蔚来汽车就用户数据泄露一事道歉

　　在汽车智能化逐步普及的今天，信息数据与用户驾驶安全、个人私隐间的联系变得愈发密切。

　　日前，蔚来在港交所发布公告。12月20日，公司得知 2021年8月之前部分中国用户信息及车辆销售数据在网上被第三方违法出售。蔚来已在中国就该事件发布公开声明，其中提供了解答用户就数据泄露事件疑问的专门热线及邮箱地址。

　　此外，蔚来承诺其对因数据泄露事件给用户造成的损失承担责任，将持续与相关政府部门合作调查此事件，并采取必要措施控制潜在损失。

　　蔚来数据泄露始末

　　此次蔚来事件始于20日的一则官方公告。

　　近日，网传蔚来汽车的用户数据被明码标价出售。网图显示，售卖者称其破解了蔚来大量数据，给了蔚来两次机会，但是蔚来宁愿花费千万（元）请歌手，也不愿意买断这部分数据保护车主和用户，因此决定将其有偿曝光。

　　12月20日，蔚来首席信息安全科学家、信息安全委员会负责人卢龙在蔚来官方社区发布公告，证实了有不法人士在网上出售蔚来相关数据的说法。

　　对此，官方声明称：2022年12月11日，公司收到外部邮件，声称拥有蔚来内部数据，并以泄露数据勒索225万美元（当前约1570.5万元人民币）等额比特币。在收到勒索邮件后，公司当天即成立专项小组进行调查与应对，并第一时间向有关监管部门报告此事件。经其初步调查，被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。

　　随后，卢龙在蔚来官方社区表示，本次事件不涉及车辆使用中产生的数据(如行车轨迹、座舱数据)，也不影响车辆的驾乘或远程控制。公司还在进一步调查数据泄露的原因和影响范围。

　　蔚来汽车客服人员表示，不会做出主动赔偿，但“对因本次事件给用户造成的损失承担责任。”蔚来客服同时表示，如近期遇到涉及蔚来的陌生来电，需小心谨慎，勿透露个人信息。

　　12月21日，蔚来创始人、董事长李斌在蔚来官方社区就用户数据泄露一事发文致歉。

　　李斌表示：“保护好用户信息安全是我们的责任，我们没有做好，向大家深表歉意，会对此次事件给用户带来的损失承担责任。我们会协同有关部门深入调查此次事件，对窃取和买卖此次事件相关数据的违法犯罪行为追查到底。我们不会与不法行为妥协，也请大家及时提供线索。”

　　数据安全重要性愈显

　　在2021年国务院发布的《汽车数据安全管理若干规定（试行）》中对汽车数据给了范围界定，汽车数据包括汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据。

　　财经网汽车进入蔚来官方APP发现，其个人信息清单收集的类型包括头像、昵称、简介、性别、兴趣爱好、通信地址等。

　　但具体细化到服务时，信息需求会更进一步。例如购车咨询和车辆试驾时，需要提供试驾人的姓名、手机号码、身份证信息、机动车驾驶证信息。涉及到车辆订购和电池租用服务时，会收集购买人姓名、手机号码、有效证件号码（身份证件或护照、军官证、港澳居民居住证、台湾居民居住证及其他有效证件号码）、上牌城市、交付中心、车型及车辆配置信息、价款及支付信息。

　　网传泄露的蔚来汽车数据包括蔚来员工数据、订单数据、用户及企业代表联系人数据，还涉及车主身份证、用户地址、车主亲密关系、车主贷款数据等隐私信息。

　　关于汽车隐私协议的部分，蔚来官方网站显示，在远程使用车辆过程中，就会收集车辆信息、车辆历史行驶记录数据，同步至蔚来App内显示。

　　尽管蔚来官方称被窃取数据仅为2021年8月之前的部分用户基本信息和车辆销售信息。本次事件不涉及车辆使用中产生的数据(如行车轨迹、座舱数据)，也不影响车辆的驾乘或远程控制。但是网上售卖的信息数据和蔚来官方收集的信息范围颇为相似，部分消费者不免担心对其隐私安全仍有一定的威胁。

　　对此，财经网汽车联系到蔚来相关负责人，对方表示：“以声明为主。”官方声明中强调公司还在进一步调查数据泄露的原因和影响范围。

　　财经网汽车查询发现，蔚来数据安全问题并非行业个例。近年来关于汽车数据安全隐患的相关事件频频发生。

　　2016年，日产Leaf电动车就被曝出存在安全漏洞。该漏洞存在于电动汽车的配套车载应用程序之中，黑客可以通过漏洞，在获知车辆VIN码后，对具体到某辆车的车主近期行程进行监控。黑客可以通过该漏洞，远程操控该车辆的空调、门锁等功能。

　　2022年5月，通用汽车发布公告称，2022年4月11日至29日期间，部分在线客户账户出现了可疑登录，导致在未经用户授权的情况下，客户的奖励积分被兑换成了礼品卡。尽管通用汽车方面在发现问题后立刻暂时禁用了该功能，但黑客仍旧通过在线移动应用程序获取了部分客户的个人信息。

　　2022年10月，丰田汽车（Toyota Motor Corp）发现，在其T-Connect服务中，约29.6万条客户信息可能被泄露，受影响的客户均为2017年7月以来使用电子邮件地址注册该服务网站的个人用户。据悉，T-Connect是丰田于2014年开发的一种通过网络连接车辆的远程通信服务。

　　数据安全未来行业关注方向

　　在政策层面，智能汽车的数据安全问题也在逐步得到重视。

　　在汽车数据保护方面，2021年10月1日，《汽车数据安全管理若干规定（试行）》正式实施。其中规定，利用互联网等信息网络开展汽车数据处理活动，应当落实网络安全等级保护等制度，加强汽车数据保护，依法履行数据安全义务。

　　国家鼓励汽车数据依法合理有效利用，倡导汽车数据处理者在开展汽车数据处理活动中坚持：默认不收集原则，除非驾驶人自主设定，每次驾驶时默认设定为不收集状态；脱敏处理原则，尽可能进行匿名化、去标识化等处理。开展汽车数据处理活动造成用户合法权益或者公共利益受到损害的，汽车数据处理者应当依法承担相应责任。

　　今年4月，工业和信息化部、公安部、交通运输部、应急管理部、市场监管总局联合发布了《关于进一步加强新能源汽车企业安全体系建设的指导意见》(以下简称《意见》)，明确提出要对车辆网络安全状态进行监测，加强对车辆运行数据的分析挖掘。

　　在个人信息安全防护方面，《意见》明确提出，企业要制定内部管理和操作规程，对个人信息实行分类管理，并采取相应的加密、去标识化等安全技术措施，防止未经授权的访问以及个人信息泄露、篡改、丢失。

　　另外，根据工信部12月13日印发的《工业和信息化领域数据安全管理办法（试行）》，更是对数据安全主体进行了责任划分。其中明确，“工业和信息化领域数据处理者应当对数据处理活动负安全主体责任。”

　　同时，“工业和信息化领域数据处理者在数据安全事件发生后，应当按照应急预案，及时开展应急处置，涉及重要数据和核心数据的安全事件，第一时间向本地区行业监管部门报告，事件处置完成后在规定期限内形成总结报告，每年向本地区行业监管部门报告数据安全事件处置情况。工业和信息化领域数据处理者对发生的可能损害用户合法权益的数据安全事件，应当及时告知用户，并提供减轻危害措施。”

　　值得一提的是，根据《中国车联网白皮书》数据，预计到2025年，中国智能汽车市场规模将接近万亿元，2020-2025年6年产业复合增速预计高达36.85%。

　　随着汽车行业的高速发展和智能化的普及，各车企更应该重视数据安全，尽可能保证消费者的基本隐私权益。