身陷“数据泄露门”，蔚来要承担什么责任？

到目前为止，蔚来并未公布涉及多少用户。

全文4008字，阅读时间约8分钟。 新京报贝壳财经记者张兵罗一丹临淄编辑岳才洲

NIO因泄露数据被勒索价值225万美元的比特币！ 消息一出，业界震动。 蔚来成为中国第一家用户数据被盗的车企。

一时间，2021年8月前的蔚来用户也爆棚。 “这是怎么被偷的，我们必须查明。” “以后还会这样吗？”

12月20日晚，蔚来汽车在其官方社区发布的一则声明引发了蔚来汽车用户的热议。 蔚来汽车在一份声明中表示，确认2021年8月之前的部分用户基本信息和车辆销售信息被盗。

到目前为止，蔚来并未公布涉及多少用户。 不过，根据蔚来此前公布的数据，2018年至2021年1-7月，蔚来累计交付车辆超过12.5万辆。

针对此事，贝壳财经记者第一时间向蔚来询问了事件调查和用户赔偿的进展情况。 但截至记者发稿，尚未收到回复。

12月21日，新京报贝壳财经记者拨打声明中提供的电话号码，就用户数据泄露问题进行了解答。 另一名工作人员表示，他们仍在调查数据泄露的原因和范围。 建议警惕蔚来的陌生电话。 对于蔚来将如何对信息泄露的用户进行赔偿，是否会对用户进行相关风险提示和应对措施，上述工作人员并未给出明确答复。

━━━━━

Nio 仍在调查数据泄露的原因和范围

李斌表示会调查到底

网上流传的一张图片显示，有人自称“破译了大量蔚来数据”，并公布了收购邮箱地址，以公开竞价的价格出售。

▲图片/IC

根据上市信息，数据涉及蔚来的运营和客户隐私，包括蔚来员工数据、订单数据、车主身份证、用户地址蔚来汽车比特币数据黑客，甚至车主亲密关系、车主贷款数据等极其隐私的信息。

信息明码标价，价格以比特币为单位。 例如，22800条员工数据的价格为0.15比特币，39900条车主用户ID数据的价格为0.25比特币； 所有数据打包后以 1 比特币的价格出售。

“我们仍在进一步调查数据泄露的原因和范围。” 蔚来信息安全委员会负责人卢龙在蔚来官方社区表示，此次事件不涉及车辆在使用过程中产生的行驶轨迹、驾驶舱数据等数据。 也不影响车辆的驾驶或遥控。

针对用户数据泄露，12月20日晚，蔚来创始人、董事长兼CEO李斌在蔚来官方社区致歉，并表示蔚来将配合相关部门对事件进行深入调查。 ，并调查盗窃和交易事件。 数据相关违法犯罪行为追溯到底。 “我们不会向非法行为妥协。” 12月21日上午，蔚来针对此事在港交所再次发布公告。

━━━━━

安全专家怎么看？

民间互联网安全组织网络利刃创始人屈子龙表示，从网上发布的泄露截图来看，黑客发布的泄露数据并非汽车本身产生，而是在实际业务运行过程中产生的流程蔚来汽车比特币数据黑客，比如员工数据，企业和企业代表的联系方式数据，订单和退款数据，车主贷款数据应该是常规公司的OA和CRM数据； 而车主注册ID数据、用户注册数据、车主亲密关系数据则应来自蔚来用户交互车主APP。

“我个人认为，此次泄密事件极有可能是蔚来自身‘企业管理背景’所致。从这次泄密事件来看，我认为大家可以暂时抛开蔚来作为一家智能车企的身份。与大多数互联网公司的数据泄露事件一样，应该是某个系统出了问题，导致数据库被拖出数据库，当然具体如何泄密，还是要以蔚来自己的调查结果为准。 曲子龙说道。

中国博联智库特聘专家、黄河科学院客座教授张翔表示，虽然黑客未能恶意窃取数据并勒索钱财，但这也说明蔚来的信息仍然存在漏洞系统，蔚来应提高内部信息系统的安全等级。 “虽然没有绝对的数据安全，但提高安全级别，采取更多的保护措施，都会增加被攻击的成本和难度。”

此外，北京市京师律师事务所孙志扬律师在接受贝壳财经记者采访时表示，蔚来作为众多用户个人信息的拥有者和处理者，应该建立完善的保护体系、保护措施和应急措施。依法采取措施确保用户个人信息的安全存储，避免丢失和泄露。

━━━━━

用户更关心哪些信息被盗

“我不能确定我的隐私数据有没有泄露，也不知道是怎么泄露的。目前我还没有收到蔚来的任何通知。” 12月21日，一位2021年8月前购车的蔚来车主告诉记者。 , “希望没有车主因为这次泄密而蒙受损失。”

▲图片/IC

“不能只是道歉，不能只是空洞的损失，我们应该第一时间提醒我们的用户哪些信息被盗了，应该怎么办。” 蔚来车主李先生在接受记者采访时表示。

同日，贝壳财经记者拨打声明中提供的电话号码，就数据泄露事件回答了用户的提问。 谈到信息被泄露的用户是否会收到公司的提醒，以及蔚来是否会告知用户“泄露的基本信息包括哪些内容？”，对方工作人员并未给出明确答复。

━━━━━

律师详解蔚来数据泄露应承担什么责任？

“车企应及时向用户解释调查情况。” 北京市京师律师事务所孙志扬律师在接受贝壳财经记者采访时表示，用户有权查询自己的个人信息，有权知道自己的信息是否被泄露。 决定权，比如因蔚来丢失个人信息给用户造成的损失请求赔偿的权利，这些都与《个人信息法》中的个人信息保护有关。

孙志扬指出，当车企发生类似事件时，首先要在内部紧急处理，核实问题，及时处理，确保数据安全。 对于敲诈勒索，可以向公安报案。 对于企业个人信息丢失，监管部门调查发现企业内部个人信息保护措施不完善或者未履行保护义务的，可以给予行政处罚。

北京中策律师事务所张方宇律师指出，用户个人信息泄露是信息处理者在信息存储和传输过程中保护不当的表现。 作为用户，您有权查询信息泄露的具体情况，尤其是涉及敏感个人信息时。 蔚来在官方声明中澄清，此次泄露的信息为“2021年8月之前的部分用户基本信息和车辆销售信息”，表明蔚来也了解泄露信息的具体细节。 车企应主动向用户履行告知义务。 如果车企仍拒绝披露信息，用户可以向相关监管部门投诉或通过诉讼维护自身合法权益。

张方宇还指出，《个人信息保护法》第六十九条明确规定，个人信息处理侵犯个人信息权益造成损害的，个人信息处理者不能证明自己不是有过错的，应当承担损害赔偿等侵权责任。 汽车厂商需要证明自己在这次泄密事件中没有过错，比如证明是不法分子盗窃造成的，在信息保护方面没有过错等，一旦发现有过错，他们将承担赔偿责任。 具体赔偿数额根据用户遭受的损失或者个人信息处理者获得的利益，或者实际情况确定。 同时，车企可能因违反数据安全保护义务，造成大量数据泄露而受到行政处罚。

━━━━━

智能汽车需要如何守住数据安全的底线？

随着汽车智能化、网联化的快速发展，应用场景的不断丰富，近年来，以汽车数据为中心的新型安全问题日益凸显，汽车数据安全事件频发。

2021年6月，大众汽车表示，近330万客户或潜在买家的数据遭到泄露。 具体信息包括姓名、地址、手机号码、邮箱，以及部分驾照号码、车牌号码、贷款号码等。同年12月，沃尔沃汽车运营的研发数据也遭到黑客攻击。 沃尔沃表示，在入侵期间，公司的少量研发资产被盗，黑客攻击“可能对公司运营造成影响”。

今年5月，通用汽车也发布声明称，注意到在2022年4月11日至29日期间，部分在线客户账户出现可疑登录，导致客户奖励积分在未经用户授权的情况下被窃取。 兑换礼品卡。 此外，今年10月，丰田汽车在一份声明中表示，使用其T-connect服务的约296,000名客户的个人信息可能已经泄露，包括电子邮件地址和客户号码。

“此次数据泄露事件也从侧面反映了公司的数据安全还有提升空间，随着未来辅助驾驶和自动驾驶功能的逐步实现，保障数据安全势在必行。” 张方宇说道。

据清华大学车辆与车辆学院教授杨殿阁介绍，智能汽车的数据来源非常复杂，包括车载摄像头、激光雷达、毫米波雷达感知的地理信息、交通信息、行人信息等。 ，以及其他外部环境感知数据，以及驱动程序。 个人信息、车辆行驶轨迹、车载公交车数据等车载数据。 此外，手机与汽车结合后，个人社交账号、支付密码、家庭信息、车辆底盘号等个人隐私数据也会存储在车内。 如果对智能汽车的数据安全置之不理，将会给国家和社会的安全、个人隐私的保护带来极大的隐患。 智能汽车需要守住数据安全的底线。

中国电动汽车百强副理事长兼秘书长张永伟指出，应从战略高度认识智能网联汽车数据安全管理的重要性，制定适应不同车型和车型的汽车数据安全整体解决方案。应尽快形成不同的技术层次，引领智能网联汽车产业快速发展。

奇安信副总裁孔德良认为，智能网联的发展给行业带来了机遇，也带来了多重挑战。 这个行业刚刚兴起还不成熟，电动化架构也在不断更新，需要更多的技术沉淀。 另一方面，企事业单位的安全意识也要不断加强。 信息安全必须从车辆制造过程中考虑。 未来不仅需要防碰撞测试，还需要信息安全测试室。

此外，孔德良表示，车辆信息安全需要更多的行业标准。 一方面，车辆必须通过信息安全认证才能上市。 另一方面，它也规定了信息安全的范围。

近年来，我国也加快制定保护数据安全的相关法律法规。 其中，工信部印发的《关于加强智能网联汽车生产企业和产品准入管理的意见》明确提出，企业应当建立健全汽车数据安全管理制度，按照规定履行数据安全保护义务。依法，明确责任部门和负责人。 建立数据资产管理台账，实行数据分类分级管理，加强个人信息和重要数据保护。 建立数据安全保护技术措施，确保数据持续得到有效保护和合法使用，依法依规落实数据安全风险评估和数据安全事件报告要求。

此外，我国首部汽车数据安全法规——《汽车数据安全管理若干规定（试行）》首次明确定义了“汽车数据处理者”和“重要数据”的类型。 上述规定规定，涉及个人信息主体10万以上的个人信息视为重要数据，限制数据出境。

无锡市数字经济研究所所长吴奇认为，蔚来事件引发了人们对平台数据安全的思考。 近两年，我国通过《数据安全法》等法律法规对企业提出要求，但目前一些法规主要依赖企业自觉，存在“看门人”自主的局面。 “因此，我认为有必要站在整个平台的角度，从进一步限制和加强立法的角度来考虑事情。”

值班编辑 李佳佳 康熙熙

本文部分内容首发自新京报公众号“新京报贝壳财经”