论个人信息安全事件通知义务∗王玎(北京电子科技学院,北京100070讲师)摘要:个人信息安全事件通知是个人信息处理者履行信息安全保护义务的重要环节,能够促使信息主体和监管机构在发生个人信息安全事件后及时采取行动,防范次生损害。《网络安全法》《数据安全法》《个人信息保护法》均规定了个人信息安全事件通知义务,但内容不一、详略有别。从“个人信息”的范畴来看,只有发生安全事件的“个人信息”可能影响信息主体实际权益时,才有必要通知信息主体;从通知内容来看,应当对通知监管机构和信息主体的内容作出区别规定;从通知的理论基础来看,由侵权责任和合同附随义务产生的私法责任是信息处理者向信息主体履行通知义务的理论基础,向监管机构履行通知义务则是公法要求;从通知的条件来看,对个人信息采用加密等技术手段后可不向信息主体履行通知义务,只有发生安全事件的个人信息达到一定规模体量才有必要通知监管机构;从通知的法律责任来看,更宜适用作为特别法的《个人信息保护法》的法律责任规定,同时限缩私法层面的赔偿责任,强调公法层面的处罚责任。关键词:个人信息;数据安全;数据泄露;通知义务一、问题的提出个人信息安全事件通知义务,是个人信息未经授权访问或获取后,个人信息处理者通知信息主体和报告主管机构的法定义务。《中华人民共和国网络安全法》(以下简称《网络安全法》)第42条第2款规定,在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当及时告知用户并向有关主管部门报告;《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第57条规定,发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当通知履行个人信息保护职责的部门和个人;《中华人民共和国数据安全法》(以下简称《数据安全法》)第29条规定,发生数据安全事件时,应当及时告知用户并向有关主管部门报告。在域外,欧盟《一般数据保护条例》第33、34条专门规定了“databreach”条款,美国华盛顿哥伦比亚特区和50个州均制定有“DataBreachNotificationAct”。域外立法所指的“databreach”就是我国立法中“泄露、毁损、篡改、丢失”等情形,其特征为个人信息未经授权访问或获取,使个人信息的完整性、保密性、可用性受到损害。因此,文章拟采用接近《数据安全法》中“数据安全事件”的表述,用“个人信息安全事件”作为“databrea...
