个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。车企需要证明自己在本次泄露事件中不存在过错,将承担赔偿责任
近日,有人在网上明码标价,销售蔚来汽车后台数据。
售卖者称其破解了蔚来大量数据,给了蔚来两次机会,但是蔚来宁愿花费千万请歌手,也不愿意买断这部分数据,保护车主和用户,因此其决定有偿曝光。
其所售卖的数据包括蔚来内部员工信息22800条,售价0.15比特币;车主用户身份证数据399000条,售价0.25比特币,还有蔚来用户注册数据、订单及退单数据等等。
如今每枚比特币的价格为16800美元左右,合12万元人民币。也就是说,其售卖的399000条车主身份证数据的价格为人民币3万元。
12月20日晚,蔚来在其官方社区发布的一则声明,引发了蔚来汽车用户的讨论。蔚来在声明中表示,确认2021年8月之前的部分用户基本信息和车辆销售信息被窃取。
根据蔚来于2022年10月15日发布的最新版《蔚来汽车隐私政策》,用户可以用自己的手机号码注册,也可以用第三方账号(微信、微博、苹果Apple账号)登录并与蔚来账号进行绑定。客户在咨询订购、试驾、电池租用,办理保险时,蔚来会收集用户的姓名、有效证件号码、银行卡号、手机号码、联系地址、车辆信息(车型、车架号、发动机号、车牌号)、保险信息等。
根据蔚来汽车Assitant VP-Battery System 曾士哲在ECV的讲演《EnhanceBattery Performance and Safety through Combine BMS and Big Data System》,蔚来BMS架构算法还会采集用户的驾驶习惯。
数据合规与个人信息保护
处在动则大数据、云计算、云存储的时代,个人信息存在被过度采集和使用、泄漏的风险。而一些企业、机构或者个人对此缺乏相应的保护意识。例如笔者就遇到过酒店利用二代身份证阅读器读取的住客身份信息与门禁联用,让住客刷身份证开门;甚至该项技术还被申请了实用新型专利。
其实我国从2013年就开始了相关的立法。
2013年的《电信和互联网用户个人信息保护规定》就个人信息的收集和使用规范以及企业需要采取的安全保障措施作出专章规定,其中确定的大部分原则延续至今。
2017年,《网络安全法》开始实施。同年,最高法、最高检就侵犯公民个人信息罪发布了《侵犯公民个人信息刑事案件适用法律若干问题的解释》,细化和明确了该罪的一些概念和标准。
2018年,欧盟GDPR的出台在国际上引发热议的同时,也促进了我国在数据立法和监管上步伐的加快;2019年初,工信部、网信办、公安部、市场监管总局共同以一则《开展APP违法违规收集使用个人信息专项治理的公告》启动了持续到现在的专项整治行动;2019年底,几个部门又联合发布了《APP违法违规收集使用个人信息行为认定方法的通知》,对认定APP违法违规收集使用个人信息行为进行了列举,并成为监管执法工作的参考。
2020年10月1日,市场监督总局和国家标准委员会联合发布了GB/T35273-2020《信息安全技术个人信息安全规范》,从数据处理全流程的活动原则和安全要求上作出全面规定。
2021年1月1日实施的《民法典》则是从基本法律的高度上明确了个人信息受法律保护。2021年8月1日,最高院《关于审理使用人脸识别技术处理个人信息相关民事案件适用若干问题的规定》成为第一个针对特定个人信息(人脸)保护作出的司法解释。
2021年9月1日,确立数据安全及治理基本框架的《数据安全法》开始实施。
根据工信部印发的《工业和信息化领域数据安全管理办法(试行)》规定,数据处理者在数据安全事件发生后,应当第一时间向本地区行业监管部门报告,对发生的可能损害用户合法权益的数据安全事件,应当及时告知用户。办法中并未强制规定告知的时间限定。
另外,根据现有法律法规判定,涉及个人信息主体超过10万人的个人信息,即是重要数据。
蔚来在被勒索后10天才公开,有违规之嫌。
另外,根据《个人信息保护法》第六十九条明确规定,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。车企需要证明自己在本次泄露事件中不存在过错,例如证明是不法分子窃取所致,自己在信息的保护上不存在过失等,否则将承担赔偿责任。
根据专业人士判断,本次泄露的为蔚来后台业务数据,而且获取该数据的账户权限较高,获取该批数据一是黑客靠撞库强行破解,另一种可能是源于内部账户泄密。而本次泄漏的数据为2021年8月之前的用户数据,较为蹊跷,除非蔚来将不同时间段的数据分别存储,否则不排除之前离职的员工账户未及时注销或私自下载数据,有“内鬼”存在的可能性。