蔚來大量用戶信息被公開售賣，誰來保護汽車數據安全？

圖片來源 @視覺中國

文 |   電動公會，作者   | 金不換

01  百萬條信息被公開售賣

日前，一張流傳于網絡的圖片顯示，有人宣稱破解了蔚來汽車大量數據，并公開叫價出售。其列出的數據涉及蔚來的經營以及客戶隐私，包括蔚來員工數據、訂單數據、用戶及企業代表聯系人數據，還包括車主身份證、用戶地址，甚至車主親密關系、車主貸款數據等極為隐私的信息。

這些信息被明碼标價，價格均以比特币為單位，比如 2.28 萬條員工數據，售價 0.15 比特币；3.99 萬條車主身份證數據，售價 0.25 比特币；全部數據打包，售價 1 比特币。

針對數據洩露遭勒索的情況，蔚來汽車态度堅決。12 月 20 日蔚來汽車發布的聲明顯示：

12 月 11 日，蔚來公司收到外部郵件，聲稱擁有蔚來内部數據，并以洩露數據勒索 225 萬美元等額比特币（約合 1570.5 萬元人民币）。

在收到勒索郵件後，公司當天即成立專項小組進行調查與應對，并第一時間向有關監管部門報告此事件。

經初步調查，被竊取數據為 2021 年 8 月之前的部分用戶基本信息和車輛銷售信息。

據公開信息，蔚來汽車在 2021 年 1 至 7 月累計交付 49887 台，2020 年全年交付量達 43728 台，2019 年全年交付量達 20565 台，2018 年全年交付量達 11348 台，目前尚不清楚官方所說的 " 部分用戶 " 比例有多少。

盡管蔚來官方成立專項小組進行調查與應對，并第一時間向有關監管部門報告此事件，并協同有關部門深入調查。蔚來創始人、董事長李斌也于 12 月 20 日晚間在蔚來官方社區就用戶數據洩露一事發文緻歉，但仍然打消不了用戶的擔憂。

随着車輛智能化程度逐步提升，數據安全也将直接影響到行車安全。我們在蔚來社區評論區中看到，不少用戶對于數據洩露後的車輛安全提出擔憂。還有一些用戶表示，希望 " 車企将軟件裡的個人信息删除，以免影響到自己和家人。

對此，蔚來信息安全委員會負責人盧龍表示，本次數據洩露并不影響車輛駕乘或遠程控制，不涉及車輛使用中産生的數據（如行車軌迹、座艙數據），目前他們還在進一步調查數據洩露的原因和影響範圍。

有相關技術分析人士表示，此次洩露的數據，大部分是存儲在後端、數據庫或者雲端的個人數據，黑客如果選擇攻擊車輛本身，還是有一定的技術門檻，而汽車本身有車載的安全網關也會進行攔截。

02  誰來保護用戶信息安全？

在汽車智能化、電動化逐步普及的今天，信息數據與用戶駕駛安全、個人私隐間的聯系變得愈發密切。蔚來用戶數據被竊取事件引發了一系列關鍵問題和思考，在新能源汽車發展如火如荼的背景下，用戶數據及大數據安全誰來保護？

我們看了一下網民的态度，大部分網民強烈支持數據收歸國有，也就是将數據權讓渡國有第三方公司。在他們看來，身份信息交給國家比交給資本家放心。

比如衛士通，它是大型央企中國電子科技集團的三級子公司，成立于 1998 年，2008 年上市，被稱為 " 中國信息安全第一股 "，具有很高的權威性，絕對能保障數據安全。如果蔚來真的将數據權交給了類似衛士通的第三方公司，那麼其信息被洩漏的風險就會低很多。

不過，這是一條路切實可行的方案嗎？各大車企舍得交出數據權嗎？

要知道，對于那些深耕汽車智能化的車企來說，其數據價值很難用人民币去計算，數據就是它的根，被稱作未來趨勢的 AI 技術，正是因為有數據的支撐才得以不斷地進化與完善。如蔚來一直心心念的自動駕駛技術，也離不開大量駕駛數據的 " 喂養 "。

假如車企的數據被接管，那麼其長期積累的大量數據優勢，恐怕要大打折扣了。

可是，車企本身真的可以擁有這些數據的所有權嗎？按照法律規定，不管企業以何種技術方式搜集的個人信息，數據本身仍屬于人民，車企隻是有算法而已，決不允許随意使用。

如果車企将數據權讓渡第三方公司的路徑不可行，那麼我們還可以從其他方面來提高車輛數據安全，比如強化監管規範和落實車企責任。

站在行業發展高度來說，強化監管規範要先行。早在 2020 年，《新能源汽車産業發展規劃 ( 2021-2035 ) 》發布就明确要健全安全保障體系，打造網絡安全保障體系。

今年 4 月，工業和信息化部、公安部、交通運輸部、應急管理部、市場監管總局聯合發布了《關于進一步加強新能源汽車企業安全體系建設的指導意見》 ( 以下簡稱《意見》 ) ，明确提出要對車輛網絡安全狀态進行監測，加強對車輛運行數據的分析挖掘。

在推動新能源汽車行業發展的同時，監管規範也要與時俱進，在發展過程中不斷規範，才能推動行業未來更健康地發展。随着相關文件的密集發布，汽車數據的監管也将日趨嚴格。

其次，規範數據信息安全保護責任的落實主體主要在新能源車企，這也是我們要着重強調的部分。

除了有關部門強制要求新能源汽車行駛數據實時上傳外，更為重要的是車主個人信息、車輛信息以及相關數據信息，這些信息的收集者、儲存者、使用者都是新能源車企，也同時享受着這些信息的紅利和經濟價值。

上述《意見》也具體明确，企業要依法落實關鍵信息基礎設施安全保護、網絡安全等級保護、車聯網卡實名登記、汽車産品安全漏洞管理等要求；企業要建立健全全流程數據安全管理制度，并按照法律、行政法規的有關規定進行數據收集、存儲、使用、加工、傳輸、提供、公開等處理活動，以及數據出境安全管理。

在個人信息安全防護方面，《意見》明确提出，企業要制定内部管理和操作規程，對個人信息實行分類管理，并采取相應的加密、去标識化等安全技術措施，防止未經授權的訪問以及個人信息洩露、篡改、丢失。

所以說，車企是車主等個人相關信息的第一責任人，出了問題不能隻道歉，承認錯誤，再表達決心要強化信息安全保護工作，後續不了了之。

事實上，蔚來用戶數據被竊取引發熱議并非行業首次，包括每次特斯拉的事故都會引發新能源車信息安全保護責任話題的熱議，網絡安全、數據安全等新問題頻發不得不重視。不僅蔚來一家企業需要重視和檢讨，整個新能源汽車行業企業都應該關注及思考，這是一次行業警示。（本文首發钛媒體 APP）

更多精彩内容，關注钛媒體微信号（ID：taimeiti），或者下載钛媒體 App