蔚來數(shù)據(jù)安全“塌房”：身份證銀行卡或已錄數(shù)據(jù)庫，客服稱仍在排查

蔚來數(shù)據(jù)泄露事件繼續(xù)發(fā)酵。12月20日晚間，蔚來汽車創(chuàng)始人兼董事長李斌在蔚來官方社區(qū)就此事致歉，稱“會對此次事件給用戶帶來的損失承擔責任”。

網(wǎng)傳圖片顯示，蔚來泄露數(shù)據(jù)為內(nèi)部員工數(shù)據(jù)2.28萬條、車主用戶身份證數(shù)據(jù)39.9萬條、用戶地址數(shù)據(jù)65萬條等。蔚來隨后承認于12月11日收到外部郵件，就泄露數(shù)據(jù)被勒索225萬美元，此次在網(wǎng)上被第三方違法出售的是2021年8月以前部分中國用戶信息及車輛銷售數(shù)據(jù)。

時代周報記者據(jù)蔚來公眾號數(shù)據(jù)統(tǒng)計，2021年8月及此前，蔚來共交付13.14萬輛汽車，包括ES8、ES6、EC6。

【資料圖】

12月21日，時代周報記者致電蔚來官方客服，相關(guān)人員稱所泄露信息類型還在排查，對用戶的賠償方案具體未定。

事實上，蔚來已不是第一次陷入數(shù)據(jù)泄露風(fēng)波。2019年，王銅根等微博認證車評人曾發(fā)文指責蔚來涉嫌記錄車主行程數(shù)據(jù)，并泄露私密旅程信息。

對標榜智能化的蔚來而言，數(shù)據(jù)遭遇泄露并非小事，尤其在大量依賴數(shù)據(jù)的智能駕駛、無人駕駛方面，一旦遭遇黑客入侵，或?qū)⑼{到乘客生命安全。

就用戶及車輛行駛過程中各類信息的保護等級、安全措施等問題，時代周報記者采訪蔚來相關(guān)負責人，截至發(fā)稿未獲回應(yīng)。而蔚來首席信息安全科學(xué)家盧龍在蔚來官方社區(qū)表示，此次數(shù)據(jù)泄露事件并不涉及車輛使用中產(chǎn)生的行車軌跡、座艙數(shù)據(jù)等數(shù)據(jù)，也不影響車輛的駕乘或遠程控制。

車主諸多數(shù)據(jù)被收集

此次數(shù)據(jù)泄露事件，蔚來目前尚未詳細解釋所泄露用戶數(shù)據(jù)組成。實際上，蔚來收集的用戶數(shù)據(jù)類型頗多。

時代周報記者據(jù)《蔚來汽車隱私政策》統(tǒng)計，為預(yù)約汽車試駕、訂購、租用電池、購買保險、遠程汽車管理等服務(wù)，蔚來在一定情況下會收集或申請收集用戶姓名、手機號、位置信息、身份證信息、機動車駕駛證信息、結(jié)婚證/戶口本、銀行卡卡號、車內(nèi)外攝像頭影像資料、車輛行駛記錄數(shù)據(jù)等信息。

“在購買過程及日常體驗中，很多貴司人員對數(shù)據(jù)及數(shù)據(jù)安全不清楚不重視，我更關(guān)心數(shù)據(jù)泄露范圍、數(shù)據(jù)儲存方式”“近半年幾乎天天接到貸款機構(gòu)、新能源車企騷擾電話，直截了當說是蔚來合作伙伴”不少用戶在蔚來社區(qū)反映相關(guān)問題。

時代周報記者注意到，多名用戶提到此前或近期接到不少電話騷擾，懷疑與蔚來信息泄露有關(guān)。

蔚來客服對此次泄露事件表示，所泄露信息類型還在排查，可能涉及車輛信息、用戶姓名與所在地比較多，應(yīng)不包括銀行卡信息。若因此給用戶造成損失，蔚來會承擔，具體賠償方案未詳細制定。蔚來在信息泄露發(fā)生后對網(wǎng)絡(luò)信息安全進行了排查與強化。

時代周報記者注意到，蔚來以上隱私政策對個人信息安全事件發(fā)生后的用戶補救措施，并未詳細規(guī)定，僅稱向用戶告知安全事件基本情況和可能影響、采取處置措施、用戶可自主防范或降風(fēng)險的建議、對用戶補救措施等。

就蔚來應(yīng)該承擔的責任及賠償問題，12月21日，北京盈科（杭州）律師事務(wù)所合伙人丁夢丹告訴時代周報記者，有無履行相關(guān)數(shù)據(jù)安全保護與個人信息保護義務(wù)、履行程度、是否展開相關(guān)評估工作等，都將影響判定蔚來所需承擔的責任及責任大小。若造成大量數(shù)據(jù)泄露等嚴重后果，按《數(shù)據(jù)安全法》處50-200萬元罰款、停業(yè)整頓等，對直接管理人員和其他直接責任人員處5-20萬元罰款。身份證信息、用戶地址屬敏感個人信息，根據(jù)數(shù)量等方面認定情節(jié)以及嚴重程度。

12月21日，汽車行業(yè)分析師鐘師告訴時代周報記者，從以往車企信息泄露用戶信息的案例看，很少有用戶能獲得賠償，因難以追溯數(shù)據(jù)泄露來源。

同日，有專注汽車數(shù)據(jù)安全的律師告訴時代周報記者，對新能源車企的各類數(shù)據(jù)查看權(quán)限、保護等級高低等，目前行業(yè)標準未定，暫時按照去年發(fā)布的《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》（第7號令）。

時代周報記者注意到，該規(guī)定提及利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)開展汽車數(shù)據(jù)處理活動，應(yīng)當落實網(wǎng)絡(luò)安全等級保護等制度，倡導(dǎo)汽車數(shù)據(jù)處理者在開展汽車數(shù)據(jù)處理活動中堅持車內(nèi)處理原則，除非確有必要不向車外提供，且可能進行匿名化、去標識化等處理。

智能駕駛時代數(shù)據(jù)安全關(guān)乎生命

車企出現(xiàn)黑客入侵、數(shù)據(jù)泄露并非首例。

據(jù)報道，2018年，特斯拉、通用、豐田、大眾等多家車企均有敏感信息泄露，涉及工廠原理圖、客戶材料等；2021年6月，大眾汽車稱因供應(yīng)商將部分客戶數(shù)據(jù)未經(jīng)保護留在互聯(lián)網(wǎng)上，有330萬名客戶信息遭泄露，包括姓名、住址、電話號碼等個人信息；今年10月，豐田汽車表示其T-Connet服務(wù)中約29.6萬條客戶信息可能被泄露，受影響客戶是2017年7月以來使用電子郵件地址注冊該服務(wù)網(wǎng)站的用戶。

鐘師告訴時代周報記者，理論上只要有數(shù)據(jù)庫就有數(shù)據(jù)泄露風(fēng)險，目前看蔚來泄露數(shù)據(jù)與其他車企沒有太大差別。

丁夢丹也告訴時代周報記者，智能電動車與傳統(tǒng)燃油車的信息泄露和黑客入侵風(fēng)險高低，無法從汽車生態(tài)角度直接比較，關(guān)鍵還是在于車企有無規(guī)范收集信息、有無履行和強化數(shù)據(jù)安全和個人信息保護義務(wù)。

從數(shù)據(jù)收集層面看，蔚來等造車新勢力相比不少傳統(tǒng)燃油車企，確實收集了更多種類信息。例如，更重社區(qū)運營的造車新勢力均設(shè)立了線上社區(qū)，后者可能收集更多用戶信息。

丁夢丹介紹，造車新勢力不乏有違法收集、過度收集的行為，此前便有車企App因違法違規(guī)收集使用個人信息而被相關(guān)部門通報并限期完成整改。

鐘師表示，汽車要邁向自動駕駛，確需多種數(shù)據(jù)進行訓(xùn)練，其中路況等數(shù)據(jù)并不敏感。但逐漸智能化的汽車確實存在新問題，如車內(nèi)儲存空間有限，很多數(shù)據(jù)需上傳至云端儲存，疲勞駕駛、行車安全等監(jiān)控也會產(chǎn)生多類數(shù)據(jù)。

“關(guān)鍵是要規(guī)范企業(yè)信息收集邊界，例如一些數(shù)據(jù)不上云端，縮短影像存儲時間或不儲存?！辩妿熣f道。

目前階段，法律法規(guī)層面對新能源汽車信息安全、系統(tǒng)安全的界定和強化還在進行。在未來的智能駕駛時代，信息和系統(tǒng)安全愈發(fā)重要。據(jù)報道，此前黑客曾入侵25輛特斯拉汽車，操控車門、攝像頭。一旦類似發(fā)生將對車企造成信任危機，也將威脅乘客生命安全。

鐘師表示，黑客入侵自動駕駛系統(tǒng)存在可能性，自動駕駛程度越高，車被其他人接管的可能性更大，企業(yè)在相關(guān)方面也會做得更好，車企需特別關(guān)注此事。

關(guān)鍵詞：