新浪科技

蔚来遭黑客勒索225万美元,汽车数据安全挑战重重

21世纪经济报道

关注

蔚来不是首家出现数据泄露的车企。随着智能汽车的发展,网络和数据安全或将面临更多挑战。

21世纪经济报道记者 左茂轩,郑植文 报道

12月21日,蔚来在港交所公告,2022年12月20日,公司得知2021年8月之前部分中国用户信息及车辆销售数据在网上被第三方违法出售。

蔚来表示,已在中国就该事件发布公开声明,其中提供了解答用户就数据泄露事件疑问的专门热线及邮箱地址。

此外,蔚来承诺其对因数据泄露事件给用户造成的损失承担责任。蔚来对此次事件深表歉意,并采取一切可能方式支持其用户。蔚来持续与相关政府部门合作调查此事件,并采取必要措施控制潜在损失。

“经初步调查,蔚来被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。这主要涉及的是个人信息,因此,作为个人信息处理者的蔚来首先要履行的是数据泄露事件中的法定义务。即应当立即采取补救措施,并通知监管机构和被泄露个人信息的用户。”上海交通大学数据法律研究中心执行主任何渊接受21世纪经济报道记者采访时表示。

至于蔚来是否需承担相关法律责任,何渊表示,根据数据安全法45条的规定,企业开展数据处理活动的组织、个人不履行本法规定的数据安全保护义务,造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。

此外,因为涉及个人信息的泄露,也可以同时适用个人信息保护法的规定,适用的是个保法第66条,具体要结合相关案情来判断。

黑客勒索225万美元

12月20日,一张网络流传的图片显示,有人宣称破解蔚来大量数据,并明码标价出售。

“近日,我们破解了蔚来大量数据,同时给了蔚来两次机会,但是蔚来宁愿花费千万请歌手,也不愿意买断这部分数据来保护各位车主和用户,因此决定有偿曝光。”有不法人士表示。

其列出的数据数百万条,涉及蔚来的经营以及客户隐私,包括蔚来员工数据、订单数据、用户及企业代表联系人数据,还包括车主身份证、用户地址,甚至车主亲密关系、车主贷款数据等极为隐私的信息,这些信息被明码标价进行出售。

例如,蔚来内部员工数据22800条,包含总裁到一线员工,售价0.15比特币;车主用户身份证数据399000条售价0.25比特币;用户地址信息65万条,售价0.15比特币;车主贷款数据170000条,售价0.1比特币......

相关信息在网络流传之后,引发热议,蔚来随即作出回应。

12月20日,蔚来汽车首席信息安全科学家、信息安全委员会负责人卢龙在蔚来官方APP发布“关于数据安全事件的声明”。

声明显示:12月11日,蔚来公司收到外部邮件,声称拥有蔚来内部数据,并以泄露数据勒索225万美元(约合人民币1566万元)等额比特币。在收到勒索邮件后,蔚来汽车随即成立专项小组进行调查与应对,并第一时间向有关监管部门报告此事件。经初步调查,被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。

蔚来表示,对于此次事件对用户造成的影响深表歉意,并郑重承诺,对因本次事件给用户造成的损失承担责任。

蔚来汽车还同时表示,坚决不会向网络犯罪行为低头,将协同有关执法部门深入调查此次事件,并依法坚决打击相关的数据窃取、买卖行为。

当天晚间,蔚来创始人、董事长兼CEO李斌在蔚来APP社区就用户数据泄露一事发文致歉。

李斌表示:“保护好用户信息安全是我们的责任,我们没有做好,向大家深表歉意,会对此次事件给用户带来的损失承担责任。我们会协同有关部门深入调查此次事件,对窃取和买卖此次事件相关数据的违法犯罪行为追查到底。我们不会与不法行为妥协,也请大家及时提供线索。”

事实上,蔚来并不是第一家出现数据泄漏的车企,此前,大众、丰田、沃尔沃等国际车企均遭遇过类似案件。

2021年6月,大众汽车集团称330万名客户的数据遭泄露。泄露发生的原因是一家供应商在2019年8月至2021年5月期间将客户数据“未经保护”地留在互联网上。

据当时的媒体公开报道信息,泄露的数据包含相关客户和潜在买家的姓名、地址以及电话号码等个人信息。同时,还有9万名美国和加拿大的客户“更机密”的数据被泄露,其中包括获得贷款资格的信息以及社会保障号码等。

2021年12月,沃尔沃汽车运营的研发数据也遭遇黑客入侵,沃尔沃称在入侵期间公司的有限数量的研发财产被盗,并称此次黑客攻击“可能对公司的运营产生影响”。

今年10月,丰田汽车对外表示,在其T-Connect服务中,约29.6万条客户信息可能被泄露,受影响的客户均为2017年7月以来使用电子邮件地址注册该服务网站的个人用户。

经丰田汽车初步确认,本次疑似被泄露的信息主要包括电子邮件地址和客户号码等;而其他敏感个人信息,例如姓名、电话号码和信用卡信息等均未受到影响。

监管趋严强化数据安全保障

事实上,除了用户隐私数据之外,随着新能源汽车和智能网联汽车的发展,数据安全成为汽车产业的关注焦点。随着智能网联汽车进一步普及,其网络和数据安全问题将与公共安全等息息相关。

具体而言,智能汽车的安全主要包含三个方面。

第一方面跟汽车本身相关,涉及汽车的功能安全以及汽车的信息安全,例如,行驶中车辆会不会被别人控制?会不会产生行车安全风险?

第二方面涉及个人隐私。汽车会获取一些车内的驾驶员或者乘客的信息,车外的传感器则可能会涉及一些车外行人的信息。这些信息如何处理、保护、使用、存储,会涉及个人隐私问题。

第三个方面,则涉及到了国家安全的问题。智能汽车上装的传感器,在行驶的过程中采集大量行驶环境信息数据,其中可能包含一些敏感数据,如果处理得不妥当,可能会给国家带来一些安全隐患。特别是现在可能还存在一些跨境数据的传输,会对国家的安全带来更大的影响。

解决智能汽车数据安全的问题非常复杂,是一个综合性的问题。这不仅要求车企从数据的采集、传输、存储、使用等全过程,要从技术上保证数据的安全,也要有合理合法的管理机制,确保数据的合法合规使用。

也就是说,除了目前已经出现的用户数据被黑客盗取问题之外,随着智能汽车及自动驾驶的发展,数据安全保障对车企甚至是对整个汽车行业都提出了更高的挑战。

2021年4月上海车展期间,有特斯拉车主称“刹车失灵”维权一事引发关注。该事件,也让公众的部分视线聚焦于行车数据与个人隐私上。

2021年开始,多项政策文件出台,加快了智能汽车数据安全监管。

其中,在一系列文件中,给行业带来较大影响的是《关于加强智能网联汽车生产企业及产品准入管理的意见》和《汽车数据安全管理若干规定(试行)》。

其中,《关于加强智能网联汽车生产企业及产品准入管理的意见》提出了“加强数据和网络安全管理”,明确数据分类分级、重要数据境内存储、健全网络安全保障技术等多项要求。

《汽车数据安全管理若干规定(试行)》则首次清晰界定了“汽车数据处理者”和“重要数据”类型等内容,提出4项推荐数据处理原则,明确数据处理者义务,并制定跨境数据传输规则。

“关于黑客勒索的问题,关键在于防患于未然。企业务必切实履行《数据安全法》、《个人信息保护法》及《汽车数据安全管理若干规定(试行)》的各项法定义务,以保护个人信息和数据安全为底线和红线,一旦发生了数据泄露事件,同样要切实履行相关的法定义务,把相关的损害减少到最小。”何渊表示。

加载中...