出海经纬 | 数据泄露的跨境监管：中外比较与合规建议（下）

欧盟和美国在数据保护的核心原则上存在一定差异。欧盟采用了合法性基础模式，在《通用数据保护条例》（GDPR）中规定，数据处理必须基于明确的合法性基础，这包括但不限于数据主体的同意。其他合法性基础还包括合同履行、法律义务、保护数据主体的重要利益、公共利益，以及数据控制者的合法利益。欧盟的模式更注重对数据主体权利的全面保护，即使在获得同意的情况下，数据处理者仍需遵循严格的保护措施和透明度要求。而美国主要依赖于知情同意模式，即个人信息的处理往往以数据主体的同意为前提，企业需要通过透明的隐私政策告知用户其数据将如何被使用。用户的同意是数据处理合法性的主要依据，强调个人的自主选择权。

值得一提的是，在美国，“隐私法”更常用来描述保护个人信息和隐私权的法律。美国的隐私法通常关注的是个人信息如何被收集、使用和共享，以及如何保障个人隐私不被侵犯。而在世界上大部分其他地区，包括欧盟，“数据保护法”是更广泛使用的术语，涉及的不仅仅是个人隐私，还包括所有个人数据的合法处理、数据主体权利的保护以及数据处理者的义务。

在监管与执法层面，欧盟采用的是全面统一的监管模式，主要由GDPR主导，其特点是法规统一、覆盖广泛、保护严格，适用于所有欧盟成员国，对数据主体权利和数据处理者的责任有明确规定，并辅以严厉的罚款机制。美国则采用的是分散化的多层次监管模式，由联邦、州和行业法规共同组成。美国的数据保护法具有较强的灵活性和行业针对性，但缺乏统一的全国性法律框架，法规的实施和保护力度因行业和州的不同而异。

欧盟和美国在数据保护模式上的差异，对数据泄露事件的处理产生了显著影响。欧盟的统一、严格的监管模式使得企业在应对数据泄露时面临高额罚款和统一的合规要求，而美国的分散化、行业导向的监管模式则提供了更多的灵活性，但同时也可能带来更复杂的应对机制。这些差异要求中国企业在全球运营时，必须针对不同的法律环境制定相应的合规策略，以有效管理数据泄露风险，保护企业的合法权益和声誉。为了便于读者快速了解欧盟与美国在数据泄露规制方面的不同情况，我们接下来更多地采用表格形式来汇总呈现相关规定。

GDPR第4（12）条规定，“个人数据泄露”是指由于违反安全政策而导致传输、储存、处理中的个人数据被意外或非法损毁、丢失、更改或未经同意而被公开或访问。由此可见GDPR项下的“个人数据泄露”与中国法下的“个人信息安全事件”的定义类似。

GDPR第33条规定了在个人数据泄露事件中，数据控制者和处理者的报告义务，即如果发生个人数据泄露，数据控制者必须在知晓泄露后不迟于72小时内向相关的监管机构报告，除非能够证明数据泄露不太可能对数据主体的权利和自由造成风险。如果不能在72小时内报告，则需要提供迟交的理由。GDPR第34条规定了当个人数据泄露可能对数据主体的权利和自由构成高风险时，控制者向数据主体传达泄露信息的义务，即当个人数据泄露事件可能对数据主体的权利和自由构成高风险时，数据控制者有义务“无不当延误地”通知受影响的数据主体。对于GDPR第33条和第34条的要点解读，汇总如下：

相较于中国的《个人信息保护法》的笼统规定，GDPR明确规定了企业违规发生数据泄露事件时面临处罚数额的考量因素、针对适用的违法情形和营业额计算的范围。

欧盟在数据泄露和数据保护方面的监管由多个机构共同负责，主要包括各成员国的数据保护机构（Data Protection Authorities, DPA）以及欧洲数据保护委员会（European Data Protection Board, EDPB）。各个欧盟成员国都有自己的DPA，负责在本国境内实施和监督GDPR的执行。DPA拥有广泛的执法权力，包括要求企业提供信息、进行现场检查、审查数据保护措施、发布警告、命令企业停止数据处理活动，以及对违反GDPR的行为实施行政罚款等。在发生数据泄露事件时，DPA可以要求企业在规定的时间内报告泄露详情，并采取必要的补救措施。对于涉及多个成员国的跨境数据处理活动，DPA通过“一站式机制”合作，其中一个主要的DPA（通常是企业主要业务所在地的DPA）协调其他相关DPA的执法行动。

EDPB是一个由各成员国DPA组成的独立机构，负责在整个欧盟范围内确保GDPR的一致性实施。EDPB的职责包括对跨境数据处理案件提供协助，确保一致的决策过程。在某些情况下，EDPB还可以代表多个成员国的DPA作出具有约束力的决策。EDPB的一个重要职能是协调各成员国的DPA，特别是在涉及跨国企业的复杂案件中。通过EDPB的协调，可以确保对跨境数据泄露事件的处理方式在欧盟范围内具有一致性。

GDPR生效以来，各成员国的DPA已对多起重大数据泄露事件实施了高额罚款。例如，在2021年，Facebook（现为Meta Platforms）因一起严重的数据泄露事件被爱尔兰数据保护委员会（DPC）罚款2.65亿欧元。这次泄露事件暴露了超过5.33亿名用户的个人数据，包括电话号码、Facebook ID、全名、出生日期等，这些数据被非法发布在一个公开的黑客论坛上。爱尔兰DPC认定Facebook未能遵守GDPR中关于“隐私设计和默认保护”的要求，未能充分保护用户数据，从而导致此次大规模泄露。此次处罚不仅包括罚款，还要求Facebook采取一系列补救措施来改进其数据保护机制。^[1]

美国与数据泄露相关法律主要属于州法的范畴，而不是联邦法。目前，美国所有50个州、华盛顿特区、波多黎各和其他一些领地都已制定了各自的数据泄露通知法。这些法律通常规定了在个人信息被泄露时，企业必须向受影响的个人和（在某些情况下）监管机构报告泄露事件的具体要求。各州的数据泄露法在适用范围、通知要求和罚款方面可能有所不同，这使得跨州运营的企业在数据泄露事件发生时，需要遵守多个州的不同法律要求。考虑到加州在科技行业的绝对主导地位，加州的隐私立法在美国各州具有类似GDPR一样的示范性和影响力，以下将以加州为例对美国数据泄露监管模式进行初步的探析。

美国加州的数据泄露法主要体现在《加利福尼亚民法典》第1798.29条和第1798.82条，这些条款属于加利福尼亚州的消费者隐私保护法律框架中的一部分。第1798.82条中的“数据泄露”的概念指未经授权而获取电子化数据，从而危及个人或企业所维护的个人信息的安全性、保密性和完整性，但不包括某些善意取得的情形。加州的隐私法近年来不断发展。随着《加州消费者隐私法》（CCPA）和《加州隐私权法》（CPRA）的出台，数据泄露的处理要求和消费者保护权利得到了进一步加强。以下是对加州数据泄露相关法律关键要点的解读。

在法律责任方面，CCPA采用了“民事诉讼+政府诉讼”的双轨制惩罚机制，违规企业在发生数据泄露事件时若未遵守CCPA所规定的义务，可能面临众多消费者发起的集体诉讼和高额罚款，罚款金额根据情节严重程度和企业规模而定。

在2020年，儿童服装零售商Hanna Andersson因其发生的数据泄露事件成为加州CCPA生效后首批受处罚的案例之一。黑客通过Hanna Andersson的第三方电子商务平台获取了超过20万名客户的个人信息，包括姓名、地址、支付卡号、CVV码和到期日期。这些信息随后被用于未经授权的信用卡交易。在这一事件之后，受影响的用户发起了集体诉讼，指控Hanna Andersson未能有效保护客户的个人信息，并违反了CCPA的规定。最终，Hanna Andersson同意支付40万美元的和解金，并实施一系列新的安全措施，包括启用多因素认证、进行风险评估、并加强其网络安全防护。这起案件不仅是CCPA生效后的早期应用实例，也凸显了在加州进行业务的公司需要严肃对待数据保护义务，否则将面临法律后果。^[2]

综上，我们发现，在数据泄露的通知报告义务和处罚方面，加州法律和GDPR存在一定差异。加州法律要求企业在数据泄露后尽快通知受影响的消费者，并在特定条件下报告给加州司法部长，但没有严格的时间要求。与此相比，GDPR要求企业在72小时内向监管机构报告数据泄露，并在高风险情况下迅速通知受影响的个人。在处罚方面，加州法律对未遵守通知义务的企业处以相对较低的罚款，并允许消费者通过集体诉讼寻求赔偿，而GDPR则规定了更高的罚款标准，最高可达2000万欧元或全球年营业额的4%。这些差异表明，GDPR在数据保护和处罚力度方面更为严格，而加州法律则为消费者提供了独特的维权机制。

随着中国企业在全球市场的进一步扩展，跨境数据流动频率增加，面临的数据泄露风险也在急剧上升。中国、欧盟和美国对数据保护的高标准和严格要求意味着，一旦发生数据泄露，中国企业可能同时面对多地监管机构的调查和处罚。这不仅带来法律合规的复杂性，还可能导致企业在全球声誉和运营上的重大损失。因此，在全球化过程中，建立健全的数据保护机制和应对跨境数据泄露的合规策略，对于中国企业而言已成为不可忽视的关键任务。

在中国《网络安全法》和欧盟GDPR下，访问控制不仅是数据保护的基本技术要求，也是法律合规的关键组成部分。访问控制是指限制和管理对系统、网络和数据的访问权限，确保只有授权用户可以访问特定的资源。通过实施基于角色的访问控制，企业可以确保用户的访问权限严格与其岗位需求相符，减少不必要的权限扩散。进一步，通过遵循最小权限原则，企业能够限制用户、程序和系统的权限范围，仅赋予其执行职责所需的最低权限，从而有效降低攻击面。多因素身份验证作为一种增强安全性的手段，尤其适用于访问敏感数据的关键系统，能够显著提升防止未经授权访问的能力。为了确保访问权限与业务需求保持一致，企业还应定期审查和更新用户权限，及时撤销不再需要的访问权限。通过这些措施，企业能够在技术防护和合规策略中，强化对敏感信息的保护，减少数据泄露的风险。

中国企业必须重视事后响应能力的建设，通过技术投资和战略规划相结合，减少业务中断对企业运营的影响。定期开展网络靶场危机模拟演习，可以有效提高安全团队和业务领导者在实际网络攻击事件中的应对能力，确保在发生数据泄露时能够迅速、有效地处理，并将损失降到最低。

首先，企业应根据《网络安全法》和《数据安全法》等法律要求，制定详细的应急响应计划，包括事件识别、报告流程、应急处置和恢复步骤。在事件识别方面，应确保第一时间发现并评估泄露的影响范围和严重性，报告流程则应明确内部及外部的报告路径和时限，特别是在重大数据泄露事件发生时，遵循法规及时向相关主管部门报告。应急措施应涵盖事件发生后的快速响应，隔离受影响系统、封堵漏洞，并采取措施防止进一步扩散，而恢复计划则需详细描述如何尽快恢复正常运营，减少对业务的负面影响。

此外，企业还应定期组织演练，确保员工熟悉应急流程，并根据演练结果不断优化预案内容。这些演练不仅能检验预案的有效性，还能提升应急响应团队的实际操作能力。跨部门协作也是应急响应的重要环节，数据泄露事件的应对需要IT、法务、公共关系和管理层的紧密配合。成立专门的应急响应团队，明确各部门的职责和合作方式，可以确保在事件发生时能够快速反应并统一行动。

最后，中国企业应借鉴国际经验，结合域外本地化法律要求，比如GDPR和CCPA的规定，为海外子公司制定符合本地要求的应急预案，以有效应对数据泄露事件，避免法律风险。这些措施将帮助企业在应对数据泄露事件时更加从容，并在法律和声誉层面上做好充分准备。

除了上述管理措施外，尤其是在面对欧美严格的数据保护法律时，技术防护措施对于中国企业尤为重要。通过加强技术防护，中国企业可以显著减少数据泄露风险，并确保合规经营。比如，加密技术是降低数据泄露风险的关键手段之一。企业应确保敏感数据在存储和传输过程中都经过强有力的加密处理。通过实施端到端加密和数据加密密钥管理策略，可以有效防止未经授权的访问和数据泄露。同时，企业还应定期审查和更新加密协议，以应对不断变化的安全威胁，确保数据泄露风险保持在最低水平。

中国企业在应对数据泄露事件时，监管合作是确保合规性并降低法律风险的关键。在数据泄露事件发生后，可以及时寻求外部律师的法律指导，确保应对措施符合法规要求，避免进一步的法律风险。尤其在欧美发生的数据泄露事件中，监管合作的关键在于企业应与相关监管机构保持透明的沟通，这不仅有助于减少罚款，还能获得监管机构的指导，确保应对措施符合法规标准。此外，监管合作不仅限于通报，还包括在调查过程中的积极配合，企业应提供必要的证据和支持，以确保调查顺利进行。这种协作能够帮助企业在危机中赢得监管机构的信任，甚至可能减轻处罚。

随着中国企业在国际市场上的进一步扩展，跨境数据流动日益频繁，数据泄露风险也随之增加。本文上下两篇通过对中国、欧盟和美国在数据泄露监管方面的法律框架和实践的比较分析，展示了不同司法管辖区对数据保护的严格要求和合规挑战。中国、欧盟和美国在数据泄露监管方面虽然存在法律框架和具体要求的差异，但它们在核心原则上展现出明显的共性。首先，这三大司法管辖区都强调了数据泄露事件发生后，企业必须及时通知受影响的个人和相关监管机构，以减少潜在的危害。这种透明度和迅速反应机制是为了确保数据主体能够迅速采取措施保护自己的权益。其次，各地法律都规定了对数据泄露事件的处罚机制，虽然罚款标准和执行力度不同，但它们共同致力于通过经济制裁和法律责任的方式，督促企业提高数据保护水平。无论是在统一且严厉的欧盟模式下，还是在灵活而复杂的美国模式下，通过系统地建立和优化访问控制管理、信息安全事件应急响应体系，强化企业内部的技术防护措施，并与监管机构保持密切合作，中国企业将能够更好地应对全球数据泄露的挑战，确保合规经营，并在国际市场上稳步前行。