李斌致歉蔚来数据泄露，黑客疑似明码标价，车主信息安全谁来守护？

电子发烧友网报道（文/吴子鹏）日前，蔚来首席信息安全科学家、信息安全委员会负责人卢龙在蔚来官方社区发布公告，2022年12月11日，蔚来公司收到外部邮件，声称拥有蔚来内部数据，并以泄露数据勒索225万美元等额比特币。

事件引起了广泛的关注，蔚来官方声明下，车主已经发布了数百条留言，并且讨论的热度不减。在车主的讨论中，大部分车主比较关注的事情是，蔚来此次规模性的数据泄露原因是什么？哪些数据被泄露？泄露到了何种程度？蔚来是否会妥协付款？

针对这些问题，蔚来创始人、董事长、首席执行官李斌在蔚来官方社区致歉并表示，“会对此次事件给用户带来的损失承担责任”，“对窃取和买卖此次事件相关数据的违法犯罪行为追查到底，我们不会与不法行为妥协。”

黑客疑似明码标价

在卢龙发布的《关于数据安全事件的声明》中有提到，经初步调查，被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。在收到勒索邮件后，公司当天即成立专项小组进行调查与应对，并第一时间向有关监管部门报告此事件。蔚来将协同有关执法部门深入调查此次事件，并依法坚决打击相关的数据窃取、买卖行为。

 
图源：蔚来官方社区

同时，围绕此次事件，网络上流传一份黑客对蔚来汽车的勒索报价。如下图所示，内容大概就是黑客公开展示的一则信息，其中提到，在事件发生之后曾两次联系蔚来，但是蔚来均没有妥协，不愿意买断。因此黑客决定将这些数据有偿曝光，并提供了一份明码标价的价格表。

 
网传黑客售卖信息截图

通过这份没有经过官方确认的报价表能够发现，此次泄露最多的信息可能是蔚来用户注册信息，大概有4850000条，黑客明确表示这些信息对蔚来的竞争对手是有用的，售价为0.15比特币。此外，还有蔚来内部员工数据228000条，车主用户身份证数据3990000条，用户地址数据650000等信息，报价均在0.1-0.25比特币之间。

用户数据是车企最宝贵的财富

目前，全球主流的汽车市场全部都已经迈入到智能网联发展阶段，致使汽车在两方面的数据出现爆发式增长，一个是智能驾驶带来的行驶数据，还有一个便是用户信息数据。

此次蔚来数据泄露事件所涉及的便是员工和用户信息数据，来源分别是企业的数字化管理以及车主App。我们在此主要聊聊后者。在智能网联汽车领域，几乎每一个车企都有一套自己的App，用于帮助用户了解汽车基本信息，如车况、保养、里程等，当然也有一定的社交功能。目前车友活动很多都不再依靠传统QQ群和微信群的方式，而是有专门的车主社区，可以让一个地区的车主发起活动倡议。

对于车企而言，智能网联化的汽车就是一个数字终端，需要提供一个无缝链接的数字化体验，以智能手机为起点再合适不过。我们电子发烧友网曾在多篇报道吉利汽车战略，尤其是吉利收购魅族时强调过这一点。从手机上的App出发，便能做用户聚合，提升用户黏性，最终形成一个生态圈。

因此，在现今的汽车圈，也有一句行业共识的话：对用户数据的挖掘，就是智能汽车的本质。

这么说是有根据的。从汽车智能化发展来看，未来的汽车架构是软件定义硬件，在整车研发时会分两个阶段，前期是软件和硬件的开发解耦，后期则是软件和硬件的持续协同。那么对于整车后期开发而言，架构化的软件以及模块化的硬件最终是要服务平台化的汽车。而平台化汽车的核心宗旨是什么呢？是用户需求导向的定制化开发，因此在协同开发阶段，用户画像构建是最重要的环节，否则最终的车机平台大概率要被车主唾弃。要构建贴近用户的画像，交互评价数据和用户使用数据等是必不可少的。

此外，用户大数据还能够更好地帮助车企定制战略。比如以蔚来举例，哪个城市的车主密集度高，那么换电站的配比就要跟上；北方车主对用车的感触则能够帮助蔚来持续优化自己的电池包技术，比如加入自加热的技术；还有自动驾驶技术的优化，可以通过用户数据看到哪些常用场景是自己没有覆盖到的，在下一次优化时可以着重提出来。

因此可以说，用户数据是智能网联时代车企最宝贵的财富。

车主信息安全谁来守护？

然而，我们也不得不正视一个问题——过往车企对用户都是“放养”的状态，在直面用户这一环当惯了“甩手掌柜”，因此对功能安全有偏执要求的车企面对突然涌来的用户数据，并没有建立起一套同样要求严苛的安全体系。

比如在车企做App这一点上，车企的出发点是为了主导用户生态圈的建设，而不让其掌握在tier 1或者tier 2级供应商的手上。而车企App作为用户现实车辆和虚拟生活的交叉点，加上互联网实名制的要求，必然要接触到大量的用户数据。目前车企在用户数据安全防护方面基本是摸着石头过河，很多措施都有待加强。根据行业媒体的统计，目前全球包括通用汽车、丰田汽车、本田汽车和福特汽车等国际汽车巨头在内的100多家车企都发生过不同程度的数据泄露事件。比如去年中旬大众集团的数据泄露事件中，就有330万名客户被波及，原因是2019年8月至2021年5月期间大众一家供应商将这些未曾脱敏的数据留在了互联网上。

目前，政府和行业监管部门对于汽车产业用户数据安全保护也没有成套的措施，基本属于发现一个查处一个，如果没有涉及到用户投诉，也就成了车企和用户之间的问题，监管部门并不介入。实际上，当前在汽车用户数据保护方面，从信息收集、分析、存储、传输、查询、利用、删除到向境外提供等方面并没有明确的法规细则。

在国内，国家互联网信息办公室会同相关部门，根据《网络安全法》等法律法规，起草了《汽车数据安全管理若干规定（征求意见稿）》，目前正处于意见征询的阶段，而这是我国首个汽车行业数据安全管理的规章制度。

在国外，目前汽车行业大都遵循的也是传统的互联网数据保护条例，并非是专用于汽车产业的。比如2021年中旬，德国下萨克森州数据保护局对大众进行处罚时，所依照的是《通用数据保护条例》。

此外，现阶段和汽车相关的数据，无论是行驶数据还是用户数据，都在高速爆发期，会不断涌现出新的内容，这也给汽车数据安全保护提供了更严峻的挑战。正如清华大学学科办主任、车辆与运载学院教授杨殿阁在点评“国家网信办就汽车数据安全管理征求意见”这一事件时表示，智能汽车信息安全问题是新出现的问题，尚无完善的解决方案。智能汽车的数据安全问题是最近刚刚出现的，针对这样的问题，它的监管手段、技术层面还都不完善，怎么去做还有待研究。《汽车数据安全管理若干规定（征求意见稿）》规定的很细，当然也还存在进一步细化跟完善的空间。

从目前的情况来看，蔚来汽车的事件并没有专门的法律可以遵循，对于受害车主如何赔偿，基本上尺度由蔚来和车主的协商决定。而此次事件让很多人气愤车企胡乱收取用户数据，但也正是因为没有规矩，车企才敢把手伸这么长。

后记

蔚来汽车作为造车新势力中的代表，在用户App功能设定方面处于行业领先的位置，也受到了车主和行业的好评。这也使得蔚来能够获取到更多维度的用户数据，更容易被不法分子盯上。而如何保护好用户数据以及更广泛意义上的汽车数据，不是蔚来一家要面对的问题，是全行业的问题。