论个人信息安全事件通知义务

个人信息安全事件通知是个人信息处理者履行信息安全保护义务的重要环节,能够促使信息主体和监管机构在发生个人信息安全事件后及时采取行动,防范次生损害。《网络安全法》《数据安全法》《个人信息保护法》均规定了个人信息安全事件通知义务,但内容不一、详略有别。从“个人信息”的范畴来看,只有发生安全事件的“个人信息”可能影响信息主体实际权益时,才有必要通知信息主体;从通知内容来看,应当对通知监管机构和信息主体的内容作出区别规定;从通知的理论基础来看,由侵权责任和合同附随义务产生的私法责任是信息处理者向信息主体履行通知义务的理论基础,向监管机构履行通知义务则是公法要求;从通知的条件来看,对个人信息采用加密等技术手段后可不向信息主体履行通知义务,只有发生安全事件的个人信息达到一定规模体量才有必要通知监管机构;从通知的法律责任来看,更宜适用作为特别法的《个人信息保护法》的法律责任规定,同时限缩私法层面的赔偿责任,强调公法层面的处罚责任。