数据泄露就像一颗隐藏的定时炸弹，企业早晚都会遇到。它可能来自外部的黑客攻击，也可能来自内部的员工外泄。数据泄露不仅会对客户和企业自身带来严重的负面影响，还可能招致监管机构开出的巨额罚单。英国航空公司在不久前就不幸中招。

根据GDPR第32条，企业应当考虑技术发展水平、实施成本、数据处理的性质、范围、内容和目的以及对自然人权利与自由带来风险的可能性与严重性等因素，采取与风险程度相适应的技术和组织措施以确保数据安全。GDPR第83条规定了行政处罚的条件，数据监管机构在决定是否施以罚款以及罚款金额时应当考虑违法的性质、严重性与持续时间、基于故意还是过失、企业为减少数据主体损失而采取的行动、与监管机构的合作程度、监管机构获知违法行为的方式等因素，而罚款金额最高可达2000万欧元或企业上一年度全球营业收入的4%，两者取其高。ICO调查发现英航的数据安全措施很不充分，但其在事件发生后配合了ICO的调查并就数据安全采取了整改措施，ICO拟施加的2.3亿美元罚款达到了英航上一年度全球营业收入的1.5%。

企业首先应当从所收集、存储、使用的数据角度出发，考量涉及个人信息的敏感性和保密性以及一旦泄露对个人信息主体可能造成的影响与损害，评估存在的安全风险。根据安全风险评估，在组织措施方面企业应当制定信息安全与数据保护相关内部政策和流程，任命网络安全负责人，确定相关团队应承担的安全职责。在技术措施方面，企业应当做好访问控制、防火墙建设、数据分类、数据备份、剩余信息保护等，并建立安全事件识别和防御的能力。企业还应当定期检查实施的组织和技术措施，根据技术和行业等的发展情况适时更新与调整。 

针对系统漏洞、计算机病毒、网络攻击、网络入侵等安全风险，以及数据泄露、数据未经授权访问等安全事件，企业应当制定应急预案，以在发生安全事件时立即启动，并及时采取补救措施。应急预案应当尽量覆盖可能发生的安全事件，制定适当的应对方案，包括内部上报机制、原因调查、补救措施、数据恢复、影响分析、上报监管机构、通知受影响的个人信息主体等内容。企业可以通过内部员工或团队或聘请外部专家来建设应对安全事件的能力。

在制定应急预案之后，企业还应当定期进行应急演练，以确保在真实的数据安全事件发生时可以有条不紊地应对，同时试验应急预案的可用性。应急演练是安全能力长期建设中的重要环节，不应流于形式，演练的颗粒度应细化至起草上报监管机构和通知受影响的个人信息主体的文本内容的程度。除了一般性的信息安全意识培训外，还应当培训员工如何识别、上报、管理和解决数据泄露等安全事件，确保员工知晓如何发现以及在发现后如何处理此类事件。 

由于多数企业均会使用外部供应商提供数据处理等服务，企业的数据安全义务也应当延伸到使用的第三方供应商上。企业可以要求供应商提供数据安全能力证明（例如ISO27001），通过在与第三方供应商和数据处理者的书面协议中加入强制性的数据保护条款，要求定期对第三方的安全措施和能力进行审计，以确保第三方供应商具有必需的数据安全能力。

根据GDPR和《网安法》的要求，企业在安全事件发生后应注意采取如下应对措施：

在发现安全事件后，企业应按照应急预案部署事件处理团队，立即调查数据泄露的原因，识别涉及的数据类型和数量以及数据的敏感程度，确定受影响的个人信息主体的范围，分析所涉数据是否已加密、防控措施是否有效抵御了攻击等，据此评估对个人信息主体的权利和自由的影响程度以及其他可能造成的后果。同时，企业应当立即保护网络系统，修复可能造成数据泄露的漏洞，并防止数据进一步泄露，例如封锁环境、限制访问、监控出入点、关闭受影响的设备、更改秘钥等。在此过程中，企业可以聘请外部法律和技术团队协助电子数据取证并留存证据，以备后续可能发生的调查和争议。 

根据对安全事件的影响与风险的评估以及相关法律法规要求，确定企业是否需要上报监管机构、是否需要通知受影响的个人信息主体。如有必要，企业应迅速确定如下内容：（1）此次安全事件是否受域外法律管辖，且所涉域外法律是否有特殊规定；（2）上报哪个/哪些监管机构，是否包括域外的监管机构；（3）需要通知的数据主体的范围以及通知的方式；（4）上报的内容以及通知的内容。在确定上述内容后，及时根据相关法律法规要求进行上报和通知。 

无论安全事件是否需要上报监管机关或通知受影响的自然人，企业都应当做好安全事件的记录。如果企业根据评估决定不上报和通知，企业应当记录评估的分析过程与结果。企业还应当留存安全事件有关的事实、事件起因、相关影响以及采取的补救措施的相关记录，且相关网络日志至少要留存六个月的时间。这不仅是法律法规的要求，在监管机构介入并可能定性和判罚时，也将成为判罚的重要参考依据。