(資料圖片)

12月20日，蔚來(lái)發(fā)布聲明表示，其收到外部郵件，聲稱(chēng)擁有蔚來(lái)內部數據，并以泄露數據勒索225萬(wàn)美元等額比特幣（約合1570萬(wàn)元人民幣）。在收到勒索郵件后，公司當天即成立專(zhuān)項小組進(jìn)行調查與應對，并第一時(shí)間向有關(guān)監管部門(mén)報告此事件。經(jīng)初步調查，被竊取數據為2021年8月之前的部分用戶(hù)基本信息和車(chē)輛銷(xiāo)售信息。

當日晚間，蔚來(lái)創(chuàng )始人、董事長(cháng)李斌就數據泄露一事在蔚來(lái)官方社區致歉。李斌表示，“保護好用戶(hù)信息安全是我們的責任，我們沒(méi)有做好，向大家深表歉意，會(huì )對此次事件給用戶(hù)帶來(lái)的損失承擔責任。我們會(huì )協(xié)同有關(guān)部門(mén)深入調查此次事件，對竊取和買(mǎi)賣(mài)此次事件相關(guān)數據的違法犯罪行為追查到底。我們不會(huì )與不法行為妥協(xié)，也請大家及時(shí)提供線(xiàn)索?！?/P>

廣東大同律師事務(wù)所主任朱永平告訴時(shí)代財經(jīng)，根據《個(gè)人信息保護法》第69條、《汽車(chē)數據安全管理若干規定》第17條，如蔚來(lái)公司在本次事件當中未履行數據安全保障義務(wù)，存在過(guò)錯，則應當向受到損害的用戶(hù)承擔侵權責任?！氨敬问录?，蔚來(lái)公司承諾給造成損失的用戶(hù)承擔責任，但該種承諾比較難以?xún)冬F?！敝煊榔奖硎?。

對于蔚來(lái)自身是否將面臨處罰，朱永平認為，“目前法律上信息數據安全的處罰主要針對非法提供或非法買(mǎi)賣(mài)等方式故意泄漏數據信息的情形，但是蔚來(lái)公司在本次事件中是被竊取，主觀(guān)上沒(méi)有泄漏的故意，我認為是不需要面臨處罰的?！?/P>

部分用戶(hù)基本信息被竊

根據聲明所述，12月11日，蔚來(lái)公司收到外部郵件，聲稱(chēng)擁有蔚來(lái)內部數據，并以泄露數據勒索225萬(wàn)美元等額比特幣（約合1570萬(wàn)元人民幣）。蔚來(lái)方面表示，經(jīng)初步調查，被竊取數據為2021年8月之前的部分用戶(hù)基本信息和車(chē)輛銷(xiāo)售信息。

就數據為何被竊取，泄露的用戶(hù)基本信息和車(chē)輛銷(xiāo)售信息具體包括了哪些個(gè)人信息及相關(guān)數據等問(wèn)題，時(shí)代財經(jīng)向蔚來(lái)方面發(fā)去采訪(fǎng)函，截至發(fā)稿未獲得回復。

時(shí)代財經(jīng)進(jìn)入蔚來(lái)APP發(fā)現，其個(gè)人信息收集清單收集的個(gè)人信息類(lèi)型包括姓名、手機號碼、有效證件號碼等。用戶(hù)如果在蔚來(lái)APP-我的證件中進(jìn)行授權，則可能會(huì )包括更為隱私的個(gè)人信息，如購車(chē)指標、社保流水、公積金流水、薪資流水等。

蔚來(lái)客服則告訴時(shí)代財經(jīng)，目前，涉及的具體信息資料還沒(méi)有公布。此次數據泄露不會(huì )對車(chē)輛駕駛造成影響，車(chē)主若接到不明來(lái)電，則需要謹慎一點(diǎn)。該名客服同時(shí)表示：如果車(chē)主因信息泄露事件受到相應的損失和影響，客服將記錄反饋，有專(zhuān)門(mén)的顧問(wèn)進(jìn)行后續的溝通。

蔚來(lái)首席信息安全科學(xué)家、信息安全委員會(huì )負責人盧龍表示，本次事件不涉及車(chē)輛使用中產(chǎn)生的數據（如行車(chē)軌跡、座艙數據），也不影響車(chē)輛的駕乘或遠程控制。還在進(jìn)一步調查數據泄露的原因和影響范圍。

不過(guò)，在業(yè)界看來(lái)，盡管蔚來(lái)方面承諾給用戶(hù)帶來(lái)的損失承擔責任，但該承諾或難兌現。

圖片來(lái)源：蔚來(lái)

朱永平告訴時(shí)代財經(jīng)，根據《個(gè)人信息保護法》第69條、《汽車(chē)數據安全管理若干規定》第17條，如蔚來(lái)公司在本次事件當中未履行數據安全保障義務(wù)，存在過(guò)錯，則應當向受到損害的用戶(hù)承擔侵權責任。本次事件中，蔚來(lái)公司承諾給造成損失的用戶(hù)承擔責任，但該種承諾比較難以?xún)冬F。

朱永平進(jìn)一步解釋道：用戶(hù)舉證難度大，首先用戶(hù)并不清楚該次事件中遭到泄漏的數據是否包含自己的個(gè)人信息，這需要用戶(hù)先向蔚來(lái)公司方面進(jìn)行了解；其次，即便蔚來(lái)公司承認本次泄漏的數據中包含自己的信息，用戶(hù)也難以證明自己的損失是因為該次數據泄漏事件造成的，因為在日常生活中，我們在方方面面的事情上都可能留下我們的數據信息，用戶(hù)需要證明自己的損失是因為本次數據泄漏造成，而不是從其他方面造成的，該舉證責任成為用戶(hù)維權的一大難題。

智能汽車(chē)數據安全敲響警鐘

相較于傳統燃油車(chē)，智能汽車(chē)的數字化場(chǎng)景更多，其產(chǎn)品和服務(wù)收集個(gè)人信息的場(chǎng)景也更多。從購車(chē)咨詢(xún)、車(chē)輛試駕到車(chē)輛訂購、電池租用、車(chē)輛使用及遠程車(chē)輛管理等，各個(gè)環(huán)節或都有數據安全、信息安全風(fēng)險伴隨其中。

新能源汽車(chē)研究者安陽(yáng)告訴時(shí)代財經(jīng)，新能源汽車(chē)的電動(dòng)化、智能化產(chǎn)生了海量的汽車(chē)應用數據，同時(shí)，新能源汽車(chē)直聯(lián)用戶(hù)，利用超級APP、小程序等方式與用戶(hù)互動(dòng)，產(chǎn)生了大量的用戶(hù)信息。如何保障這些數據的安全、合理地應用，不僅在于相關(guān)部門(mén)，各主機廠(chǎng)和三方公司，都需要認真考量，提前準備，減少此類(lèi)蔚來(lái)事件的發(fā)生。

在政策層面，今年4月，工業(yè)和信息化部、公安部、交通運輸部、應急管理部、市場(chǎng)監管總局聯(lián)合發(fā)布了《關(guān)于進(jìn)一步加強新能源汽車(chē)企業(yè)安全體系建設的指導意見(jiàn)》（以下簡(jiǎn)稱(chēng)《意見(jiàn)》），明確提出要健全網(wǎng)絡(luò )安全保障體系，加強網(wǎng)絡(luò )安全防護、強化數據安全保護、落實(shí)個(gè)人信息安全防護。

《意見(jiàn)》指出，企業(yè)要按照《個(gè)人信息保護法》以及相關(guān)法律法規的規定處理個(gè)人信息，制定內部管理和操作規程，對個(gè)人信息實(shí)行分類(lèi)管理，并采取相應的加密、去標識化等安全技術(shù)措施，防止未經(jīng)授權的訪(fǎng)問(wèn)以及個(gè)人信息泄露、篡改、丟失。

朱永平表示，根據《汽車(chē)數據安全管理若干規定》第八條，汽車(chē)數據處理者處理個(gè)人信息應當取得個(gè)人同意或者符合法律、行政法規規定的其他情形。車(chē)企在收集用戶(hù)信息前，需要征得用戶(hù)的同意，且應當保證數據合法、正當的用途。

“我認為法律上可以從汽車(chē)的生產(chǎn)、銷(xiāo)售、用戶(hù)使用、車(chē)輛管理等層面上細化車(chē)企對數據運用的規定，提出明確要求；對于用戶(hù)數據信息進(jìn)行分類(lèi)，按照分類(lèi)級別設置不同的權限，由用戶(hù)決定是否提供；強化數據信息透明化使用，使用戶(hù)能夠了解車(chē)企使用數據的實(shí)際情況?！敝煊榔秸f(shuō)。

關(guān)鍵詞：