敲警钟！蔚来官宣数据被窃取，遭勒索225万美元

中国基金报记者 文夕

12月20日，蔚来首席信息安全科学家、信息安全委员会负责人卢龙在蔚来官方社区发布公告称，12月11日，公司收到外部邮件，声称拥有蔚来内部数据，并以泄露数据勒索225万美元等额比特币。

蔚来方面对此表示“不会作出主动赔偿，但会因本次事件给用户造成的损失承担责任”。此次是蔚来年内第二期信息安全事件。近年来，智能汽车数据安全事件时有发生，引起市场高度关注。此次事件也再次为汽车数据安全敲响警钟。

不会主动赔偿

蔚来在声明中表示，在收到勒索邮件后，公司当天即成立专项小组进行调查与应对，并第一时间向有关监管部门报告此事件。经初步调查，被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。

对此，蔚来表示，公司对于此次时间对用户造成的影响深表歉意，并郑重承诺，对因本次事件给用户造成的损失承担责任。

蔚来在声明中补充说，窃取、买卖此类数据是违法犯罪行为，公司对此予以严厉谴责，也坚决不会向网络犯罪行为低头。公司将协同有关执法部门深入调查此次事件，并依法坚决打击相关的数据窃取、买卖行为。

记者随后与蔚来方面取得联系，但公司方面并未作出进一步回应，仅表示以官方回应为准。但根据蔚来给出的客服热线，记者试图取得联系，蔚来客服人员表示，针对用户数据泄露一事，不会做出主动赔偿，但对本次事件所造成的损失承担责任。蔚来客服同时表示，如近期遇到涉及蔚来的陌生来电，需小心谨慎，勿透露个人信息。

据了解，这是今年以来蔚来汽车遇到的第二起与信息安全和加密货币相关的事件。蔚来在今年4月的一份内部通知中表示，2021年9月1日，蔚来风险管理部门收到相关投诉，投诉表明该公司的一位员工利用职位之便，使用公司内部服务器进行了以太坊挖矿，时间长达一年以上。

蔚来在内部通知中强调，该行为已经违反法律，同时也对公司系统安全和业务信息安全产生了负面影响。

“数据黑箱”广受争议

实际上，智能网联汽车数据量大面广，相较于传统的燃油汽车，智能网联汽车通过在车外部署摄像头、毫米波雷达、激光雷达等多个传感器，以及车内 DMS 驾驶员监测系统、智能座舱 APP 应用等途径，可收集到规模大、覆盖面广的车辆数据。

据国家工业信息安全发展研究中心副总工程师兼信息政策所所长黄鹏此前曾表示，一辆智能网联汽车每天至少收集10TB的多维数据，即不仅包含驾乘人员的面部表情、动作、目光、声音数据，还包括车辆地理位置、车内及车外环境数据、车联网使用数据等。

对此大规模的数据，通常被实时发送、存储到汽车厂商的数据服务器中，经分析后不仅被用于自身驾驶过程决策和人机交互等方面，还成为主机厂后续技术推进、产品改良、商业决策的重要基础。

这些数据也被喻为“数据黑箱”，但同时这些数据也面临遭到窃取和转移风险。此前包括特斯拉在内的多家新能源车企均经历过数据泄露事件。在今年1月初，柏林警方获悉“特斯拉的所有车型都会对车辆环境进行永久性、不显眼的视频记录，并将这些记录导出”，这些记录“永久存储在特斯拉位于德国国外的荷兰服务器上”。

而在更早前，国内特斯拉车主因刹车失灵要求提完整行车数据的“车顶维权”引发行车数据归属权问题的讨论，而后又有滴滴赴美上市后被监管部门启动网络安全审查，因触犯《网络安全法》被国家网信办责令下架整改。

民生证券认为，近期汽车数据安全事件频发，均反映出当前智能汽车数据面临较大的安全隐患，这些事件为业界敲响了数据安全警钟，致使其对智能行车数据的安全、监管等问题关注度持续提升。

而且值得注意的是，主机厂对于数据的分析解释话语权，有着明显不平等地位。不同于传统燃油车车主可通过车辆OBD接口读取行车数据，具有智能驾驶功能的车辆行车数据属于车企的保密性息，外界难以获取。

民生证券业认为，新能源汽车厂商缺乏相应有关部门的监督管理，行车数据也面临篡改、隐私泄露、不规范使用的风险，进而损害消费者个人隐私安全，更有甚者，行车数据包含大量地理信息，若车企泄露，将会威胁到国家安全。

以汽车故障为例，第三方公司需原始数据来判断原因以进行车辆事故定责，但在监管部门介入缺失情况下，主机厂具备“运动员”和“裁判员"的双重身份，即主机厂提供数据，并因外界可解读性差具有更高 的分析解释话语权，这种不平等的地位使得公开数据真实性有待考量，车主的隐私信息也难以保障。

编辑：舰长