网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

最后一项是蔚来公司要承担的民事责任。《个人信息保护法》明确规定，个人信息处理者侵害个人信息权益造成损害的，如不能证明自己没有过错的，“应当承担损害赔偿等侵权责任”。

但本案的难点在于，此次信息安全事件所涉及的用户众多，此时的民事损害赔偿责任又该如何厘定。本案中，蔚来用户被泄露和贩卖的信息主要为身份证ID以及家庭住址信息，此外还有蔚来员工数据、订单数据甚至是车主亲密关系、车主贷款等隐私信息。上述信息都属于《个人信息保护法》规定的敏感个人信息，因此在厘定损害赔偿责任上也应予以考虑。鉴于在大规模违法处理个人信息案中，存在受害者众多、侵害隐形化、损失难估量等问题，在无法查明被侵权人的具体损失时，可依据侵权人的获益或者由审判机关考虑案件具体酌定，而在具体酌定时，侵害方式、持续事件、涉及的信息种类、敏感程度、对侵权人的影响大小等应作为要考虑的因素。

当用户信息被泄露，企业的正确做法是什么？

如上文所述，针对用户数据泄露问题，蔚来董事长兼CEO已向用户致歉并表示要协同相关部门彻查。作为数据被窃取且面临敲诈勒索的受害人，蔚来公司在收到黑客信息后，向公安机关报案，当然是需要采取的首要法律措施，但这不够。

根据《个人信息保护法》第57条，在“发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者还应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。通知应当包括以下事项：（一）发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害；（二）个人信息处理这采取的补救措施和个人可以采取的减轻危害的措施；……”。而作为用户，也同样有权对信息泄露的具体情况进行知悉和查询，尤其是涉及敏感个人信息的。

在蔚来事后发布的官方声明中，其明确了被泄露的信息是“2021年8月之前的部分用户基本信息和车辆销售信息”。这已说明，蔚来公司对用户被泄露信息的具体细节是知情的，但仍有大量用户表示，“无法确定自己的隐私数据是否已被泄露，也不清楚是如何泄露的，目前并未收到蔚来方面的通知”，“不能仅仅是道歉，不能仅仅是空洞的承担损失，应该尽快提示我们用户哪些信息被窃取了，应当做些什么”。这又从侧面说明，在数据泄露事件发生后，蔚来公司并未很好地尽到对用户的通知义务，其是否采取有效的事后补救措施亦不可知。

此次数据泄露事件在我国尚属第一家造车企业的用户数据被窃取。伴随汽车的智能化和网络化，汽车数据安全事件开始频发，此前的大众汽车、沃尔沃以及通用汽车都曾不同程度地遭遇过黑客攻击，导致用户的不同信息被泄露。

汽车企业的用户信息更易受黑客攻击又与智能汽车的技术开发，以及智能汽车技术往往会将用户手机与车机相互结合从而实现数据共享有关。这种关联使用户隐私时刻面临安全隐患，也因此对汽车企业切实履行数据安全义务提出了更高要求。