作者|赵宏
中国政法大学教授
近日,一批蔚来车主发现自己的身份证ID以及家庭住址信息在网上被贱卖,有的车主甚至每天接到数十宗骚扰电话。车主质疑是否蔚来汽车未尽数据安全保障义务致使其信息泄露,蔚来信息安全委员会负责人12月20日发布公告称,该公司于2022年12月11日收到黑客邮件,称已拥有蔚来内部数据,并以泄露数据威胁勒索225万美元等额比特币。
蔚来汽车的董事长在向用户表示歉意后,承诺会对用户损失承担责任,并称已在第一时间向监管部门报告,后续会协同相关部门对可能的数据窃取和买卖行为进行调查。
但不少车主表示,蔚来汽车需对数据泄露给出具体的赔偿补救方案,甚至有极端用户威胁“烧车”。车主反应激烈,是因为此次泄露的除2.28万条内部员工的数据信息外,还有39.9万条车主用户身份证数据以及65万条用户地址数据。这些信息超过蔚来汽车截止至2021年12月的车辆交易数量,也就是说除了已经购车的车主数据外,还有大量蔚来潜在车主的数据也面临被泄露的风险。
可以想见的是,若蔚来汽车公司未能妥善处理赔偿事宜一定会引发相关诉讼。而本案作为《个人信息保护法》2021年11月颁布后的第一起大型数据泄露案件,相当具有典型性。其涉及的法律问题至少包括如下方面:
第一、本案中蔚来公司认为数据泄露是因为遭遇黑客攻击,而车主则认为蔚来公司未尽到信息安全保障义务,此时如何确定责任承担主体;
第二、本案中个人信息被泄露的车主人数众多,若提起诉讼既会涉及群体诉讼,也会涉及如何核定用户具体损失的问题;
第三、如事后调查确认蔚来公司的确未尽信息安全的保障义务,除针对用户的民事赔偿责任外,蔚来公司还应承担哪些法律责任;
第四、蔚来公司称数据泄露是遭遇黑客攻击,其同样是被敲诈勒索的受害者,如果这一事实得以确认,又会如何影响蔚来公司的承担。
遭遇黑客入侵就可免责?未必
在数据时代,个人信息是个体在社会中标识自己,并与他人建立关联的必要工具。个人信息若被不当收集和适用,将严重危及个人由信息所组成的数据人格。不仅会引发个人人身和财产权损失,也会贬损其人格尊严。
正因如此,为回应大数据时代下的个人信息保护,2020年颁布的《民法典》第111条申明,“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息”。2021年颁布的《个人信息保护法》同样规定,“自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益”。
对个人信息的保护,清晰规定了信息处理者在收集和使用个人信息时的相关义务。2016年的《网络安全法》中就要求,“网络运营者应当对其收集的用户信息严格加密,并建立健全用户信息保护制度”,“网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失”。
《个人信息保护法》第51条则明确了个人信息处理者履行上述义务的方式,“采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:
(一)制定内部管理制度和操作规程;
(二)对个人信息实行分类管理;
(三)采取相应的加密、去标识化等安全技术措施;
(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
(五)制定并组织实施个人信息安全事件应急预案;
(六)法律、行政法规规定的其他措施”。
上述措施不仅是个人信息处理者日常应尽的信息保障义务,也是发生信息安全事件后,核定信息处理者是否已尽合理义务的标尺。
放在本案中,根据《个人信息保护法》规定,履行个人信息保护职责的部门会按照规定权限和程序对蔚来公司的法定代表人和相关负责人进行约谈,并要求蔚来公司委托专业机构对其个人信息处理活动进行合规审计。
如果合规审计表明,蔚来公司并未切实履行法律明确规定的上述信息保护措施,即使是用户数据泄露的直接原因是黑客侵入,其也需承担相应的民事赔偿责任。而其应承担的究竟应是全部责任还是部分责任,又需结合用户数据被盗取的具体方式以及蔚来公司在多大程度上未履行保障义务来具体衡定。
又根据《个人信息保护法》的规定,在发生信息安全事件后,个人信息处理者可以免责的事由是,其能够证明自己没有过错,否则就要承担损害赔偿等侵权责任。而所谓“没有过错”的证明标尺也在于,蔚来公司已充分履行了法规规定的合规动作,仍没有办法避免用户信息为黑客所窃取。如果调查结果证明,黑客能够盗取蔚来数据的确因为该公司未采取必要的安全防护措施导致其信息系统出现重大漏洞,蔚来公司也就当然无法以“无过错”而要求免责。
从上述规定来看,《个人信息保护法》和《网络安全法》无疑对作为个人信息处理者的企业赋予了相当高的信息安全责任,其原因也在于企业在个人信息收集和处理中的特殊角色。
除上述义务外,《个人信息保护法》还规定了信息专员制度,即“处理个人信息达到国家网信部门规定数量的个人信息,处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督”。此外,当所处理的个人信息涉及敏感个人信息,或是个人信息处理者要利用个人信息进行自动化决策时,信息处理者也应事先进行个人信息保护的影响评估。信息专员和事前评估的制度源自对欧盟《一般数据保护条例》的吸纳,其目的同样在于强化企业的信息安全责任,而这两点亦可与《个人信息保护法》第51条一起作为衡定蔚来在此次信息泄露事件中是否需要承担责任的标尺。
民事、行政和刑事,蔚来需承担何种法律责任?
法律责任一般区分为民事、行政和刑事三类。个人信息处理者如违法处理个人信息,或者处理个人信息未履行法律所规定的个人信息保护义务的,也会根据违法行为和情节轻重而有上述三类责任的区分。
《刑法》第253条规定,“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚”。在此次个人信息安全事件爆出后,蔚来公司虽声称其遭遇黑客袭击且被人勒索,但非经调查结束,不能完全排除是否有内部人员在提供服务过程中故意盗取员工和用户信息,出售或提供给他人的。若侦查终结后发现存在这种情形,这些人要承担侵犯个人信息罪的刑事责任。
除刑事责任外,如果合规审计表明,蔚来公司在个人信息保护方面的确存在重大疏漏,未充分履行信息安全保护义务,其还需承担行政责任。《个人信息保护法》针对个人信息处理者的行政责任包括,“由履行个人信息保护职责的部门责令其改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款”。如果上述行为情节严重,则罚款的额度会高达“五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或停业整顿,通报有关主管部门吊销相关业务许可或者营业执照”。与其他领域的行政责任相比,《个人信息保护法》对违反个人信息保护义务的信息处理者的处罚额度明显更高,而如此高额的处罚并非为增加企业作为信息控制者的负担,而是通过惩罚威慑推动其形成有效的内部个人信息保护机制,并严格执行个人信息保护要求。
但本案的难点在于,此次信息安全事件所涉及的用户众多,此时的民事损害赔偿责任又该如何厘定。本案中,蔚来用户被泄露和贩卖的信息主要为身份证ID以及家庭住址信息,此外还有蔚来员工数据、订单数据甚至是车主亲密关系、车主贷款等隐私信息。上述信息都属于《个人信息保护法》规定的敏感个人信息,因此在厘定损害赔偿责任上也应予以考虑。鉴于在大规模违法处理个人信息案中,存在受害者众多、侵害隐形化、损失难估量等问题,在无法查明被侵权人的具体损失时,可依据侵权人的获益或者由审判机关考虑案件具体酌定,而在具体酌定时,侵害方式、持续事件、涉及的信息种类、敏感程度、对侵权人的影响大小等应作为要考虑的因素。
当用户信息被泄露,企业的正确做法是什么?
如上文所述,针对用户数据泄露问题,蔚来董事长兼CEO已向用户致歉并表示要协同相关部门彻查。作为数据被窃取且面临敲诈勒索的受害人,蔚来公司在收到黑客信息后,向公安机关报案,当然是需要采取的首要法律措施,但这不够。
根据《个人信息保护法》第57条,在“发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者还应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括以下事项:(一)发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;(二)个人信息处理这采取的补救措施和个人可以采取的减轻危害的措施;……”。而作为用户,也同样有权对信息泄露的具体情况进行知悉和查询,尤其是涉及敏感个人信息的。
在蔚来事后发布的官方声明中,其明确了被泄露的信息是“2021年8月之前的部分用户基本信息和车辆销售信息”。这已说明,蔚来公司对用户被泄露信息的具体细节是知情的,但仍有大量用户表示,“无法确定自己的隐私数据是否已被泄露,也不清楚是如何泄露的,目前并未收到蔚来方面的通知”,“不能仅仅是道歉,不能仅仅是空洞的承担损失,应该尽快提示我们用户哪些信息被窃取了,应当做些什么”。这又从侧面说明,在数据泄露事件发生后,蔚来公司并未很好地尽到对用户的通知义务,其是否采取有效的事后补救措施亦不可知。
此次数据泄露事件在我国尚属第一家造车企业的用户数据被窃取。伴随汽车的智能化和网络化,汽车数据安全事件开始频发,此前的大众汽车、沃尔沃以及通用汽车都曾不同程度地遭遇过黑客攻击,导致用户的不同信息被泄露。
汽车企业的用户信息更易受黑客攻击又与智能汽车的技术开发,以及智能汽车技术往往会将用户手机与车机相互结合从而实现数据共享有关。这种关联使用户隐私时刻面临安全隐患,也因此对汽车企业切实履行数据安全义务提出了更高要求。
当然,作为被黑客攻击和敲诈勒索的受害者,蔚来公司的境遇也值得同情。若警方经侦查可以找到作案的黑客以及参与数据窃取的内部人员,这些人当然会面临刑事追诉。但此次 “数据门”事件,的确也反映出智能汽车领域中数据安全保障意识尚显阙如。蔚来企业在致力于开发辅助驾驶以及自动驾驶等智能汽车功能的同时,似乎未能在同等程度上提升数据安全保障措施。
据悉近一年来,蔚来公司因为疫情影响在营运上已遭遇重创,此次“数据门”的爆出对企业而言更是雪上加霜。但数据时代的到来和智能技术使用本身所内含的数据安全隐患,提示如蔚来一样的智能汽车行业需更大程度上提升数据保障意识且守住数据安全底线,由此才能匹配其在汽车智能技术上的同步发展。