蔚来被黑客勒索225万美元，汽车数据安全充满挑战

NIO 并不是第一家遭遇数据泄露的汽车制造商。 随着智能汽车的发展，网络和数据安全可能面临更多挑战。

21世纪经济报道记者左茂轩郑智文报道

12月21日，蔚来在港交所发布公告称，2022年12月20日，公司获悉部分2021年8月之前的中国用户信息和车辆销售数据被第三方非法在线出售。

蔚来表示，已就此次事件在中国发表公开声明，提供专门的热线电话和邮箱地址，用于解答用户有关数据泄露的问题。

此外，蔚来承诺对因数据泄露事件给用户造成的损失承担责任。 蔚来对此次事件深表歉意，并正在尽一切可能支持其用户。 蔚来将继续配合相关政府部门调查此次事件，并采取必要措施控制潜在损失。

“经初步调查，蔚来被盗数据为2021年8月之前的一些用户基本信息和车辆销售信息，这主要涉及个人信息。因此，作为个人信息处理者，蔚来首先要履行数据的法律义务，一旦发生即应立即采取补救措施，并通知监管机构和个人信息被泄露的用户。 上海交通大学数据法研究中心执行主任何源在接受21世纪经济报道记者采访时表示。

至于蔚来汽车是否需要承担相关法律责任，何源表示，根据《数据安全法》第四十五条的规定，实施企业数据处理活动的组织和个人未履行《数据安全法》规定的数据安全保护义务。法，造成大量数据泄露等严重后果。 ，处50万元以上200万元以下罚款，可以责令停业、停业整顿、吊销相关营业执照或者吊销营业执照，并处5万元以上罚款对直接负责的主管人员和其他直接责任人员处20万元以下罚款。

此外，因涉及个人信息公开，也可同时适用《个人信息保护法》的规定，适用《个人信息保护法》第66条，应结合相关案件进行判断。情况。

黑客勒索 225 万美元

12月20日比特币勒索邮件2019，网上流传的一张图片显示，有人声称破解了大量蔚来数据，并以明码标价出售。

“近期，我们破解了大量蔚来数据，同时给了蔚来两次机会，但蔚来宁愿花千万请歌手比特币勒索邮件2019，也不愿买断这部分数据，以保护车主和用户，所以，我们决定为曝光买单。”一些不法分子说。

它列出了数百万条数据，涉及蔚来的运营和客户隐私，包括蔚来员工数据、订单数据、用户和业务代表联系方式数据，还包括车主身份证、用户地址，甚至车主亲密关系。 车主贷款数据等极其私密的信息，明码标价出售。

例如，蔚来内部员工数据22800条，包括总裁到一线员工，每条价格为0.15个比特币； 39.9万条车主用户ID数据，价格为0.25个比特币； 65万条用户地址信息，价格为0.15个比特币； 车主贷款17万条数据，售价0.1比特币...

相关信息在网上流传后，引发热议，蔚来第一时间做出回应。

12月20日，蔚来首席信息安全科学家、信息安全委员会负责人卢龙在蔚来官方APP发布了《关于数据安全事件的声明》。

声明显示：12月11日，蔚来公司收到一封声称拥有蔚来内部数据的外部邮件，并利用泄露的数据勒索等值比特币225万美元（约合人民币1566万元）。 收到勒索邮件后，蔚来立即成立专案组进行调查和应对，并第一时间向相关监管部门报告了该事件。 经初步调查，被盗数据为2021年8月之前的部分用户基本信息和车辆销售信息。

蔚来对此次事件给用户带来的影响表示深深的歉意，并郑重承诺对因此次事件给用户造成的损失承担责任。

蔚来还表示，绝不向网络犯罪低头，将配合相关执法部门对事件进行深入调查，依法坚决打击相关数据盗窃和交易行为。

当天晚间，蔚来创始人、董事长兼CEO李斌在蔚来APP社区就用户数据泄露事件发表道歉声明。

李斌表示：“保护用户信息安全是我们的责任，我们没有做好。我们向大家道歉，并将对此次事件给用户造成的损失负责。我们会配合相关部门调查此事事件深入调查，对与此次事件相关的窃取、买卖数据等违法犯罪行为，将追究到底，对违法行为不妥协，请及时提供线索。

事实上，蔚来并不是第一家遭遇数据泄露的车企。 此前，大众、丰田、沃尔沃等国际车企都遇到过类似案例。

2021 年 6 月，大众汽车集团表示 330 万客户的数据遭到泄露。 2019 年 8 月至 2021 年 5 月期间，一家供应商将客户数据“未受保护”地留在互联网上后，便发生了此次违规事件。

根据当时的公开媒体报道，泄露的数据包含相关客户和潜在买家的姓名、地址和电话号码等个人信息。 与此同时，美国和加拿大 9 万名客户的“更机密”数据被泄露，包括有关贷款资格和社会安全号码的信息。

2021 年 12 月，沃尔沃汽车运营的研发数据也遭到黑客攻击。 沃尔沃表示，在入侵期间，公司的少量研发资产被盗，黑客攻击“可能对公司运营造成影响”。

今年 10 月，丰田汽车表示，在其 T-Connect 服务中，大约有 296,000 条客户信息可能已经泄露。 受影响的客户是自2017年7月以来使用其电子邮件地址在服务网站注册的所有个人用户。

据丰田初步确认，此次疑似泄露的信息主要包括邮箱地址和客户编号； 而其他敏感的个人信息，如姓名、电话号码和信用卡信息，则没有受到影响。

监管收紧强化数据安全

事实上，除了用户隐私数据，随着新能源汽车和智能网联汽车的发展，数据安全也成为汽车行业关注的焦点。 随着智能网联汽车的进一步普及，其网络和数据安全问题将与公共安全等密切相关。

具体来说，智能汽车的安全性主要包括三个方面。

第一个方面与汽车本身有关，涉及汽车的功能安全和汽车的信息安全。 比如汽车在行驶过程中会不会被别人控制？ 会不会有交通安全隐患？

第二个方面涉及个人隐私。 汽车会获取车内司机或乘客的一些信息，而车外的传感器可能会涉及到车外行人的一些信息。 如何处理、保护、使用和存储这些信息将涉及个人隐私问题。

第三个方面涉及国家安全问题。 安装在智能汽车上的传感器在行驶过程中收集了大量的驾驶环境信息数据，其中可能包含一些敏感数据。 如果处理不当，可能会给国家带来一些安全隐患。 尤其是现在可能还会有一些数据跨境传输，对国家安全的影响会比较大。

解决智能汽车数据安全问题是一个非常复杂、综合性的问题。 这不仅需要车企从技术上保证数据在数据采集、传输、存储、使用全过程的安全性，还需要有合理合法的管理机制，确保数据的合法合规使用。

也就是说，除了目前用户数据被黑客窃取的问题外，随着智能汽车和自动驾驶的发展，数据安全对车企乃至整个汽车行业提出了更高的挑战。

2021年4月上海车展期间，部分特斯拉车主称“刹车失灵”维权事件引发关注。 该事件也将公众的一部分注意力集中在驾驶数据和个人隐私上。

2021年起，将出台多项政策文件，加快智能汽车数据安全监管。

其中，系列文件中，《关于加强智能网联汽车生产企业和产品准入管理的意见》和《汽车数据安全管理若干规定（试行）》对行业影响较大。

其中，《关于加强智能网联汽车生产企业和产品准入管理的意见》提出“加强数据和网络安全管理”，明确数据归类分级、重要数据国内存储、完善网络安全防护技术等。

《汽车数据安全管理若干规定（试行）》首次明确了“汽车数据处理者”和“重要数据”的类型，提出了四项推荐的数据处理原则，明确了数据处理者的义务，制定了交叉规范。边界数据传输规则。

“关于黑客勒索问题，防患于未然是关键。企业要切实履行《数据安全法》、《个人信息保护法》和《汽车数据安全管理若干规定》的法律义务。 （试行）》“保护个人信息和数据安全是底线和红线，一旦发生数据泄露，我们也必须切实履行相关法律义务，将相关损害降到最低。” 何源说道。