玉林实硕医疗科技有限公司

每日快報!蔚來被勒索1570萬


(資料圖片)

12月20日,蔚來發布聲明表示,其收到外部郵件,聲稱擁有蔚來內部數據,并以泄露數據勒索225萬美元等額比特幣(約合1570萬元人民幣)。在收到勒索郵件后,公司當天即成立專項小組進行調查與應對,并第一時間向有關監管部門報告此事件。經初步調查,被竊取數據為2021年8月之前的部分用戶基本信息和車輛銷售信息。

當日晚間,蔚來創始人、董事長李斌就數據泄露一事在蔚來官方社區致歉。李斌表示,“保護好用戶信息安全是我們的責任,我們沒有做好,向大家深表歉意,會對此次事件給用戶帶來的損失承擔責任。我們會協同有關部門深入調查此次事件,對竊取和買賣此次事件相關數據的違法犯罪行為追查到底。我們不會與不法行為妥協,也請大家及時提供線索?!?/P>

廣東大同律師事務所主任朱永平告訴時代財經,根據《個人信息保護法》第69條、《汽車數據安全管理若干規定》第17條,如蔚來公司在本次事件當中未履行數據安全保障義務,存在過錯,則應當向受到損害的用戶承擔侵權責任。“本次事件中,蔚來公司承諾給造成損失的用戶承擔責任,但該種承諾比較難以兌現?!敝煊榔奖硎?。

對于蔚來自身是否將面臨處罰,朱永平認為,“目前法律上信息數據安全的處罰主要針對非法提供或非法買賣等方式故意泄漏數據信息的情形,但是蔚來公司在本次事件中是被竊取,主觀上沒有泄漏的故意,我認為是不需要面臨處罰的?!?/P>

部分用戶基本信息被竊

根據聲明所述,12月11日,蔚來公司收到外部郵件,聲稱擁有蔚來內部數據,并以泄露數據勒索225萬美元等額比特幣(約合1570萬元人民幣)。蔚來方面表示,經初步調查,被竊取數據為2021年8月之前的部分用戶基本信息和車輛銷售信息。

就數據為何被竊取,泄露的用戶基本信息和車輛銷售信息具體包括了哪些個人信息及相關數據等問題,時代財經向蔚來方面發去采訪函,截至發稿未獲得回復。

時代財經進入蔚來APP發現,其個人信息收集清單收集的個人信息類型包括姓名、手機號碼、有效證件號碼等。用戶如果在蔚來APP-我的證件中進行授權,則可能會包括更為隱私的個人信息,如購車指標、社保流水、公積金流水、薪資流水等。

蔚來客服則告訴時代財經,目前,涉及的具體信息資料還沒有公布。此次數據泄露不會對車輛駕駛造成影響,車主若接到不明來電,則需要謹慎一點。該名客服同時表示:如果車主因信息泄露事件受到相應的損失和影響,客服將記錄反饋,有專門的顧問進行后續的溝通。

蔚來首席信息安全科學家、信息安全委員會負責人盧龍表示,本次事件不涉及車輛使用中產生的數據(如行車軌跡、座艙數據),也不影響車輛的駕乘或遠程控制。還在進一步調查數據泄露的原因和影響范圍。

不過,在業界看來,盡管蔚來方面承諾給用戶帶來的損失承擔責任,但該承諾或難兌現。

圖片來源:蔚來

朱永平告訴時代財經,根據《個人信息保護法》第69條、《汽車數據安全管理若干規定》第17條,如蔚來公司在本次事件當中未履行數據安全保障義務,存在過錯,則應當向受到損害的用戶承擔侵權責任。本次事件中,蔚來公司承諾給造成損失的用戶承擔責任,但該種承諾比較難以兌現。

朱永平進一步解釋道:用戶舉證難度大,首先用戶并不清楚該次事件中遭到泄漏的數據是否包含自己的個人信息,這需要用戶先向蔚來公司方面進行了解;其次,即便蔚來公司承認本次泄漏的數據中包含自己的信息,用戶也難以證明自己的損失是因為該次數據泄漏事件造成的,因為在日常生活中,我們在方方面面的事情上都可能留下我們的數據信息,用戶需要證明自己的損失是因為本次數據泄漏造成,而不是從其他方面造成的,該舉證責任成為用戶維權的一大難題。

智能汽車數據安全敲響警鐘

相較于傳統燃油車,智能汽車的數字化場景更多,其產品和服務收集個人信息的場景也更多。從購車咨詢、車輛試駕到車輛訂購、電池租用、車輛使用及遠程車輛管理等,各個環節或都有數據安全、信息安全風險伴隨其中。

新能源汽車研究者安陽告訴時代財經,新能源汽車的電動化、智能化產生了海量的汽車應用數據,同時,新能源汽車直聯用戶,利用超級APP、小程序等方式與用戶互動,產生了大量的用戶信息。如何保障這些數據的安全、合理地應用,不僅在于相關部門,各主機廠和三方公司,都需要認真考量,提前準備,減少此類蔚來事件的發生。

在政策層面,今年4月,工業和信息化部、公安部、交通運輸部、應急管理部、市場監管總局聯合發布了《關于進一步加強新能源汽車企業安全體系建設的指導意見》(以下簡稱《意見》),明確提出要健全網絡安全保障體系,加強網絡安全防護、強化數據安全保護、落實個人信息安全防護。

《意見》指出,企業要按照《個人信息保護法》以及相關法律法規的規定處理個人信息,制定內部管理和操作規程,對個人信息實行分類管理,并采取相應的加密、去標識化等安全技術措施,防止未經授權的訪問以及個人信息泄露、篡改、丟失。

朱永平表示,根據《汽車數據安全管理若干規定》第八條,汽車數據處理者處理個人信息應當取得個人同意或者符合法律、行政法規規定的其他情形。車企在收集用戶信息前,需要征得用戶的同意,且應當保證數據合法、正當的用途。

“我認為法律上可以從汽車的生產、銷售、用戶使用、車輛管理等層面上細化車企對數據運用的規定,提出明確要求;對于用戶數據信息進行分類,按照分類級別設置不同的權限,由用戶決定是否提供;強化數據信息透明化使用,使用戶能夠了解車企使用數據的實際情況?!敝煊榔秸f。

關鍵詞: