蔚来数据泄漏该当何责:专家称如有损害除监管机构的处罚还可能面临民事诉讼|规定

发布日期:2022-12-21 18:45:59

Â安装新Μ浪财经客户端第一时间接收最全面的市场资讯→【下⇒载地址】

21世纪经济੨报道记者ઠ ♩郑植文 上海报道

12月20日,有不法分子宣称Ñ破解包含蔚来内部员工数据、车主用户身份证数据、用户地址信息、车主贷·款૮数据等在内的大量蔚来内部数据,并明码标价出售。

随后,蔚来☺首席信息安全科学家卢龙在蔚来官方APP上发布公告ⓤ证实此前收到关于窃取数据的勒索邮件,并称公司当即成立专☜项小组进行调查与应对,并第一时间向有关监管部门报告此事件。同时表示,蔚来对于此次事件对用户造成的影响深表歉意,并郑重承诺,对因本次事件给用户造成的损失承担责任。

12月20日晚间,蔚来创始人、董事长兼CEO李斌也在蔚来APP社区就用户数据泄露一事发文致歉。那么蔚来在数据ઝ泄漏事件中该承担什么样的责任?车企该如何应对勒索?以及在汽ⓖ车智能化的趋势下如何保障汽ω车数据安全?21世纪经济报道记者就上述问题采访了上海交通大学数据法律研究中心执行主任何渊,以下为采访实录:

上海交通大学数据Ο法律研究Ï中心☺执行主任

Χ

<何渊

⇒1、蔚来对用户数据∴泄漏需要负具体什么样的责任,应如੧何量化?

经初步调查,蔚来被窃取数据为2021年8月之前的部分用户基本信息和车辆&#256f;销售信息。这主要涉及的是个人信息,因此,作为个人信息处理者的蔚来首先要履行的是&#25bd;数据泄露事件中的法定义务,即应当立即采取补救措施,并通知监管机构和被泄露个人信息的Å用户

通知应当包括下列事项:(一)发生或者⊄可能发生个人信息泄露、篡改、丢失的信息种α类、原因和可能造成的危害;(二)个人信息处理者∉采取的补救措施和个人可以采取的减轻危害的措施;(三)个人信息处理者的联系方式。

一旦意识到数据Ω泄露情形,企业不仅应设法控制事态,还应评估数据泄露可能导致的风险。在评估数据泄露给个人带来的风险时,控制者应考虑数据泄露的具体情况,包括&#25bd;潜在影响的严重程度和发生这种情况的可能性。具体应考虑下列内容:(一)数据泄露的类型(二)个人信息的性质、敏感程度和数量(三)个人识别的难易程度(四)对个人影响的严重程度(五)用户的特征(六)企‌业的特征(七)受影响主体的数量。

根据数据安全法45条的规定,企业开展数据处理活੏动的组织、个人不履行本法规定的数据安全保护义务,造成大量数据泄露等严重后果的,处五十万元以上二百万੠元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责"的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。

因为涉及个人信息的泄露,也ⓢ可以同时适用个人信息保护法的规定,适用∃的是个保法第66条,具体要结合▣相关案情来判断。

2、怎么样才算合法通知被泄漏个人信息的用户?您判▣断未来此઺૩次的泄漏是否也是有一些数据收集上的不规范?

个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害૧的,个人信息处理者可以不通知个人;履行个⇑人信息保护职责的部门认为可能造成危害的,有权要求个人信息处理者通知个人。但我觉得蔚来不符合这一条,还是需要告知用户的。像在蔚来社区发布统一的公告不算,要一一通知比如说发邮件ઠ或打电话除了监管机构的处罚以外,如果数据泄露造成损害,可能还会面临用户提起的民事诉讼,以及可能的民事赔偿。

收集是否规范੠,目前看不出⊇ì来,需要看证据以及等待监管机构的调查。

3、如果涉及用户诉讼,也需要用户提供受到损失的证据ⓝ对ਯ吗?如Í何证明因果关系?

对,要有实质性损害,比如接了诈骗电话后真被骗了,否则可能只是赔礼道歉,得不到实质↵性的物质赔偿。我国个保法没有美国法意义上的法定赔偿。这在庞理鹏诉东方航™空、去哪儿案中已经出ਫ਼现了,这个案件也是由数据泄露引起的。至于因果关系,庞理鹏案件法院用了高度盖然性,个保法上也有过错推定规则。

4、随着汽车智能化的⋅趋势,汽车数据安全应≡该如何保障?

这集中规定在《汽车数Ι据安全管理若干规定(试行)》,《规定》明确了汽车数据处理者的一般义务:一是处理汽车数据应当合法、正当、具体、明确,与汽车的设计、生产、销售ⓚ、使用、运维等直接相关。二是利用互联网等信息网络开展汽车数据ⓔ处理活动,应当落实网络安全等级保护等制度,加强汽车数据保护,依法履行数据安全义务。

《规定》倡导汽车数据处理者在开展汽车数据处理活动中坚持“车内处理”、“默认不收集”、“精度范围适用”、“脱敏处理”等原则,减少对汽车数据的无序收集和违规滥用,鼓励汽车数据依法合理有઼效利用,实现个人∫信息权利保护和产业发展的平੩衡。

《规定》还明确了处理个人信息、敏੥感个人信息的具体¾要求。如履ਠ行告知义务、征得同意义务以及满足匿名化要求。

《规定》还强⊇调,汽车数据处࠽理者开展重要数据处理活动,应当遵守依法>在境内存储的规定。

5、全球也有发&#25bd;生过类¤似的勒索案例,但对于车企来说,数据安全有时候甚至关系着生命安全,但黑客的目标是金钱,对此什么样的解决方式更为妥善?

关于黑客勒索૮的问题,关键在于防患于未然,企业务必切实履行个保法、数安法及《汽车数据安全管理若干规定(试行)》的各项法定义务,æ以保护个人信息和数据安全为底线和红线。一旦发生了数据泄露事件,同样要切实履行相关的法定义务,把相关的ા损害减少到最小。

&#260f;

(作Å者:郑植文¡ 编辑:张明艳)

2é¹4小时滚动播报最新的财经资讯和视频,更多粉丝福利扫描二维码关注઼(sinafinance)

新浪财经&#266c;意见ਮ反馈留&言板

All Rights ReservΥed 新浪公司 ઻版权ô所有

关于 财经

发表评论

邮箱地址不会被公开。 必填项已用*标注