一大批蔚來車主的身份證ID以及傢庭地址信息,正在網絡上被賤賣。截至目前,蔚來方面道歉三次,分別是官方、創始人李斌以及首席信息安全科學傢。但是,事態並未就此歇停。在蔚來內部社區,一大批車主們“炸開鍋”:
“道歉太表面客套”。
“具體泄露哪些信息類型為何不說?”
“抱歉有用嗎?沒本事別天天吹會保護客戶隱私。”
“每天都接到騷擾電話十幾個!”
…………
這讓人回想起去年的“聯合聲明”事件,一部分車主對蔚來品牌的維護,像極飯圈的粉絲在維護自己的偶像。但這一次,車主們的言論出奇的一致。很明顯,支持李斌的粉絲少,理性車主的比重在增加。
而據中國政法大學知識產權研究中心研究員趙占領等多位律師對新浪財經介紹,“如果最終確定蔚來未在數據泄露過程中盡到信息安全保障的義務,則將必須賠償給用戶造成的全部損失,同時還面臨行政處罰的後果。”
“炸開鍋”的內部社區
12月20日下午,蔚來首席信息安全科學傢、信息安全委員會負責人盧龍在蔚來官方社區發佈公告稱,2022年12月11日,蔚來公司收到外部郵件,聲稱擁有蔚來內部數據,並以泄露數據勒索225萬美元(當前約1570.5萬元人民幣)等額比特幣。
據盧龍透露,在收到勒索郵件後,蔚來當天即成立專項小組進行調查與應對,並第一時間向有關監管部門報告此事件。經初步調查,被竊取數據為2021年8月之前的部分用戶基本信息和車輛銷售信息。
為安撫車主情緒,蔚來創始人、董事長、首席執行官李斌還在公示下評論稱,“非常抱歉發生這樣的事。沒有保護好用戶信息安全是我們的責任,向大傢深表歉意,會對此次事件給用戶帶來的損失承擔責任。我們會協同有關部門深入調查此次事件,對竊取和買賣此次事件相關數據的違法犯罪行為追查到底。”
然而,李斌的道歉並不能讓所有車主滿意。就在該條公告下,不少車主很快便吵開。
有昵稱為peony的車主直接表示,“作為董事長在這裡說這些不痛不癢的官話純屬扯淡,這麼大的事兒是道歉可以解決的麼? 蔚來這麼大的公司怎麼做的信息安全?在大數據的今天蔚來連做基本的都做不好,造車的前程,表示呵呵。”
也有昵稱為Gaofeng動動的車主表示,“這件事我覺得蔚來做的挺讓人失望的,你自己犯的錯導致泄漏不去彌補,選擇美其名日‘彌補用戶損失’?怎麼彌補?有方案麼?如果沒有,那不就是想博取原諒麼?”
此外,除呼籲“讓蔚來的首席信息官直接下課”的聲音外,一些極端的社區用戶甚至喊出“趕緊燒車!”的口號。據介紹,目前已有大量車主持續多次收到騷擾電話,已經造成實質性用戶信息泄露並開始影響被泄露者生活、工作。
在網上流傳的一份泄露數據信息圖顯示,蔚來此次泄露的信息主要包括2.28萬條內部員工數據,售價0.15比特幣;39.9萬條車主用戶身份證數據,售價0.25比特幣;以及65萬條用戶地址數據,售價0.15比特幣。
據新浪財經不完全統計,此次泄露的車主數據信息,大幅度超出蔚來截至2022年10月31日累計交付的259563輛車數。如果再將時間提前至蔚來首席信息安全科學傢盧龍所說的2021年8月之前,則泄露的情況則將變得更加嚴重。
要知道,即便是截止2021年12月,蔚來累計賣出的車輛也才僅17萬輛左右,這遠遠低於黑客們所說的39.9萬車主身份證信息。這意味著,除已經購車的車主面臨數據泄露之外,還有大量的蔚來潛在車主,也面臨著數據泄露風險。
蔚來面臨何種責任?
一片吐槽之下,導致超百萬車主用戶信息泄露的蔚來,除道歉外,還需要承擔哪些具體的責任呢?是否需要給出一些更加具體的賠償補救措施?
在中國政法大學知識產權研究中心研究員趙占領看來,“由於目前蔚來方面給出的單方聲明,並未清楚說明用戶數據被盜的原因,因此對於該如何承擔責任,是進行金錢還是其他形式的賠償也並不清楚。但如果用戶數據被盜取的原因得以明確,蔚來公司在此過程中如果沒有盡到信息安全保障義務,則蔚來公司必須賠償給用戶造成的全部損失,同時還需要承擔行政處罰責任。”
據趙占領介紹,根據《個人信息保護法》規定,蔚來公司作為個人信息處理者,應該履行信息安全保障義務。蔚來應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等,采取下列措施確保個人信息:(一)制定內部管理制度和操作規程;(二)對個人信息實行分類管理;(三)采取相應的加密、去標識化等安全技術措施;(四)合理確定個人信息處理的操作權限,並定期對從業人員進行安全教育和培訓;(五)制定並組織實施個人信息安全事件應急預案。
“這次事件中蔚來公司是否承擔責任,關鍵看是否盡到前述信息安全義務。這需要結合用戶數據被盜的具體方式和途徑來判斷。”趙占領表示。對於這一判斷,北京乾成律師事務所高級合夥人徐春江深表認同。在他看來,在這起事件中,蔚來既可能面臨對用戶承擔責任,但同時也是勒索受害方,最終的責任方式及賠償數額,還需要結合用戶的具體受損情況確定。
“根據《中華人民共和國個人信息保護法》第六十九條規定,處理個人信息侵害個人信息權益造成損害,個人信息處理者不能證明自己沒有過錯的,應當承擔損害賠償等侵權責任。也就是說,在個人信息遭受損害時,蔚來作為個人信息處理者需要承擔過錯推定責任,蔚來需要證明其沒有過錯,否則需要承擔損害賠償責任。”徐春江表示。
此外,上海段和段律師事務所劉春泉律師同樣對新浪財經指出,“根據我國《網絡安全法》第40條,蔚來有義務為收集的信息嚴格保密,並建立健全用戶信息保護制度的義務。如果蔚來沒有遵循法律規定履行合規動作,待將來查明事實後,行政機關可能會根據企業合規情況,確定其是否應當承擔責任,以及需要承擔什麼性質處罰責任。”
此外,劉春泉還指出,“在出現安全問題後,企業也應該及時向有關部門報告,采取補救措施並告知用戶,否則也會進一步遭受合規風險。”
據《個人信息保護法》規定,當發生或者可能發生個人信息泄露、篡改、丟失時,個人信息處理者應當立即采取補救措施,並通知履行個人信息保護職責的部門和個人。此外,在《蔚來汽車隱私政策》中,類似的條文也有著不少篇幅描述。然而在蔚來車友圈,多位車主先後表示,“自己至今沒有收到蔚來方面給到的任何短信或者郵件提示。在社區也是找半天才找到蔚來方面出具的公示文章。”
劉春泉建議道,“當企業泄露個人信息導致個人利益受損,個人可以向有管轄權的行政機關投訴舉報,或者向消保機構起訴,甚至可以到人民法院起訴索賠。”
事故頻發的蔚來,怎麼?
近一年來,蔚來可謂是流年不利。
今年初,受疫情影響,蔚來成為受影響最大的新能源汽車廠商之一。4月份,蔚來官方App發佈關於近期生產與交付情況的說明稱,因為疫情原因,蔚來整車生產已經暫停,這直接導致蔚來4月份僅交付新車5074輛,同比下降28.6%。
而在隨後的6月份,蔚來又連續出現“高空墜樓事故”和“被國際做空機構做空”兩起負面新聞。蔚來後續的不當回應,也在網絡上掀起一陣不滿情緒。
不止於此,隨著新能源汽車進入智能化下半場,競爭越發激烈。過去一直被視為第二梯隊的零跑汽車、哪吒汽車開始發力,也開始坐穩交付量新勢力前二,實現對第一梯隊的超車。把蔚來這個曾經的“新勢力一哥”,甩到身後。
一時之間,“蔚來掉隊?”等言論也開始不斷出現。
如今,隨著車主數據泄露事件的發生,蔚來在自己的消費者們面前的形象,無疑再一次跌到谷底。蔚來泄露用戶數據事件背後,智能汽車信息安全如何防范?也成為越來越多消費者關註的焦點。
近年來,隨著汽車的智能化發展日趨深入,同時智能汽車逐漸被認為將是下一代智能終端,信息安全正在成為一道新的課題。然而,由於智能汽車同時涉及自動駕駛、雲計算、智能交互等多元技術領域,各類軟硬件技術供應商隨之增多,使得智能汽車的軟件系統日趨復雜,這給信息安全防護帶來一定的難度。
作為國內常以“高端智能電動汽車”標榜自己的品牌,蔚來或許需要認真地掂量一下自己的智能技術以及安全能力是否匹配。事實上,這已是今年來蔚來第二次發生重大信息安全事件。今年4月,蔚來在一份內部通告中表示,2021年9月1日,蔚來風險管理部門收到相關投訴表明,該公司的一位員工利用職位之便,使用公司內部服務器進行以太坊挖礦,時間長達一年以上,經過內部授權調查,蔚來證實該事件屬實。