个人信息泄露的通知义务


2021年09月24日

个人信息泄露是数据泄露中成本最高的被盗数据类型,且据称“每条丢失或被盗记录的客户个人信息平均成本为150美元”。数据泄露后的“通知”成本占平均成本的相当比重,但“通知”义务也是容易被忽视的合规义务。

个人信息泄露的通知义务

中华人民共和国个人信息保护法》将自2021年11月1日起施行。其中第57条细化了个人信息处理者必须承担的一项通知义务:

发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:

 (一)发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;

 (二)个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施;

 (三)个人信息处理者的联系方式。

何为个人信息的泄露

《个人信息保护法》没有对何为个人信息的“泄露”做出定义。如果我们参考一下欧盟GDPR和加州CCPA的规定,

  • GDPR的定义是“个人数据在被传输、存储或以其他方式处理时导致个人数据被意外或非法破坏、丢失、修改、未经授权披露或访问的安全漏洞”;
  • CCPA的定义是“破坏组织或个人保有的个人信息的安全性、保密性或完整性的未经授权取得电子数据的行为”。

之所以要探讨何为“泄露”,是因为个人信息泄露的渠道比较复杂。比如消费者在购买了某一产品或服务之后收到相关的电话营销,个人信息(姓名、手机号码等)的泄露源头并不一定是直接交易的对方。虽然《个人信息保护法》没有明确定义通知义务主体,但一般都倾向于认为应当适用“谁泄露、谁通知”的原则,便于明确通知义务主体。因此,信息可能从何处泄露对于确定通知义务的主体就十分关键。对于有可能有通知义务的主体,也需要了解自身是否有通知义务。

对于处理个人信息的实体而言,不论是从保护个人信息的角度还是确定通知义务的角度,首先要做的就是进行其内部的审视,建立可以识别可能信息泄露的路径。

哪些泄露不触发向个人通知义务

已经不具可识别性的信息

《个人信息保护法》所定义的个人信息指“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。重点在于“可识别性”,匿名化处理后的信息的泄露不会触发通知义务。

不会造成危害的

《个人信息保护法》第57条进一步规定,个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人;履行个人信息保护职责的部门认为可能造成危害的,有权要求个人信息处理者通知个人。言下之意,在损害可以避免的情况下,个人信息处理者可以不通知到个人。这点与GDPR的规定相类似,从一定程度上减轻了企业的“逢泄露必通知客户”的负担。但是向监管部门的通知义务没有被排除。但这样的操作是否会增加监管部门对轻微泄露事件的监管压力?我们将持续关注后续的细则和实践。

综上所述,处理个人信息的实体,随时可能负有向个人和监管机构通知信息泄露的义务。在具体的实践中,这些实体应当建立或审视其自身的合规机制和措施,建立可判断信息泄露的路径、评估信息泄露是否可能对个人造成损害的评估机制以及与之对应的信息泄露响应和处理机制,以期精确判断其是否承担具体的通知义务。

作者:刘毅


返回