导读：于2018年5月25日生效的GDPR对企业的数据保护义务提出了全新的监管要求，将对中国企业在欧盟市场的投资、销售和运营产生显著影响，并成为中国企业必须直面的重大法律障碍。本所将定期推送11篇系列原创文章，以协助中国企业从实务角度理解和遵从GDPR，并为中国正在制定的《网络安全法》实施细则和指南提供立法参考。
　　一、引言
　　在《通用数据保护条例》（General Data Protection Regulation, the “GDPR”）中，数据安全发挥着重要作用。就数据安全方面而言，GDPR对数据控制者和数据处理者施加了严苛的义务。尽管《荷兰数据保护法》（Dutch Data Protection Act, the “DPA”）中已有数据泄露通知制度的规定，但GDPR针对其他各欧盟国家新增加了通知义务。
　　GDPR规定的数据泄露通知制度与DPA规定的现行的数据泄露通知制度在诸多方面有所区别。本期我们将重点讨论GDPR中有关向数据保护监管机构和数据主体通知数据泄露的义务以及其与DPA规定的通知义务的不同之处。
　　二、什么是数据泄露？
　　在GDPR中，数据泄露的定义较为宽泛，包括“违反安全规定导致所传输、存储或以其他方式处理的个人数据遭受意外或非法毁坏、丢失、篡改、未经授权披露或访问”。
　　因此，数据泄露的定义不限于黑客访问IT系统，还包括智能手机、笔记本电脑或U盘丢失或被盗、恶意软件感染和数据丢失（如数据被意外删除且没有备份可用）。
　　三、通知监管机构
　　如不及时妥善处理，数据泄露可能会使数据主体遭受歧视、身份盗用、欺诈、经济损失、名誉损失、保密性丧失等损失。
　　因此，如发生数据泄露，数据控制者应通知主管监管机构，不得无故拖延。在可行的情况下，不得迟于发现数据泄露后的72小时，以便主管机构评估泄露情况并决定是否需要采取后续行动。
　　在对数据主体的权利和自由不可能构成危险的情况下，则无需通知。这一标准与DPA规定的标准略有不同，不同之处在于：如果数据泄露极可能导致或已经导致对个人数据保护的严重不利影响则必须通知监管机构。即是说，GDPR规定的这一标准更易触发通知义务。
　　根据GDPR规定，提交主管监管机构的通知必须包括以下内容：
　　1.数据泄露性质描述，具体包括在可能获取的涉事主体类别和大致数目，以及所涉个人数据记录的类别和大致数目；
　　2.数据保护负责人或其他能够提供更多信息的联络点的名称及联系方式；
　　3.数据泄露潜在后果描述；
　　4.数据控制者为处理数据泄露而采取或拟采取的措施的描述，包括在适当的情况下缓释数据泄露导致的潜在不利影响的措施。
　　如果数据控制者无法在发现数据泄露后72小时内发出通知，还必须说明延误原因。在实践中，数据控制者应在72小时内发出通知，故需制定适当的内部程序以确保通知按时发出。
　　四、通知数据主体
　　除了通知监管机构外，数据控制者还有义务通知受影响的数据主体有关数据泄露的情况，不得无故拖延，除非存在以下例外情形：
　　1.根据数据泄露性质或因为数据控制者随后采取了适当的措施，数据泄露不太可能对受影响数据主体的权利和自由构成重大危险；
　　2.适当的技术性和组织性措施已经实施且适用于受影响的个人数据；
　　3.通知耗费过于巨大。在这种情况下，数据控制者有义务通过大众传媒或类似渠道通知数据主体。如果数据控制者可以包括电子邮件在内等的电子形式与数据主体取得联系，则数据控制者不得认定其属于耗费巨大的情况。
　　GDPR中通知数据主体的标准也与DPA规定的标准略有不同。依照DPA，如果数据泄露可能对数据主体的隐私产生不利影响，除非已采取适当措施使未经授权人员无法解读或无法访问个人数据，否则必须通知数据主体。相比之下GDPR中的通知门槛较高，因而其通知标准更为温和。
　　数据控制者需采用简单清晰明确的用语与数据主体进行沟通，且沟通内容必须至少包含如前文所述的给监管机构的通知内容。
　　如果数据控制者尚未通知数据主体，监管机构得要求其通知数据主体。拒不遵守，将面临高额罚款，具体见下文。
　　五、数据泄露内部记录
　　数据控制者有义务记录包括与数据泄露相关的事实、数据泄露的影响以及所采取的任何补救措施等的所有有关数据泄露的情况。
　　六、数据处理者在数据泄露方面的义务
　　依照GDPR规定，数据处理者在知悉发生数据泄露后有义务向数据控制者报告数据泄露，不得无故拖延，以便数据控制者及时采取必要的行动。我们建议就数据处理者就通知时间和方式作出明确安排。我们建议数据控制者和数据处理者在处理协议中作出约定以确保无数据泄漏被事后追认，即便因此可能导致有不构成数据泄漏被报告的情况存在。
　　七、罚款
　　不遵守上述通知义务可能面临高达一千万欧元或相当于全球年营业总额百分之二的罚款（以其中较高者为准）。不遵守监管机构的命令可能会面临高达两千万欧元或相当于全球年营业总额百分之四的罚款（以较高者为准）。
　　八、结论与建议
　　鉴于在数据泄漏发生时，通知监管机构和数据主体的时间有限，各组织机构应做好内部数据泄露应对计划，列明在发生数据泄露时须采取的行动，计划应包括有内部和外部主要联系人、检查清单和后续措施等内容。全球性组织机构还应该考虑设立区级、地级数据泄露应对小组，小组成员可包括外部法律顾问、计算机取证员、公关专家等外部专家。