近日,蔚来汽车深陷“数据泄露门”的麻烦之中。
12月20日,蔚来汽车就用户数据遭窃取发表致歉声明,证实了此前其用户数据被泄露的传闻。在12月11日,蔚来曾收到外部邮件,以数据泄露来勒索225万美元等额比特币。21日,蔚来再发公告称,公司承诺对因数据泄露给用户造成的损失承担责任。
蔚来的道歉声明及承诺,未能打消用户的顾虑。数百万条遭泄露的数据,涉及车主身份证、贷款甚至亲密关系等极为隐私信息。不少车主在接受记者采访时担心,接下来不知道会有何潜在风险和隐患。对此担忧,蔚来客服人员回应记者称,目前遭泄露数据为2021年8月之前的部分用户基本信息,但无法精准追查具体到哪位车主的个人信息遭窃。“近期车主留意下陌生电话,特别是提到与蔚来相关的电话,请及时与我们确认,谨防遭到电信诈骗或骚扰电话,至于其他方面应该不受影响。如果因为个人信息泄露造成的损失,公司会承担相应责任。”
数百万条数据遭窃取,蔚来回应并致歉
日前,一张流传于网络的图片显示,有人宣称破解了蔚来汽车大量数据,并公开对外出售,其列出的数据高达数百万条,这些信息被明码标价,价格均以比特币为单位。比如,蔚来2.2万条内部员工数据,包含总裁到一线员工,售价0.15比特币;39万条车主用户身份证数据,售价0.25比特币;65万条用户地址信息,售价0.15比特币;36万条车主亲密关系信息,售价0.2比特币;17万条车主贷款数据,售价0.1比特币;全部数据打包,售价1比特币……图片里被公开售卖的信息,不仅涉及蔚来员工数据、订单数据、用户及企业代表联系人数据,还包括车主身份证、用户地址,甚至车主亲密关系、车主贷款数据等极为隐私的信息。
此事件迅速引发热议,蔚来汽车也随即作出回应。12月20日,蔚来汽车首席信息安全科学家、信息安全委员会负责人卢龙在蔚来官方APP发布“关于数据安全事件的声明”。声明显示:12月11日,蔚来公司收到外部邮件,声称拥有蔚来内部数据,并以泄露数据勒索225万美元(约合人民币1566万元)等额比特币。经初步调查,被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。当晚,蔚来创始人、董事长兼CEO李斌在蔚来APP社区就用户数据泄露一事发文致歉,并表示“会对此次事件给用户带来的损失承担责任”。21日,蔚来对日前的数据泄露事件在港交所发布公告称,公司承诺对因数据泄露给用户造成的损失承担责任,并将持续与相关政府部门合作调查此事件,同时采取必要措施控制潜在损失。
22日上午,记者致电蔚来官方客服。相关客服人员表示,官方此前已经发布过公告,并承诺会对用户造成的相关损失承担责任。针对此次泄露事件的相关报告,公司已经交给监管部门和执法机关了,后续请等待相关部门的最新公告。记者又拨打蔚来汽车公关部相关负责人电话,对方表示不方便回应此事。
数据泄露麻烦多大?涉及多种关键个人信息
从蔚来官方声明和高管回复中,仅得知被确认窃取的数据为“2021年8月之前部分用户基本信息和车辆销售信息”这一关键信息,但并未提及“部分用户”比例究竟有多少。公开资料显示,2021年1—7月,蔚来汽车累计交付量49887台,2020年全年交付量达43728台,2019年全年交付量达20565台,2018年全年交付量达11348台,这些交付数据极有可能就在此次被泄露的相关数据里。
此外,相比网购、填表、手机APP等途径泄露的信息,购车用户信息泄露带来的麻烦可能更多。由于购车用户信息大多包含家庭情况、工作情况、金融信息等综合性敏感信息,新能源汽车又搭载了大量的传感器、摄像头、智能导航系统、语音交互系统等,需要捕捉人脸和声音,一旦信息泄露,带给用户的不安全感会更加强烈。
图源:蔚来官方微博
日前,一位2021年7月购车的蔚来车主,就分析了黑客可能会从蔚来数据库里窃取到的哪些有用信息:首先,个人基础信息。在订车过程中,车主的手机号、身份证等信息会上报蔚来,而在北京、上海等限牌城市,用户还需提交购车指标或社保卡及工作居住证等信息。完成提车后,蔚来APP中还会搜集用户的行驶证、车辆配置、车架号等信息。其中,行驶证上关于家庭住址的信息与身份证上一致,而发动机号、车辆VIN码等也赫然在列。蔚来还需要人脸实名认证后才能使用联网功能。此外,车主信息中还包括了紧急联系人的姓名及电话,云相册(车内摄像头拍摄的用户合影)、车辆配置信息等等数据。“假如我们的这些数据都被窃取了,被卖给了不法分子,后果将不堪想象。”在接受记者采访时,不少车主均表达了担忧。
对此,蔚来信息安全委员会负责人卢龙表示,本次数据泄露并不影响车辆驾乘或远程控制,不涉及车辆使用中产生的数据(如行车轨迹、座舱数据),目前他们还在进一步调查数据泄露的原因和影响范围。
本人信息是否遭泄露?蔚来车主暂无法追查
2021年8月之前的购车用户,如何确定自己信息有没有被泄露?对此,蔚来相关客服人员表示,目前尚没有这方面的相关数据进行查询,“现在主要是根据时间判断,8月份之前购车的用户信息都有可能被泄露了。接下来,用户可以注意陌生电话之类的,尤其是提到跟蔚来相关的,可以通过专属群或官方客服查询,以防电信诈骗。”
此次信息遭泄露,又会给用户造成哪些隐患?客服人员表示,犯罪团伙对外售卖的信息,大部分是花钱购买来的,主要还是车主姓名、手机号之类的基本信息,以实施诈骗或者骚扰电话为主,这些基本都能直接感知到,肯定不会涉及到银行账户被盗走之类的。除了这些,车主在其他感知方面不会有什么影响。
蔚来用户数据遭到泄露后,即使车主可能不会感知到什么影响,但个人隐私无故遭到泄露,还是引发很多车主不满。不少车主表示,希望蔚来能承担起相应责任,针对此次泄露事件,给出足够的解决诚意或给予一定补偿。对此,蔚来客服人员表示,目前尚未有这方面通知,接下来是否会对广大车主有所表示,需要关注后续官方公告。
图源:蔚来官方微博
谁该为事件埋单?蔚来或需承担法律责任
近年来,随着新能源汽车和智能网联汽车的发展,数据安全成为汽车产业的关注焦点。过去,汽车行业主要关注点都围绕“乘用安全”上,数据安全问题因为相对隐形,往往容易被忽略。事实上,蔚来并不是第一家出现数据泄露的车企,此前,大众、丰田、沃尔沃等国际车企均遭遇过类似案件。此次蔚来数据泄露事件,进一步暴露出一部分新能源车企在数据安全问题上存在短板或漏洞。
蔚来是否需要为此承担相应法律责任?对此,河南泽槿律师事务所主任付建认为,用户数据被泄露说明企业在数据管理,以及个人信息保护方面仍然不够完善。企业对用户的数据具有安全保护义务,如果用户数据遭到泄露,其需要承担相应赔偿责任。根据《数据安全法》的规定,如涉事企业未履行本法规定的数据安全保护义务,造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。同时,因涉及个人信息,若存在非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息等个人敏感信息的行为,可能构成犯罪。
付建同时表示,去年11月份,我国出台了《个人信息保护法》,使得企业对个人信息保护从一般监管上升到了法律的强制性要求,在保障个人信息权益的同时,有助于规范企业正确处理公民的个人信息。因为此次泄露事件涉及个人信息,根据《个人信息保护法》的规定,当个人的信息权益因个人信息处理活动受到侵害时,车企应当证明自己此次用户数据泄露事件中不存在过错,否则将承担损害赔偿等侵权责任。上海交通大学数据法律研究中心执行主任何渊在接受媒体采访时也表示,企业务必切实履行各项法定义务,以保护个人信息和数据安全为底线和红线,一旦发生了数据泄露事件,同样要切实履行相关的法定义务,把相关的损害减少到最小。
图源:蔚来官方微博
此外,新能源车企过度收集用户信息的问题,也一直饱受诟病。此前,曾有用户质疑蔚来汽车过度收集用户信息,据介绍车内安装多个摄像头,在行车过程中会持续采集驾驶员面部信息,以此来确保行车安全。对此,蔚来汽车回应说,蔚来ES8车内产生的所有数据都能够被有效地保护起来。通过此次泄露事件来看,显然这种“有效保护”并不能规避用户信息被泄露的风险。作为知名的新能源车企,蔚来汽车更应时刻保持警醒,迅速补上数据安全和用户信息保护的必修课。(来源:新黄河 郭吉刚)