蔚來數(shù)據(jù)泄露事件繼續(xù)發(fā)酵。12月20日晚間,蔚來汽車創(chuàng)始人兼董事長李斌在蔚來官方社區(qū)就此事致歉,稱“會對此次事件給用戶帶來的損失承擔責任”。
(相關(guān)資料圖)
網(wǎng)傳圖片顯示,蔚來泄露數(shù)據(jù)為內(nèi)部員工數(shù)據(jù)2.28萬條、車主用戶身份證數(shù)據(jù)39.9萬條、用戶地址數(shù)據(jù)65萬條等。蔚來隨后承認于12月11日收到外部郵件,就泄露數(shù)據(jù)被勒索225萬美元,此次在網(wǎng)上被第三方違法出售的是2021年8月以前部分中國用戶信息及車輛銷售數(shù)據(jù)。
時代周報記者據(jù)蔚來公眾號數(shù)據(jù)統(tǒng)計,2021年8月及此前,蔚來共交付13.14萬輛汽車,包括ES8、ES6、EC6。
12月21日,時代周報記者致電蔚來官方客服,相關(guān)人員稱所泄露信息類型還在排查,對用戶的賠償方案具體未定。
事實上,蔚來已不是第一次陷入數(shù)據(jù)泄露風波。2019年,王銅根等微博認證車評人曾發(fā)文指責蔚來涉嫌記錄車主行程數(shù)據(jù),并泄露私密旅程信息。
對標榜智能化的蔚來而言,數(shù)據(jù)遭遇泄露并非小事,尤其在大量依賴數(shù)據(jù)的智能駕駛、無人駕駛方面,一旦遭遇黑客入侵,或?qū)⑼{到乘客生命安全。
就用戶及車輛行駛過程中各類信息的保護等級、安全措施等問題,時代周報記者采訪蔚來相關(guān)負責人,截至發(fā)稿未獲回應(yīng)。而蔚來首席信息安全科學(xué)家盧龍在蔚來官方社區(qū)表示,此次數(shù)據(jù)泄露事件并不涉及車輛使用中產(chǎn)生的行車軌跡、座艙數(shù)據(jù)等數(shù)據(jù),也不影響車輛的駕乘或遠程控制。
圖源:圖蟲創(chuàng)意
車主諸多數(shù)據(jù)被收集
此次數(shù)據(jù)泄露事件,蔚來目前尚未詳細解釋所泄露用戶數(shù)據(jù)組成。實際上,蔚來收集的用戶數(shù)據(jù)類型頗多。
時代周報記者據(jù)《蔚來汽車隱私政策》統(tǒng)計,為預(yù)約汽車試駕、訂購、租用電池、購買保險、遠程汽車管理等服務(wù),蔚來在一定情況下會收集或申請收集用戶姓名、手機號、位置信息、身份證信息、機動車駕駛證信息、結(jié)婚證/戶口本、銀行卡卡號、車內(nèi)外攝像頭影像資料、車輛行駛記錄數(shù)據(jù)等信息。
“在購買過程及日常體驗中,很多貴司人員對數(shù)據(jù)及數(shù)據(jù)安全不清楚不重視,我更關(guān)心數(shù)據(jù)泄露范圍、數(shù)據(jù)儲存方式”“近半年幾乎天天接到貸款機構(gòu)、新能源車企騷擾電話,直截了當說是蔚來合作伙伴”不少用戶在蔚來社區(qū)反映相關(guān)問題。
時代周報記者注意到,多名用戶提到此前或近期接到不少電話騷擾,懷疑與蔚來信息泄露有關(guān)。
蔚來客服對此次泄露事件表示,所泄露信息類型還在排查,可能涉及車輛信息、用戶姓名與所在地比較多,應(yīng)不包括銀行卡信息。若因此給用戶造成損失,蔚來會承擔,具體賠償方案未詳細制定。蔚來在信息泄露發(fā)生后對網(wǎng)絡(luò)信息安全進行了排查與強化。
時代周報記者注意到,蔚來以上隱私政策對個人信息安全事件發(fā)生后的用戶補救措施,并未詳細規(guī)定,僅稱向用戶告知安全事件基本情況和可能影響、采取處置措施、用戶可自主防范或降風險的建議、對用戶補救措施等。
就蔚來應(yīng)該承擔的責任及賠償問題,12月21日,北京盈科(杭州)律師事務(wù)所合伙人丁夢丹告訴時代周報記者,有無履行相關(guān)數(shù)據(jù)安全保護與個人信息保護義務(wù)、履行程度、是否展開相關(guān)評估工作等,都將影響判定蔚來所需承擔的責任及責任大小。若造成大量數(shù)據(jù)泄露等嚴重后果,按《數(shù)據(jù)安全法》處50-200萬元罰款、停業(yè)整頓等,對直接管理人員和其他直接責任人員處5-20萬元罰款。身份證信息、用戶地址屬敏感個人信息,根據(jù)數(shù)量等方面認定情節(jié)以及嚴重程度。
12月21日,汽車行業(yè)分析師鐘師告訴時代周報記者,從以往車企信息泄露用戶信息的案例看,很少有用戶能獲得賠償,因難以追溯數(shù)據(jù)泄露來源。
同日,有專注汽車數(shù)據(jù)安全的律師告訴時代周報記者,對新能源車企的各類數(shù)據(jù)查看權(quán)限、保護等級高低等,目前行業(yè)標準未定,暫時按照去年發(fā)布的《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》(第7號令)。
時代周報記者注意到,該規(guī)定提及利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)開展汽車數(shù)據(jù)處理活動,應(yīng)當落實網(wǎng)絡(luò)安全等級保護等制度,倡導(dǎo)汽車數(shù)據(jù)處理者在開展汽車數(shù)據(jù)處理活動中堅持車內(nèi)處理原則,除非確有必要不向車外提供,且可能進行匿名化、去標識化等處理。
智能駕駛時代數(shù)據(jù)安全關(guān)乎生命
車企出現(xiàn)黑客入侵、數(shù)據(jù)泄露并非首例。
圖源:圖蟲創(chuàng)意
據(jù)報道,2018年,特斯拉、通用、豐田、大眾等多家車企均有敏感信息泄露,涉及工廠原理圖、客戶材料等;2021年6月,大眾汽車稱因供應(yīng)商將部分客戶數(shù)據(jù)未經(jīng)保護留在互聯(lián)網(wǎng)上,有330萬名客戶信息遭泄露,包括姓名、住址、電話號碼等個人信息;今年10月,豐田汽車表示其T-Connet服務(wù)中約29.6萬條客戶信息可能被泄露,受影響客戶是2017年7月以來使用電子郵件地址注冊該服務(wù)網(wǎng)站的用戶。
鐘師告訴時代周報記者,理論上只要有數(shù)據(jù)庫就有數(shù)據(jù)泄露風險,目前看蔚來泄露數(shù)據(jù)與其他車企沒有太大差別。
丁夢丹也告訴時代周報記者,智能電動車與傳統(tǒng)燃油車的信息泄露和黑客入侵風險高低,無法從汽車生態(tài)角度直接比較,關(guān)鍵還是在于車企有無規(guī)范收集信息、有無履行和強化數(shù)據(jù)安全和個人信息保護義務(wù)。
從數(shù)據(jù)收集層面看,蔚來等造車新勢力相比不少傳統(tǒng)燃油車企,確實收集了更多種類信息。例如,更重社區(qū)運營的造車新勢力均設(shè)立了線上社區(qū),后者可能收集更多用戶信息。
丁夢丹介紹,造車新勢力不乏有違法收集、過度收集的行為,此前便有車企App因違法違規(guī)收集使用個人信息而被相關(guān)部門通報并限期完成整改。
鐘師表示,汽車要邁向自動駕駛,確需多種數(shù)據(jù)進行訓(xùn)練,其中路況等數(shù)據(jù)并不敏感。但逐漸智能化的汽車確實存在新問題,如車內(nèi)儲存空間有限,很多數(shù)據(jù)需上傳至云端儲存,疲勞駕駛、行車安全等監(jiān)控也會產(chǎn)生多類數(shù)據(jù)。
“關(guān)鍵是要規(guī)范企業(yè)信息收集邊界,例如一些數(shù)據(jù)不上云端,縮短影像存儲時間或不儲存?!辩妿熣f道。
目前階段,法律法規(guī)層面對新能源汽車信息安全、系統(tǒng)安全的界定和強化還在進行。在未來的智能駕駛時代,信息和系統(tǒng)安全愈發(fā)重要。據(jù)報道,此前黑客曾入侵25輛特斯拉汽車,操控車門、攝像頭。一旦類似發(fā)生將對車企造成信任危機,也將威脅乘客生命安全。
鐘師表示,黑客入侵自動駕駛系統(tǒng)存在可能性,自動駕駛程度越高,車被其他人接管的可能性更大,企業(yè)在相關(guān)方面也會做得更好,車企需特別關(guān)注此事。