加州《数据泄露：客户通知法案》正式生效

2026 年1月1日，《数据泄露：客户通知法案》（Data breaches: customer notification，Senate Bill No. 446，简称“SB 446”）正式生效。该法案于2025年2月18日提交加利福尼亚州参议院，并于2025年10月3日由加利福尼亚州州长签署生效。

一、立法背景与制度定位

SB 446是加利福尼亚州在既有数据泄露通知制度基础上的一次关键性“刚性化”修订。在该法案通过之前，《加州民法典》第 1798.82 条对数据泄露通知的时间要求采用的是“在最迅速可行的时间内、且不得无理延迟”（in the most expedient time possible and without unreasonable delay）这一弹性标准。这一表述在实践中为企业留下了较大的合规裁量空间，也导致执法与司法层面对“是否迟延”“是否合理”的认定高度依赖个案判断。

SB 446由州参议员 Melissa Hurtado 提出，于 2025年10月3日经州长签署，并于 2026 年 1 月 1 日正式生效，核心目标在于：以明确的法定期限替代抽象的合理性判断，从而强化数据泄露事件中的消费者知情权与监管机关的前置介入能力。该法案并未重构加州数据保护制度的整体框架，而是通过精准修改单一条款的方式，对企业合规义务的“时间维度”进行制度性收紧。

二、数据泄露通知义务从“合理时间”到“确定期限”的转变

SB 446 最核心的制度变化，在于将原本不确定的通知时点义务转化为明确的 30 日法定期限。根据修订后的第 1798.82(a)(2)(A) 款，个人或企业在“发现数据泄露或被告知数据泄露”之后，原则上必须在 30 个自然日内向受影响的加州居民发出通知。

这一修改在规范逻辑上具有重要意义。首先，立法者明确采用“discovery or notification”作为起算点，防止企业通过内部调查流程延后“确认”时间来规避义务。其次，“calendar days”而非“business days”的表述，进一步压缩了合规缓冲空间。再次，这一刚性期限在加州数据保护体系中属于少见的明确数值要求，显示出立法机关对数据泄露风险社会外部性的高度重视。

需要注意的是，SB 446 并未否定原有制度中对复杂现实情况的考量。根据第 1798.82(a)(2)(B) 款，若出于执法机关的正当需要，或为查明泄露范围、恢复系统完整性所必需，企业仍可合理延迟通知。这意味着30 日并非绝对不可突破的上限，而是默认规则下的强制基准线。

三、执法调查与系统修复作为例外的制度边界

在数据泄露事件中，通知义务与刑事调查、技术修复之间往往存在现实冲突。SB 446 延续并细化了原有第 1798.82(c) 款关于执法例外的设计，即：只有在执法机关明确认定通知行为将妨碍刑事调查时，企业方可延迟通知，且一旦妨碍风险消除，通知义务即应“promptly”履行。

这一机制的制度含义在于，将是否延迟通知的判断权，从企业的单方评估，转移至执法机关的明确意见之上，从而防止企业以“潜在调查需要”为由进行无限期拖延。同时，法条并未赋予执法机关“永久冻结”通知的权力，而是强调调查阶段性结束后的即时恢复义务，体现出对消费者知情权的优先保障。

四、对“数据泄露”概念的继续沿用与实质扩展

SB 446 在“数据泄露”定义上，并未引入全新概念，而是沿用并巩固了既有框架。根据修订后的第 1798.82(g) 款，“系统安全泄露”是指未经授权获取计算机化数据，并且该行为损害了个人信息的安全性、保密性或完整性。

值得注意的是，立法文本继续明确区分了“恶意泄露”与“善意获取”。即便员工或代理人在履行职务过程中接触个人信息，只要该信息未被进一步未经授权使用或披露，仍不构成法律意义上的数据泄露。这一设计在防止制度过度扩张、避免将内部合规瑕疵一概等同于安全事件方面，具有重要的制度平衡意义。

五、向加州总检察长报送义务的时间压缩与监管前移

SB 446 的第二项关键修改，是对监管机关报送机制的时间维度重塑。根据修订后的第 1798.82(f) 款，当单一数据泄露事件影响超过 500 名加州居民时，企业必须在向消费者发出通知后的 15 个自然日内，向California Attorney General提交一份不含个人身份信息的通知样本。

在原有制度下，法律仅要求“提交”，但并未明确时间节点。SB 446 通过设定 15 日期限，显著提前了监管部门获取案件信息的时间点，使其能够在舆情扩散、集体诉讼或系统性风险扩大之前介入。这一机制在功能上，已经超越单纯的信息备案，而更接近一种早期监管预警制度。

六、消费者通知内容与形式规范的延续适用

需要强调的是，SB 446 并未改变第 1798.82(d) 款中关于通知内容与形式的详细要求。企业仍需使用清晰标题“Notice of Data Breach”，并按照“发生了什么”“涉及哪些信息”“企业采取了什么措施”“消费者可以做什么”“进一步信息渠道”等结构化栏目进行说明。

这意味着，新法强化的是“什么时候通知”，而不是“如何通知”。但在实践中，时间压缩与内容规范之间将形成新的合规张力：企业需要在更短时间内完成事实核查、风险评估、文案准备与多渠道发送，这对内部应急响应与法务协同能力提出了更高要求。

七、对企业合规体系与风险治理的整体影响

从制度效果上看，SB 446 将数据泄露从“事件驱动型合规问题”进一步推向“时间敏感型合规义务”。企业若无法证明其延迟行为符合执法或系统修复的例外条件，将更容易被认定为当然违法。这一变化不仅影响行政执法风险，也可能在民事诉讼中被用作认定企业注意义务违反的重要依据。

更为重要的是，该法案释放出一个清晰信号：在加州立法者看来，数据泄露的社会风险已高于企业对信息不完整性的合规顾虑。在这一逻辑下，及时告知与监管可见性，被置于信息完全性之前。

八、制度趋势与比较法意义

将SB 446置于全球比较法语境中，可以发现其制度走向与欧盟 GDPR 第 33 条、34 条所确立的72小时通知监管机关、及时通知数据主体的逻辑一脉相承，但在具体设计上更强调可操作性与执法可预期性。通过设定 30 日与 15 日两个明确时间节点，加州在美国各州中进一步巩固了其“数据保护高标准司法辖区”的地位。

从更宏观的角度看，SB 446 并非单一事件，而是加州在 CCPA、CPRA 之后，对数据治理制度持续“技术性加固”的一环，其真正影响，将体现在企业内部合规流程、保险机制、事件响应预案乃至数据最小化策略的系统性调整之中。

声明：本文来自清华大学智能法治研究院，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。