数据泄露事件的行政罚款额度及适用情形？

数据泄露事件的行政罚款主要依据《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》等规定，分“一般情形”“情节严重情形”两档及对应适用场景：

一是一般违法情形：个人信息处理者或数据处理者未履行安全保护义务（如未制定安全管理制度、未采取加密/去标识化等技术措施、未定期安全评估）导致数据泄露的，监管部门先责令改正、警告、没收违法所得；拒不改正的，《个保法》处100万元以下罚款，《数据安全法》处50万元以下罚款。

二是情节严重情形：若泄露涉及敏感个人信息（生物识别、医疗健康、金融账户等）、泄露数量大（如超10万条个人信息）、造成严重后果（用户遭遇诈骗致重大财产损失、人身安全受威胁）或多次泄露、拒不配合监管调查等，《个保法》处5000万元以下或上一年度营业额5%以下罚款，可责令暂停业务、停业整顿或吊销证照，对直接责任人员处10万-100万元罚款；《数据安全法》处200万-1000万元罚款，对直接责任人员处5万-50万元罚款。

此外，泄露后未及时补救、未报告也会加重处罚，核心是根据“未履行义务的程度”“泄露的危害性”“整改态度”判定罚款额度。

摘自《可信数据空间合规100问》