一、《个保法》第五十七条:72小时内必须通报
企业发生个人信息泄露、篡改或丢失时,《个人信息保护法》第五十七条明确规定:应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。虽然《个保法》本身没有明确"72小时"的要求,但参考《网络安全法》及工信部《网络安全事件应急预案》的规定,企业在发现网络安全事件后应当立即启动应急机制,重大安全事件应在72小时内向主管部门报告。企业在信息安全事件发生后拖延处理的,可能面临最高五千万元或上一年度营业额百分之五的罚款。
二、发现泄露后企业应立即采取的四项应急措施
第一,立即切断泄露源。锁定漏洞、关闭受影响的系统端口、隔离受影响的服务器——这是技术层面的第一反应。在漏洞被修复之前,不得重启受影响系统以免数据被二次窃取。
第二,启动内部调查。组建由法务、信息安全、公关、人力资源等部门组成的应急响应小组,判定泄露范围、泄露数据类型(是否包含敏感个人信息)、受影响的个人信息主体数量。
第三,履行通报义务。向网信部门或行业主管部门报告;向受影响的个人信息主体发送通知——通知内容应至少包括:泄露事件的基本情况、泄露信息种类、可能造成的危害、企业已采取的补救措施、个人信息主体可以采取的减轻危害的措施、企业联系方式。
第四,外部法律支持。联系专业数据合规律师,评估是否需要向公安机关报案、是否需要启动司法鉴定、是否需要通知境外合作方(如涉及跨境数据传输)。
三、不要犯的三个错误
错误一:隐瞒不报。有些企业担心影响声誉选择内部处理不对外通报——这是最严重的错误。隐瞒不报被发现的,罚款起点更高,还可能面临暂停相关业务、吊销营业执照的处罚。
错误二:先解决了再报告。《个保法》第五十七条要求"立即"采取补救措施并通知,不是"解决后再通知"。即使泄露事件还在处理中,也应当在发现后第一时间报告。
错误三:通知内容不完整。只告知"发生了数据安全事件"而未说明具体泄露的信息类型、可能危害、补救措施,这种空洞的告知书可能被认为未履行通报义务。
四、武汉数据合规律师荣郑的建议
最好的危机应对是在危机发生前就做好准备——制定书面的个人信息安全事件应急预案,明确应急响应小组的人员构成和职责分工,定期进行应急演练。如果企业已经发生了个人信息泄露事件,第一时间联系专业律师评估法律风险和应对策略。荣郑律师2024年即参与湖北省数据局数据资产入表等前沿项目,能够为各类企业提供数据合规法律服务。
