本文来源:时代财经 作者:贺晴

12月20日,蔚来发布声明表示,其收到外部邮件,声称拥有蔚来内部数据,并以泄露数据勒索225万美元等额比特币(约合1570万元人民币)。在收到勒索邮件后,公司当天即成立专项小组进行调查与应对,并第一时间向有关监管部门报告此事件。经初步调查,被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。

当日晚间,蔚来创始人、董事长李斌就数据泄露一事在蔚来官方社区致歉。李斌表示,“保护好用户信息安全是我们的责任,我们没有做好,向大家深表歉意,会对此次事件给用户带来的损失承担责任。我们会协同有关部门深入调查此次事件,对窃取和买卖此次事件相关数据的违法犯罪行为追查到底。我们不会与不法行为妥协,也请大家及时提供线索。”

广东大同律师事务所主任朱永平告诉时代财经,根据《个人信息保护法》第69条、《汽车数据安全管理若干规定》第17条,如蔚来公司在本次事件当中未履行数据安全保障义务,存在过错,则应当向受到损害的用户承担侵权责任。“本次事件中,蔚来公司承诺给造成损失的用户承担责任,但该种承诺比较难以兑现。”朱永平表示。

对于蔚来自身是否将面临处罚,朱永平认为,“目前法律上信息数据安全的处罚主要针对非法提供或非法买卖等方式故意泄漏数据信息的情形,但是蔚来公司在本次事件中是被窃取,主观上没有泄漏的故意,我认为是不需要面临处罚的。”


图片来源:蔚来

部分用户基本信息被窃

根据声明所述,12月11日,蔚来公司收到外部邮件,声称拥有蔚来内部数据,并以泄露数据勒索225万美元等额比特币(约合1570万元人民币)。蔚来方面表示,经初步调查,被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。

就数据为何被窃取,泄露的用户基本信息和车辆销售信息具体包括了哪些个人信息及相关数据等问题,时代财经向蔚来方面发去采访函,截至发稿未获得回复。

时代财经进入蔚来APP发现,其个人信息收集清单收集的个人信息类型包括姓名、手机号码、有效证件号码等。用户如果在蔚来APP-我的证件中进行授权,则可能会包括更为隐私的个人信息,如购车指标、社保流水、公积金流水、薪资流水等。

蔚来客服则告诉时代财经,目前,涉及的具体信息资料还没有公布。此次数据泄露不会对车辆驾驶造成影响,车主若接到不明来电,则需要谨慎一点。该名客服同时表示:如果车主因信息泄露事件受到相应的损失和影响,客服将记录反馈,有专门的顾问进行后续的沟通。

蔚来首席信息安全科学家、信息安全委员会负责人卢龙表示,本次事件不涉及车辆使用中产生的数据(如行车轨迹、座舱数据),也不影响车辆的驾乘或远程控制。还在进一步调查数据泄露的原因和影响范围。

不过,在业界看来,尽管蔚来方面承诺给用户带来的损失承担责任,但该承诺或难兑现。


图片来源:蔚来

朱永平告诉时代财经,根据《个人信息保护法》第69条、《汽车数据安全管理若干规定》第17条,如蔚来公司在本次事件当中未履行数据安全保障义务,存在过错,则应当向受到损害的用户承担侵权责任。本次事件中,蔚来公司承诺给造成损失的用户承担责任,但该种承诺比较难以兑现。

朱永平进一步解释道:用户举证难度大,首先用户并不清楚该次事件中遭到泄漏的数据是否包含自己的个人信息,这需要用户先向蔚来公司方面进行了解;其次,即便蔚来公司承认本次泄漏的数据中包含自己的信息,用户也难以证明自己的损失是因为该次数据泄漏事件造成的,因为在日常生活中,我们在方方面面的事情上都可能留下我们的数据信息,用户需要证明自己的损失是因为本次数据泄漏造成,而不是从其他方面造成的,该举证责任成为用户维权的一大难题。

智能汽车数据安全敲响警钟

相较于传统燃油车,智能汽车的数字化场景更多,其产品和服务收集个人信息的场景也更多。从购车咨询、车辆试驾到车辆订购、电池租用、车辆使用及远程车辆管理等,各个环节或都有数据安全、信息安全风险伴随其中。

新能源汽车研究者安阳告诉时代财经,新能源汽车的电动化、智能化产生了海量的汽车应用数据,同时,新能源汽车直联用户,利用超级APP、小程序等方式与用户互动,产生了大量的用户信息。如何保障这些数据的安全、合理地应用,不仅在于相关部门,各主机厂和三方公司,都需要认真考量,提前准备,减少此类蔚来事件的发生。

在政策层面,今年4月,工业和信息化部、公安部、交通运输部、应急管理部、市场监管总局联合发布了《关于进一步加强新能源汽车企业安全体系建设的指导意见》(以下简称《意见》),明确提出要健全网络安全保障体系,加强网络安全防护、强化数据安全保护、落实个人信息安全防护。

《意见》指出,企业要按照《个人信息保护法》以及相关法律法规的规定处理个人信息,制定内部管理和操作规程,对个人信息实行分类管理,并采取相应的加密、去标识化等安全技术措施,防止未经授权的访问以及个人信息泄露、篡改、丢失。

朱永平表示,根据《汽车数据安全管理若干规定》第八条,汽车数据处理者处理个人信息应当取得个人同意或者符合法律、行政法规规定的其他情形。车企在收集用户信息前,需要征得用户的同意,且应当保证数据合法、正当的用途。

“我认为法律上可以从汽车的生产、销售、用户使用、车辆管理等层面上细化车企对数据运用的规定,提出明确要求;对于用户数据信息进行分类,按照分类级别设置不同的权限,由用户决定是否提供;强化数据信息透明化使用,使用户能够了解车企使用数据的实际情况。”朱永平说。