個人資訊權益的影響要略遜一籌，這意味着個人資訊處理者違反個人資訊安全事件通知義務的法律責任較之同一條款中涉及違反其他法定義務的責任而言應作出從輕處理。

（二）未履行通知義務的民事與行政責任銜接

從個人資訊安全事件通知義務的私法和公法性質關系來看，私法屬性具有基礎性。在發生個人資訊安全事件後，個人資訊處理者應當首先承擔私法上的侵權和違約責任。在此基礎上，法律之是以又賦予個人資訊處理者公法上的義務和責任，一方面是因為個人資料彙聚形成一定規模後不僅關乎個人利益，還涉及公共安全和國家安全，個人資訊處理者應當承擔公法上的義務；另一方面是因為民事責任的實施效果不佳，難以發揮民事賠償的救濟功能。對于後者，具體而言，雖然《個人資訊保護法》明确在資訊主體權益受到損害時，由個人資訊處理者承擔過錯推定責任，[37]同時授權人民檢察院、法律規定的消費者組織和由國家網信部門确定的組織，在衆多個人權益受到侵害時，可以依法向人民法院提起訴訟，[38]但資訊主體的受損權益依然難以得到有效彌補。個人資訊處理者需要對全體被侵權人承擔高昂的賠償總額，但對于龐大體量中的每一個資訊權益主體來說，其獲得的賠償卻微不足道。例如，在美國依可菲公司資料洩露案中，依可菲（Equifax）公司是美國最大的财務健康狀況的信用報告機構之一，客戶範圍幾乎涵蓋全體美國人。2017年，有1.43億份客戶記錄被盜取，資訊涉及姓名、位址、出生日期、社保号碼、駕照号碼，其中還包括約20萬人的信用卡号碼。[39]最終依可菲公司總共支付的賠償金高達約6.5億美元，而資訊權益受到損害的個體所獲得的賠償金額卻不足5美元。[40]依可菲案中因個人資訊洩露而引發的賠償屬于實體損害。舉重以明輕，個人資訊處理者因未履行個人資訊安全事件通知這一程式性義務而承擔的違約或侵權責任，則更加難以量化測算，且對資訊主體的補償意義更加微不足道。在政務資料領域，如果國家機關發生個人資訊安全事件，侵權責任更加難以認定。[41]

此外，《個人資訊保護法》中“采取措施能夠有效避免資訊洩露、篡改、丢失造成危害的即可不通知個人”這一規定，不僅豁免了個人資訊處理者私法層面的通知義務，也相應免除了私法層面的侵權和違約責任。可見，在未履行個人資訊安全事件通知義務的責任中，民事賠償的救濟功能基本處于失靈狀态。《個人資訊保護法》等法律從公法層面要求個人資訊處理者履行個人資訊安全事件通知義務，在很大程度上補足了民事責任的缺陷。由此，在未履行通知義務的法律責任中，應當限縮私法層面的賠償責任，更多适用行政法中的處罰責任。

結語

個人資訊安全事件通知義務是資訊安全保護義務的重要環節。從美國資料安全立法來看，不同的資料安全制度散見于各個單行法律或各州法律中。唯獨在個人資訊安全事件領域，各州都步調一緻地專門制定有個人資訊安全事件通知法，尤其可見個人資訊安全事件通知義務在整個資料安全制度中的重要地位。大陸《資料安全法》和《個人資訊保護法》雖然規定有個人資訊安全事件通知義務，但目前還存在未對履行通知義務的“個人資訊”範疇進行特别界定，通知内容與對象混同，通知資訊主體與監管機構條件不明，未履行通知義務的法律責任未能細化等問題。對上述問題作出回應，不僅能夠對個人資訊安全事件通知制度作出整體改進，還能夠減輕個人資訊處理者無必要的義務負擔，在激勵個人資訊處理者為社會提供優質數字服務和督促個人資訊處理者依法履行資料安全保護義務之間找到更為優化的平衡點。

來源：行政法學研究