现行基准: 网络安全法(2017)+ 数据安全法(2021)+ 个人信息保护法(2021)+ 个保条例(2025)
数据安全事件报告
最后更新:2026-04-06 | 由 LLM 基于知识库原始资料编译
关联概念:数据泄露应急响应 | 数据处理者义务与责任 | 个人信息保护
核心法条
- 《个人信息保护法》第 57 条:个人信息安全事件发生后应立即采取补救措施,并通知履行个人信息保护职责的部门和个人 [现行有效]
- 《数据安全法》第 29 条:发生数据安全事件应立即采取处置措施,及时告知用户并向主管部门报告 [现行有效]
- 《网络安全法》第 25 条:网络安全事件应急预案和处置义务 [现行有效]
- 《网络安全法》第 42 条:个人信息泄露、毁损、丢失事件的处置和报告义务 [现行有效]
- 《网络数据安全管理条例》(国务院令第 795 号,2025 年 1 月 1 日施行)第三章——细化数据安全事件报告的程序和要求 [现行有效]
- 《国家网络安全事件应急预案》(中网办发文〔2017〕4 号)——国家层级应急响应体系 [现行有效]
规则沿革
| 时间节点 | 变化内容 | 依据 |
|---|---|---|
| 2017-06-01 | 《网络安全法》确立网络安全事件应急和报告制度 | 现行有效 |
| 2021-09-01 | 《数据安全法》扩展至数据安全事件,要求告知用户并报告 | 现行有效 |
| 2021-11-01 | 《个人信息保护法》第 57 条建立个人信息安全事件报告制度 | 现行有效 |
| 2025-01-01 | 个保条例细化报告时限、内容和程序——明确报告时限和分级响应要求 | 现行有效,新规 |
一、数据安全事件的定义与分类
法定定义
数据安全事件是指在数据处理活动中,因人为或自然原因导致数据安全保护机制被破坏,造成数据泄露、篡改、丢失、非法获取或非法使用等后果的突发事件。
四级分类标准
依据《国家网络安全事件应急预案》,网络安全/数据安全事件分四级:
| 级别 | 颜色标识 | 判定标准 |
|---|---|---|
| 特别重大 | 红色 | 造成大范围严重社会危害、影响国家安全或公共利益 |
| 重大 | 橙色 | 造成较大范围严重社会危害、影响行业运转 |
| 较大 | 黄色 | 造成一定社会危害,影响局部区域或行业 |
| 一般 | 蓝色 | 影响较小社会秩序,可被快速控制 |
二、个人信息安全事件的报告义务(PIPL 第 57 条)
触发条件
发生或者可能发生个人信息泄露、篡改、丢失的,即触发报告义务。
处理者应立即采取的措施
- 立即启动应急预案,实施补救措施
- 通知履行个人信息保护职责的部门
- 通知被影响的个人信息主体
通知内容(PIPL 第 57 条第 2 款)
通知应包含以下信息:
- 发生或者可能发生个人信息泄露、篡改、丢失的个人信息种类、原因和造成的危害
- 处理者已采取的补救措施
- 个人信息主体可以减轻或避免危害的措施
- 处理者的联系方式
简化通知(个保条例细化)
根据个保条例,事件未造成实际损害的,可以采用公告、推送通知等合理方式进行告知。
三、数据安全事件的报告机制(DSL 第 29 条)
处置与报告流程
- 立即处置:发生数据安全事件,应立即启动应急预案,采取处置措施(如隔离、修复、备份恢复等)
- 及时告知用户:将事件情况和处置措施告知相关用户
- 报告主管部门:向有关主管部门报告事件的性质、影响范围和处置措施
重要数据处理者的特别义务
重要数据处理者应:
- 明确数据安全负责人和管理机构
- 定期开展风险评估(每年至少一次)
- 将数据安全风险评估报告报送有关主管部门
四、个保条例规定的安全事件细化要求
报告时限
| 事件级别 | 报告时限 | 报告对象 |
|---|---|---|
| 特别重大/重大事件 | 发生后 立即(原则上不超过 2 小时)报告 | 国家网信部门/省级网信部门 |
| 较大事件 | 发生后 24 小时内 报告 | 省级网信部门/行业主管 |
| 一般事件 | 发生后 48 小时内 报告 | 本地网信部门 |
报告内容
安全事件报告应至少包含:
1. 事件发生的时间、地点、经过
2. 受影响的数据类型、数量、范围
3. 初步判断的事件原因
4. 已采取和拟采取的补救措施
5. 对个人信息权益的影响评估
6. 事件责任人和联系方式
五、应急处置措施
技术层面
| 措施类别 | 具体操作 |
|---|---|
| 隔离 | 切断被攻击系统的网络连接,防止横向扩散 |
| 修复 | 修补漏洞、清除恶意代码 |
| 备份恢复 | 从安全备份中恢复被篡改/删除的数据 |
| 溯源 | 保存相关日志、证据材料,为溯源调查提供支持 |
| 监控 | 加强监控频率,防止二次入侵 |
管理层面
- 组建应急响应团队
- 启动信息通报机制
- 配合监管部门调查
- 做好用户沟通和善后工作
六、典型事件类型
常见数据安全事件
| 事件类型 | 法律性质 | 典型场景 |
|---|---|---|
| 数据泄露 | 未授权的数据披露 | 员工离职带走数据、系统漏洞 |
| 数据篡改 | 数据被未授权修改 | 黑客入侵、内部人员恶意篡改 |
| 数据丢失 | 数据不可恢复的灭失 | 硬件故障、自然灾害、误操作 |
| 非法获取 | 未经授权的数据收集 | 数据爬取、钓鱼攻击、社工攻击 |
| 非法使用 | 超出授权范围使用数据 | 员工超范围查询、黑产流转 |
七、未履行报告义务的法律后果
| 法律依据 | 处罚措施 |
|---|---|
| PIPL 第 66 条 | 一般违法:责令改正、警告、100万元以下罚款 |
| PIPL 第 66 条 | 情节严重的:5000万元或上年度营业额5%以下罚款,吊销许可 |
| DSL 第 45 条 | 未采取数据安全保护义务:10—100万元罚款;严重:100—1000万元 |
| CSL 第 59 条 | 网络安全事件未及时处置的:责令改正并处罚款 |
八、合规实务清单
- 制定安全事件应急预案——覆盖各层级、各场景
- 组建应急响应团队——明确责任人
- 定期演练——每年至少一次综合性演练
- 建立分级分类响应机制——与事件等级对应
- 完善内部报告流程——明确时限和路径
- 留存应急响应记录——作为合规证据
- 建立与监管的沟通渠道——确保报告通畅
知识库原始资料索引
法律法规
公众号资源
- 国家互联网信息办公室公布《数据出境安全评估办法》/国家互联网信息办公室公布_数据出境安全评估办法_(附全文_答记者问).md)