我国《个人信息保护法》第57条首次确立了个人信息泄露通知制度,规定了个人信息处理者在发生信息泄露后向有关部门与个人履行通知的义务.个人信息的泄露往往给个人信息主体带来持续性、衍生性的危害,涉及人身、财产安全以及精神损害等方面,故而及时有效的泄露通知能够更好地保护个人信息权益.在涉及履行个人信息泄露通知的义务上,处理者被赋予了一定的自由裁量空间,即采取措施能够有效避免相关危害的,可以不通知个人.基于此,该自由裁量主要存在两个挑战:一是损害了泄露通知引发的声誉制裁有效性,企业在预见到泄露通知带来的巨大商业风险与社会责任时,往往选择内部"消化"处理已经发生的泄露事件,破坏声誉制裁的运行机制;二是个人信息处理者与行政机关之间的信息不对称以及基于显性监管指标的"规制捕获",导致企业以最容易实现合法外观的方式来满足监管要求,降低合规成本.关于如何规制该制度的自由裁量空间以及如何构建监管部门与商业组织之间协调机制的讨论并未停止.妥当地规制"自由裁量"空间,是个人信息泄露通知制度有效运行的关键.通过借鉴欧美等国个人信息泄露通知制度中关于触发标准、阈值分布等方面令人瞩目的立法政策,基于行政法中第三方义务理论框架分析了企业声誉制裁体系及其正当性基础和自由裁量的适用条件;同时,从戴维斯提出的"结构化自由裁量"角度切入,提出我国个人信息泄露通知制度在细化完善方面应当注重自由裁量的常态化监督,持续性介入个人信息处理者在自由裁量方面的审核;在泄露通知方式上采取双层化处理,即原则上发现信息泄露应当立即通知监管机构,而对于个人信息主体的通知设定较高触发阈值;在显性监管指标方面进行协同性弱化,主要职责部门在收到自由裁量决定后与其他相关部门协同审查,弱化显性监管指标概念;在泄露通知有效性方面,强化通知的具体内容设计以及发送通知的方式,严格规范泄露通知所能包含内容的范围,禁止任何商业推广危害通知的可阅读性.