随着信息技术的快速发展，在大数据时代，个人信息的安全也变得越来越重要。近年来，不同法域的法律法规均根据其实际情况制定了个人数据信息保护制度，其中均包含了涉及个人信息泄露的相关规定。

2018年5月，被称为“史上最严”的欧盟《通用信息保护条例》（“GDPR”）生效。相比欧盟，美国在联邦层面的保护个人信息的立法分散在诸多不同领域的法律法规中[1]。在州层面，《2018加利福尼亚州消费者隐私法案》（“CCPA”）成为了美国保护消费者个人数据的标志性法案之一。[2]中国于2021年11月1日起实施《个人信息保护法》（“《个保法》”），成为中国第一部专门规范个人信息保护的法律。

个人信息保护制度基本的框架为：就受保护的个人信息予以定义、就数据处理者处理个人信息时需要遵守的规则及受保护的主体所拥有的权利予以明确、就个人信息泄露和跨境转移设定法定程序和要求并建立相关罚则等。其中，就个人信息泄露事件发生后，除如何采取相应的补救措施外，有关企业是否还应承担相应的通知义务，是企业关心的一大话题。本文试从比较《个保法》、GDPR、CCPA的角度，对就不同法域内各类企业在个人信息泄露事件发生后的通知义务进行简要比较，以期帮助企业更好地理解在当前大环境下个人数据保护的合规要求。

在详述相关内容前，我们就前述三个法域的主要立法整理下表，将个人信息泄露事件涉及到的通知义务主体及其定义、保护对象、保护标的、通知义务、通知对象以及监管机构做了初步梳理：

一、个人信息处理者/数据控制者应对个人信息泄露履行通知义务

（一）泄露的信息是否属于个人信息？

在发生个人信息/个人数据（本文以下统称为“个人信息”）泄露事件时，个人信息处理者/数据控制者首先需要明确的是该事件泄露的信息是否属于法律规定的个人信息。我们就个人信息的定义制作了以下的表格供读者参考：

 
《个保法》与GDPR在个人信息的定义中都强调了已识别的或者可识别的自然人。GDPR对于可识别的自然人通过列举进行了解释，即一个可识别的自然人是一个能够被直接或间接识别的个体，特别是通过诸如姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别的个体。[5]

《个保法》对于可识别的自然人及其有关信息并未作出具体解释，但《中华人民共和国民法典》第1034条中对个人信息的定义列举出了自然人姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子信箱、健康信息、行踪信息等不同类型的个人信息[6]。此外，中国已有推荐性国家标准对个人信息进行了列举性的说明。[7]

相较而言，CCPA中对“个人信息”的定义则比《个保法》及GDPR更为宽泛，但同时其也以列举的方式列出了有代表性的个人信息[8]，并将家庭、身份关联和设备的信息纳入了个人信息的范畴。

同时，如上表所示，《个保法》与GDPR均指出，对个人信息的保护不适用于匿名化信息[9]。而在CCPA中，其未明确采用“匿名化”的概念，而是采用了去标识化的概念，即CCPA不限制企业收集、使用、保留、出售或披露已去标识化的或综合消费者中的消费者信息。《个保法》就此有所借鉴，对“去标识化”作出了上表所述的定义，但并未将“去标识化”的个人信息排除在其保护范围外。

此外，CCPA明确定义个人信息不应包括：(a)公开可得的信息；(b)合法获得的、真实的、引起公众关注的信息；及(c)已汇总的信息。这一规定未在《个保法》中体现。

综上，企业在判断泄露的个人信息是否属于中国法律体系上受保护的个人信息时，应综合中国法律中对个人信息的定义进行研判，结合泄露事件的具体情况进行分析。

（二）个人信息泄露如何定义？

在GDPR中，个人信息泄露(personal data breach)是指由于“违反安全保障措施”(breach of security)而导致传输、储存、处理中的个人数据被意外或非法损毁、丢失、更改或未经同意而被公开或访问。[10]

与GDPR不同的是，CCPA并未对个人信息泄露进行明确定义。相较而言，加州民法典中则将违反安全保障措施(security breach)定义为：“未经授权获取计算机化信息，损害了个人信息的安全性、保密性或完整性，但不包括某些善意取得。”[11]

我国《个保法》中也未就个人信息泄露这一事件做直接定义，仅规定了在发生或可能发生个人信息泄露、篡改、丢失时，个人信息处理者应履行相应的通知义务。

（三）个人信息泄露事件中的通知义务是什么？

GDPR要求，在个人信息泄露的情形中，数据控制者对监管机构及数据主体均承担通知义务。根据GDPR规定，除非数据控制者可以证明数据泄露对于相关自然人的权利或自由不太可能会带来风险，否则数据控制者应当及时通知监管机构[12]。当数据泄露可能给相关自然人的权利与自由带来高风险时，数据控制者应当及时通知数据主体[13]。

《个保法》针对个人信息泄露事件的通知义务的规定与GDPR类似，规定在发生或可能发生个人信息泄露、篡改、丢失，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。此外，《个保法》也设置了免于通知个人的情形，本文第二部分第（一）节将予以详述。

而在CCPA中，仅规定了企业在收集个人信息前应通知消费者特定事项，并未对个人信息泄露后的通知义务作出专门规定。然而，监管机构或个人可充分利用加州民法典中规定的该州信息泄露的一般通知义务规定要求所有在加州开展业务的企业、机构和个人在发生个人信息泄露事件时履行其通知义务[14]。

（四）如何判断企业是否属于应履行通知义务的实体？

如前所述，CCPA并未明确应履行个人信息泄露后通知义务的实体。根据加州民法典下规定的信息泄露的一般通知义务，我们可推断，满足CCPA中定义的企业应为需履行该等通知义务的实体之一。

而在GDPR中规定，履行个人信息泄露事件通知义务的实体是数据控制者。GDPR中的数据控制者是指决定个人数据处理目的与方式的自然人或法人、公共机关、规制机构或其他实体[15]。

《个保法》中履行通知义务的“个人信息处理者”的定义与GDPR中的“数据控制者”类似，强调了该等实体对个人信息处理的自主决定。如前所述，个人信息处理者是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。需要注意的是，《个保法》也规定，共同处理个人信息的个人信息处理者对侵害个人信息权益的行为也依法承担连带责任[16]。据此，我们理解，共同参与处理个人信息的个人信息处理者在出现个人信息泄露风险时也应履行相应的通知义务。

二、企业应就泄露事件具体情况评估如何履行个人信息泄露通知义务

（一）个人信息泄露事件的危害程度决定如何履行通知义务

在GDPR中，若个人信息泄露并不会对自然人的权利或自由产生风险，则数据控制者无需履行其向监管部门的通知义务。[17]。当个人信息泄露很可能给自然人的权利与自由带来高风险时，数据控制者应当及时通知数据主体。同时，数据控制者若符合GDPR罗列的情形的，其可以不向数据主体履行通知义务[18]。此外，GDPR下的监管机构基于对数据泄露风险的考虑，可以依职权要求数据控制者履行向数据主体的通知义务[19]。

与GDPR相似的是，《个保法》规定在发生个人信息泄露事件时，若个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的，个人信息处理者可以不通知个人[20]。但若监管部门认为可能造成危害的，则个人信息处理者仍应向个人履行通知义务。与GDPR不同的是，《个保法》并未规定可以不向监管部门履行通知义务的情形。

《个保法》上述规定排除了凡有个人信息泄露事件都必须通知相关个人的情况，但是对于个人信息处理者该如何判断“可以避免”个人信息泄露的危害，《个保法》尚未给出具体的判断标准。此外，个人信息处理者向监管部门的通知义务并没有除外情形。由于《个保法》生效的时间距今较短，中国的监管部门尚未对这一规定作出具体的解释，这仍有待未来相关配套实施细则的出台予以完善。

（二）通知内容需包含特定信息，企业对监管部门通知义务的履行有具体的时间限制

GDPR详细规定了数据控制者履行通知义务时应包括的通知内容以及个人信息泄露事件发生后数据控制者履行监管部门通知义务的时限，但并未规定通知数据主体的时限（仅指出不得无故拖延）。与GDPR规定相似，《个保法》中亦详细规定了个人信息处理者履行通知义务时应包括的通知内容[21]。不过，《个保法》中未就个人信息处理者履行通知义务的时限做具体规定。我们同样也梳理了加州民法典中企业履行通知义务时应包括的通知内容及时限。

下表对数据控制者/个人信息处理者/企业履行通知义务的时限及通知内容进行了梳理：

我们注意到，除上述信息外，就触发履行通知义务的“门槛”、通知的监管机构的具体部门和具体级别等问题，《个保法》及我国现有生效法规尚未作出具体解释。