作者:admin 发布时间:2022-12-21 18:40:05 分类:头条 浏览:329 评论:0
21世纪经济报道记者 郑植文 上海报道
12月20日,有不法分子宣称破解包含蔚来内部员工数据、车主用户身份证数据、用户地址信息、车主贷款数据等在内的大量蔚来内部数据,并明码标价出售。
随后,蔚来首席信息安全科学家卢龙在蔚来官方APP上发布公告证实此前收到关于窃取数据的勒索邮件,并称公司当即成立专项小组进行调查与应对,并第一时间向有关监管部门报告此事件。同时表示,蔚来对于此次事件对用户造成的影响深表歉意,并郑重承诺,对因本次事件给用户造成的损失承担责任。
12月20日晚间,蔚来创始人、董事长兼CEO李斌也在蔚来APP社区就用户数据泄露一事发文致歉。那么蔚来在数据泄漏事件中该承担什么样的责任?车企该如何应对勒索?以及在汽车智能化的趋势下如何保障汽车数据安全?21世纪经济报道记者就上述问题采访了上海交通大学数据法律研究中心执行主任何渊,以下为采访实录:
上海交通大学数据法律研究中心执行主任
何渊
1、蔚来对用户数据泄漏需要负具体什么样的责任,应如何量化?
经初步调查,蔚来被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。这主要涉及的是个人信息,因此,作为个人信息处理者的蔚来首先要履行的是数据泄露事件中的法定义务,即应当立即采取补救措施,并通知监管机构和被泄露个人信息的用户。
通知应当包括下列事项:(一)发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;(二)个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施;(三)个人信息处理者的联系方式。
一旦意识到数据泄露情形,企业不仅应设法控制事态,还应评估数据泄露可能导致的风险。在评估数据泄露给个人带来的风险时,控制者应考虑数据泄露的具体情况,包括潜在影响的严重程度和发生这种情况的可能性。具体应考虑下列内容:(一)数据泄露的类型(二)个人信息的性质、敏感程度和数量(三)个人识别的难易程度(四)对个人影响的严重程度(五)用户的特征(六)企业的特征(七)受影响主体的数量。
根据数据安全法45条的规定,企业开展数据处理活动的组织、个人不履行本法规定的数据安全保护义务,造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
因为涉及个人信息的泄露,也可以同时适用个人信息保护法的规定,适用的是个保法第66条,具体要结合相关案情来判断。
2、怎么样才算合法通知被泄漏个人信息的用户?您判断未来此次的泄漏是否也是有一些数据收集上的不规范?
个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人;履行个人信息保护职责的部门认为可能造成危害的,有权要求个人信息处理者通知个人。但我觉得蔚来不符合这一条,还是需要告知用户的。像在蔚来社区发布统一的公告不算,要一一通知比如说发邮件或打电话。除了监管机构的处罚以外,如果数据泄露造成损害,可能还会面临用户提起的民事诉讼,以及可能的民事赔偿。
收集是否规范,目前看不出来,需要看证据以及等待监管机构的调查。
3、如果涉及用户诉讼,也需要用户提供受到损失的证据对吗?如何证明因果关系?
对,要有实质性损害,比如接了诈骗电话后真被骗了,否则可能只是赔礼道歉,得不到实质性的物质赔偿。我国个保法没有美国法意义上的法定赔偿。这在庞理鹏诉东方航空、去哪儿案中已经出现了,这个案件也是由数据泄露引起的。至于因果关系,庞理鹏案件法院用了高度盖然性,个保法上也有过错推定规则。
4、随着汽车智能化的趋势,汽车数据安全应该如何保障?
这集中规定在《汽车数据安全管理若干规定(试行)》,《规定》明确了汽车数据处理者的一般义务:一是处理汽车数据应当合法、正当、具体、明确,与汽车的设计、生产、销售、使用、运维等直接相关。二是利用互联网等信息网络开展汽车数据处理活动,应当落实网络安全等级保护等制度,加强汽车数据保护,依法履行数据安全义务。
《规定》倡导汽车数据处理者在开展汽车数据处理活动中坚持“车内处理”、“默认不收集”、“精度范围适用”、“脱敏处理”等原则,减少对汽车数据的无序收集和违规滥用,鼓励汽车数据依法合理有效利用,实现个人信息权利保护和产业发展的平衡。
《规定》还明确了处理个人信息、敏感个人信息的具体要求。如履行告知义务、征得同意义务以及满足匿名化要求。
《规定》还强调,汽车数据处理者开展重要数据处理活动,应当遵守依法在境内存储的规定。
5、全球也有发生过类似的勒索案例,但对于车企来说,数据安全有时候甚至关系着生命安全,但黑客的目标是金钱,对此什么样的解决方式更为妥善?
关于黑客勒索的问题,关键在于防患于未然,企业务必切实履行个保法、数安法及《汽车数据安全管理若干规定(试行)》的各项法定义务,以保护个人信息和数据安全为底线和红线。一旦发生了数据泄露事件,同样要切实履行相关的法定义务,把相关的损害减少到最小。
(作者:郑植文 编辑:张明艳)