首页> 图书频道> 政法> 法学

【个人信息泄露等事件的补救措施和通知义务】

2026年02月27日
版权
第五十七条 【 个人信息泄露等事件的补救措施和通知义务】

发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:

(一)发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;

(二)个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施;

(三)个人信息处理者的联系方式。

个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人;履行个人信息保护职责的部门认为可能造成危害的,有权要求个人信息处理者通知个人。

【条文主旨】

本条是关于发生或者可能发生个人信息泄露、篡改、丢失等事件时,个人信息处理者的补救措施和通知义务的规定。

【条文理解】

本条规定了发生或者可能发生个人信息泄露、篡改、丢失等事件时,个人信息处理者的补救措施和通知义务。

和本法草案一审稿相比,本法草案二审稿中的本条没有进行改动。但在正式出台的法律中,由于原第五十五条拆分成了两个条文,本条的条文顺序因此发生了变化;此外,在规范内容上,正式法律也对本条进行了较大修改,具体为:(1)将本条的适用范围由原来的“个人信息泄露”扩充至“个人信息泄露、篡改、丢失”之时,且不需要实际发生;(2)整合了原条文中五项应通知事项,修改为三项,并在立法语言的表述上予以了完善。

对个人信息安全风险进行法律救济,防止个人权益遭受进一步侵害,是本法重要的立法目标。无论是出于经营目的,还是基于公权力和履行公共管理职能处理个人信息,个人信息处理者始终是信息处理活动的直接参与者和利益攸关方,本法第九条相应规定:“个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。”因此,在发生或者可能发生个人信息泄露、篡改、丢失时,本条为个人信息处理者设定了两项法律义务:

第一,应当立即采取补救措施。采取补救措施的目的在于防止损害进一步扩大。由个人信息处理者负担这一义务,不仅因为其是法定的责任主体,也是由于个人信息处理者直接开展信息处理活动,相较于其他主体来说,可以以最迅速、及时和高效的措施实现补救的效果,进一步缩短实施补救的时间。除个人信息处理者自身需立即采取补救措施外,履行个人信息保护职责的部门亦应对补救措施开展监管,本条也将补救措施作为应当通知的事项。实践中,对个人信息安全事件开展补救是一项兼具技术性与复杂性的工作,如果个人信息处理者表面上履行了相应义务,形式上开展了一定补救措施,但实质上是采取消极应对的态度,措施未能起到相应效果,也不能认定其依法履行了补救义务。

第二,通知履行个人信息保护职责的部门和个人。个人是信息主体,发生个人信息的泄露、篡改、丢失,对个人的影响将最为直接和显著,可能有损其重要权益,因此个人必须作为知情的主体。履行个人信息保护职责的部门是监管主体,按照本法第六十条的规定,“履行个人信息保护职责的部门”指的是国家网信部门和在各自职责范围内负责个人信息保护和监督管理工作的国务院有关部门,以及依法确定的、履行个人信息保护和监督管理职责的县级以上地方人民政府有关部门。本条具体设定了三类应当通知事项:

一是发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害。通知信息种类,有利于部门和个人按照分类处理的原则,集中资源开展处理,尤其是对于个人敏感信息,应当更快速地开展补救工作;通知信息泄露、篡改、丢失的原因,可以帮助部门和个人尽快找到事件发生源头,同时也有助于个人信息保护者及时开展自查,从源头开始防范风险事件;通知可能造成的危害,目的是便于部门和个人按照危害程度进行决策,合理调整预期。

二是个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施。通知个人信息处理者采取的补救措施,一方面是为了防止资源和执法手段的重复使用,提高补救效率,另一方面也是帮助部门和个人进行监督,促进个人信息处理者依法立即进行补救;通知个人可以采取的减轻危害的措施,是为了帮助个人尽快开始“自救”,及时行使更正、删除等权利,按照个人信息保护者的指引减轻个人信息安全事件对自身权益造成的损害。

三是个人信息处理者的联系方式。由于个人信息发端于网络这一虚拟空间,个人信息处理者通常都不是在线下完成个人信息的采集和处理,这也使得个人和处理者之间有着天然的、难以直接接触的鸿沟,尤其是在合作处理、委托处理个人信息的场景,可能存在多个直接处理个人信息的主体。为了便于个人主张权利,以及获取和本人信息安全有关的告知和通知,个人信息处理者的联系方式也是必要的通知事项。

【适用指南】

在适用上,应当注意:以上通知事项应当全部包含在通知之中,而不能由个人信息处理者择一通知,并应当确保通知事项的准确无误。对于通知内容不全面、有误的,个人信息处理者应当依法承担责任。

个人信息安全事件可能会产生广泛的社会影响,引发社会对个人信息处理者的不利评价,出于平衡个人信息安全和推动数字产业发展的需要,本条也给予了个人信息处理者一定的自由裁量空间,第二款相应规定:个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人。就这一句话而言,本法事实上为个人信息处理者创设了一个相对宽容的发展空间,个人信息处理者可以自行决定是否进行通知,尤其是对于那些迫切需要维护信用和商誉的个人信息处理者,将起到激励个人信息处理者尽快采取有效补救措施、尽最大可能化解危害的作用。但是,在适用上,也要注意本款的适用前提是个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害,如果客观上已经造成危害,采取措施也于事无补,或者所采取的措施未能有效避免造成危害,个人信息处理者均应通知个人。为了防止个人信息处理者借用本款逃避通知或延误通知,本款最后一句话强调了履行个人信息保护职责的部门的监管职责,赋予其要求个人信息处理者进行通知的权力。

【相关规定】

《中华人民共和国个人信息保护法》第九条、第六十条。