公司用的第三方AI工具被拖库,数据全泄露了,现在该怎么追责?急

我们公司上个月刚采购了一个第三方的AI客服工具,结果昨天发现他们的服务器被拖库了,我们所有客户的对话记录、订单信息、甚至部分身份证号都泄露了。 我作为技术主管,现在头大得很。当时合同里只写了“保障数据安全”这种空话,具体赔偿条款都没有。现在对方只是发了个公告说“已修复漏洞”,完全不提赔偿的事。老板让我去追责,可我不知道该走什么流程。 这种第三方泄密,我们能要求他们赔偿吗?合同里没写具体金额的话怎么举证损失?还有就是,我们要不要自己先向用户道歉并通知?还是等官方通报?哎,真是头...

Viewed 0

我们公司上个月刚采购了一个第三方的AI客服工具,结果昨天发现他们的服务器被拖库了,我们所有客户的对话记录、订单信息、甚至部分身份证号都泄露了。

我作为技术主管,现在头大得很。当时合同里只写了“保障数据安全”这种空话,具体赔偿条款都没有。现在对方只是发了个公告说“已修复漏洞”,完全不提赔偿的事。老板让我去追责,可我不知道该走什么流程。

这种第三方泄密,我们能要求他们赔偿吗?合同里没写具体金额的话怎么举证损失?还有就是,我们要不要自己先向用户道歉并通知?还是等官方通报?哎,真是头疼,有没有懂法律或者有类似经历的给支个招。

合同纠纷 第三方ai 客户资料 公司泄密 职场ai安全
1 Answers

这类第三方AI工具数据泄露,企业端的正确做法是“先止血、再合规告知、并行取证与追责”。在未约定明确赔偿条款的情况下,仍可基于违约责任与侵权责任主张赔偿,但前提是你们能固化“泄露事实、因果链、可量化损害”。适用范围:面向已采购第三方AI/SaaS工具且发生客户数据外泄的公司,合同条款不完善的情形同样适用。

先稳态:应急动作与外部沟通的边界

  • 立即隔离与停用风险接入
    1. 关闭与该第三方的API Key/网络出站策略;2) 暂停将新数据写入其服务;3) 对历史回流数据做标签标注,避免二次扩散。
  • 启动公司内部“数据安全事件响应”
    1. 组建应急小组(技术/法务/合规/客服/公关、负责人各1名);2) 明确单线对外口径,避免员工私自回复媒体/客户。
  • 对用户告知的拿捏
    • 情形A:已能初步确认涉及“敏感个人信息”(如身份证号)或规模较大。建议主动分级告知且提供应对指引,不需要等官方通报。
    • 情形B:事实尚不清、样本少。可先发布“事件受理与自查中”的占位声明,承诺48-72小时内给进展。
    • 告知不可含糊其辞,至少包含:受影响数据类型、时间窗口、可能带来的具体风险、你们已采取的措施、联系与补救渠道。
  • 对监管与平台的报送
    • 涉及公民个人信息大规模泄露,建议尽快向属地网信/公安网安窗口报备,可通过 国家网信办公安部 公示渠道查询属地联系方式;涉骚扰诈骗线索可同步向 12321 提交。
    • 若用户维权苗头已出现,准备好消费者投诉应对,必要时在 12315 平台建立专席对接。

合规要点清单:你们需要能证明的5件事

  • 事实链:第三方何时、以何种方式发生泄露;波及的数据字段清单、数量/比例、时间区间;内部访问与调用日志留存。
  • 合同链:采购合同/主服务协议/数据处理附录(DPA)与隐私政策之间的角色分工(控制者/处理者)、安全责任分配、数据存储与跨境约定。
  • 技术链:你们接入时的最小化原则与加密措施;是否开启了第三方的日志脱敏/加密;密钥保管制度。
  • 因果链:泄露与用户可能遭受的具体损害之间的关联(例如:泄露后出现的精准电诈、账户被冒用的时间线)。
  • 救济链:你们采取的补救(下线、密钥轮换、漏洞修补核验、通知用户、为高风险用户提供免费信用监测等)及对外沟通证据。

这些要点决定后续能否稳住舆情、降低监管风险,并直接影响索赔谈判筹码。

追责路径:违约与侵权并行

  • 合同违约主张
    • 虽未约定具体赔偿额,但“保障数据安全”的承诺属可履行义务。可主张:直接损失(应急投入、加班与外包成本、账号重置与短信成本)、必要的公关与法务支出、为受影响用户提供的补救服务成本、因不可用造成的服务代替费。
    • 证据点:第三方事故通告、你们的事故复盘与损失核算表、付款凭证、邮件与工单、系统日志、外部审计/渗透测试报告摘要(必要时)。
  • 侵权责任主张
    • 若第三方对数据采取的安全措施显著低于行业通常注意义务,或存在明知风险不整改,可主张一般侵权(过错、损害、因果关系)。
    • 证据点:CVE/安全公告对比、对方自称“已修复漏洞”的技术细节与修复时间线、是否提前接到你们或白帽子预警。
  • 行政与公域压力
    • 视情向属地网信/公安报备并配合调查,倒逼第三方配合取证与整改。央媒与主管部门公开态度可作为谈判压力依据,可关注 央视网人民网 报道口径。

实施建议:3天内、7天内、30天内

  • 0-72小时
    1. 冻结对接、轮换所有密钥;2) 拉出受影响用户清单并分级;3) 启动法务函件,向第三方下发“事故事实确认+保全通知+审计权行使”三件套;4) 准备用户通知模板与Q&A;5) 备案属地监管窗口的联络方式。
  • 3-7天
    1. 与第三方开展联合溯源与第三方鉴证(必要时引入独立安全公司,费用可在索赔中主张);2) 发布第一版事件报告(可滚动更新);3) 启动用户补救措施(密码重置、短信验证、信用监测券);4) 初步损失测算表1.0版,分类罗列可量化科目。
  • 7-30天
    1. 就整改计划与安全基线签署补充协议:数据最小化、加密、访问控制、日志留存、渗透测试频率、审计权与违约金条款;2) 进入索赔谈判,先易后难,以“明确科目+票据/清单”为基础;3) 内部复盘并更新供应商评估与准入流程。

通知用户 vs 等官方通报:何时必须主动告知

  • 必须主动告知的情形
    • 泄露包含身份证号、支付信息、账号凭据、住址等敏感字段;
    • 涉及用户规模较大或影响难以限定;
    • 已出现关联风险事件(被冒用开户、精准电诈来电)。
  • 可延后但需占位说明的情形
    • 仅限少量、低敏字段且已技术性消弭风险(如数据已不可读、已完成重置);但应承诺明确的复核时点。
  • 告知模板的关键要素
    • 事实要素:时间、数据类型、影响范围(区间/比例)、目前风险;
    • 你的措施:账号保护、密钥轮换、第三方修复核验;
    • 用户可做:修改密码、警惕钓鱼、核对近期订单/资金变动;
    • 服务支持:专线电话/邮箱、工单入口、补救服务说明。

边界与例外:别踩的坑

  • “对方已修复=风控结束”是误判。修复不等于已清除外泄数据在暗网的流通影响,后续需做暗网监测与批量核验。
  • 口头沟通不作数。所有与第三方的承认、修复、时间点,都要书面确认并归档。
  • 赔偿先谈“损失科目”再谈“金额”。避免一开始就抛总额,先就科目和计算口径达成原则一致。
  • 不要承诺“绝不再发生”。对外口径以“提升基线与持续改进”表述,保留空间。
  • 不以用户让步换第三方免责。用户端的和解或补偿,不应成为你们放弃对第三方追责的对价。

后续合同与治理:把坑一次填平

  • 合同条款必备
    • 数据处理附录(DPA):角色界定、处理目的、数据最小化、跨境约束;
    • 安全基线:加密(静态/传输)、访问控制、审计与渗透测试频率、日志留存时长;
    • 通知义务:安全事件T+24小时内书面通知、联合响应机制;
    • 赔偿机制:违约金/赔偿上限(不低于近12个月合同额的若干倍)、第三方鉴证费用由过错方承担、数据泄露专项保险背书;
    • 审计权:定期/临时审计与整改时限,逾期解除权。
  • 供应商管理
    • 准入:安全问卷+现场访谈+样本渗透测试;
    • 运行:密钥轮换、权限最小化、灰度与数据脱敏;
    • 退出:数据删除与证明、备份销毁、接口吊销清单。

本文为通用合规与风险控制建议,不构成具体法律意见,实际适用以属地监管口径与你们合同文本为准。发生涉众性或单笔金额较大的损失,请同步咨询专业律师并与属地监管部门沟通处置节奏。

Related