身陷“数据泄露门”

　　新京报ੑ贝壳财经记者 张冰 罗亦丹 林子&nbs⊗p੣;编辑 岳彩周

　　蔚来™汽车被以泄露的数据勒索225万美元等额比特币！消息一出，行业震动。蔚来成为国内第一家用户ì数据被窃取的⊇造车企业。

　　一时间2021年8月之前的蔚来用户也炸开了锅。“这是怎么੍被窃∼取的，得查清楚。”“以后ⓖ还会发生吗？”

　　12月20日晚，蔚来汽车在其官方社区发布的一则▒声明，引发了蔚∑来汽车用户的讨论。蔚ਠ来汽车在声明中表示，确认2021年8月之前的部分用户基本信息和车辆销售信息被窃取。

　　目前具体涉及多少用户，截至目前蔚来方面仍未公布。▥不મ过，根据蔚来此前公布的数据，2018年至2021年1-7月间，蔚λ来累计交付超12.5万辆。

&#260e;　　针对此事，贝壳财ω经Ê记者第一时间向蔚来方面询问事件调查进展和用户补偿等信息。但截至发稿未收到回复。

　　12月21日，新京报贝壳财经ⓝ记者致电声明中提供的解答用户就数据泄露事件疑问的电话，对方工作人员表示，目前还在调查数据泄露的原因和影响范围，若用户近期接到提及蔚来的陌生电话，建议小心谨慎。对于蔚来如Η何补偿信息被泄露的用户ε、是否会给予用户相关风险提示和应对措施建议，上述工作人员未给出明确回复。

　　━ૉ━´━⊃━━

　　蔚来仍ઞ在调查数વ据泄露原因和影响范Ù围

　　李斌称将ૠ追☜查到底›

　　一张流传ãß于网络的图片显示，有人宣称“破解了蔚来大量数据”，并公布了购િ买的邮件地址公开叫价出售。

　　根β据列出的信息ð，数据涉及蔚来的经营以及客户隐私，包括蔚来员工数据、订单数据、车主身份证、用户地址，甚至车主亲密关系、车主贷款数据É等极为隐私的信息。

　　这些信息被明码标价，价格均以比特币为单位，如2.28万条ਰ员工数据售价0.15比特币，3࠷.99万条车主用户é身份证数据售价0.25比特币；全部数据打包售价1比特币。

　　“我们还在进一步调查数据泄露的原因和影响范围。”蔚来信息安全委会负责人卢龙在蔚来官方ી社区表示∈，本次事件不涉及车辆使用中产生的行车轨迹、座舱数据等数据，ⓓ也不影响车辆的驾乘或远程控制。

　　š针对用户数据泄露一事，12月20日晚，蔚来创始人、董事长兼CEO李斌在蔚来官方社区致歉，并表示蔚来会协同有关部门深入调查此次事件，对窃取和买卖此次事件相关数据的违法犯罪行为追查到底。“我们不会与不法行&#25d0;为妥协。” 12月21日早间，蔚来针对此ઢ事再度于港交所发布公告。

ਊ　ਭ　安全专☼家如何看？

　　民间互联网安全组织网络尖刀创始人曲子龙表示，从网&#260e;传的泄露截图信息来看，黑客公布的泄露数ú据并不是由汽车本身产生的数据，而是在实际业务经营的过程中产生的，如员工数据、企业及企业代表联系数据、订单及退单数据、车主贷款数据这些应该是常规公司的OA及CRM数据；而车主注册身份证数据、用户注册数据、车主亲密关系数据应该源于与蔚来用户互动ⓔ的车主APP。

　　“个人认为本次泄露大概率是产生于蔚来公司自己的‘业务管理后台’，就本次泄露事件来看，我觉得大家可以短暂地抛开蔚来是家智能汽车企业来看待，和以往的大部分互联网企业数据泄露一样，应该是某个系统存在问题导致数据库被拖库。当然具体੆到底怎么ਜ਼泄露મ的还要以蔚来公司自己的调查结果为准。”曲子龙称。

　　中શ博联智库特聘专家、黄河科技学院客座教授张翔表示，尽管黑客黑客恶意窃取数据≅勒索未能成功，但这也说明蔚来的信息系统还是存有漏洞，蔚来应该ੑ提高内部信息系统的安全等级。“虽然没有绝对的数据安全，但提高安全等级、多做一些防护措施，可增加被攻击的成本和难度。”

　　此…外，北京市京师律师事务所律师孙智阳在接受贝壳财经记者采访时表示，蔚来作为⊂众多用户的个人信息拥有者、处理者，应该按照法律建立完善的保护制度、防护措施和紧急措૙施等保证用户个人信息的安全存留，避免丢失泄露。

૯

³　　用户更关心自己哪些⌉信息被窃取了

　　“无法确定自己的隐私数据♣是否已被泄露，也不清楚是如何泄露的，目前未收到蔚来方面的通知。”12月21日，一位于¼2021年8月前购车的蔚来车主告诉记&#25a1;者，“希望没有车主因为这个泄露遭受损失。”

　　“不能仅仅是道歉，不能仅仅是空洞的à承担损失，应该Í尽快提示我们用户哪些信息被窃取了，应该做≠些什么。”蔚来车主李先生在接受记者采访时表示。

　　同Η日，贝壳财经记者就上述问题致电声明中提供的解答用户就数据ਠ泄露事件疑问的电话，在谈及信息被泄露的用户是否会收到企业的提醒、蔚来是否会告诉用户“泄露的基本信息包括了哪些”时，അ对方工作人员并未给出明确答复。

બ

　　律师详解蔚ι来数据泄Œ漏该当何责？

　　“车企应该及时向用户说明调查情况。”北京市京师律师事务所律师孙智阳在接受贝壳财经记者采访时表示ζ，用户有权对自己的个人信息进行询问，对自己的信息是否泄漏具有知情权和决定权，如&#263f;个人信息因蔚来的丢失给用户造成损σ失的求偿权，这些在个人信息法中有相关的规定保护个人信息。

　　孙智阳指出，车企发生类似事件，首先在内部应该紧急处理、查实问题，及时处理补救保证数据安全。对于被敲诈勒索可以报案交予公安，对于企业的丢失个人信息问题如监管部门进行调查，发现企业内部个人信息保৻护措施不完善或没有尽到保护义务的可á以给予行政处罚◙。

　　北京市中策律师事务所律师张方隅指出，用户个人信息的泄露，是信息在储存、传输等过程中信息处理者保护失当的体现。作为用户，有权对信息泄露的具体情况进行查询，尤其是涉及到敏感个人信息。在蔚来的官方声明中，其明确了被泄露的信息是“2021年8月之前的部分用户基本信息和车辆销售信息”，ક说明对¡于被泄露信息的具体细节，蔚来方面也是知情的。车企应当主动向用户履行通知义务，若车企仍然拒░绝透露信息，用户可以向有关监管部门进行投诉，或是通过诉讼的方式维护自身合法权益。

　　张方隅也指出，《个人信息保护法》第六十九条明确规定，处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。车企需要证明自己在本次泄露事件中不存在过错，例如证明是不法分子窃取所致，自己在信息的保护上不>存在过失等，一旦被认定为具有过错，车企就需要承担赔偿责任。具体的赔偿数额，根据用户因此受到的损失或者个人信息处理者因此获得的利益，或者实ડ际情况确定赔偿数额。同时，车企可能▩因为违反数据安全保护义务，造成大量数据泄露被处以行政处罚。

≠

　　智能汽车需如何守住数据安全ગ底线？¢

　　伴随汽车智能化、网联化的快速发展，以及应用场景的不断丰富，近年来，以汽车数据为核心的新安全问题日益凸µ显，汽Θ车数据Κ安全事件频发。

　　2021年6月，大众汽车方面曾表示，有将近330万名客户或潜在买家的数据ળ遭泄露。具体信息包括姓名、地址、手机号码、邮件以及部分驾照号码、车牌号码、贷款号码等。同年12月，沃尔沃汽车运营的研发数据也遭遇黑客入侵，沃尔沃称在入侵期间公司的有限↑数量的研发财产Δ被盗，并称此次黑客攻击“可能对公司的运营产生影响”。

　　今年5月，通用汽车也曾发布声明称，其注意到2022年4月11日″-29日期间，部分在线客户账户出现了可疑登录，导致在未经用户授权的情况下，客户的奖励积分被兑换成了礼品卡。此外，今年10月，丰田汽车在一份声明中表示，&#256f;使用其T-connect服务的约29.6万名客户的个人信息可能已被泄露，包括电子邮箱地址和客户੆编号等。

　　“本次数据泄露事件从侧面也反映出公司的数据安દ全保Ù障还存在提升空间，随着未੒来辅助驾驶、自动驾驶功能的逐步实现，保障数据安全势在必行。”张方隅称。

　　清华大学车辆与运载学院教授杨殿阁介绍，智能汽车的数据来源非常复杂，既包括车载摄像头、激光雷达、毫米波雷达等感知的地理信息、交通信息、行人信息等外界环境感知数据，也包括驾驶员个⌋ⓝ人信息、车辆行驶轨迹、车载总线数据等车内数据。另外，手机与车机结合以后，在车上还会存储个人社交账号、支付密码、家庭信息、车架号等个人隐私数据。如果对智能汽车数据安全放任不管，会对国家和社会的安全，对个′人隐私保护带来重大隐患。智能汽车需要守住数据安全底线。

　　中国电动汽车百人会副理事长兼秘书长张永伟指出ફ，应当从战略高度认识智能 网联汽车数据安全管理的重要性，尽快形成适应不同车型、不同技术水平的汽车数据安全整体解决方案，以引领智能网∅联汽车产业快速发展。

ß

　　奇安信副总裁孔德亮则认为，智能网઱联的发展为行业带来了机遇，同时也带来了多重挑战。这个行业兴起❄不久，尚未成熟，电气化架构也在不断更新，从技术上还需要有更多的沉淀。另一方面，企业和机构的安全意识也要不断加强，要从车辆生产制造环节就把信息安全考虑进去，未来不仅要有防碰撞测试，还需要有信息安全的检测室。

　　此外，孔德亮表示，整车信息安全还需要有更多行业标‾准出台，一方面是强制要求车辆必须通过»信息安全认证才能上市，一方面ω也是规定信息安全的范围。

　　近年来，我国也在加快制定相关法律法规，保护数据安全&#25d3;。其中，工信部发布的《关于加强智能网联汽车生产企业及产品准入管理的意见》中明确，企业应当建立健全汽车数据安全管理制度，œ依法履行数据安全保护义务，明确责‏任部门和负责人。建立数据资产管理台账，实施数据分类分级管理，加强个人信息与重要数据保护。建设数据安全保护技术措施，确保数据持续处于有效保护和合法利用的状态，依法依规落实数据安全风险评估、数据安全事件报告等要求。

　　此外，我国首部针对汽车数据安全制定的法规&#263c;——《汽车数据安全管理若干规定（试行）》则首次清晰界定了“汽车数据处理者”和“ⓚ重要数据”类型等内容。上述法规规⌋定，涉及个人信息主体超过10万人的个人信息就属于重要数据，在数据出境等方面受到限制。

　　无锡数字经济研究院院长吴琦认为，蔚来事件引发了人们对于平台数据安全的思考。近两年，我国通过数据安全法等法律法±规已经对企业提出了要求，但目前有一部分条例主要是依靠企业的自觉૯性，存在“守门人”自治的情况。“因此我认为，从整个平台角度进一步约束、加强立法的角度来ä考虑事情是有必要的。”

值班编辑 李¬加减 康嘻&#263b;嘻ੜ

¯

ü

∩☺

7位“杨过”出镜分享“杨康”真实⌋经历′∗

▨

哪些人群发生复阳µ和二次感染可能性大Ù一些？专家解读♣

≥

ⓗ

梅西捧起大力神杯！夺૎冠后，他这Υ样说——♧

本文部分首发自新◘京报公号“新京报贝壳财经”ü

ô未经新京报书面授权⊇不得转é载使用

欢迎朋友圈分௄享

ૌ

അ如果可以，请ä点点底部广告给小编加ˆ个鸡腿↓

↔24小时滚动播报最新的财经资讯和视频，更多粉丝◙福利扫描二维码关注（ⓠsinafinance）

新浪Ü财≅经意见反馈留ੋ言板

All Rights µReserved 新浪公è司 版权ૌ所有