蔚来数据安全“塌房”:身份证银行卡或已录数据库,客服称仍在排查
蔚来数据泄露事件继续发酵。12月20日晚间,蔚来汽车创始人兼董事长李斌在蔚来官方社区就此事致歉,称“会对此次事件给用户带来的损失承担责任”。
网传图片显示,蔚来泄露数据为内部员工数据2.28万条、车主用户身份证数据39.9万条、用户地址数据65万条等。蔚来随后承认于12月11日收到外部邮件,就泄露数据被勒索225万美元,此次在网上被第三方违法出售的是2021年8月以前部分中国用户信息及车辆销售数据。
时代周报记者据蔚来公众号数据统计,2021年8月及此前,蔚来共交付13.14万辆汽车,包括ES8、ES6、EC6。
12月21日,时代周报记者致电蔚来官方客服,相关人员称所泄露信息类型还在排查,对用户的赔偿方案具体未定。
事实上,蔚来已不是第一次陷入数据泄露风波。2019年,王铜根等微博认证车评人曾发文指责蔚来涉嫌记录车主行程数据,并泄露私密旅程信息。
对标榜智能化的蔚来而言,数据遭遇泄露并非小事,尤其在大量依赖数据的智能驾驶、无人驾驶方面,一旦遭遇黑客入侵,或将威胁到乘客生命安全。
就用户及车辆行驶过程中各类信息的保护等级、安全措施等问题,时代周报记者采访蔚来相关负责人,截至发稿未获回应。而蔚来首席信息安全科学家卢龙在蔚来官方社区表示,此次数据泄露事件并不涉及车辆使用中产生的行车轨迹、座舱数据等数据,也不影响车辆的驾乘或远程控制。
车主诸多数据被收集
此次数据泄露事件,蔚来目前尚未详细解释所泄露用户数据组成。实际上,蔚来收集的用户数据类型颇多。
时代周报记者据《蔚来汽车隐私政策》统计,为预约汽车试驾、订购、租用电池、购买保险、远程汽车管理等服务,蔚来在一定情况下会收集或申请收集用户姓名、手机号、位置信息、身份证信息、机动车驾驶证信息、结婚证/户口本、银行卡卡号、车内外摄像头影像资料、车辆行驶记录数据等信息。
“在购买过程及日常体验中,很多贵司人员对数据及数据安全不清楚不重视,我更关心数据泄露范围、数据储存方式”“近半年几乎天天接到贷款机构、新能源车企骚扰电话,直截了当说是蔚来合作伙伴”不少用户在蔚来社区反映相关问题。
时代周报记者注意到,多名用户提到此前或近期接到不少电话骚扰,怀疑与蔚来信息泄露有关。
蔚来客服对此次泄露事件表示,所泄露信息类型还在排查,可能涉及车辆信息、用户姓名与所在地比较多,应不包括银行卡信息。若因此给用户造成损失,蔚来会承担,具体赔偿方案未详细制定。蔚来在信息泄露发生后对网络信息安全进行了排查与强化。
时代周报记者注意到,蔚来以上隐私政策对个人信息安全事件发生后的用户补救措施,并未详细规定,仅称向用户告知安全事件基本情况和可能影响、采取处置措施、用户可自主防范或降风险的建议、对用户补救措施等。
就蔚来应该承担的责任及赔偿问题,12月21日,北京盈科(杭州)律师事务所合伙人丁梦丹告诉时代周报记者,有无履行相关数据安全保护与个人信息保护义务、履行程度、是否展开相关评估工作等,都将影响判定蔚来所需承担的责任及责任大小。若造成大量数据泄露等严重后果,按《数据安全法》处50-200万元罚款、停业整顿等,对直接管理人员和其他直接责任人员处5-20万元罚款。身份证信息、用户地址属敏感个人信息,根据数量等方面认定情节以及严重程度。
12月21日,汽车行业分析师钟师告诉时代周报记者,从以往车企信息泄露用户信息的案例看,很少有用户能获得赔偿,因难以追溯数据泄露来源。
同日,有专注汽车数据安全的律师告诉时代周报记者,对新能源车企的各类数据查看权限、保护等级高低等,目前行业标准未定,暂时按照去年发布的《汽车数据安全管理若干规定(试行)》(第7号令)。
时代周报记者注意到,该规定提及利用互联网等信息网络开展汽车数据处理活动,应当落实网络安全等级保护等制度,倡导汽车数据处理者在开展汽车数据处理活动中坚持车内处理原则,除非确有必要不向车外提供,且可能进行匿名化、去标识化等处理。
智能驾驶时代数据安全关乎生命
车企出现黑客入侵、数据泄露并非首例。
据报道,2018年,特斯拉、通用、丰田、大众等多家车企均有敏感信息泄露,涉及工厂原理图、客户材料等;2021年6月,大众汽车称因供应商将部分客户数据未经保护留在互联网上,有330万名客户信息遭泄露,包括姓名、住址、电话号码等个人信息;今年10月,丰田汽车表示其T-Connet服务中约29.6万条客户信息可能被泄露,受影响客户是2017年7月以来使用电子邮件地址注册该服务网站的用户。
钟师告诉时代周报记者,理论上只要有数据库就有数据泄露风险,目前看蔚来泄露数据与其他车企没有太大差别。
丁梦丹也告诉时代周报记者,智能电动车与传统燃油车的信息泄露和黑客入侵风险高低,无法从汽车生态角度直接比较,关键还是在于车企有无规范收集信息、有无履行和强化数据安全和个人信息保护义务。
从数据收集层面看,蔚来等造车新势力相比不少传统燃油车企,确实收集了更多种类信息。例如,更重社区运营的造车新势力均设立了线上社区,后者可能收集更多用户信息。
丁梦丹介绍,造车新势力不乏有违法收集、过度收集的行为,此前便有车企App因违法违规收集使用个人信息而被相关部门通报并限期完成整改。
钟师表示,汽车要迈向自动驾驶,确需多种数据进行训练,其中路况等数据并不敏感。但逐渐智能化的汽车确实存在新问题,如车内储存空间有限,很多数据需上传至云端储存,疲劳驾驶、行车安全等监控也会产生多类数据。
“关键是要规范企业信息收集边界,例如一些数据不上云端,缩短影像存储时间或不储存。”钟师说道。
目前阶段,法律法规层面对新能源汽车信息安全、系统安全的界定和强化还在进行。在未来的智能驾驶时代,信息和系统安全愈发重要。据报道,此前黑客曾入侵25辆特斯拉汽车,操控车门、摄像头。一旦类似发生将对车企造成信任危机,也将威胁乘客生命安全。
钟师表示,黑客入侵自动驾驶系统存在可能性,自动驾驶程度越高,车被其他人接管的可能性更大,企业在相关方面也会做得更好,车企需特别关注此事。
推荐阅读 相关文章
蔚来数据泄露敲响警钟 又一网络安全纯增量市场浮现
随着汽车智能化下半场的开启,智能网联成为大势所趋,与传统汽车通讯网相比,车联网将产生更多更复杂的数据,涉及到个人、车辆、企业以及国家的安全,...
特斯拉一蹶不振!马斯克疯狂“甩锅”:怪宏观经济怪美联储
年终将近,特斯拉股价似乎终究难逃连跌命运。截至周二美股收盘,该公司股价再度大跌8.05%,至137.80美元的两年多低点,今年迄今的跌幅更是...
李斌致歉蔚来汽车数据大规模泄露 原因遭用户质疑
蔚来创始人、CEO李斌也在声明评论区表示:“非常抱歉发生这样的事。保护好用户信息安全是我们的责任,我们没有做好,向大家深表歉意,会对此次事件...
蔚来汽车数据被窃遭“天价”勒索 中汽协:不应向犯罪行为妥协
12月20日,蔚来首席信息安全科学家、信息安全委员会负责人卢龙在蔚来官方社区发布公告,2022年12月11日,蔚来公司收到外部邮件,声称拥有...
蔚来坦承数据泄露,智能车信息安全已是现实风险
12月20日晚间,蔚来汽车在官方社区发布公告称,确认2021年8月之前的部分用户基本信息和车辆销售信息被窃取,并被黑客发送邮件勒索225万...
蔚来以租赁模式进入欧洲四国市场,价格接近保时捷
蔚来在柏林举行发布会,推出了ET7、ET5和ES7三款新车型,并宣布将正式开始在德国、荷兰、丹麦、瑞典等国提供汽车租赁服务,租期最短为 1 ...
先领克后蔚来,新能源车“出海”以租代售是门好生意?
北京商报讯(记者刘洋刘晓梦)今年以来持续增长的出口量,让海外市场成为国内各新能源车企的新战场,相比传统“买断”模式,“出海”的部分车企更青睐...
卖一辆车就“赔”13万?蔚来三季度亏损创新高
财报显示,2022年三季度,蔚来净亏损41.1亿元,与上年同期相比增亏392.1%,与上一季度相比增亏49.1%,亏损额创下新高。按照202...
造车新势力11月交付量急剧分化:理想、蔚来大幅反弹 小鹏坐困组织变革泥潭
12月1日,造车新势力上一月的交付成绩如约而至。“优等生”哪吒汽车继续领衔造车新势力交付榜单,逐渐恢复元气的理想汽车、蔚来汽车紧随其后。零跑...
“持牌”蔚来再收购一家保险经纪公司,造车新势力提速”涉险”聚焦服务生态
新能源汽车电子化技术的覆盖率相对更高,其在数据的集中度方面具有先天优势,如针对驾驶员的驾驶习惯等,更易进行风险指标的收集与建模,布局车险,正...