数据泄露通知要求

DATA BREACH NOTIFICATION

GDPR引入的最深刻的变化之一是在欧洲范围内要求向监管机构和受影响的个人通报数据泄露情况。

在美国，数据泄露通知法现已在所有50个州生效，对不通知的严厉处罚从根本上改变了美国组织调查和应对数据事件的方式。不通知已经成为一种高风险的选择。

向监管机构发出的通知必须尽可能包括相关个人和记录的类别和大致数量、组织的DPO或其他联系人的姓名、违规的可能后果以及为减轻伤害而采取的措施。——GDPR（第33(3)条）。

控制者被要求实施适当的技术和组织措施，以及定期测试、评估和评价这些措施的有效性，以确保处理的安全性（第32条）。控制者还需要保留所有数据泄露的记录（第33条第5款）（无论是否通知监管机构），并允许监管机构进行审计。

如果不遵守与安全和数据泄露通知有关的条款，将被处以最高1000万欧元的罚款或全球年营业额的2%，可能对控制者和处理者都有影响。由于数据泄露通常会导致监管机构的调查，并经常发现其他不合规的领域，因此很有可能会触发高达2000万欧元的罚款或全球年营业额的4%。

亚太

国家	数据泄露通知要求	备注
中华人民共和国		“发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时，数据处理者还应当在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告”。——国家网信办《网络数据安全管理条例(征求意见稿)》 银监会、网信、公安、工信通管，以及交通、卫生健康、教育、市场监管、央行等均属于“履行个人信息保护职责的部门”。
印度
新加坡		Submit the notification at https://eservice.pdpc.gov.sg/case/db. For urgent notification of major cases, organisations may also contact the PDPC at +65 6377 3131 during working hours.
日本
美属萨摩亚
澳大利亚		根据《隐私法》，企业有义务遵守强制性数据泄露通知要求。该制度于2018年2月22日开始。强制性的数据泄露通知包括与以下内容有关的数据泄露： 个人信息 信用报告信息 信用资格信息 税务档案号码 澳大利亚信息专员办公室（OAIC）下属的The Privacy Commissioner隐私专员是负责隐私法监督的国家数据保护监管机构。《隐私法》要求各组织将 "符合条件的数据泄露 "通知OAIC和受影响的个人（根据通知的规定内容）。如果单独通知受影响的个人并不可行，遭受符合条件的数据泄露的组织必须在其网站上发表公开声明，其中包含通知的必要内容。
文莱
柬埔寨
印度尼西亚
中国-香港
中国-台湾
中国-澳门
朝鲜
韩国
老挝
马来西亚
蒙古
缅甸
新西兰
巴布亚新几内亚
菲律宾
泰国
东帝汶
越南

欧洲/中东

国家	数据泄露通知要求	备注
法国
荷兰
比利时
卢森堡
瑞士
列支敦士登
奥地利
摩纳哥
德国
波兰
匈牙利
斯洛伐克
捷克
保加利亚
罗马尼亚
俄罗斯
乌克兰
白俄罗斯
摩尔多瓦
英国
丹麦
挪威
冰岛
芬兰
瑞典
立陶宛
拉脱维亚
爱沙尼亚
爱尔兰
西班牙
葡萄牙
希腊
意大利
梵蒂冈
安道尔
北马其顿
圣马力诺
马耳他
斯洛文尼亚
克罗地亚
波黑
黑山
塞尔维亚
阿尔巴尼亚
阿拉伯联合酋长国
巴林

北美

国家	数据泄露通知要求	备注
美国		Reporting data breaches to the Attorney General’s Office: If you know or have reason to know that your organization has experienced a data breach covered by the Breach Notification Law, you must notify the Attorney General’s Office. Reporting data breaches to the Office of Consumer Affairs and Business Regulation (OCABR): If you know or have reason to know that your organization has experienced a data breach covered by the Breach Notification Law, you must notify the Office of Consumer Affairs and Business Regulation. Reporting data breaches to affected residents：If you know or have reason to know that your organization has experienced a data breach covered by the Breach Notification Law, you must notify all affected residents with a written Consumer Notice.
加拿大
安提瓜和巴布达
巴哈马
巴巴多斯
伯利兹
哥斯达黎加
古巴
多米尼克
多米尼加共和国
萨尔瓦多
安圭拉
百慕大
英属维尔京群岛
开曼群岛
格陵兰
格林纳达
瓜德罗普
危地马拉
海地
洪都拉斯
牙买加
马提尼克岛
墨西哥
蒙特塞拉特
那瓦萨岛
阿鲁巴
库拉索
荷兰加勒比区
尼加拉瓜
巴拿马
圣基茨和尼维斯
圣卢西亚
圣文森特和格林纳丁斯
特立尼达和多巴哥
特克斯和凯科斯群岛
法属圣马丁
波多黎各
圣巴泰勒米
荷属圣马丁
圣皮埃尔和密克隆群岛
美属维尔京群岛

南美

国家	数据泄漏通知要求	备注
巴西
哥伦比亚
阿根廷
秘鲁
委内瑞拉
智利
厄瓜多尔
玻利维亚
乌拉圭
巴拉圭
圭亚那
苏里南
法属圭亚那
福克兰群岛
南乔治亚和南桑威奇群岛

非洲

国家	数据泄露通知要求	备注
尼日利亚
南非
埃及
肯尼亚
加纳
阿尔及利亚
安哥拉		数据保护的监管单位：Agência de Proteção de Dados (APD)。尽管《数据保护法》规定设立APD，并且在2016年10月通过第214/2016号总统令批准了APD的组织章程（已生效），但该机构尚未成立。
贝宁
博茨瓦纳
迪戈加西亚岛
布基纳法索
布隆迪
喀麦隆共和国
加那利群岛
佛得角共和国
中非共和国
休达
查德
科摩罗
科特迪瓦
刚果民主共和国
吉布提共和国
阿拉伯埃及共和国
赤道几内亚共和国
厄立特里亚国
埃塞俄比亚联邦民主共和国
加蓬共和国
冈比亚共和国
加纳共和国
几内亚共和国
几内亚比绍共和国
佩拉杰群岛
莱索托王国
利比里亚共和国
利比亚国
马达加斯加共和国
马德拉群岛
马拉维共和国
马里共和国
毛里塔尼亚伊斯兰共和国
毛里求斯共和国
马约特
梅利利亚
摩洛哥王国
莫桑比克共和国
纳米比亚共和国
尼日尔共和国
尼日利亚联邦共和国
刚果共和国
卢旺达共和国
圣多美和普林西比民主共和国
塞内加尔共和国
塞舌尔共和国
塞拉利昂共和国
索马里联邦共和国
索马里兰共和国
南苏丹共和国
苏丹共和国
斯威士兰王国
坦桑尼亚联合共和国
多哥共和国
突尼斯共和国
乌干达共和国
阿拉伯撒哈拉民主共和国
赞比亚共和国
津巴布韦共和国