作 者丨左茂軒 , 鄭植文
編 輯丨張明豔
圖 源丨視覺中國
12 月 21 日,蔚來在港交所公告,2022 年 12 月 20 日,公司得知 2021 年 8 月之前部分中國用戶信息及車輛銷售數據在網上被第三方違法出售。
蔚來表示,已在中國就該事件發布公開聲明,其中提供了解答用戶就數據洩露事件疑問的專門熱線及郵箱地址。
此外,蔚來承諾其對因數據洩露事件給用戶造成的損失承擔責任。蔚來對此次事件深表歉意,并采取一切可能方式支持其用戶。蔚來持續與相關政府部門合作調查此事件,并采取必要措施控制潛在損失。
"經初步調查 , 蔚來被竊取數據為 2021 年 8 月之前的部分用戶基本信息和車輛銷售信息。這主要涉及的是個人信息,因此,作為個人信息處理者的蔚來首先要履行的是數據洩露事件中的法定義務。即應當立即采取補救措施,并通知監管機構和被洩露個人信息的用戶。" 上海交通大學數據法律研究中心執行主任何淵接受 21 世紀經濟報道記者采訪時表示。
至于蔚來是否需承擔相關法律責任,何淵表示,根據數據安全法 45 條的規定,企業開展數據處理活動的組織、個人不履行本法規定的數據安全保護義務,造成大量數據洩露等嚴重後果的,處五十萬元以上二百萬元以下罰款,并可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處五萬元以上二十萬元以下罰款。
此外,因為涉及個人信息的洩露,也可以同時适用個人信息保護法的規定,适用的是個保法第 66 條,具體要結合相關案情來判斷。
黑客勒索 225 萬美元
12 月 20 日,一張網絡流傳的圖片顯示,有人宣稱破解蔚來大量數據,并明碼标價出售。
" 近日,我們破解了蔚來大量數據,同時給了蔚來兩次機會,但是蔚來甯願花費千萬請歌手,也不願意買斷這部分數據來保護各位車主和用戶,因此決定有償曝光。" 有不法人士表示。
其列出的數據數百萬條,涉及蔚來的經營以及客戶隐私,包括蔚來員工數據、訂單數據、用戶及企業代表聯系人數據,還包括車主身份證、用戶地址,甚至車主親密關系、車主貸款數據等極為隐私的信息,這些信息被明碼标價進行出售。
例如,蔚來内部員工數據 22800 條,包含總裁到一線員工,售價 0.15 比特币;車主用戶身份證數據 399000 條售價 0.25 比特币 ; 用戶地址信息 65 萬條,售價 0.15 比特币;車主貸款數據 170000 條,售價 0.1 比特币 ......
相關信息在網絡流傳之後,引發熱議,蔚來随即作出回應。
12 月 20 日,蔚來汽車首席信息安全科學家、信息安全委員會負責人盧龍在蔚來官方 APP 發布 " 關于數據安全事件的聲明 "。
聲明顯示:12 月 11 日,蔚來公司收到外部郵件,聲稱擁有蔚來内部數據,并以洩露數據勒索 225 萬美元(約合人民币 1566 萬元)等額比特币。在收到勒索郵件後,蔚來汽車随即成立專項小組進行調查與應對,并第一時間向有關監管部門報告此事件。經初步調查,被竊取數據為 2021 年 8 月之前的部分用戶基本信息和車輛銷售信息。
蔚來表示,對于此次事件對用戶造成的影響深表歉意,并鄭重承諾,對因本次事件給用戶造成的損失承擔責任。
蔚來汽車還同時表示,堅決不會向網絡犯罪行為低頭,将協同有關執法部門深入調查此次事件,并依法堅決打擊相關的數據竊取、買賣行為。
當天晚間,蔚來創始人、董事長兼 CEO 李斌在蔚來 APP 社區就用戶數據洩露一事發文緻歉。
李斌表示:" 保護好用戶信息安全是我們的責任,我們沒有做好,向大家深表歉意,會對此次事件給用戶帶來的損失承擔責任。我們會協同有關部門深入調查此次事件,對竊取和買賣此次事件相關數據的違法犯罪行為追查到底。我們不會與不法行為妥協,也請大家及時提供線索。"
事實上,蔚來并不是第一家出現數據洩漏的車企,此前,大衆、豐田、沃爾沃等國際車企均遭遇過類似案件。
2021 年 6 月,大衆汽車集團稱 330 萬名客戶的數據遭洩露。洩露發生的原因是一家供應商在 2019 年 8 月至 2021 年 5 月期間将客戶數據 " 未經保護 " 地留在互聯網上。
據當時的媒體公開報道信息,洩露的數據包含相關客戶和潛在買家的姓名、地址以及電話号碼等個人信息。同時,還有 9 萬名美國和加拿大的客戶 " 更機密 " 的數據被洩露,其中包括獲得貸款資格的信息以及社會保障号碼等。
2021 年 12 月,沃爾沃汽車運營的研發數據也遭遇黑客入侵,沃爾沃稱在入侵期間公司的有限數量的研發财産被盜,并稱此次黑客攻擊 " 可能對公司的運營産生影響 "。
今年 10 月,豐田汽車對外表示,在其 T-Connect 服務中,約 29.6 萬條客戶信息可能被洩露,受影響的客戶均為 2017 年 7 月以來使用電子郵件地址注冊該服務網站的個人用戶。
經豐田汽車初步确認,本次疑似被洩露的信息主要包括電子郵件地址和客戶号碼等;而其他敏感個人信息,例如姓名、電話号碼和信用卡信息等均未受到影響。
監管趨嚴強化數據安全保障
事實上,除了用戶隐私數據之外,随着新能源汽車和智能網聯汽車的發展,數據安全成為汽車産業的關注焦點。随着智能網聯汽車進一步普及,其網絡和數據安全問題将與公共安全等息息相關。
具體而言,智能汽車的安全主要包含三個方面。
第一方面跟汽車本身相關,涉及汽車的功能安全以及汽車的信息安全,例如,行駛中車輛會不會被别人控制?會不會産生行車安全風險?
第二方面涉及個人隐私。汽車會獲取一些車内的駕駛員或者乘客的信息,車外的傳感器則可能會涉及一些車外行人的信息。這些信息如何處理、保護、使用、存儲,會涉及個人隐私問題。
第三個方面,則涉及到了國家安全的問題。智能汽車上裝的傳感器,在行駛的過程中采集大量行駛環境信息數據,其中可能包含一些敏感數據,如果處理得不妥當,可能會給國家帶來一些安全隐患。特别是現在可能還存在一些跨境數據的傳輸,會對國家的安全帶來更大的影響。
解決智能汽車數據安全的問題非常複雜,是一個綜合性的問題。這不僅要求車企從數據的采集、傳輸、存儲、使用等全過程,要從技術上保證數據的安全,也要有合理合法的管理機制,确保數據的合法合規使用。
也就是說,除了目前已經出現的用戶數據被黑客盜取問題之外,随着智能汽車及自動駕駛的發展,數據安全保障對車企甚至是對整個汽車行業都提出了更高的挑戰。
2021 年 4 月上海車展期間,有特斯拉車主稱 " 刹車失靈 " 維權一事引發關注。該事件,也讓公衆的部分視線聚焦于行車數據與個人隐私上。
2021 年開始,多項政策文件出台,加快了智能汽車數據安全監管。
其中,在一系列文件中,給行業帶來較大影響的是《關于加強智能網聯汽車生産企業及産品準入管理的意見》和《汽車數據安全管理若幹規定(試行)》。
其中,《關于加強智能網聯汽車生産企業及産品準入管理的意見》提出了 " 加強數據和網絡安全管理 ",明确數據分類分級、重要數據境内存儲、健全網絡安全保障技術等多項要求。
《汽車數據安全管理若幹規定(試行)》則首次清晰界定了 " 汽車數據處理者 " 和 " 重要數據 " 類型等内容,提出 4 項推薦數據處理原則,明确數據處理者義務,并制定跨境數據傳輸規則。
" 關于黑客勒索的問題,關鍵在于防患于未然。企業務必切實履行《數據安全法》、《個人信息保護法》及《汽車數據安全管理若幹規定 ( 試行 ) 》的各項法定義務,以保護個人信息和數據安全為底線和紅線,一旦發生了數據洩露事件,同樣要切實履行相關的法定義務,把相關的損害減少到最小。" 何淵表示。
E N D
本期編輯 林海銘 實習生 餘心雨
