据媒体报道,近日网络上有人声称已经破解蔚来汽车大量数据并进行出售,其中包括蔚来汽车内部员工数据22800条、车主用户身份证数据399000条、用户地址数据650000条、车主贷款数据170000条等。随后,蔚来汽车首席信息安全科学家、信息安全委员会负责人卢龙在蔚来汽车官方社区发布《关于数据安全事件的声明》(以下简称《声明》),称2022年12月11日,蔚来汽车收到外部邮件,声称拥有蔚来汽车内部数据,并以泄露数据勒索225万美元等额比特币。
在收到勒索邮件后,公司当天即成立专项小组进行调查与应对,并第一时间向有关监管部门报告此事件。经初步调查被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。此外,《声明》中蔚来汽车还表达了对于用户的歉意并愿意承担用户的损失。
一、个人信息泄露界定
个人信息泄露,也称“个人数据泄露”。我国《个人信息保护法》并未对“个人信息泄露”的概念作出明确界定。欧盟《一般数据保护条例》第4条第12款则将个人数据泄露定义为“违反安全所导致的意外的或非法的销毁、丢失、篡改、未经授权的披露或取得被传输、存储或以其他方式处理的个人数据”。而在我国,《个人信息保护法》《民法典》将个人信息的“泄露”与“篡改”“丢失”相并列,因此我国的个人信息泄露不包括个人信息被篡改和丢失,而仅指个人信息处理者因违反安全措施导致他人未经授权取得或知悉个人信息的情形。[1]个人信息泄露的原因多种多样,包括黑客入侵、数据库配置错误、企业人员非授权访问、第三方维护人员错误操作、“内鬼”主动泄露等。[2]
二、个人信息泄露法律责任
(一)个人信息处理者的法律责任
根据《个人信息保护法》第七章的规定,违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,或处理个人信息侵害个人信息权益造成损害,个人信息处理者及其直接负责的主管人员和其他直接责任人员应当承担相应责任。
1. 民事责任
(1)过错推定的损害赔偿责任
《个人信息保护法》第69条规定,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。根据该条款,个人信息泄露后造成个人信息权益损害的,个人信息处理者不能举证证明自己没有过错的,就应当承担损害赔偿的侵权责任。
(2)公益诉讼风险
《个人信息保护法》第70条规定,个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。根据该条款,个人信息泄露后个人信息处理者可能面临公益诉讼的风险。
2.行政责任
根据《个人信息保护法》第66、68、71条的规定,履行个人信息保护职责的部门可对未尽个人信息保护义务的个人信息处理者责令改正,给予警告,没收违法所得,情节严重的,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
3.刑事责任
若个人信息处理者或其直接负责的主管人员和其他直接责任人员构成侵犯公民个人信息、危害国家安全、泄露国家秘密等相关犯罪的,应依法定罪量刑。
(二)入侵黑客的法律责任
如属于黑客入侵网站获取海量公民个人信息,根据《刑法》第285条,则行为人涉嫌非法获取计算机信息系统数据罪。后行为人又将海量信息放在网上售卖,根据《刑法》第253条之一,涉嫌侵犯公民个人信息罪。这些个人信息经贩卖至境外后,还可能滋生出网络电信诈骗、网络盗窃、敲诈勒索、绑架等下游犯罪,严重侵犯公民人身和财产安全。
三、合规建议
一旦发生个人信息泄露事件,作为数据处理者的企业应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。更为重要的是,企业应当按照《个人信息保护法》《数据安全法》《网络安全法》等法律法规的相关规定,从制度层面、技术层面以及管理层面建立完善的个人信息保护体制机制防止个人信息泄露事件的发生;作为信息泄露受害者的个人,可以依法提起诉讼追究侵害自己个人信息权益主体的民事责任,维护自己的合法权益;如果个人信息泄露事件造成众多个人信息权益受到损害,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起公益诉讼。
——英航“42万客户及员工信息泄露”事件回顾
2018年9月,英国航空公司披露,其安全系统遭到破坏,42万名客户和员工的个人信息遭到泄露,具体包括姓名、银行卡号、地址等。2020年10月16日,英国信息专员办公室(ICO)正式发布处罚通知,认为英国航空未能保护超40万客户的个人信息及财务信息,结合英航的书面陈述材料和新型冠状病毒疫情对其经济状况的影响,最终宣布根据欧盟《通用数据保护条例》对英国航空处以2000万英镑(约1.7亿人民币)的罚款。ICO信息专员伊丽莎白·丹巴称,这是我们迄今为止最大的一笔罚款。
此外,律师事务所PGMBM(PGMBM团队是法院指定的代表数据泄露受害者一方的牵头律师)在2021年1月份一份声明中称,2018年英航数据泄露索赔已成为英国历史上最大的个人信息索赔集体诉讼,超过16000名受害者向英航寻求索赔。我们预计每名受害者的赔偿最高可能达到2000英镑,英航整体需承担的赔偿金额可能在8亿英镑左右。21年7月份,PGMBM发布声明表示,与英国航空公司的诉讼已在保密条款下得到解决。由于是保密条款,具体的赔偿金额以及得到赔偿的人数暂未可知。
参考文献:
[1]程啸:《个人信息保护法理解与适用》,中国法制出版社2021年版,第435-436页。
[2]杨婕:《解析我国规制个人信息泄露问题的法律路径》,载《信息通信技术与政策》2021年第9期,第66页。
策略数据合规项目组
策略数据合规项目组在数据合规及个人信息保护领域拥有丰富的人才储备和实践经验。截止目前,项目组拥有通过EXIN(国际信息科学考试协会)DPO认证的律师12名,通过EXIN ISO27001认证的律师2名。
项目组由律师事务所执行主任庞理鹏律师领衔,庞理鹏律师是国内较早从事数据合规和个人信息保护的律师,在该领域具有很高的知名度和影响力。项目组律师和顾问背景多元,既包括曾在跨国集团担任法务的公司律师,也包括世界500强企业尤其是高科技企业的产品经理、技术经理。项目组大部分律师精通该领域的国内外法律和实践,是企业在中国及全球业务运营中的可靠商业伙伴。
特别声明:以上仅代表笔者个人观点,不代表策略律师及策略律师事务所出具的任何形式之法律意见。如有意向就相关议题进一步交流探讨,欢迎与本所联系!
图片
2023-02-22 17:28:01
010-85197758
