自2025年年初以来，驴包持续曝光的客户信息泄漏事件，为了解亚太地区主要司法辖区的个保、数据法规制度，提供了重要的实例。此前已经针对其旗下品牌在韩国数据泄漏通报予以讨论（见 以LV韩国客户信息泄露事件为例：聊聊个人信息泄露后的通知怎么写？）。本篇则尝试比较不同司法辖区的数据泄露通报机制，尤其是违反通报要求的行政处罚。

2025年上半年，全球奢侈品巨头LVMH集团遭遇了史无前例的数据安全危机。从5月份迪奥品牌的首次数据泄露开始，到7月份路易威登香港公司42万客户信息外泄，这一系列网络安全事件不仅暴露了奢侈品行业在数据保护方面的严重漏洞，更引发了亚太地区各司法辖区的监管反应，尤其是中国香港（被泄露的客户信息量最大）和韩国（在个保领域有强监管机制）。

本文以中国香港、日本、韩国以及新加坡四个司法辖区为对象，分析其针对LV客户信息泄漏事件，可能采取哪些执法措施。这些司法辖区均建立了数据泄露通报制度，但在通报触发条件、时限要求及监管机构的执法重点上存在显著差异。

以下表格为四个司法辖区的有关数据通报要求的汇总表格。需要注意的是，在发生数据泄漏时，虽各个司法辖区都规定了针对监管机构的通报机制，以及针对受影响个人的通知机制，但不同司法辖区针对这两种机制所规定的触发条件以及时限存在显著区别。

（注：新加坡对“重大损害”的定义在《个人数据保护（数据泄露通报）条例2021》中有明确规定，例如泄露个人的全名或身份证号码，并结合了财务、健康等敏感信息，或泄露账户凭证）

一、中国香港

1.1 法律框架

香港的个人数据保护制度由《个人资料（私隐）条例》（PDPO，香港法例第486章）及其监管机构个人资料私隐专员公署（PCPD）共同构成。与其他主要司法辖区不同，香港在数据泄露通报方面的法律框架未设立法定的强制性通报机制。

目前，企业的通报义务主要源于PCPD发布的《资料外泄事故的处理及通报指引》。该指引属于行政建议性质，鼓励资料使用者在发生“相当可能会对资料当事人造成实际损害的风险”的数据泄露事件时，自愿向PCPD及受影响的个人进行通报。

尽管香港政府曾计划修订PDPO以引入强制通报机制，建议将触发点设为“有真实风险会造成重大损害”并设定5个工作日的时限，但截至2025年初，该立法计划因考虑到对中小企业的潜在影响已被暂时搁置。

1.2 执法机制与实践

尽管通报在法律上是自愿的，但PCPD在执法实践中采用“间接处罚”机制。该机制将通报的及时性与企业是否履行其在PDPO下的“保障资料第4原则（DPP4）”相联系。DPP4要求资料使用者必须采取“所有切实可行的步骤，以确保由其持有或控制的个人资料受保障而不受未获准许的或意外的查阅、处理、删除、丧失或使用所影响”。这意味着，尽管没有关于延迟通报的直接处罚机制，但是PCPD基于PDP4而对延迟通报采取执法措施。

在实践中，PCPD的执法逻辑如下：

1) 延迟通报作为违规证据：若企业出现不合理的延迟通报，PCPD会将其视为企业可能缺乏有效事件响应计划的初步证据，从而可能违反DPP4。

2) 启动调查与发出执行通知：基于此证据，PCPD有权对该企业是否全面遵守DPP4展开正式调查。如果调查后裁定企业违反了DPP4，PCPD将向该企业发出具有法律约束力的执行通知，指令企业在规定期限内采取具体的补救措施。

3) 针对不遵守执行通知的刑事处罚：法律风险源于未能遵守执行通知。根据PDPO第50A条，任何资料使用者若无合理辩解而违反执行通知，即属刑事犯罪。首次定罪可处以最高50,000港元的罚款及两年监禁。如果违规行为持续，还可被处以每日1,000港元的额外罚款。

这种执法路径表明，在香港，延迟通报可能触发PCPD对企业整体数据安全治理体系的审查。一旦审查发现问题并发出执行通知，企业若未能整改，将面临刑事后果。在LV数据泄露事件中，该公司在知悉事件超过两周后才向PCPD通报。PCPD随即展开调查，并明确将“事件是否涉及延误通报”作为调查重点之一。这正是因企业延迟通报而导致PCPD基于违反DPP4而发出执行通知。

二、日本

2.1 法律框架

自2022年4月1日起生效的修订版《个人信息保护法》(APPI)确立了强制性的数据泄露报告与通知制度，由个人信息保护委员会(PPC)负责监管。

2.2 执法机制与实践

日本PRC的执法模式以纠正为先。APPI并未为“未能按时通报”或“未能通报”本身设定直接的罚款，而是遵循一个递进的执法程序。

1)指导与建议：当PPC发现企业存在违规行为时，其首要措施通常是向企业提供指导和建议。

2)发出命令：如果企业未能采纳指导和建议，PPC可以发出具有法律约束力的命令。

3)不遵守命令的处罚：当企业未能遵守PPC发出的命令时，才会面临处罚。根据APPI，对于不遵守命令的企业法人，可处以最高1亿日元的罚款。对于负责违规行为的个人，可处以最高1年监禁或100万日元的罚款。

4)虚假报告的处罚：向PPC提交虚假报告是一项独立的违法行为，可被处以最高50万日元的罚款。

截至2025年中期，在PPC公开的执法案例中，未出现专门因“未按时通报数据泄露”而对企业处以罚款的实例。PPC的执法活动记录显示，其工作重点更多地放在通过发出指导、建议和命令来促使企业合规。此外，PPC目前正在进行APPI的立法审查，其中一个议题是考虑引入行政罚款制度（administrative fine system）。如果该制度得以实施，PPC可能被赋予直接对违规行为处以罚款的权力，这将改变日本的合规风险格局。上述机制如何适用于LV集团的数据泄露事件，有待后续进一步观察。

三、韩国

3.1 法律框架

韩国的《个人信息保护法》（PIPA）及其监管机构个人信息保护委员会（PIPC）共同构建了严格的数据泄露通报制度。其核心特征是明确的“72小时通报时限”。(有关72小时规则具体讨论，见以LV韩国客户信息泄露事件为例：聊聊个人信息泄露后的通知怎么写？）

3.2 执法机制与实践

韩国PIPC严格执行程序性规定，延迟通报被认定为独立的违法行为，并且若“未能遵守72小时通报义务”的行为将会导致直接的行政罚款。

下列已公开的处罚案例显示了PIPC对72小时通报时限的严格执行

• Modetour Network案：该公司因数据泄露，在知悉事件后延迟了约两个月才通知客户。PIPC在处罚决定中，除了因安全措施不足处以罚金外，还单独就延迟通报等程序性违规处以了1,020万韩元的行政罚款，并指出“延迟通知也加剧了隐私担忧”。
• TELUS International AI案：该公司因数据泄露事件通知延迟，被PIPC认定“没有正当理由”，被处以总计8,920万韩元的罚款。
• 韩国国家法院管理局案：该单位在知悉数据泄露后数月才进行通报，PIPC依据PIPA第34条的通报规定，对其处以了600万韩元的行政罚款。
• CLASSU Inc.案：该在线教育平台因延迟报告数据泄露，被PIPC处以720万韩元的罚款。

这些案例表明，在韩国，72小时通报时限是一项严格的法律要求。企业在发现潜在泄露时，必须确保在72小时内完成初步的对外通报。而在PIPC针对LVMH集团旗下多个品牌在韩国的数据泄露事件展开调查，其中一个调查焦点是“迟延通报”。具体调查结果暂时还未披露。

四、新加坡

4.1 法律框架

新加坡通过其《个人数据保护法》（PDPA）及2021年2月1日生效的《个人数据保护（数据泄露通报）条例2021》，建立了一套规范化的强制性通报框架。该框架由个人数据保护委员会（PDPC）负责监管。

4.2 执法实践

新加坡模式的特点在于，其在官方发布的《数据保护条款执行咨询指引》中，明确地将通报的及时性与罚款金额直接挂钩。该指引列出了一系列在计算罚款时可能考虑的加重和减轻情节 （针对PDPC如何酌情考虑的讨论，见新加坡数据合规深度解析：跨国企业应对PDPC执法的实践指南）：

• 减轻情节包括：机构“立即采取措施通知受影响的个人”以及“在得知违规后立即自愿通知委员会”。
• 加重情节则包括：机构“未能以有效和迅速的方式积极采取合理步骤与个人解决问题”。

这一机制在PDPC的执法案例中得到了充分体现。例如，在对ShopBack的处罚决定中，PDPC特别指出，该公司在发现其AWS密钥被泄露后，花费了15天才做出响应，这一延迟被视为一个加重因素。这种制度设计为企业提供了清晰的经济激励：迅速、透明的响应和通报可以直接转化为更低的罚款金额。它促使企业不仅要投资于预防措施，更要大力投资于高效的事件响应和危机沟通能力。

此外，PDPA还规定了对个人通报的一项重要豁免：如果组织采取了及时的补救行动，并成功地使数据泄露“不太可能对受影响的个人造成重大损害”，则可以免除对个人的通知义务。因此虽然本次LV事件，并未看到PDPC对此有何公开调查行动，但对于可能遭遇此类事件的其他跨国企业，及时采取有效通知措施有助于其免受加重处罚。

声明：本文来自赛博牛马号，稿件和图片版权均归原作者所有。所涉观点不代表东方安全立场，转载目的在于传递更多信息。如有侵权，请联系rhliu@skdlabs.com，我们将及时按原作者或权利人的意愿予以更正。