出海经纬 | 数据泄露的跨境监管：中外比较与合规建议（上）

在《数据安全法》及相关法规中，“数据分类分级”制度是企业预防数据泄露事件的重要措施之一。这一制度要求企业根据数据的重要性和敏感程度，对其进行分类和分级管理，以便采取相应的安全保护措施。

数据分类分级制度依据数据在经济社会发展中的重要程度，以及其一旦遭到泄露、篡改或非法利用可能对国家安全、公共利益、个人或组织的合法权益造成的危害程度，对数据进行分级保护。通过这一制度，企业能够在数据处理的早期阶段识别并重点保护重要数据和敏感数据，从而降低数据泄露的风险和危害后果。数据分类分级保护侧重于规范企业对于数据的处理行为，以国家核心数据和重要数据的界定为主要内容，要求企业对不同等级和类别的数据履行相应的保护义务。

具体而言，2024年3月21日，全国网络安全标准化技术委员会发布的首份数据安全技术标准《数据安全技术 数据分类分级规则》（GB/T 43697-2024），规定了数据分类分级的原则、框架、方法和流程，涵盖了数据分类分级、重要数据和国家核心数据识别等重要内容。首先，数据分类是根据数据的属性、用途和领域对数据进行系统化分类，以便实施针对性的安全管理措施。各行业和领域的主管部门需对行业数据进行整体识别，并根据业务属性对数据进一步细化分类。数据处理者则应依据行业标准，结合企业实际需求，对数据进行具体分类，并特别关注法律法规有专门管理要求的数据类别，如个人信息、敏感个人信息、财务数据、医疗健康数据等，确保其在分类后得到充分保护；其次，数据分级是根据数据的重要性和潜在的危害程度，将数据划分为核心数据、重要数据和一般数据三个级别。分级过程包括确定分级对象、识别分级要素、分析数据可能的影响，并最终确定数据的安全级别。通过数据分级，企业能够对不同级别的数据采取相应的安全保护措施，确保各级别的数据都得到适当的管理与防护。

企业可根据《数据安全技术 数据分类分级规则》（GB/T 43697-2024）标准，结合自身业务需求、法律要求和风险评估结果，制定明确的数据分类分级标准。这些标准应涵盖数据的类型、用途、敏感性以及潜在危害程度。数据分类分级有助于企业实施差异化的安全措施。高敏感数据如个人信息、财务数据和商业机密将获得更强的保护，减少了数据泄露或篡改的可能性，从而提升了企业整体的数据安全性。通过识别和优先保护核心数据和重要数据，企业能够在发生安全事件时迅速响应和恢复，确保关键业务的连续性和稳定性。总之，数据分类分级制度为企业提供了一个系统性的框架，帮助企业有效防范数据泄露风险，提升数据安全管理的效率和合规性。

2017年实施的《网络安全法》首次以法律形式规定了等级保护制度。为适应现阶段网络安全的新形势，2019年中国颁布了三大国家标准：《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）、《信息安全技术 网络安全等级保护安全设计技术要求》（GB/T 25070-2019）和《信息安全技术 网络安全等级保护测评要求》（GB/T 28448-2019），共同构成了新的等级保护国家标准体系。网络安全等级保护从技术和管理两个角度规范网络运营者的行为，要求其根据相应的国家或行业技术标准对所运营的网络系统进行建设整改、定级备案和等级测评等，并要求企业制定网络安全事件应急预案，定期进行演练。

根据《网络安全法》第21条，网络运营者应当按照网络安全等级保护制度的要求，履行法律、行政法规规定的安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。为配合网络安全等级保护制度的实施，网络运营者的安全保护义务主要包括四个方面：一是制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；二是采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；三是采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；四是采取数据分类、重要数据备份和加密等措施。

中国法律对于企业制定应急预案的义务主要集中在《网络安全法》、《数据安全法》和《个人信息保护法》中。《网络安全法》第25条和第34条明确要求企业，特别是网络运营者和关键信息基础设施的运营者，制定和实施应急预案，并在网络安全事件发生时及时启动预案，采取有效措施以应对风险和减少损失。《数据安全法》强调了国家应急机制的建立以及主管部门在数据安全事件中的应急响应职责。虽然并未直接要求数据处理者制定数据安全事件的应急预案，但第27条规定了数据处理者负有“建立健全全流程数据安全管理制度”的义务。中央网信办在2021年11月14日公布的《网络数据安全管理条例（征求意见稿）》中进一步细化了数据处理者在数据安全事件中的应急处置要求。条例要求数据处理者建立数据安全应急处置机制，在事件发生时迅速启动应急响应，采取措施防止危害扩大并消除安全隐患。同时，对于重要数据处理者，该条例要求企业明确数据安全负责人，成立数据安全管理机构，制定并实施数据安全保护计划和应急预案，并开展风险监测和应急演练。

《个人信息保护法》第51条则强调了个人信息处理者在个人信息安全管理方面的职责，特别要求其制定并组织实施个人信息安全事件应急预案，以确保在发生个人信息泄露、篡改、丢失等安全事件时能够及时采取应对措施，减少损失和风险。个人信息安全事件一旦发生，可能对个人权益造成严重影响。第51条通过要求企业制定应急预案，确保在事件发生时有应对策略，从而尽量减少损失。同时，这一条款不仅强调了预防性措施的重要性，还特别关注事件发生后的应急响应能力。第51条要求企业不仅要有相应的预案，还要将这些预案组织实施，这意味着企业需要在日常管理中加强对个人信息安全的重视。这一条款实际上推动了企业内部管理的改进，使得企业在信息安全事件发生时能够迅速反应，保护个人和企业的合法权益。

此外，中央网信办印发的《国家网络安全事件应急预案》和工信部印发的《公共互联网网络安全突发事件应急预案》对于企业制定数据泄露事件的应急预案也具有重要的参考意义。通过借鉴这些预案，企业可以建立明确的应急组织体系，制定事件分级标准，设立监测与预警机制，确保在安全事件发生时能迅速响应和处置。企业还可以通过详细的应急处置措施、事件后的调查评估和经验总结，持续改进应急预案。预防与应急准备部分帮助企业制定安全防范措施，降低安全事件发生的概率，保障措施则确保预案的有效执行，这些内容有助于企业提高应对网络安全事件的能力。

数据泄漏事件的影响评估对于企业至关重要，其主要目的是全面分析已发生的事件对企业业务运营、个人信息，以及其他相关数据和系统的实际影响，从而采取必要的控制措施和补救手段。影响评估不仅仅局限于个人信息的保护，还涉及对企业整体信息安全、运营稳定性、法律合规性、声誉和市场地位等多方面的考量。

通过完成数据泄露事件的影响评估，企业可以识别受到事件影响的各类数据，包括但不限于个人信息、财务数据、业务机密、知识产权等。同时，影响评估还应当分析事件发生的原因，评估其对数据完整性、可用性、保密性所造成的危害，进而确定对业务运营、法律责任、企业声誉和市场竞争力的具体影响。这些评估结果不仅在触发通知、报告等义务时是必须披露的内容之一，也为企业制定有效的应对策略和长期改进措施提供了科学依据。

企业在进行数据泄露事件的影响评估时，可以参考《信息安全技术-个人信息安全规范》（GB/T 35273-2020）。该规范要求个人信息控制者在发生个人信息安全事件后，依据应急响应预案评估事件可能造成的影响，并采取必要措施消除隐患。此外，《信息技术 安全技术 信息安全事件管理 第2部分：事件响应规划和准备指南》（GB/T 20985.2-2020），也为企业提供了负面后果评估指南。其中，建议参考的因素包括业务运营的财务损失、商业和经济利益、个人信息泄露的后果、法律责任、管理和业务运营的影响及企业的信誉损失。

需要注意的是，数据泄露事件的影响评估应与个人信息保护影响评估区分开来。个人信息保护影响评估侧重于预判可能发生的风险及其潜在影响，而数据泄露事件影响评估则是针对已发生的数据泄露事件，系统性地分析其实际已经造成的影响，也包括对整体信息系统、数据资产和业务流程的潜在破坏性。

中国现行法律法规对企业在发生数据泄露事件时的通知和报告制度作出了详细规定。《网络安全法》《数据安全法》《个人信息保护法》以及相关管理办法共同构成了企业数据泄露事件通知和报告的法律基础。这些法律法规不仅明确了企业在发生数据泄露事件时的具体义务，还对如何执行这些义务提供了详细的指导。《信息安全技术-个人信息安全规范》和《信息安全技术-个人信息安全影响评估指南》等标准文件也为企业提供了具体的操作规范。以下是对《网络安全法》、《数据安全法》、《个人信息保护法》及相关法律法规和国家标准中的通知报告条件、方式、内容、时间和对象的详细分析：

根据《网络安全法》《数据安全法》和《个人信息保护法》，企业在发生数据泄露事件时需履行通知和报告义务的主要情形包括：网络安全事件、个人信息泄露事件和数据安全事件，比如系统漏洞、计算机病毒、网络攻击、网络侵入等危害网络安全的事件，个人信息泄露、毁损、丢失的情况，以及数据安全缺陷、漏洞等风险的出现。

泄漏事件的数据种类和数量是判断报告和通知义务的关键因素。若事件涉及重要数据或大量个人信息（如十万人以上）的泄露，必须立即报告。法律要求企业在这些情况下快速响应，以减少对个人和社会的潜在危害。敏感数据的泄露通常触发更严格的报告要求。敏感数据不仅包括个人信息，还包括国家秘密、商业机密、财务数据、健康数据等。尤其是在数据涉及个人隐私、商业利益或公共安全时，泄露事件需要立即报告。

当然，泄漏事件的严重性不仅取决于数据的种类和数量，还取决于事件的实际和潜在影响。如果事件的起因是由于系统漏洞或安全缺陷，而这些漏洞或缺陷可能被进一步利用，导致更大范围的数据泄露或其他安全事件，企业需要立即报告。如果数据泄露可能导致严重的后果，例如金融损失、大规模的身份盗窃、社会动荡，或者对国家安全造成威胁，那么企业有义务立即报告和通知有关部门和受影响的个人。如果数据泄露事件涉及的对象是某些特定群体（如儿童、老年人、残障人士等弱势群体），或者涉及重要公共服务的提供者（如医院、银行、政府部门），那么报告和通知的要求通常会更加严格。

值得注意的是，《个人信息保护法》第57条规定，当企业发生或可能发生个人信息泄露、篡改、丢失的情况下，应立即采取补救措施，并在三个工作日内通知履行个人信息保护职责的部门和受影响的个人。这里的“可能发生”，我们理解通常指的是事件已经接近发生或有足够的证据显示事件即将发生，而不是仅仅存在“可能性”或潜在风险。因此，即使个人信息泄漏事件尚未实际发生，但企业已经预期到会发生，也需及时向主管部门报告并通知受影响的个人。

尽管法律规定了严格的报告和通知义务，但在某些情况下，企业可以不履行通知义务。例如，根据《个人信息保护法》第57条，如果企业能够通过补救措施有效避免个人信息安全事件对个人权益造成危害（如企业迅速修补漏洞并确保泄露信息未被滥用），则可以不通知个人；如果数据安全事件仅涉及非个人信息的数据，而这些数据的泄露、篡改或丢失不会对个人权益造成直接影响，企业可根据情况决定是否通知个人。此外，如果泄露的数据经过强加密处理，且未被破解，即使数据被不当访问或窃取，攻击者也无法轻易获得可识别或有价值的信息。在这种情况下，泄露的风险和实际危害大大降低，从而可能减轻企业的报告和通知义务。

在发生数据泄露事件时，企业需要按照中国相关法律法规的要求，采取适当的通知和报告方式。这些方式包括多种渠道和具体要求，确保信息及时、准确地传达给有关部门和受影响的个人：

根据《网络安全法》、《数据安全法》和《个人信息保护法》的规定，企业应在发现数据安全事件后立即采取补救措施，并通过电话、短信、电子邮件、即时通信工具等方式通知相关利害关系人。如果上述方式无法通知到所有受影响的个人，企业可以采取公告方式告知。

《网络数据安全管理条例（征求意见稿）》和《工业和信息化领域数据安全管理办法（试行）》对通知和报告方式提出了更具体的要求。例如，要求企业在发生数据安全事件后，应在三个工作日内将安全事件和风险情况、危害后果、已经采取的补救措施等信息，通过电话、短信、即时通信工具、电子邮件等方式通知利害关系人。

总体而言，中国法律法规对数据安全事件的通知报告时间要求严格，强调企业在事件发生后的迅速反应和及时报告：

《网络安全法》第25条和第42条规定，企业在发生网络安全事件（如系统漏洞、计算机病毒、网络攻击等）或个人信息泄露、毁损、丢失等情况时，应立即启动应急预案，采取补救措施，并及时向有关主管部门报告。《数据安全法》第29条也要求企业在发生数据安全事件时，必须立即采取处置措施，并按规定及时告知用户和向有关主管部门报告。这些条款强调了“立即”和“及时”的重要性，要求企业迅速行动，以防止事态进一步恶化。

《个人信息保护法》第57条规定，企业在发生或可能发生个人信息泄露、篡改、丢失的情况下，应立即采取补救措施，并在三个工作日内通知履行个人信息保护职责的部门和受影响的个人。该条款明确了具体的通知时限，要求企业在发现事件后的三天内完成通知义务，确保相关方能够及时采取措施应对潜在风险。

首先，在通知和报告中，企业需要详细描述事件的基本情况，包括事件发生的时间、地点、涉及的数据数量和类型、初步判定的事件原因、具体经过及其可能造成的危害。例如，《个人信息保护法》第57条要求企业在通知中详细说明发生或可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害。

其次，企业应在通知和报告中说明已采取或拟采取的补救措施，如修补系统漏洞、隔离受感染的系统、恢复数据备份等，并告知受影响的个人可以采取的措施，以减轻可能的危害。这些措施的说明应尽量具体，以便个人能够有效保护自己的权益。

最后，企业在通知和报告中需提供负责处理数据安全事件的部门或人员的联系方式，便于相关部门和个人及时联系。在向主管部门报告时，企业需提供更详细的事件影响评估报告，包括事件原因、危害后果、责任处理、改进措施等。

在企业发生数据泄露事件时，主要面临的是民法上的侵权责任。根据我国《数据安全法》和《网络安全法》，这两部法律在“法律责任”一章中作出了衔接性的规定，明确指出企业若因违反规定而给他人造成损害，应依法承担民事责任。这些规定为数据安全和网络安全领域的侵权责任提供了法律基础，但并未对具体责任形式进行详细阐述。

相比之下，《个人信息保护法》则更加具体地规定了企业在处理个人信息过程中可能面临的民事责任。《个人信息保护法》第69条明确规定，若企业因处理个人信息而侵害了个人信息权益，导致损害发生，企业应当承担损害赔偿责任。这种赔偿责任适用过错推定原则，即如果企业不能证明自己在处理个人信息的过程中没有过错，则需承担赔偿责任。这一规定大大提高了企业在数据泄露事件中的法律风险，要求企业在处理个人信息时更加谨慎，以避免承担赔偿责任。此外，《个人信息保护法》第70条还规定了企业在特定情况下可能面临的公益诉讼风险。当企业的行为违反了个人信息保护的相关规定，且侵害了众多个人的权益时，人民检察院、法律规定的消费者组织或由国家网信部门确定的组织可以依法向人民法院提起公益诉讼。

在行政责任方面，《个人信息保护法》《数据安全法》和《网络安全法》都设置了严苛的罚则，并规定了“双罚制”，即对未能履行网络或数据安全保护义务的企业，同时对企业、直接负责的主管人员和其他直接责任人员施以行政处罚。如果安全事件情节严重，相关企业和相关责任人员可能会面临巨额罚款，甚至可能被吊销营业执照和面临一定期限的从业限制。

具体而言，《个人信息保护法》第66条规定了违法处理个人信息或未依法履行个人信息保护义务可能涉及的行政责任。对于单位，可能面临的行政处罚包括责令改正、给予警告、没收违法所得、责令暂停相关业务、吊销相关业务许可或营业执照，以及一百万元以下的罚款。情节严重的罚款金额可高至五千万元或者企业上一年度营业额百分之五以下。对于个人责任，直接负责的主管人员和其他直接责任人员可能面临一万元以上十万元以下的罚款。情节严重者，罚款可高至十万元以上一百万元以下，并且可能在一定期限内被禁止从业。

《数据安全法》第45条则对数据泄露事件涉及的行政责任作出了详细规定。根据违反数据安全保护义务的严重程度，行政处罚的力度有所不同。对于未造成严重后果的情形，单位可能面临责令改正、给予警告，并处五万元以上五十万元以下罚款；直接负责的人员可能面临一万元以上十万元以下的罚款。而对于拒不改正或者造成大量数据泄露等严重后果的，单位可能面临五十万元以上二百万元以下的罚款，并可能被责令暂停相关业务、停业整顿，甚至吊销相关业务许可证或营业执照；直接负责的人员则可能面临五万元以上二十万元以下的罚款。若违反国家核心数据管理制度，危害国家主权、安全和发展利益的，相关责任将更加严厉，罚款可高达二百万元以上一千万元以下，并可能被责令暂停业务或吊销执照。

《网络安全法》则主要在第59条和第60条中规定了企业在数据泄露事件中可能会承担的行政责任。第59条针对未履行网络运行安全义务的普通网络运营者和关键信息基础设施的运营者。这一条款强调了网络运营者的安全责任，要求他们采取必要的技术和管理措施来保护网络和数据安全。特别是对于关键信息基础设施运营者，法律要求更为严格，目的是保障国家安全和社会公共利益。通过这一条款，法律明确了企业在网络安全管理中的责任，并对未履行义务的行为设定了具体的法律后果，以促使企业加强网络安全管理。《网络安全法》第60条则规定了未履行网络产品和服务安全义务的企业，特别是在产品或服务存在风险时未采取及时补救措施或未依法履行通知报告义务的情况。这一条款将责任延伸至网络产品和服务提供者，强调他们在开发和提供产品时必须确保安全性，并在发现安全隐患时及时采取补救措施。这一规定有助于提高网络产品和服务的整体安全水平，防止由于产品或服务自身的缺陷引发的安全事件。

企业发生数据泄露事件可能涉及的刑事责任依据，除了《个人信息保护法》《数据安全法》和《网络安全法》中关于刑事责任的衔接性表述外，主要体现在我国《刑法》的“侵犯公民个人信息罪”和“拒不履行信息网络安全管理义务罪”中。《刑法》第二百五十三条之一规定了“侵犯公民个人信息罪”，对于非法出售、提供或获取公民个人信息的行为，情节严重的，将面临刑事处罚。第二百八十六条之一规定的“拒不履行信息网络安全管理义务罪”，则针对企业未依法履行网络安全管理义务，导致严重后果的行为，追究其刑事责任。

随着全球数字化的深入推进，数据泄露事件对企业的影响日益加剧。中国的法律法规体系已经逐步建立起了一套较为全面的监管框架，涵盖了从数据分类分级、网络安全等级保护，到应急预案制定、影响评估、通知报告制度以及法律责任等多个方面。这些法规不仅为企业提供了明确的合规指引，也在不断强化对数据安全的监管力度。

然而，面对日益复杂的安全挑战，企业不仅需要严格遵守法律法规，还应在实践中不断完善自身的数据安全管理体系。通过强化数据安全意识、优化内部管理制度、建立健全的应急响应机制，企业可以有效防范和应对数据泄露风险，从而在激烈的市场竞争中保持优势。

在即将到来的下篇文章中，我们将进一步探讨美国和欧盟对数据泄露的监管情况，并为企业在跨境合规方面提供更加具体的建议。通过对比分析不同国家的法律要求，帮助企业在全球范围内实现更为稳健的合规管理，确保在数据安全方面立于不败之地。