蔚来数据泄漏该当何责:专家称如有损害除监管机构的处罚还可能面临民事诉讼|规定_新浪科技_新浪网

发布日期:2022-12-23 14:30:21

2੏1ਗ਼੟世纪经济报道记者 郑植文 上海报道

12月20日,ੈ有不法分子宣称破解包含蔚来内部员工数据、车主用户身份证数据、用户地址信息、车主贷款数据等在内的大量蔚来内❄部数据,并明ø码标价出售。

随后,蔚来首席信息ⓥ安全科学家卢龙在蔚来官方APP上发布公告证实此前收到关于窃取数据的勒索邮件,并称公司当即成立专项小组进é行调查与▨应对,并第一时间向有关监管部门报告此事件。同时表示,蔚来对于此次事件对用户造成的影响深表歉意,并郑重承诺,对因本次事件给用户造成的损失承担责任。

12月20日晚间,蔚来创始人、董事长兼CEO李斌也在蔚来APP社区就用户数据泄露一事发文致歉。那么蔚来在数据泄漏事件中该­承担什么样的责任?车企该如何应对勒索?以及在汽车智能化的趋势下如何保障汽车数据安全?ⓤ21世纪经济报道记者就上述问题采访了上海交通大学数据法律研究中心执行主任何渊,以下为采访ી实录:

上海交通大学数&#ffe0 ;据法ਨ律研究&#256f;中心执行主任

‍何¥渊

1、蔚来对用户数据泄漏需要负≠具体什么样ƿ的责任,应如何量化?®

经初步调查,蔚来被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。这主要涉及的是个人信息,因此,作为个人信息处理者的蔚来首ૡ先要履行的是数ⓖ据泄露事件中的法定义务,即应当立即采取补救措施,并通知监管机构ⓙ和被泄露个人信息的用户

通知应当包括下列事项:(一)发生或◈者☜可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;(二)个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施;(三)个人信&#260f;息处理者的联系方式。

一旦意识到数据泄露情形,企业不仅应设法控制事态,还应评估数据泄露可能导致的ⓠ风险。在评估数据泄露给个人带来的风险ੌ时,控制者应考虑数据泄露的具体情况,包括潜在影响的严重程度和发生这种情况的可能性。具体应考虑下列内ળ容:(一)数据泄露的类型(二)个人信息的性质、敏感程度和数量(三)个人识别的难易程度(四)对个人影响的严重程度(五)用户的特征(六)企业的特征(七)受影响主体的数量。

根据数据安全法45条的规定,企业开展数据处理活િ动的组织、个人不履行本法规定的数据安全保护义务,造成大量数据泄露Τ等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、&#263a;停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。

因为涉及个人信息的泄露,也可以同时适▨用个人信息保护法的规定,适用的是个保法છ第66条,具体要结合相关ⓨ案情来判断。

2、怎么样才算合法通知被泄漏个人信息的Ǝ用ρ户?您判断未来此次的泄漏是否也是有一些数据收集Σ上的不规范?

个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人;履行个人信息保护职责的部门认为可能造成危害的,有权要求个人信息处理者通知个人。但我觉得蔚来不符合这一条,还是需要告知用户的。像在蔚来社区发布统â一的公告不算,要一一通知比如说发邮件或打电话除了监管机构的处罚以外,如果数据泄ä露造ⓕ成损害,可能还会面临用户提起的民事诉讼,以及可能的民事赔偿。

੓收集是否规范∂,目前看不出来,需要看证≈据以及等待监管机构的调查。

3、如果涉及用户诉讼,也需要用户提供受²到损失的证据对吗੍?如何证明因果关系?ξ

对,要有实质性损害,比如接了诈骗电话后真被骗了,否则可能只是赔礼道歉,得不到实质性的物质赔偿。我国个保法没有美国法意义上的法定赔偿。࠷这在庞理鹏诉东方航空、去哪儿案中已经出现了,这个案件也是由数据泄露引起的。至于因果关系,庞理鹏案件法院用了高度盖然性,个保法上也有过错推定规Þ则。Ý

4、随着汽车੩≈智能化的趋势,汽车数据安ⓒ全应该如何保障?

这集中规定在《汽车数据安ⓔ全管理若干规定(试行)》,‎《规定》明确了汽车数据处理者的一般义务:一是处理汽车数据应当合法、正当、具体、明确,与汽车的设计、生产、销售、使用、运维等直接相关。二是利用互联网等信息网络开展汽车数据处理活动,应当落实网络安全等级保护等制度,加⊕强汽车数据保护,依法履行数据安全义务。

《规定》倡导汽车数Ê据处理者在开展汽车数据处理活动中坚持“车内处理”、“默认不收集”、∩“精度范围适用”、“脱敏处理”Ë等原则,减少对汽车数据的无序收集和违规滥用,鼓励汽车数据依法合理有效利用,实现个人信息权利保护和产业发展的平衡。

《规定》还明确了处理个人信息、☼敏感个人信息的具体要求。如履行告知义务੐、征得同意义务ⓨ以及满足匿名化要求。

《规定》还强调,汽车数据处理者开展重要数据处理活૯动,应当遵ਫ守依法在境内存储的规定。∞

5、全球也有发生过类似的ી勒索案例,但对于车企来说,数据安全有时候甚至关系着生命安全,但黑客的目标是金钱,对此∠什么样的解决方式更Φ为妥善?

关于黑客勒索的问题,关键在于防患于未然,企业务必切实履行个保法、数૮安法及《汽车数据安全管理若Κ干规定(试行)》的各项法定义务,以保护个人信息和数据安全为底线和红线。一旦发生了数据泄露事件,同样要切实履行相关的法定义务,把相关的损害减少Ν到最小。

“掌”握科技鲜闻 (&微信搜索techsina或扫描左侧二维码关≥注)&#25bc;

Τ

新浪੍科ß技

新浪科技为你带Β来Ε最Ò新鲜的科技资讯

‎&#263e;

苹果汇&#266a;

ળ苹果◊汇为你带¬来最新鲜的苹果产品新闻

⊇新Ó浪众测∧

∴新酷产品第一时Θ间મ免费试玩

"

新∴浪€探索

提供最新的科学家新闻,精ࢮ彩的震▤撼图片઱

新浪科技意见反馈 留言板

All Rˆights Reserved 新•浪公司 版权所ς有

关于 财经

发表评论

邮箱地址不会被公开。 必填项已用*标注