用户信息被窃取,蔚来需要担责吗?

作者 | 财经E法 王梦欣 编辑 | 朱弢  

2023年01月06日 19:36  

本文4805字,约7分钟

蔚来需要证明的是,其并未在个人信息保护方面存在重大疏漏,并且已经充分履行信息安全保护义务。

12月20日,蔚来首席信息安全科学家、信息安全委员会负责人卢龙在蔚来官方App上发表《关于数据安全事件的声明》(下称“声明”)。

声明称,2022年12月11日,蔚来公司收到外部邮件,声称拥有蔚来内部数据,并以泄露数据勒索225万美元(约合1568万元人民币)等额比特币。在收到勒索邮件后,蔚来当天即成立专项小组进行调查与应对,并第一时间向有关监管部门报告此事件。经初步调查,被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。

声明还承诺,对因本次事件给用户造成的损失承担责任。蔚来将协同有关执法部门深入调查此次事件,并依法坚决打击相关的数据窃取、买卖行为。事件发生后,蔚来对网络信息安全进行了排查与强化,以避免此类事件的再次发生。

当日晚间,蔚来创始人、董事长、首席执行官李斌在蔚来官方社区致歉。李斌表示,“保护好用户信息安全是我们的责任,我们没有做好,向大家深表歉意,会对此次事件给用户带来的损失承担责任。我们会协同有关部门深入调查此次事件,对窃取和买卖此次事件相关数据的违法犯罪行为追查到底。我们不会与不法行为妥协,也请大家及时提供线索。”

随后,卢龙也在蔚来官方社区补充表示,本次事件不涉及车辆使用中产生的数据(如行车轨迹、座舱数据),也不影响车辆的驾乘或远程控制。

财经E法就该泄漏事件的进展询问蔚来公关部门人士,截至发稿时,未收到对方回复。

数据泄露的影响尚不明确

财经E法注意到,网上流传着一条蔚来数据买卖信息,如果此信息属实,那么此次数据泄漏的范围将不止是声明中所称的“2021年8月之前的部分用户基本信息和车辆销售信息。”

网传蔚来数据买卖信息。来源:网络

网传信息显示,此次泄漏数据包括蔚来员工数据、订单数据、用户及企业代表联系人数据,还包括车主身份证、用户地址,甚至车主亲密关系、车主贷款数据等隐私信息,同时公开标价。例如:蔚来内部员工数据2.28万条,售价0.15比特币;车主亲密关系数据36万条,售价0.2比特币;车主贷款数据17万条,售价0.1比特币等。

多位2021年8月前购买蔚来汽车的车主向财经E法表示,目前尚未收到因数据泄漏而导致的骚扰或损失。其中有一位上海的陈姓女车主表示,在看到网传截图后,她致电了蔚来客服。

“我个人是很注重隐私保护的,数据泄漏在我看来是个大事件,我很想讨个说法。”陈女士说:“客服回复说,‘目前蔚来还在调查事故发生的原因和影响范围,进一步进展还需要等官方公告。但是他们承诺,如果有因数据泄露而造成损失,蔚来会承担相应责任并赔偿损失。’虽然我更希望蔚来能提前做好防护,而不是事后补救,但是就目前的情况来看,他们对事件的处理还算有担当。但问题是,我怎么去确认损失,又怎么确认隐私泄露是此次事件导致的?这一点客服并没有给我正面回应。”

财经E法就陈女士的相关问题致电了蔚来客服,客服表示:“如果确实遭遇了损失,可以通过客服将相关凭证递交给蔚来数据安全管理部门,并由该部门进行损失确认和后续事件处理。同时,蔚来车主可以通过客服向蔚来相关部门递交申请,以查询个人信息是否在此次事件中被泄漏。”此外,蔚来客服也给近期致电的车主介绍了防骗的方法,提醒用户如果遇涉及蔚来的陌生来电,需小心谨慎,应及时向蔚来方面反映。

中欧经济技术协会智能网联汽车分会秘书长林示表示,从目前所披露的信息看,此次窃取的蔚来数据是2021年8月份之前的,这些数据并不是最新的,蔚来可能把更关键的、即时的信息存储到本地了,并且做了加密和物理隔离,这样的存储方式更加安全。而此次黑客窃取的信息很有可能是通过云端,或者侵入了蔚来的内部网站才获取了这些数据,因为其中不仅有车主的,还有内部员工的信息。但是目前泄漏数据会带来多大影响,可能还需要进一步观察。”

蔚来有责任吗?

事实上,蔚来并非第一家遭遇数据泄漏和黑客勒索的汽车企业。

2022年3月,丰田旗下子公司日本电装株式会社(下称“电装株式会社”)遭遇勒索软件攻击,大量的内部资料被黑客获取。在此之前,一个名为“Pandora”的黑客组织称已经入侵电装株式会社,并获取超过15.7万份订购单、邮件和设计图纸等总共1.4TB的资料,同时该组织威胁电装株式会社称,如果不按要求支付赎金,会在暗网公布这些数据。

5月,通用汽车发布声明称,其注意到2022年4月11日-29日期间,部分在线客户账户出现了可疑登陆,导致在未经用户授权的情况下,客户的奖励积分被兑换成了礼品卡。

10月,RansomEXX勒索软件团伙在其网站网站上发帖,声称成功入侵法拉利的网络并窃取了6.99GB数据,其中包括了内部文档、信息数据表等。此事件发生两天后,丰田汽车官宣称,使用其T-Connect服务的约29.6万条客户信息可能被泄露,包括电子邮件地址和客户号码等,影响范围包括2017年7月以来使用电子邮件地址注册服务的用户。

根据网络安全评级提供商Black Kite最新研究,在参与调研的100家汽车制造厂商中,近半数面临数据泄漏或勒索软件攻击的高风险。其中,相比于大型汽车制造商,小型汽车制造商更有可能成为攻击目标,因为它们在网络安全方面的资源更为薄弱。

中国政法大学法学院教授赵宏表示,车企的数据安全事件之所以频发,主要是由于随着智能汽车的技术开发,智能汽车会将用户手机与车机相互结合从而实现数据共享,这种关联使用户隐私时刻面临安全隐患,也使得汽车企业更易受黑客攻击。

虽然数据泄露是被窃取所至,但蔚来是否需要担责?

上海协力律所高级合伙人江翔宇认为,蔚来作为个人信息处理者,应当履行《个人信息保护法》《数据安全法》中的对个人信息保护和数据安全保护义务,如果没有履行,则即使数据泄露是黑客行为,蔚来也可能需要承担相应法律责任,包括民事和行政责任。”

江翔宇进一步解释:“相关的保护义务包括,一是事前是否有做到根据个人权益的影响、可能存在的安全风险等,采取措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失;二是有无事前进行个人信息保护影响评估,并对处理情况进行记录:三是发生或者可能发生个人信息泄露、篡改、丢失的情况后,蔚来作为个人信息处理者是否即采取补救措施,并通知履行个人信息保护职责的部门和个人。”

赵宏根据已有信息推断,应该已有相关部门组成第三方的审计合规小组介入调查。蔚来需要证明的是,其并未在个人信息保护方面存在重大疏漏,并且已经充分履行信息安全保护义务。同时,赵宏还指出,虽然蔚来遭遇黑客袭击并被人勒索,从某种程度上也可称为受害者,但在调查结束前,并不能完全排除是否有内部员工与黑客联手盗取数据并用于交易。如果有的话,那么该涉案内部人员的行为已经构成犯罪,将会面临刑事责罚。

中国政法大学数据法治研究院教授张凌寒则表示,数据泄漏可能是多方因素所造成的,究竟将个人信息泄漏造成损害的因果关系链条截取多长,如何划分责任等问题都给现行法律带去挑战。

如何构建数据安全“护栏”

那么,车企是否可以杜绝数据泄露或勒索?

林示向财经E法表示:“理论上可以,但实际操作过程中很难实现。”

林示解释,目前国内电动汽车企业储存用户数据主要有四个渠道:行车记录仪、车内自带硬盘、与车配对的移动数据设备以及企业云端。信息储存渠道的多元化以及信息的庞杂,很难提前预判哪个环节会出问题。一个可行的办法是将用户数据储存到本地,并且进行加密,做物理隔离。但是这样的话就没有办法把数据联网,随时调取数据并进行分析、匹配,挖掘数据的价值。所以从这个层面来说,完全避免数据泄漏不现实,只要是联网就有被攻击或者泄漏的可能。

《环球时报》与J.D. Power共同发布的《2022中国消费者智能网联汽车数据安全和个人隐私意识与顾虑调查》显示,消费者对现阶段智能网联汽车厂商能否妥善保护个人敏感信息的整体信心不足。

调查还显示,超九成的消费者会更加愿意选择注重数据安全和个人隐私保护的汽车品牌。

同时,中国也陆续出台了一系列有关汽车数据安全的政策法规,比如:2020年11月,国务院办公厅印发了《新能源汽车产业发展规划(2021-2035)》,特别提到要打造网络安全保障体系;2021年8月,工信部发布了《关于加强智能网联汽车生产企业及产品准入管理的意见》,同年9月,该部门印发了《关于加强车联网网络安全和数据安全工作的通知》,对加强数据安全保护、强化数据安全管理能力等方面做出了要求;2022年4月,工信部、公安部、交通运输部、应急管理部、国家市场监督管理总局五部门联合制定发布了《关于进一步加强新能源汽车企业安全体系建设的指导意见》,明确了要对车辆网络安全状态进行监测。

两相推动下,车企在信息保护方面也做出努力。

2022年3月,理想汽车安全负责人徐超在接受媒体采访时称,为了保证数据安全,理想汽车实现了全流程的数据加密监控,从数据采集开始,在每一个流转的过程中对重要的数据都是采用加密传输,业务之间数据调用,均保持加密状态,在数据展示页面也会进行脱敏处理。并且,在数据的流动过程中对数据进行监控,进行分析审计,运维人员、DBA、数据分析人员、店员等都无法直接接触到用户隐私信息,最大限度的确保用户数据的隐私和安全。

同年9月,卢龙在“人工智能与个人信息保护论坛”上表示,虽然目前在汽车数据敏感度识别、分类分级保护存在着技术困难,但是为了实现智能汽车的个人信息保护,蔚来已经有了一些实践。比如,当有必要数据传入到网络后端或车联网后端时,蔚来汽车将根据使用场景识别出哪些具体数据为该场景下所必须,并在告知用户且收到明确同意的情况下进行收集和处理。

此外,长城、奇瑞、威马等车企也先后表示,通过建立数据安全管理机制,制定数据治理的标准体系,从搭建框架入手构建安全防护围栏。

但就此次蔚来的数据泄露事件来看,显然数据安全的“护栏”还不够牢固。

在赵宏看来,随着智能汽车的网络化和智能化,蔚来不是第一家遭遇黑客攻击和窃取数据的车企,也不会是最后一家,因此对汽车企业履行数据安全义务提出了更高要求。

华诚律师事务所高级合伙人吴月琴建议,车企可以从两个角度入手,以应对类似的法律风险。

一是将数据合规工作融入到日常的工作机制中,构建起有效的数据合规体系,采取了可信赖的数据安全措施,从上到企业的合规战略,下到具体的合规制度、合规流程、合规操作,都已实实在在地落实,可以确保将日常的合规风险最小化,在突发事件发生时,也可以做到从容应对。

二是数据安全事件发生时,根据企业构建的应急处理制度,企业是否及时地处置事件,采取措施弥补漏洞、降低损失,并根据法律要求履行报告、通知等相应的法定义务,从而确保自身已尽可能采取必要的措施与动作,在使个人信息主体损失最小化的同时,也可以在日后作为证明自身没有过错或过错较低的证据。

浙江垦丁律师事务所创始合伙人麻策则表示,数据安全保护的投入是个“无底洞”,目前并没有一个明确的技术保障或者组织保障的规则。不管企业做到什么程度,投入多少人力、物力,一旦遇到数据泄漏事件,还是要承担相应的法律责任。

同时,一个现实的困境在于,各方往往按照个人信息数据泄露的客观结果对企业进行负面评价,以“只要发生数据泄露”来倒推企业必然未尽必要的保护措施,这可能导致企业并不清楚合规保护责任的合理边界。

麻策建议,未来能够出台更加明确的数据合规指南,以便于企业平衡安全和成本之间的合理边界。”