本文來源：時代週報 作者：鄭栩彤

蔚來資料洩露事件繼續發酵。12月20日晚間，蔚來汽車創始人兼董事長李斌在蔚來官方社群就此事致歉，稱“會對此次事件給使用者帶來的損失承擔責任”。

網傳圖片顯示，蔚來洩露資料為內部員工資料2。28萬條、車主使用者身份證資料39。9萬條、使用者地址資料65萬條等。蔚來隨後承認於12月11日收到外部郵件，就洩露資料被勒索225萬美元，此次在網上被第三方違法出售的是2021年8月以前部分中國使用者資訊及車輛銷售資料。

時代週報記者據蔚來公眾號資料統計，2021年8月及此前，蔚來共交付13。14萬輛汽車，包括ES8、ES6、EC6。

12月21日，時代週報記者致電蔚來官方客服，相關人員稱所洩露資訊型別還在排查，對使用者的賠償方案具體未定。

事實上，蔚來已不是第一次陷入資料洩露風波。2019年，王銅根等微博認證車評人曾發文指責蔚來涉嫌記錄車主行程資料，並洩露私密旅程資訊。

對標榜智慧化的蔚來而言，資料遭遇洩露並非小事，尤其在大量依賴資料的智慧駕駛、無人駕駛方面，一旦遭遇駭客入侵，或將威脅到乘客生命安全。

就使用者及車輛行駛過程中各類資訊的保護等級、安全措施等問題，時代週報記者採訪蔚來相關負責人，截至發稿未獲迴應。而蔚來首席資訊保安科學家盧龍在蔚來官方社群表示，此次資料洩露事件並不涉及車輛使用中產生的行車軌跡、座艙資料等資料，也不影響車輛的駕乘或遠端控制。

圖源：圖蟲創意

車主諸多資料被收集

此次資料洩露事件，蔚來目前尚未詳細解釋所洩露使用者資料組成。實際上，蔚來收集的使用者資料型別頗多。

時代週報記者據《蔚來汽車隱私政策》統計，為預約汽車試駕、訂購、租用電池、購買保險、遠端汽車管理等服務，蔚來在一定情況下會收集或申請收集使用者姓名、手機號、位置資訊、身份證資訊、機動車駕駛證資訊、結婚證/戶口本、銀行卡卡號、車內外攝像頭影像資料、車輛行駛記錄資料等資訊。

“在購買過程及日常體驗中，很多貴司人員對資料及資料安全不清楚不重視，我更關心資料洩露範圍、資料儲存方式”“近半年幾乎天天接到貸款機構、新能源車企騷擾電話，直截了當說是蔚來合作伙伴”不少使用者在蔚來社群反映相關問題。

時代週報記者注意到，多名使用者提到此前或近期接到不少電話騷擾，懷疑與蔚來資訊洩露有關。

蔚來客服對此次洩露事件表示，所洩露資訊型別還在排查，可能涉及車輛資訊、使用者姓名與所在地比較多，應不包括銀行卡資訊。若因此給使用者造成損失，蔚來會承擔，具體賠償方案未詳細制定。蔚來在資訊洩露發生後對網路資訊保安進行了排查與強化。

時代週報記者注意到，蔚來以上隱私政策對個人資訊保安事件發生後的使用者補救措施，並未詳細規定，僅稱向用戶告知安全事件基本情況和可能影響、採取處置措施、使用者可自主防範或降風險的建議、對使用者補救措施等。

就蔚來應該承擔的責任及賠償問題，12月21日，北京盈科（杭州）律師事務所合夥人丁夢丹告訴時代週報記者，有無履行相關資料安全保護與個人資訊保護義務、履行程度、是否展開相關評估工作等，都將影響判定蔚來所需承擔的責任及責任大小。若造成大量資料洩露等嚴重後果，按《資料安全法》處50-200萬元罰款、停業整頓等，對直接管理人員和其他直接責任人員處5-20萬元罰款。身份證資訊、使用者地址屬敏感個人資訊，根據數量等方面認定情節以及嚴重程度。

12月21日，汽車行業分析師鍾師告訴時代週報記者，從以往車企資訊洩露使用者資訊的案例看，很少有使用者能獲得賠償，因難以追溯資料洩露來源。

同日，有專注汽車資料安全的律師告訴時代週報記者，對新能源車企的各類資料檢視許可權、保護等級高低等，目前行業標準未定，暫時按照去年釋出的《汽車資料安全管理若干規定（試行）》（第7號令）。

時代週報記者注意到，該規定提及利用網際網路等資訊網路開展汽車資料處理活動，應當落實網路安全等級保護等制度，倡導汽車資料處理者在開展汽車資料處理活動中堅持車內處理原則，除非確有必要不向車外提供，且可能進行匿名化、去標識化等處理。

智慧駕駛時代資料安全關乎生命

車企出現駭客入侵、資料洩露並非首例。

圖源：圖蟲創意

據報道，2018年，特斯拉、通用、豐田、大眾等多家車企均有敏感資訊洩露，涉及工廠原理圖、客戶材料等；2021年6月，大眾汽車稱因供應商將部分客戶資料未經保護留在網際網路上，有330萬名客戶資訊遭洩露，包括姓名、住址、電話號碼等個人資訊；今年10月，豐田汽車表示其T-Connet服務中約29。6萬條客戶資訊可能被洩露，受影響客戶是2017年7月以來使用電子郵件地址註冊該服務網站的使用者。

鍾師告訴時代週報記者，理論上只要有資料庫就有資料洩露風險，目前看蔚來洩露資料與其他車企沒有太大差別。

丁夢丹也告訴時代週報記者，智慧電動車與傳統燃油車的資訊洩露和駭客入侵風險高低，無法從汽車生態角度直接比較，關鍵還是在於車企有無規範收集資訊、有無履行和強化資料安全和個人資訊保護義務。

從資料收集層面看，蔚來等造車新勢力相比不少傳統燃油車企，確實收集了更多種類資訊。例如，更重社群運營的造車新勢力均設立了線上社群，後者可能收集更多使用者資訊。

丁夢丹介紹，造車新勢力不乏有違法收集、過度收集的行為，此前便有車企App因違法違規收集使用個人資訊而被相關部門通報並限期完成整改。

鍾師表示，汽車要邁向自動駕駛，確需多種資料進行訓練，其中路況等資料並不敏感。但逐漸智慧化的汽車確實存在新問題，如車內儲存空間有限，很多資料需上傳至雲端儲存，疲勞駕駛、行車安全等監控也會產生多類資料。

“關鍵是要規範企業資訊收集邊界，例如一些資料不上雲端，縮短影像儲存時間或不儲存。”鍾師說道。

目前階段，法律法規層面對新能源汽車資訊保安、系統安全的界定和強化還在進行。在未來的智慧駕駛時代，資訊和系統安全愈發重要。據報道，此前駭客曾入侵25輛特斯拉汽車，操控車門、攝像頭。一旦類似發生將對車企造成信任危機，也將威脅乘客生命安全。

鍾師表示，駭客入侵自動駕駛系統存在可能性，自動駕駛程度越高，車被其他人接管的可能性更大，企業在相關方面也會做得更好，車企需特別關注此事。

TAG: 蔚來洩露資料使用者資訊