图片来源@视觉中国
文 | 电动公会,作者 | 金不换
(资料图片仅供参考)
01 百万条信息被公开售卖
日前,一张流传于网络的图片显示,有人宣称破解了蔚来汽车大量数据,并公开叫价出售。其列出的数据涉及蔚来的经营以及客户隐私,包括蔚来员工数据、订单数据、用户及企业代表联系人数据,还包括车主身份证、用户地址,甚至车主亲密关系、车主贷款数据等极为隐私的信息。
这些信息被明码标价,价格均以比特币为单位,比如2.28万条员工数据,售价0.15比特币;3.99万条车主身份证数据,售价0.25比特币;全部数据打包,售价1比特币。
针对数据泄露遭勒索的情况,蔚来汽车态度坚决。12月20日蔚来汽车发布的声明显示:
12月11日,蔚来公司收到外部邮件,声称拥有蔚来内部数据,并以泄露数据勒索225万美元等额比特币(约合1570.5万元人民币)。
在收到勒索邮件后,公司当天即成立专项小组进行调查与应对,并第一时间向有关监管部门报告此事件。
经初步调查,被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。
据公开信息,蔚来汽车在2021年1至7月累计交付49887台,2020年全年交付量达43728台,2019年全年交付量达20565台,2018年全年交付量达11348台,目前尚不清楚官方所说的“部分用户”比例有多少。
尽管蔚来官方成立专项小组进行调查与应对,并第一时间向有关监管部门报告此事件,并协同有关部门深入调查。蔚来创始人、董事长李斌也于12月20日晚间在蔚来官方社区就用户数据泄露一事发文致歉,但仍然打消不了用户的担忧。
随着车辆智能化程度逐步提升,数据安全也将直接影响到行车安全。我们在蔚来社区评论区中看到,不少用户对于数据泄露后的车辆安全提出担忧。还有一些用户表示,希望“车企将软件里的个人信息删除,以免影响到自己和家人。
对此,蔚来信息安全委员会负责人卢龙表示,本次数据泄露并不影响车辆驾乘或远程控制,不涉及车辆使用中产生的数据(如行车轨迹、座舱数据),目前他们还在进一步调查数据泄露的原因和影响范围。
有相关技术分析人士表示,此次泄露的数据,大部分是存储在后端、数据库或者云端的个人数据,黑客如果选择攻击车辆本身,还是有一定的技术门槛,而汽车本身有车载的安全网关也会进行拦截。
02 谁来保护用户信息安全?
在汽车智能化、电动化逐步普及的今天,信息数据与用户驾驶安全、个人私隐间的联系变得愈发密切。蔚来用户数据被窃取事件引发了一系列关键问题和思考,在新能源汽车发展如火如荼的背景下,用户数据及大数据安全谁来保护?
我们看了一下网民的态度,大部分网民强烈支持数据收归国有,也就是将数据权让渡国有第三方公司。在他们看来,身份信息交给国家比交给资本家放心。
比如卫士通,它是大型央企中国电子科技集团的三级子公司,成立于 1998 年,2008 年上市,被称为 " 中国信息安全第一股 ",具有很高的权威性,绝对能保障数据安全。如果蔚来真的将数据权交给了类似卫士通的第三方公司,那么其信息被泄漏的风险就会低很多。
不过,这是一条路切实可行的方案吗?各大车企舍得交出数据权吗?
要知道,对于那些深耕汽车智能化的车企来说,其数据价值很难用人民币去计算,数据就是它的根,被称作未来趋势的AI技术,正是因为有数据的支撑才得以不断地进化与完善。如蔚来一直心心念的自动驾驶技术,也离不开大量驾驶数据的“喂养”。
假如车企的数据被接管,那么其长期积累的大量数据优势,恐怕要大打折扣了。
可是,车企本身真的可以拥有这些数据的所有权吗?按照法律规定,不管企业以何种技术方式搜集的个人信息,数据本身仍属于人民,车企只是有算法而已,决不允许随意使用。
如果车企将数据权让渡第三方公司的路径不可行,那么我们还可以从其他方面来提高车辆数据安全,比如强化监管规范和落实车企责任。
站在行业发展高度来说,强化监管规范要先行。早在2020年,《新能源汽车产业发展规划(2021-2035)》发布就明确要健全安全保障体系,打造网络安全保障体系。
今年4月,工业和信息化部、公安部、交通运输部、应急管理部、市场监管总局联合发布了《关于进一步加强新能源汽车企业安全体系建设的指导意见》(以下简称《意见》),明确提出要对车辆网络安全状态进行监测,加强对车辆运行数据的分析挖掘。
在推动新能源汽车行业发展的同时,监管规范也要与时俱进,在发展过程中不断规范,才能推动行业未来更健康地发展。随着相关文件的密集发布,汽车数据的监管也将日趋严格。
其次,规范数据信息安全保护责任的落实主体主要在新能源车企,这也是我们要着重强调的部分。
除了有关部门强制要求新能源汽车行驶数据实时上传外,更为重要的是车主个人信息、车辆信息以及相关数据信息,这些信息的收集者、储存者、使用者都是新能源车企,也同时享受着这些信息的红利和经济价值。
上述《意见》也具体明确,企业要依法落实关键信息基础设施安全保护、网络安全等级保护、车联网卡实名登记、汽车产品安全漏洞管理等要求;企业要建立健全全流程数据安全管理制度,并按照法律、行政法规的有关规定进行数据收集、存储、使用、加工、传输、提供、公开等处理活动,以及数据出境安全管理。
在个人信息安全防护方面,《意见》明确提出,企业要制定内部管理和操作规程,对个人信息实行分类管理,并采取相应的加密、去标识化等安全技术措施,防止未经授权的访问以及个人信息泄露、篡改、丢失。
所以说,车企是车主等个人相关信息的第一责任人,出了问题不能只道歉,承认错误,再表达决心要强化信息安全保护工作,后续不了了之。
事实上,蔚来用户数据被窃取引发热议并非行业首次,包括每次特斯拉的事故都会引发新能源车信息安全保护责任话题的热议,网络安全、数据安全等新问题频发不得不重视。不仅蔚来一家企业需要重视和检讨,整个新能源汽车行业企业都应该关注及思考,这是一次行业警示。(本文首发钛媒体APP)