网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

《个人信息保护法》第51条则明确了个人信息处理者履行上述义务的方式，“采取下列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失：

（一）制定内部管理制度和操作规程；

（二）对个人信息实行分类管理；

（三）采取相应的加密、去标识化等安全技术措施；

（四）合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；

（五）制定并组织实施个人信息安全事件应急预案；

（六）法律、行政法规规定的其他措施”。

上述措施不仅是个人信息处理者日常应尽的信息保障义务，也是发生信息安全事件后，核定信息处理者是否已尽合理义务的标尺。

放在本案中，根据《个人信息保护法》规定，履行个人信息保护职责的部门会按照规定权限和程序对蔚来公司的法定代表人和相关负责人进行约谈，并要求蔚来公司委托专业机构对其个人信息处理活动进行合规审计。

如果合规审计表明，蔚来公司并未切实履行法律明确规定的上述信息保护措施，即使是用户数据泄露的直接原因是黑客侵入，其也需承担相应的民事赔偿责任。而其应承担的究竟应是全部责任还是部分责任，又需结合用户数据被盗取的具体方式以及蔚来公司在多大程度上未履行保障义务来具体衡定。

又根据《个人信息保护法》的规定，在发生信息安全事件后，个人信息处理者可以免责的事由是，其能够证明自己没有过错，否则就要承担损害赔偿等侵权责任。而所谓“没有过错”的证明标尺也在于，蔚来公司已充分履行了法规规定的合规动作，仍没有办法避免用户信息为黑客所窃取。如果调查结果证明，黑客能够盗取蔚来数据的确因为该公司未采取必要的安全防护措施导致其信息系统出现重大漏洞，蔚来公司也就当然无法以“无过错”而要求免责。

从上述规定来看，《个人信息保护法》和《网络安全法》无疑对作为个人信息处理者的企业赋予了相当高的信息安全责任，其原因也在于企业在个人信息收集和处理中的特殊角色。

除上述义务外，《个人信息保护法》还规定了信息专员制度，即“处理个人信息达到国家网信部门规定数量的个人信息，处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督”。此外，当所处理的个人信息涉及敏感个人信息，或是个人信息处理者要利用个人信息进行自动化决策时，信息处理者也应事先进行个人信息保护的影响评估。信息专员和事前评估的制度源自对欧盟《一般数据保护条例》的吸纳，其目的同样在于强化企业的信息安全责任，而这两点亦可与《个人信息保护法》第51条一起作为衡定蔚来在此次信息泄露事件中是否需要承担责任的标尺。

民事、行政和刑事，蔚来需承担何种法律责任？

法律责任一般区分为民事、行政和刑事三类。个人信息处理者如违法处理个人信息，或者处理个人信息未履行法律所规定的个人信息保护义务的，也会根据违法行为和情节轻重而有上述三类责任的区分。

《刑法》第253条规定，“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚”。在此次个人信息安全事件爆出后，蔚来公司虽声称其遭遇黑客袭击且被人勒索，但非经调查结束，不能完全排除是否有内部人员在提供服务过程中故意盗取员工和用户信息，出售或提供给他人的。若侦查终结后发现存在这种情形，这些人要承担侵犯个人信息罪的刑事责任。

除刑事责任外，如果合规审计表明，蔚来公司在个人信息保护方面的确存在重大疏漏，未充分履行信息安全保护义务，其还需承担行政责任。《个人信息保护法》针对个人信息处理者的行政责任包括，“由履行个人信息保护职责的部门责令其改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款”。如果上述行为情节严重，则罚款的额度会高达“五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或停业整顿，通报有关主管部门吊销相关业务许可或者营业执照”。与其他领域的行政责任相比，《个人信息保护法》对违反个人信息保护义务的信息处理者的处罚额度明显更高，而如此高额的处罚并非为增加企业作为信息控制者的负担，而是通过惩罚威慑推动其形成有效的内部个人信息保护机制，并严格执行个人信息保护要求。