文|電動公會 金不換

新能源車企再遭信息安全“事故”!

百萬條信息被公開售賣

日前，一張流傳于網(wǎng)絡(luò)的圖片顯示，有人宣稱破解了蔚來汽車大量數(shù)據(jù)，并公開叫價出售。其列出的數(shù)據(jù)涉及蔚來的經(jīng)營以及客戶隱私，包括蔚來員工數(shù)據(jù)、訂單數(shù)據(jù)、用戶及企業(yè)代表聯(lián)系人數(shù)據(jù)，還包括車主身份證、用戶地址，甚至車主親密關(guān)系、車主貸款數(shù)據(jù)等極為隱私的信息。

這些信息被明碼標(biāo)價，價格均以比特幣為單位，比如2.28萬條員工數(shù)據(jù)，售價0.15比特幣;3.99萬條車主身份證數(shù)據(jù)，售價0.25比特幣;全部數(shù)據(jù)打包，售價1比特幣。

針對數(shù)據(jù)泄露遭勒索的情況，蔚來汽車態(tài)度堅決。12月20日蔚來汽車發(fā)布的聲明顯示：

12月11日，蔚來公司收到外部郵件，聲稱擁有蔚來內(nèi)部數(shù)據(jù)，并以泄露數(shù)據(jù)勒索225萬美元等額比特幣(約合1570.5萬元人民幣)。

在收到勒索郵件后，公司當(dāng)天即成立專項(xiàng)小組進(jìn)行調(diào)查與應(yīng)對，并第一時間向有關(guān)監(jiān)管部門報告此事件。

經(jīng)初步調(diào)查，被竊取數(shù)據(jù)為2021年8月之前的部分用戶基本信息和車輛銷售信息。

據(jù)公開信息，蔚來汽車在2021年1至7月累計交付49887臺，2020年全年交付量達(dá)43728臺，2019年全年交付量達(dá)20565臺，2018年全年交付量達(dá)11348臺，目前尚不清楚官方所說的“部分用戶”比例有多少。

盡管蔚來官方成立專項(xiàng)小組進(jìn)行調(diào)查與應(yīng)對，并第一時間向有關(guān)監(jiān)管部門報告此事件，并協(xié)同有關(guān)部門深入調(diào)查。蔚來創(chuàng)始人、董事長李斌也于12月20日晚間在蔚來官方社區(qū)就用戶數(shù)據(jù)泄露一事發(fā)文致歉，但仍然打消不了用戶的擔(dān)憂。

隨著車輛智能化程度逐步提升，數(shù)據(jù)安全也將直接影響到行車安全。我們在蔚來社區(qū)評論區(qū)中看到，不少用戶對于數(shù)據(jù)泄露后的車輛安全提出擔(dān)憂。還有一些用戶表示，希望“車企將軟件里的個人信息刪除，以免影響到自己和家人。

對此，蔚來信息安全委員會負(fù)責(zé)人盧龍表示，本次數(shù)據(jù)泄露并不影響車輛駕乘或遠(yuǎn)程控制，不涉及車輛使用中產(chǎn)生的數(shù)據(jù)(如行車軌跡、座艙數(shù)據(jù))，目前他們還在進(jìn)一步調(diào)查數(shù)據(jù)泄露的原因和影響范圍。

有相關(guān)技術(shù)分析人士表示，此次泄露的數(shù)據(jù)，大部分是存儲在后端、數(shù)據(jù)庫或者云端的個人數(shù)據(jù)，黑客如果選擇攻擊車輛本身，還是有一定的技術(shù)門檻，而汽車本身有車載的安全網(wǎng)關(guān)也會進(jìn)行攔截。

誰來保護(hù)用戶信息安全?

在汽車智能化、電動化逐步普及的今天，信息數(shù)據(jù)與用戶駕駛安全、個人私隱間的聯(lián)系變得愈發(fā)密切。蔚來用戶數(shù)據(jù)被竊取事件引發(fā)了一系列關(guān)鍵問題和思考，在新能源汽車發(fā)展如火如荼的背景下，用戶數(shù)據(jù)及大數(shù)據(jù)安全誰來保護(hù)?

我們看了一下網(wǎng)民的態(tài)度，大部分網(wǎng)民強(qiáng)烈支持?jǐn)?shù)據(jù)收歸國有，也就是將數(shù)據(jù)權(quán)讓渡國有第三方公司。在他們看來，身份信息交給國家比交給資本家放心。

比如衛(wèi)士通，它是大型央企中國電子科技集團(tuán)的三級子公司，成立于 1998 年，2008 年上市，被稱為 " 中國信息安全第一股 "，具有很高的權(quán)威性，絕對能保障數(shù)據(jù)安全。如果蔚來真的將數(shù)據(jù)權(quán)交給了類似衛(wèi)士通的第三方公司，那么其信息被泄漏的風(fēng)險就會低很多。

不過，這是一條路切實(shí)可行的方案嗎?各大車企舍得交出數(shù)據(jù)權(quán)嗎?

要知道，對于那些深耕汽車智能化的車企來說，其數(shù)據(jù)價值很難用人民幣去計算，數(shù)據(jù)就是它的根，被稱作未來趨勢的AI技術(shù)，正是因?yàn)橛袛?shù)據(jù)的支撐才得以不斷地進(jìn)化與完善。如蔚來一直心心念的自動駕駛技術(shù)，也離不開大量駕駛數(shù)據(jù)的“喂養(yǎng)”。

假如車企的數(shù)據(jù)被接管，那么其長期積累的大量數(shù)據(jù)優(yōu)勢，恐怕要大打折扣了。

可是，車企本身真的可以擁有這些數(shù)據(jù)的所有權(quán)嗎?按照法律規(guī)定，不管企業(yè)以何種技術(shù)方式搜集的個人信息，數(shù)據(jù)本身仍屬于人民，車企只是有算法而已，決不允許隨意使用。

如果車企將數(shù)據(jù)權(quán)讓渡第三方公司的路徑不可行，那么我們還可以從其他方面來提高車輛數(shù)據(jù)安全，比如強(qiáng)化監(jiān)管規(guī)范和落實(shí)車企責(zé)任。

站在行業(yè)發(fā)展高度來說，強(qiáng)化監(jiān)管規(guī)范要先行。早在2020年，《新能源汽車產(chǎn)業(yè)發(fā)展規(guī)劃(2021-2035)》發(fā)布就明確要健全安全保障體系，打造網(wǎng)絡(luò)安全保障體系。

今年4月，工業(yè)和信息化部、公安部、交通運(yùn)輸部、應(yīng)急管理部、市場監(jiān)管總局聯(lián)合發(fā)布了《關(guān)于進(jìn)一步加強(qiáng)新能源汽車企業(yè)安全體系建設(shè)的指導(dǎo)意見》(以下簡稱《意見》)，明確提出要對車輛網(wǎng)絡(luò)安全狀態(tài)進(jìn)行監(jiān)測，加強(qiáng)對車輛運(yùn)行數(shù)據(jù)的分析挖掘。

在推動新能源汽車行業(yè)發(fā)展的同時，監(jiān)管規(guī)范也要與時俱進(jìn)，在發(fā)展過程中不斷規(guī)范，才能推動行業(yè)未來更健康地發(fā)展。隨著相關(guān)文件的密集發(fā)布，汽車數(shù)據(jù)的監(jiān)管也將日趨嚴(yán)格。

其次，規(guī)范數(shù)據(jù)信息安全保護(hù)責(zé)任的落實(shí)主體主要在新能源車企，這也是我們要著重強(qiáng)調(diào)的部分。

除了有關(guān)部門強(qiáng)制要求新能源汽車行駛數(shù)據(jù)實(shí)時上傳外，更為重要的是車主個人信息、車輛信息以及相關(guān)數(shù)據(jù)信息，這些信息的收集者、儲存者、使用者都是新能源車企，也同時享受著這些信息的紅利和經(jīng)濟(jì)價值。

上述《意見》也具體明確，企業(yè)要依法落實(shí)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)、網(wǎng)絡(luò)安全等級保護(hù)、車聯(lián)網(wǎng)卡實(shí)名登記、汽車產(chǎn)品安全漏洞管理等要求;企業(yè)要建立健全全流程數(shù)據(jù)安全管理制度，并按照法律、行政法規(guī)的有關(guān)規(guī)定進(jìn)行數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開等處理活動，以及數(shù)據(jù)出境安全管理。

在個人信息安全防護(hù)方面，《意見》明確提出，企業(yè)要制定內(nèi)部管理和操作規(guī)程，對個人信息實(shí)行分類管理，并采取相應(yīng)的加密、去標(biāo)識化等安全技術(shù)措施，防止未經(jīng)授權(quán)的訪問以及個人信息泄露、篡改、丟失。

所以說，車企是車主等個人相關(guān)信息的第一責(zé)任人，出了問題不能只道歉，承認(rèn)錯誤，再表達(dá)決心要強(qiáng)化信息安全保護(hù)工作，后續(xù)不了了之。

事實(shí)上，蔚來用戶數(shù)據(jù)被竊取引發(fā)熱議并非行業(yè)首次，包括每次特斯拉的事故都會引發(fā)新能源車信息安全保護(hù)責(zé)任話題的熱議，網(wǎng)絡(luò)安全、數(shù)據(jù)安全等新問題頻發(fā)不得不重視。不僅蔚來一家企業(yè)需要重視和檢討，整個新能源汽車行業(yè)企業(yè)都應(yīng)該關(guān)注及思考，這是一次行業(yè)警示。