文|電動公會 金不換

新能源車企再遭信息安全“事故”!

百萬條信息被公開售賣

日前，一張流傳于網絡的圖片顯示，有人宣稱破解了蔚來汽車大量數(shù)據，并公開叫價出售。其列出的數(shù)據涉及蔚來的經營以及客戶隱私，包括蔚來員工數(shù)據、訂單數(shù)據、用戶及企業(yè)代表聯(lián)系人數(shù)據，還包括車主身份證、用戶地址，甚至車主親密關系、車主貸款數(shù)據等極為隱私的信息。

這些信息被明碼標價，價格均以比特幣為單位，比如2.28萬條員工數(shù)據，售價0.15比特幣;3.99萬條車主身份證數(shù)據，售價0.25比特幣;全部數(shù)據打包，售價1比特幣。

針對數(shù)據泄露遭勒索的情況，蔚來汽車態(tài)度堅決。12月20日蔚來汽車發(fā)布的聲明顯示：

12月11日，蔚來公司收到外部郵件，聲稱擁有蔚來內部數(shù)據，并以泄露數(shù)據勒索225萬美元等額比特幣(約合1570.5萬元人民幣)。

在收到勒索郵件后，公司當天即成立專項小組進行調查與應對，并第一時間向有關監(jiān)管部門報告此事件。

經初步調查，被竊取數(shù)據為2021年8月之前的部分用戶基本信息和車輛銷售信息。

據公開信息，蔚來汽車在2021年1至7月累計交付49887臺，2020年全年交付量達43728臺，2019年全年交付量達20565臺，2018年全年交付量達11348臺，目前尚不清楚官方所說的“部分用戶”比例有多少。

盡管蔚來官方成立專項小組進行調查與應對，并第一時間向有關監(jiān)管部門報告此事件，并協(xié)同有關部門深入調查。蔚來創(chuàng)始人、董事長李斌也于12月20日晚間在蔚來官方社區(qū)就用戶數(shù)據泄露一事發(fā)文致歉，但仍然打消不了用戶的擔憂。

隨著車輛智能化程度逐步提升，數(shù)據安全也將直接影響到行車安全。我們在蔚來社區(qū)評論區(qū)中看到，不少用戶對于數(shù)據泄露后的車輛安全提出擔憂。還有一些用戶表示，希望“車企將軟件里的個人信息刪除，以免影響到自己和家人。

對此，蔚來信息安全委員會負責人盧龍表示，本次數(shù)據泄露并不影響車輛駕乘或遠程控制，不涉及車輛使用中產生的數(shù)據(如行車軌跡、座艙數(shù)據)，目前他們還在進一步調查數(shù)據泄露的原因和影響范圍。

有相關技術分析人士表示，此次泄露的數(shù)據，大部分是存儲在后端、數(shù)據庫或者云端的個人數(shù)據，黑客如果選擇攻擊車輛本身，還是有一定的技術門檻，而汽車本身有車載的安全網關也會進行攔截。

誰來保護用戶信息安全?

在汽車智能化、電動化逐步普及的今天，信息數(shù)據與用戶駕駛安全、個人私隱間的聯(lián)系變得愈發(fā)密切。蔚來用戶數(shù)據被竊取事件引發(fā)了一系列關鍵問題和思考，在新能源汽車發(fā)展如火如荼的背景下，用戶數(shù)據及大數(shù)據安全誰來保護?

我們看了一下網民的態(tài)度，大部分網民強烈支持數(shù)據收歸國有，也就是將數(shù)據權讓渡國有第三方公司。在他們看來，身份信息交給國家比交給資本家放心。

比如衛(wèi)士通，它是大型央企中國電子科技集團的三級子公司，成立于 1998 年，2008 年上市，被稱為 " 中國信息安全第一股 "，具有很高的權威性，絕對能保障數(shù)據安全。如果蔚來真的將數(shù)據權交給了類似衛(wèi)士通的第三方公司，那么其信息被泄漏的風險就會低很多。

不過，這是一條路切實可行的方案嗎?各大車企舍得交出數(shù)據權嗎?

要知道，對于那些深耕汽車智能化的車企來說，其數(shù)據價值很難用人民幣去計算，數(shù)據就是它的根，被稱作未來趨勢的AI技術，正是因為有數(shù)據的支撐才得以不斷地進化與完善。如蔚來一直心心念的自動駕駛技術，也離不開大量駕駛數(shù)據的“喂養(yǎng)”。

假如車企的數(shù)據被接管，那么其長期積累的大量數(shù)據優(yōu)勢，恐怕要大打折扣了。

可是，車企本身真的可以擁有這些數(shù)據的所有權嗎?按照法律規(guī)定，不管企業(yè)以何種技術方式搜集的個人信息，數(shù)據本身仍屬于人民，車企只是有算法而已，決不允許隨意使用。

如果車企將數(shù)據權讓渡第三方公司的路徑不可行，那么我們還可以從其他方面來提高車輛數(shù)據安全，比如強化監(jiān)管規(guī)范和落實車企責任。

站在行業(yè)發(fā)展高度來說，強化監(jiān)管規(guī)范要先行。早在2020年，《新能源汽車產業(yè)發(fā)展規(guī)劃(2021-2035)》發(fā)布就明確要健全安全保障體系，打造網絡安全保障體系。

今年4月，工業(yè)和信息化部、公安部、交通運輸部、應急管理部、市場監(jiān)管總局聯(lián)合發(fā)布了《關于進一步加強新能源汽車企業(yè)安全體系建設的指導意見》(以下簡稱《意見》)，明確提出要對車輛網絡安全狀態(tài)進行監(jiān)測，加強對車輛運行數(shù)據的分析挖掘。

在推動新能源汽車行業(yè)發(fā)展的同時，監(jiān)管規(guī)范也要與時俱進，在發(fā)展過程中不斷規(guī)范，才能推動行業(yè)未來更健康地發(fā)展。隨著相關文件的密集發(fā)布，汽車數(shù)據的監(jiān)管也將日趨嚴格。

其次，規(guī)范數(shù)據信息安全保護責任的落實主體主要在新能源車企，這也是我們要著重強調的部分。

除了有關部門強制要求新能源汽車行駛數(shù)據實時上傳外，更為重要的是車主個人信息、車輛信息以及相關數(shù)據信息，這些信息的收集者、儲存者、使用者都是新能源車企，也同時享受著這些信息的紅利和經濟價值。

上述《意見》也具體明確，企業(yè)要依法落實關鍵信息基礎設施安全保護、網絡安全等級保護、車聯(lián)網卡實名登記、汽車產品安全漏洞管理等要求;企業(yè)要建立健全全流程數(shù)據安全管理制度，并按照法律、行政法規(guī)的有關規(guī)定進行數(shù)據收集、存儲、使用、加工、傳輸、提供、公開等處理活動，以及數(shù)據出境安全管理。

在個人信息安全防護方面，《意見》明確提出，企業(yè)要制定內部管理和操作規(guī)程，對個人信息實行分類管理，并采取相應的加密、去標識化等安全技術措施，防止未經授權的訪問以及個人信息泄露、篡改、丟失。

所以說，車企是車主等個人相關信息的第一責任人，出了問題不能只道歉，承認錯誤，再表達決心要強化信息安全保護工作，后續(xù)不了了之。

事實上，蔚來用戶數(shù)據被竊取引發(fā)熱議并非行業(yè)首次，包括每次特斯拉的事故都會引發(fā)新能源車信息安全保護責任話題的熱議，網絡安全、數(shù)據安全等新問題頻發(fā)不得不重視。不僅蔚來一家企業(yè)需要重視和檢討，整個新能源汽車行業(yè)企業(yè)都應該關注及思考，這是一次行業(yè)警示。