欧盟GDPR（又称《通用数据保护条例》）的实施，在一定程度上意味着欧盟内部的数据保护规则得到了改变。作为数据保护问题的重中之重，极具隐私性的个人数据也是其中不可忽视的一部分。除对个人数据处理的系统规定外，个人数据泄露后的应对措施也在欧盟GDPR中得到了明确。在该条例中，控制者及处理者在察觉个人数据遭到泄露后，除应及时采取措施应对外，向监管机构进行报告以及向数据主体传达个人数据泄露的信息也必不可少。

一、个人数据泄露的告知义务之向监管机构报告

根据欧盟GDPR规定，一旦个人数据发生泄露，在可行情况下，数据控制者必须在知道该情况后及时告知有权对该问题进行监督的监管机构。根据该条例规定，数据控制者向监管机构报告的时间至迟不得超过72小时，只有当该告知可能对数据主体或者他人的权利及自由带来潜在风险时，数据控制者有权迟延告知。但对于发生超出72小时告知监管机构的情形，数据控制者必须在之后的迟延告知中一并告知监管机构其迟延的理由，以确保监管机构在通常情况下能够及时获知个人数据的泄露情况。同时，若数据处理者与数据控制者不为同一人或者同一组织，数据处理者通常为个人数据泄露的第一知晓对象，因此欧盟GDPR也要求数据处理者必须在知晓泄露事件发生后及时告知控制者，以便其及时将个人数据泄露的信息传递。

同时，欧盟GDPR也对数据处理者及控制者在此种情形下应当告知的内容范围做出了要求。首先是该泄露行为的性质，应尽可能同时包括与此次泄露相关的数据其类型与数量，特别是其中个人数据的类型及数量。其次是告知监管机构负责该泄露数据的保护任务的数据保护官的具体情况，包括姓名、联系方式或者其他可以准确联系到保护官的任何方式。再次是尽可能地向监管机构准确描述此次泄露会造成的后果，以便监管方在合理预期的前提下采取恰当的处理措施。此外，数据控制者还应将其以及数据处理者已经采取的应对措施或者制定的处理计划如实告知监管机构，以实现多方在处理该问题上的有效配合。同时，考虑到实际情况的复杂性，欧盟GDPR还提出在不能同时提供信息的情形下，数据处理者或者控制者可以分阶段提供相关信息，只要满足及时性即可。

监管方在接收到的相关信息中，除应及时制定应对措施外，针对数据控制者提供的包括该次泄露事件的相关信息、造成的影响以及已经采取的救济措施等内容，必须及时进行核实，以确认数据控制者的行为是否符合欧盟GDPR的规定。

二、个人数据泄露的告知义务之向数据主体传达

控制者除了应向监管机构及时告知泄露情况外，也应将相关内容及时告知作为数据来源的数据主体，尤其是该次泄露可能给自然人的权利及自由带来很高的潜在风险时。考虑到数据主体往往并非专业人士，欧盟GDPR要求控制者在向数据主体传达泄露事件相关内容时，必须采取“清晰和平白的语言”进行告知，以确保数据主体能够了解泄露事件可能造成的不利后果。

但同时，根据欧盟GDPR规定，并非所有情形下的数据泄露均应告知数据主体。在数据控制者已采取充分措施保证该个人数据不会被他人获悉或者利用，保证数据主体的权利及自由不再面临高风险的情形下，该告知可以省去。此外，若此次告知需要耗费过多努力，根据欧盟GDPR的规定，此次告知义务则转移采取公告机制或者其他类似措施，不再由数据控制者承担。若上述不适宜告知的情形均不存在，但数据控制者未向数据主体告知相关情况，监管机构可进行督促。

严正声明：本文章内容为佑碧艾商务咨询（上海）有限公司（以下简称LEB）原创作品，LEB对该作品享有全部著作权。欢迎转发，如需以任何形式转载请注明作品出处及标注作者（LEB）署名，违者将承担相应法律责任。特此声明。