我國既有法律法規有多處涉及對“數據泄露”及其他相關行為的描述，主要包括：

可見，現行法下所規制的行為遠遠超出“數據泄露”的范疇，而指向的是更普遍意義上的“數據安全事件”，即指向一種既有的受監管數據^[注1]安全狀態或秩序的喪失，這種喪失可以是源于不法竊取所導致的泄露、也可能是源于內外部原因導致的數據丟失、篡改、毀壞，或是源于未經授權的公開、傳輸等。^[注2]對于企業而言，只要發生此類數據安全事件，即需要啟動相應的應急預案和內部流程，并履行相應的法律義務。

盡管各國立法都采取了一系列制度安排來力圖確保數據的安全，但這些規則的意義更多在于降低數據安全事件的發生頻率或發生后的損害后果，而不可能完全地杜絕數據安全事件的發生。很多時候，數據安全事件的發生并非是企業違反了數據安全保障義務所導致的，且其發生往往超出了數據處理者所能控制的范圍，故而從數據安全事件治理的角度出發，僅僅將發生數據安全事件視為違法而處罰數據處理者對數據治理的幫助極為有限。如何確保受影響的個人/用戶在數據安全事件發生后的權益得到保障，以及如何提高追溯數據安全事件的效率，應作為數據安全事件治理相關規則制定時的重點關注要素。

基于此，各國立法普遍規定了數據安全事件發生之后的通知義務，即向用戶告知數據安全事件的相關情況，以及將數據安全事件的相關信息告知履行個人信息保護職責的部門，以實現對數據安全事件的監管。我國《網絡安全法》《個人信息保護法》《網絡數據安全管理條例》也均對相應的制度作出了規定。

我國《網絡安全法》第42條、《個人信息保護法》第57條和《網絡數據安全管理條例》第11條均對發生安全事件后的通知義務作了規定。

(一) 通知監管部門

《網絡安全法》《個人信息保護法》和《網絡數據安全管理條例》均明確了向監管部門的通知義務。對于通知的時間，參照《網絡安全事件報告管理辦法（征求意見稿）》，當發生較大、重大或者特別重大網絡事件的，運營者應在1小時內報告。收到初次報告后，仍有進一步報告義務的部門和機構，也都應在1小時內履行報告義務。

關于如何識別較大、重大或者特別重大網絡安全事件，可以參考以下表格：

同時，參照《網絡安全事件報告管理辦法（征求意見稿）》，報告的內容和報告對象應滿足以下要求：

(二) 通知個人/用戶

如果說，就發生數據安全事件如何向監管部門報告，既有的法律法規已經給出了一個大致可以指導實操的框架和流程，那么對于在發生數據安全事件后如何向個人/用戶進行告知，實踐中目前還未有較為統一的實踐。對于涉事企業而言，無論采用何種形式進行通知，都無法避免關于數據安全事件的“通知”變成事實上的“公告”，故而通知形式的選擇和通知文案的撰寫很多時候需要考慮多種因素。但從合規的層面來看，在考慮如何通知數據安全事件中受影響的個人/用戶的過程中，至少應當考慮以下要素：

• 通知對象上看，不僅包括受影響的個人，還包括受影響的組織（尤其是對于to B的企業而言）。盡管《個人信息保護法》第57條僅僅規定了應當通知相關個人，但結合《網絡數據安全管理條例》第11條的規定、實踐中常見的協議安排及行業慣例，企業往往也需要通知受影響的B端客戶/合作伙伴。

• 通知形式上看，電話、短信、即時通信工具、電子郵件或者公告等都是可以選擇的方式，但從實質重于形式的角度出發，并結合效率上的考慮，短信和電子郵件的方式效果更佳，實踐中使用頻率也更高。

• 通知內容上，法定通知內容包括：（一）發生或者可能發生個人信息泄露、篡改、丟失的信息種類、原因和可能造成的危害；（二）個人信息處理者采取的補救措施和個人可以采取的減輕危害的措施；（三）個人信息處理者的聯系方式。

  除此之外，需要特別考慮事件所涉及的信息種類的完整性以及與其他業務文本的一致性。對于某些衍生數據，如消費偏好、消費水平等，若可能涉及泄露、篡改、丟失的，也應當披露。對于傳輸至境外的個人信息，若發生泄露，也應當進行披露。

• 通知時間上，盡管法律法規并未對向相關方發出通知的事件作出明確要求，但應當確保在合理的時間內盡早告知，以便相關方采取必要的行動，防止損失的擴大。同時，還應當確保通知的時間不違反同B端客戶/合作伙伴之間的協議約定。

• 盡管根據《個人信息保護法》第57條規定，在個人信息處理者采取措施能夠有效避免信息泄露、篡改、丟失造成危害的情況下，個人信息處理者可以不通知個人，但“避免造成危害”這一標準實踐中很難達到，且其認定的主動權也不在企業自身，故不應對援引該條來豁免對個人通知義務抱有過高的希望。

針對以數據泄露為代表的數據安全事件的，實踐中更多圍繞企業是否履行了數據泄露通知制度，以及是否履行了數據安全保障義務的維度，來考慮企業是否要因為數據安全事件的發生而擔責，且兩者相對獨立。對于企業而言，應當認識到：

1.發生數據安全事件并不直接和違法違規掛鉤。如前所述，數據安全事件的發生往往是違反數據處理者自身意愿的，且在很多情況下其發生并不為數據處理者所左右。此外，數據安全事件的處置很多時候也需要基于監管部門的指導或支持，若是僅僅因為數據安全事件的發生就定義為“違法違規”對數據處理者施加相應的法律責任，反而可能導致更多的數據安全事件被“隱而不報”，不利于對相關違法行為的懲處。實踐中所謂因“數據泄露”而遭到行政處罰，更多是由于“未落實數據安全保障義務”導致“數據泄露”而受到行政處罰，而不是僅僅因為發生了“數據泄露”而受到處罰。

2.發生數據安全事件后的通知義務是獨立的法定義務，這意味著無論企業對于數據安全事件的發生是否有責任，在發生相應的數據安全事件后，都需要履行對監管部門和個人的通知義務，而不履行通知義務必然會引發相應的法律責任。

3.企業履行了通知義務并不意味著不會承擔任何法律責任。通知義務的獨立性亦體現在和數據安全保障義務的并軌，對于履行了通知義務的企業，若監管在調查過程中發現就數據安全事件相關的數據而言，企業數據安全保障義務的履行存在瑕疵，則企業仍有可能因違反數據安全保障義務受到相應的處罰，而如果企業既未履行通知義務，又被發現違反數據安全保障義務的，則需要一并承擔違反兩項義務分別的法律責任。

對于企業而言，數據安全事件的發生在數字經濟時代幾乎無法避免。實踐中，企業在應對數據安全事件時，往往面臨合規上的兩難。既擔心不履行通知義務導致的違規風險，又擔心履行通知義務后引發相應的調查活動，導致數據安全保障方面的瑕疵為監管部門所知悉而引發其他合規風險，這在某種程度上使得法律法規規定的通知義務在實踐中的落實受到了一定的限制。

從設立通知義務的本意出發，立法并無意將數據安全事件的發生直接同違法違規行為劃等號，因為這不利于數據安全執法的深入和對相關違法犯罪行為的打擊。故從企業自身的角度出發，應當認識到“是否通知”并不具有決定性的作用，落實數據安全保障義務，確保數據安全方面處于動態的合規狀態，才是決定企業在發生數據安全事件后是否被處罰的關鍵。

對于企業而言，一方面應當結合法律法規的要求落實相應的數據合規義務，包括結合企業規模和業務現狀選擇適宜的數據安全策略，建立數據泄露防控監測機制，并根據法律法規規定制定包含監測機制和報告流程的應急預案、定期開展應急演練；另一方面，應當及時跟進相關法律法規、國家標準的制定進程，并在發生相關數據安全事件時，結合法律法規中關于通知義務的相關要求，妥善履行相應的通知義務。這既是履行法定義務的要求，也是降低企業自身、合作伙伴和用戶損失，展現企業責任的重要方式，亦有利于在特定事件中降低潛在的法律風險。