网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

作者｜赵宏

中国政法大学教授

近日，一批蔚来车主发现自己的身份证ID以及家庭住址信息在网上被贱卖，有的车主甚至每天接到数十宗骚扰电话。车主质疑是否蔚来汽车未尽数据安全保障义务致使其信息泄露，蔚来信息安全委员会负责人12月20日发布公告称，该公司于2022年12月11日收到黑客邮件，称已拥有蔚来内部数据，并以泄露数据威胁勒索225万美元等额比特币。

蔚来汽车的董事长在向用户表示歉意后，承诺会对用户损失承担责任，并称已在第一时间向监管部门报告，后续会协同相关部门对可能的数据窃取和买卖行为进行调查。

但不少车主表示，蔚来汽车需对数据泄露给出具体的赔偿补救方案，甚至有极端用户威胁“烧车”。车主反应激烈，是因为此次泄露的除2.28万条内部员工的数据信息外，还有39.9万条车主用户身份证数据以及65万条用户地址数据。这些信息超过蔚来汽车截止至2021年12月的车辆交易数量，也就是说除了已经购车的车主数据外，还有大量蔚来潜在车主的数据也面临被泄露的风险。

可以想见的是，若蔚来汽车公司未能妥善处理赔偿事宜一定会引发相关诉讼。而本案作为《个人信息保护法》2021年11月颁布后的第一起大型数据泄露案件，相当具有典型性。其涉及的法律问题至少包括如下方面：

第一、本案中蔚来公司认为数据泄露是因为遭遇黑客攻击，而车主则认为蔚来公司未尽到信息安全保障义务，此时如何确定责任承担主体；

第二、本案中个人信息被泄露的车主人数众多，若提起诉讼既会涉及群体诉讼，也会涉及如何核定用户具体损失的问题；

第三、如事后调查确认蔚来公司的确未尽信息安全的保障义务，除针对用户的民事赔偿责任外，蔚来公司还应承担哪些法律责任；

第四、蔚来公司称数据泄露是遭遇黑客攻击，其同样是被敲诈勒索的受害者，如果这一事实得以确认，又会如何影响蔚来公司的承担。

遭遇黑客入侵就可免责？未必

在数据时代，个人信息是个体在社会中标识自己，并与他人建立关联的必要工具。个人信息若被不当收集和适用，将严重危及个人由信息所组成的数据人格。不仅会引发个人人身和财产权损失，也会贬损其人格尊严。

正因如此，为回应大数据时代下的个人信息保护，2020年颁布的《民法典》第111条申明，“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息”。2021年颁布的《个人信息保护法》同样规定，“自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益”。

对个人信息的保护，清晰规定了信息处理者在收集和使用个人信息时的相关义务。2016年的《网络安全法》中就要求，“网络运营者应当对其收集的用户信息严格加密，并建立健全用户信息保护制度”，“网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失”。