智能汽车企业的数据安全合规之路

2023年第01期    作者:文字整理： 许 倩    阅读 1,010 次

主  持  人： 田原 上海律协律师执业考核委员会、申请律师执业人员实习管理考核委员会副主任，互联网与信息技术业务研究委员会委员，上海誉嘉律师事务所主任

嘉       宾： 夏海波 上海律协互联网与信息技术业务研究委员会副主任、上海格联律师事务所合伙人李瑞阳 上海律协刑诉法与刑事辩护业务研究委员会秘书、上海博和汉商律师事务所合伙人

田原：大家好，欢迎各位来到《上海律师》2023年第一期法律咖吧，我是本期咖吧的主持人田原律师，两位嘉宾分别是夏海波律师和李瑞阳律师。今天，我们要讨论蔚来汽车的数据泄露事件，请李律师先介绍一下情况。

 

李瑞阳：日前，有人宣称破解并获取蔚来汽车大量用户数据并在网络上公开销售，其中包括蔚来汽车内部员工数据2.28万条、车主用户身份证数据39.9万条、车主贷款数据17万条、车主亲密关系数据36万条、用户地址数据65万条等。该事件可能涉及的法律风险需要从涉事三方主体的角度分别来分析：一是蔚来汽车是否存在刑事法律方面的风险？二是车主在其信息泄露之后可能面临什么风险？三是如何认定黑客的刑事责任？

首先，关于蔚来汽车面临的刑事法律风险。随着时代的发展，数据内容现在已经不仅仅作为一种客观记录，更多是被当作一种可以处理、开发、挖掘的资源，从立法和社会管理角度赋予相关企业的数据安全保护义务逐渐增加。尽管目前我国还没有从刑事立法的角度对相关企业的数据安全保护措施或者出现意外情况时的追责程序作出规定，但不排除后续会完善相关立法，并增加相应的刑事处罚规定。所以，蔚来汽车在刑事法律风险防范方面需要关注的更多是未来的立法方向。

其次，关于车主面临的法律风险。车主作为数据泄漏事件的受害者，所面临的法律风险是最直观的。相关个人信息的泄露可能会导致车主面临人身、财产风险，比如遭遇电信诈骗。而在实践中，电信诈骗犯罪追赃挽损的几率很小。虽然蔚来汽车在其致歉声明中提到会承担责任，但我个人认为这更多只是一句空话，是一种基于商业考量的说辞，而没有实际操作意义。因为在现在的社会环境下，个人信息被收集的情况有很多，并且有些信息收集是超过必要限度的；所以在举证方面，车主很难证明自身的损失与蔚来汽车数据泄漏事件之间的因果关系。对于车主来说，防范相关法律风险最重要的措施还是要提高自身的警惕性。

最后，关于黑客所面临的刑事责任。就该事件来说，根据作案手段及后续数据处理方式的不同，黑客可能面临的刑事责任也不同。根据《刑法》规定，黑客以网络攻击的方式入侵蔚来汽车数据系统的行为涉嫌非法获取计算机信息系统数据罪，并且其获取的信息量级巨大，在量刑方面适用该罪名最高一档的法定刑。而若结合对所获取数据的不同处理方式来分析，则黑客可能涉嫌其他罪名。比如，黑客若选择敲诈蔚来汽车，则涉嫌敲诈勒索罪；若直接对外出售这些数据，发生危害社会的结果，则涉嫌侵犯公民个人信息罪和帮助信息网络犯罪活动罪。目前，我们还没有看到蔚来汽车就此事进行刑事报案的相关信息，但真心希望他们能够通过刑事手段追究黑客的责任；车主群体也要督促蔚来汽车依法保护他们的合法权益。

田原：我觉得车辆数据的所有权问题可能比较复杂，但是从蔚来汽车是数据的管理者或者占有者的角度来说，其选择报案或者不报案分别会面临怎样的法律风险？

 

夏海波：在该事件中，蔚来汽车既是受害者，同时也是责任承担方。作为受害者，蔚来汽车可以自主选择报案或者不报案；但作为责任承担方，蔚来汽车理应承担一定的责任。除了前面李律师分析的刑事法律风险外，从行政责任的角度分析，根据《个人信息保护法》的相关规定，蔚来汽车作为个人信息处理者，必须履行个人信息保护义务。违反该规定的，有关主管部门有权责令改正，给予警告，没收违法所得，责令蔚来APP暂停或者终止提供服务；若拒不改正，有关主管部门有权给予罚款。除公司外，对该事件直接负责的主管人员和其他直接责任人员也将面临相应的处罚风险。在民事赔偿方面，蔚来汽车在其致歉声明中称愿意承担相应的用户损失赔偿责任，但未涉及具体的赔偿金额。然而，用户其实很难证明因数据泄露造成的自身损失，所以如果提起诉讼，应适用过错推定原则。即蔚来汽车要举证证明自身在整个数据泄露事件中已经履行法律规定的安保义务，不存在相应的过错，否则就会推定其有相应的过错。此外，如果车主不提起诉讼，检察院及有关部门也可以组织提起公益诉讼，维护大多数消费者的权益。

 

田原：从数据安全的角度来说，如果蔚来汽车最终不报案，可能说明其目前的数据管理方式面临的风险仍然可控。刚才两位律师谈了很多蔚来汽车面临的法律责任和风险，那么如果不报案，蔚来汽车面临的诉讼或监管风险是否会小一点？

 

夏海波：因为该事件涉及大多数消费者的权益和数据安全，属于公共事件，即不仅仅是蔚来汽车公司内部的事情。即使蔚来汽车不报案，但如果有消费者举报或者考虑到数据安全问题，行政监管部门也有可能主动介入调查，并有可能依据调查结果对蔚来汽车作出严厉处罚，类似之前的滴滴事件。如果调查发现导致数据泄露的原因不完全是黑客攻击，蔚来汽车的员工也参与了此次事件，则还可能面临刑事风险。

 

李瑞阳：我补充一下。在遇到类似情况时，如果公民认为某项侵犯其合法权益的行为构成刑事犯罪，但是相关责任单位没有报案，公安机关亦没有主动启动刑事侦查程序，则公民可以前往检察机关，要求检察机关对公安机关的履职行为进行监督。对于被害人认为公安机关应当立案侦查的案件而公安机关不立案侦查的，检察机关应当要求公安机关说明不立案的理由。本次事件中，若相关方怠于履行自身职责，合法权益受到侵害的个人可以要求有关部门追究相关行为人的刑事责任。

 

田原：关于是否报案，因为目前蔚来汽车对该事件披露的信息非常有限，社会公众不知道后续进展，大家感觉一切皆有可能。而政府监管部门也没有过多回应此事，可能是因为案件的保密需要，不便披露这些信息。但从司法为民、执法为民的角度，相关部门还是应当保障公众的知情权。

刚才夏律师提到了之前的滴滴事件。当时，滴滴公司美股上市仅两天，就被国家网信办通报其APP存在严重违法违规收集使用个人信息问题，该事件也引起了我国对数据出境立法的重视。所以是否能够预测一下，蔚来汽车数据泄露事件对未来智能化汽车或智能化交通系统方面的立法将有怎样的推动作用？

 

夏海波：目前，我国在汽车数据安全方面除了有《网络安全法》《个人信息保护法》《数据安全法》等法律外，还有一些规定，如《汽车数据安全管理若干规定（试行）》。我认为，蔚来汽车数据泄露事件会推动国家和企业更重视数据安全，更规范、合法、安全地收集和使用数据。接下来，智能汽车行业应加大对数据安全领域的资源投入，从三个层面采取相应措施来保障数据安全。

一是法律层面。上述法律法规已经明确规定了数据收集者的义务，智能汽车企业首先要了解并遵守现有规定，履行相应的义务。比如，制定内部安全管理制度、操作规程，对个人信息实行分类管理，采取相应的加密、去标识化等安全技术措施，合理确定个人信息处理的操作权限，定期对从业人员进行安全教育和培训，制定并组织实施个人信息安全事件应急预案等。

二是技术层面。智能汽车企业要从数据全生命周期，包括数据采集、传输、存储、处理、合作／共享、销毁等环节，从技术上落实法律法规的要求。比如，在数据采集过程中应遵循最小必要原则。我们注意到，蔚来汽车会为车主提供体验式服务，需要和车主进行强互动，此时收集的车主信息范围相对较广。然而，是否所有的信息都有必要收集？是否能在技术上给予车主选择提供或者不提供相关信息的权利？除了告知外，是否真正在技术上实现了最小必要原则？这些都是相关企业需要关注的问题。再比如，未脱敏或加密的数据不得用于数据匹配或测试。数据匹配应在集团安全环境下进行，确需在外部环境中进行的，应事先进行评估，确保外部环境安全可控。

三是数据合规意识培养及数据合规体系建设层面。智能汽车企业建设和完善数据合规体系有助于全方位防范数据泄露，确保数据安全。

 

田原：我们不知道蔚来汽车究竟被泄露了多大范围的数据，但从目前披露的信息来看，被泄露的车主身份证号和贷款数据、企业员工数据等，都是日常商业管理方面的数据，应该不涉及车辆交通行驶数据。

从合规的角度来看，如果被泄露的是行驶安全数据或者智能车辆交通数据等技术数据，应该算作对关键信息基础设施的攻击。而蔚来汽车的日常商业管理数据库即使不涉及车辆交通行驶数据，但如果涉及的客户量级足够大，是否也应该算作关键信息基础设施？对此，我个人认为是可以的。而且对个人信息采取加密脱敏措施后，理论上应该无法再形成客户画像，但是网传目前蔚来汽车被泄漏的数据似乎可以形成画像。我们能否推测其中的原因：是企业对其关键信息基础设施的保护不到位，还是对其财务信息和商业信息的保护不到位？

 

夏海波：按照蔚来汽车的服务模式，一般的销售、服务人员也有可能获取车主的数据。这些员工是否有保密协议、如何履行保密义务、数据获取权限如何？车主在蔚来APP中上传的数据存储在哪里？相关数据具体是在哪个环节被泄露的？这些都需要看到进一步的调查结果才能了解。

 

田原：2020年，国务院发布了《关于构建更加完善的要素市场化配置体制机制的意见》，首次明确数据成为第五大生产要素。对于智能汽车企业的数据安全保护及社会责任承担，李律师有什么建议或想法？

李瑞阳：首先，相关企业应当提高数据安全保护意识。从目前的立法来看，《数据安全法》《个人信息保护法》《汽车数据安全管理若干规定（试行）》等都在立法目的上将数据安全提高到了关系国家安全、社会公共利益的高度。所以相关企业不能仅把数据信息作为经营过程中为了提供更好的服务而获取的一些商业信息，而应该从更高的层面对数据安全予以重视。

其次，现有的法律规定对信息数据进行了分类，如个人信息、个人敏感信息等。汽车行业更是将一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益或者个人、组织合法权益的数据界定为重要数据；如军事管理区、国防科工单位和县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据，以及物流等反映经济运行情况的数据等。因此，相关企业一旦涉及重要数据，更要加强对其的重视和分类保护。

最后，根据种类的不同，数据的重要性和敏感程度也不同；因此，相关企业要对不同类型数据的收集、存储、传输、使用甚至开发过程作出详细、严格的规定。目前来看，我国数据安全保护的相关法律规定还是线条化、原则性的，实践中对于一些具体规定的落实可能会因为理解的不同而出现差异。但是随着立法的不断完善，国家对相关企业的合规要求必然是全流程的，所施加的安全保障义务也会越来越高。因此，希望相关企业在数据安全方面投入更多的精力和资源，提高数据安全保护能力。

 

田原：我觉得蔚来汽车数据泄漏事件暴露了三个问题。一是蔚来汽车对数据泄漏具体情况的信息披露不到位；二是无法判断蔚来汽车履行了多少个人信息保护义务；三是缺乏监管部门的反馈。对此，夏律师有什么建议？

 

夏海波：我建议不同的主体应该采取不同的措施。车主应该主动维护自身的个人信息相关权益，首先要有知情权，然后再决定是否采取其他的维权措施。蔚来汽车在事件发生后仅发布致歉声明是不够的，还应该主动披露后续处理过程中的相关情况。比如，是否已经报案？是否开展了调查以及调查结果是什么？数据泄露事件发生的主要原因是什么？企业后续会采取哪些措施保障数据安全？有关监管部门则应该主动介入调查，确保车主的人身、财产安全和重要数据的安全。最后，各方主体都应该尽全力保护数据市场，推进数据安全建设，从而促进整个行业的健康发展。

田原：算法一直都是智能汽车企业的核心技术，大家都是基于算法来收集相关的数据，但是少有企业会对外界公示其算法原理及数据收集边界。那么在数据泄露的情况下，相关企业是否有必要对其算法作一些披露？我国法律对于算法披露是否有相关规定？

 

夏海波：首先看数据的权属，敏感个人信息／隐私类数据为个人所有，只能在个人授权范围内使用；因交易／服务必要所提供／产生的数据，如行驶数据，基于公共安全、事故分析、车辆性能监测等因素考虑，按照相关行业或质量标准，智能汽车应当收集此类数据，个人不能拒绝，目前对于这类数据的权属没有明确定论；从公共环境中收集的一般数据，如路况、车道、交通信号灯等，因汽车厂商在收集过程中付出了较大的经济和技术成本，所以此类数据原则上应当归属于汽车厂商。智能汽车企业将这些不同类型、不同权属的数据放在一起，利用算法模型进行画像，是否需要披露其算法？《互联网信息服务算法推荐管理规定》第十六条规定：“算法推荐服务提供者应当以显著方式告知用户其提供算法推荐服务的情况，并以适当方式公示算法推荐服务的基本原理、目的意图和主要运行机制等。”

 

李瑞阳：由于智能汽车企业在车辆中嵌入了一些先进技术，如远程访问技术，所以车主对于车内的某些数据收集行为可能并不知情。在这种情况下，如果相关企业能够严格按照规范性要求操作，则不会存在问题。但实际情况究竟如何，我们不得而知。同时，智能汽车企业在收集信息的过程中能否完全做到获得用户的同意，也是一个值得商榷的问题。甚至在部分企业的车辆中，可能仍然存在若车主不同意授权使用某些信息，则无法使用车内某些功能的情况。因此，为避免相关企业滥用自身的技术优势过度收集车主的信息，应当在立法方面对其赋予更重的责任，包括民事、行政甚至刑事责任，以此来规避相关法律风险。只有让违法成本大于违法所得的收益，才能从根本上杜绝违法现象的发生。

 

田原：我来总结一下，蔚来汽车数据泄漏事件涉及消费者保护、公民个人信息保护、汽车工业和交通运输行业关键信息基础设施的数据安全和行业监管等内容。另外，需要加强对社会公众基本数据安全意识、法律意识的培训和培育。大家都知道数据安全很重要，但是应该如何做或者怎样维护自己的权益，目前社会上仍缺少相关帮助和指引。未来，一是要加重、压实数据收集者和管理者的责任，全面完善立法；二是监管层面的制度也要更加完善，类似事件发生后，要有相关信息披露机制来保障社会公众的知情权，让个人信息权益受到损害的当事人主动采取维权行动，充分发挥社会公众监督的作用。最后，感谢夏律师和李律师参与本期法律咖吧。

（本文内容根据录音整理，系嘉宾个人观点，整理时间：2023年3月1日）