煮酒言规 | 第172期 | 身份验证到底是不是委托处理

-问： 数据泄漏 通知用户和监管，有先后要求么？

-答1： 一般先报监管。

-答2： 按上报时间线，应该先通知监管。 估计量不到， 但是实际，不走上报线，但是应该同步。 因为触发重特大的情况，还有舆情。

-追问： 好奇问一句，传到境外系统的pi在境外泄露，境内报不报？

-答3： 报，我们报过了。 也是境内的个人信息， 不然给你上暗网了，你也讲不清楚。 监管要的是情报，不是处罚企业。 线索多才能抓黑客，不报可能有不利后果。

-答4： 不报啊，后续都没法处置。

-答5： 感觉要报的 但报不报 也看公司了。 报了 肯定有声誉风险 不报 万一媒体宣传 被追过来。

-答6： 数据泄露报送中国监管之后会被要求做啥实质性的事情吗。

-答7： 没有啥不利后果，企业内部有可能没有动力报。 不用啥线索，很多都是黑客直接勒索信发了， 才知道泄漏了。

-答8： 报了，不接收和不报是两个态度。 不知道哪个公司会成为第一个中国数据泄露集体诉讼的被告，我本来以为会是某个被处罚了好多钱的出行平台。

-答9： 如果不主动上报，感觉很难发现是由哪个主体什么原因泄露的。

总结：报了有舆情，不报可能有处罚，横竖都是死。