现行基准: 网络安全法(2017)+ 数据安全法(2021)+ 个人信息保护法(2021)
数据泄露应急响应
最后更新:2026-04-06 | 由 LLM 基于知识库原始资料编译
关联概念:个人信息保护 | 网络安全与等保 | 算法合规 | 网络安全
核心法条
- 《网络安全法》第 25 条:网络运营者应当制定网络安全事件应急预案,及时处置安全风险 [现行有效]
- 《网络安全法》第 42 条:网络运营者发生个人信息泄露、毁损、丢失事件时,应当立即采取补救措施,及时告知用户并报告主管部门 [现行有效]
- 《数据安全法》第 29 条:发生数据安全事件时应当立即启动应急预案,采取相应处置措施,并按规定报告 [现行有效]
- 《个人信息保护法》第 57 条:个人信息处理者发生泄露、篡改、丢失等安全事件,应当立即采取补救措施,通知履行个人信息保护职责的部门和个人 [现行有效]
- 《数据安全法》第 45 条:违反数据安全保护义务导致严重后果的处罚规定 [现行有效]
- 《个人信息保护法》第 66 条:个人信息安全事件最高处罚——5000 万元或上年度营业额 5% [现行有效]
- 《网络安全法》第 57-59 条:网络安全事件应急处置与法律责任 [现行有效]
规则沿革
| 时间节点 | 变化内容 | 依据 |
|---|---|---|
| 2017-06-01 | 《网络安全法》施行 | 现行有效 |
| 2021-09-01 | 《数据安全法》施行 | 现行有效 |
| 2021-11-01 | 《个人信息保护法》施行 | 现行有效 |
一、数据安全事件的定义与类型
1.1 法定概念
《数据安全法》第 3 条将"数据安全事件"定义为:数据处理活动过程中发生的数据泄露、篡改、丢失、毁损等安全事件。
《网络安全法》将"网络安全事件"定义为:由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或其数据造成危害,或对社会造成影响的事件。
1.2 事件类型与分级
| 事件类型 | 表现形式 | 法律依据 |
|---|---|---|
| 数据泄露 | 未经授权的数据访问、披露或传播 | 《网络安全法》第 42 条 |
| 数据篡改 | 数据内容被非法修改,影响数据的真实性和完整性 | 《数据安全法》第 27 条 |
| 数据丢失 | 数据被误删、硬件故障或勒索软件导致不可恢复 | 《个保法》第 57 条 |
| 数据毁损 | 数据格式或存储介质被物理或逻辑破坏 | 《数安法》第 29 条 |
| 网络安全事件 | 黑客攻击、系统瘫痪、服务中断 | 《网络安全法》第 57 条 |
1.3 事件分级(参考网络安全事件分级)
网络安全事件一般分为四级:
| 级别 | 名称 | 典型标准 |
|---|---|---|
| I 级 | 特别重大 | 全国范围影响,涉及大量个人信息或重要数据泄露 |
| II 级 | 重大 | 省级范围影响,涉及敏感个人信息泄露 |
| III 级 | 较大 | 市级范围影响,涉及一般个人信息泄露 |
| IV 级 | 一般 | 局部影响,未涉及个人信息的重要数据事件 |
二、应急响应法定义务
2.1 事前:应急预案义务
《网络安全法》第 25 条及《数据安全法》第 29 条规定,数据处理者(尤其是网络运营者和重要数据处理者)必须制定网络安全事件/数据安全事件应急预案。
应急预案应至少包括:
1. 应急组织架构与职责分工
2. 事件发现与报告的预警机制
3. 事件分级与响应机制
4. 应急处置措施(隔离、取证、恢复等)
5. 事件通报机制(内外部)
6. 事后总结与改进机制
7. 定期演练计划(建议至少每年演练 1 次)
2.2 事中:应急处置义务
一旦发生数据安全事件,数据处理者应当立即:
- 采取补救措施(第 42 条/第 29 条):
- 封锁泄露源,防止事件扩大
- 隔离受影响的系统和数据
-
采取措施减少影响范围和损害程度
-
报告主管部门:
- 按行业向履行个人信息保护职责的部门报告
- 涉及网络安全的,同时向网信部门报告
-
涉嫌犯罪的,向公安机关报案
-
通知个人(《个保法》第 57 条):
- 通知内容应当包括:事件基本情况、可能造成的影响、已采取或将采取的补救措施、个人的救济方式
- 通知应当及时、真实、准确
2.3 例外情形:免于通知
《个人信息保护法》第 57 条第 2 款规定:如果个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人。
但履行个人信息保护职责的部门认为可能造成危害的,有权要求通知个人。
这意味着"免通知"的适用条件极为严格,处理者需要充分举证已采取有效措施。
三、通知机制与法律责任
3.1 向主管部门的通报
| 项目 | 要求 |
|---|---|
| 通报对象 | 履行个人信息保护职责的部门(网信部门为主)、行业主管部门 |
| 通报时限 | "及时"报告(法律未规定具体时限,实务中通常为 24-72 小时内) |
| 通报内容 | 事件基本情况、涉及数据类型和数量、可能影响、已采取措施 |
| 法律依据 | 《个保法》第 57 条、《数安法》第 29 条 |
3.2 向个人的通知
《个保法》第 57 条要求通知个人时,应当包括:
- 发生或者可能发生个人信息泄露、篡改、丢失的信息种类和原因
- 可能造成的危害
- 个人信息处理者采取的补救措施
- 个人可以采取的减轻危害的措施
- 个人信息处理者的联系方式
3.3 事件报告的法律边界
与数据出境场景下的报告义务交叉:
- 境内数据处理者发现向境外非法提供数据的线索,也应报告
- 涉及外国司法执法调取的,适用《数据安全法》第 36 条
四、法律责任与处罚后果
4.1 行政处罚
| 法律依据 | 适用情形 | 处罚幅度 |
|---|---|---|
| 《网络安全法》第 59-66 条 | 未制定应急预案、未及时报告 | 警告或罚款(最高 100 万元) |
| 《数据安全法》第 45 条 | 未履行数据安全保护义务 | 10-100 万元(一般);100-500 万元(严重) |
| 《个人信息保护法》第 66 条 | 个人信息安全事件,情节严重 | 最高 5000 万元或上年度营业额 5% |
4.2 民事责任
《个人信息保护法》第 69 条:处理个人信息侵害个人信息权益造成损害,个人信息处理者或者处理者应当承担侵权责任。
- 过错推定:个人信息处理者不能证明自己没有过错的,应当承担损害赔偿责任
- 公益诉讼:检察院、符合条件的消费者组织等可提起个人信息保护领域的公益诉讼
4.3 刑事责任
在特定情形下,数据泄露事件可能涉及刑事犯罪:
- 侵犯公民个人信息罪(《刑法》第 253 条之一):非法获取、出售或提供公民个人信息
- 拒不履行信息网络安全管理义务罪(《刑法》第 286 条之一):网络运营者经责令采取改正措施而拒不改正,导致用户信息泄露,造成严重后果的
- 非法获取计算机信息系统数据罪(《刑法》第 285 条)
五、企业数据泄露应急响应实务指南
5.1 事前准备阶段
- 制定应急预案:覆盖所有数据安全事件类型
- 建立应急响应团队:明确指挥人、技术负责人、法务负责人、公关负责人
- 定期演练:至少每年开展 1 次应急演练
- 安全监测机制:部署安全监测工具,及时发现异常
- 第三方资源备:安全厂商、法律顾问、保险等
5.2 事件响应流程
第 1 步:发现与报告 → 监测发现,内部上报(1-2 小时内)
第 2 步:评估与启动 → 判断事件类型和级别,启动应急预案
第 3 步:控制与遏制 → 封锁泄露源,隔离受影响系统
第 4 步:调查与取证 → 查明原因和范围,保存证据
第 5 步:通知与报告 → 通知监管和个人,必要时公开通报
第 6 步:恢复与整改 → 修复漏洞,恢复系统,更新预案
5.3 事后合规要点
- 事件记录:详细记录事件的发现、评估、处置全过程
- 总结报告:形成事件总结报告,分析根本原因
- 更新预案:根据事件教训更新应急预案
- 合规审计:必要时委托第三方进行安全审计
- 保险索赔:如投保网络安全保险,及时启动理赔
知识库原始资料索引
法律法规
- 中华人民共和国网络安全法
- 中华人民共和国数据安全法
- 中华人民共和国个人信息保护法/_个人信息保护法_适用要点解读.md)
学术研究
- 薛天涵:个人信息保护公益诉讼制度的法理展开
- 欧元捷:公益治理体系下的个人信息保护公益诉讼
地方指引与实务
- 企业数据合规指引(上海市杨浦区)
- 滴滴因违法收集个人信息下架:企业数据合规
- 2024年数据保护领域值得关注的10大趋势