文 丨 周文猛
一大批蔚来车主的身份证ID以及家庭地址信息,正在网络上被贱卖。
截至目前,蔚来方面道歉三次,分别是官方、创始人李斌以及首席信息安全科学家。但是,事态并未就此歇停。
在蔚来内部社区,一大批车主们“炸开了锅”:
“道歉太表面客套了”。
“具体泄露了哪些信息类型为何不说?”
“抱歉有用吗?没本事别天天吹会保护客户隐私。”
“每天都接到骚扰电话十几个!”
…………
这让人回想起了去年的“联合声明”事件,一部分车主对蔚来品牌的维护,像极了饭圈的粉丝在维护自己的偶像。但这一次,车主们的言论出奇的一致。很明显,支持李斌的粉丝少了,理性车主的比重在增加。
而据中国政法大学知识产权研究中心研究员赵占领等多位律师对介绍,“如果最终确定蔚来未在数据泄露过程中尽到信息安全保障的义务,则将必须赔偿给用户造成的全部损失,同时还面临行政处罚的后果。”
“炸开锅”的内部社区
12月20日下午,蔚来首席信息安全科学家、信息安全委员会负责人卢龙在蔚来官方社区发布公告称,2022年12月11日,蔚来公司收到外部邮件,声称拥有蔚来内部数据,并以泄露数据勒索225万美元(当前约1570.5万元人民币)等额比特币。
据卢龙透露,在收到勒索邮件后,蔚来当天即成立专项小组进行调查与应对,并第一时间向有关监管部门报告此事件。经初步调查,被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。
为安抚车主情绪,蔚来创始人、董事长、首席执行官李斌还在公示下评论称,“非常抱歉发生这样的事。没有保护好用户信息安全是我们的责任,向大家深表歉意,会对此次事件给用户带来的损失承担责任。我们会协同有关部门深入调查此次事件,对窃取和买卖此次事件相关数据的违法犯罪行为追查到底。”
然而,李斌的道歉并不能让所有车主满意。就在该条公告下,不少车主很快便吵开了。
有昵称为peony的车主直接表示,“作为董事长在这里说这些不痛不痒的官话纯属扯淡,这么大的事儿是道歉可以解决的么? 蔚来这么大的公司怎么做的信息安全?在大数据的今天蔚来连做基本的都做不好,造车的前程,表示呵呵。”
也有昵称为Gaofeng动动的车主表示,“这件事我觉得蔚来做的挺让人失望的,你自己犯的错导致泄漏不去弥补,选择美其名日‘弥补用户损失’?怎么弥补?有方案么?如果没有,那不就是想博取原谅么?”
此外,除了呼吁“让蔚来的首席信息官直接下课”的声音外,一些极端的社区用户甚至喊出了“赶紧烧车!”的口号。据介绍,目前已有大量车主持续多次收到骚扰电话,已经造成实质性用户信息泄露并开始影响被泄露者生活、工作。
在网上流传的一份泄露数据信息图显示,蔚来此次泄露的信息主要包括2.28万条内部员工数据,售价0.15比特币;39.9万条车主用户身份证数据,售价0.25比特币;以及65万条用户地址数据,售价0.15比特币。
据不完全统计,此次泄露的车主数据信息,大幅度超出了蔚来截至2022年10月31日累计交付的259563辆车数。如果再将时间提前至蔚来首席信息安全科学家卢龙所说的2021年8月之前,则泄露的情况则将变得更加严重。
要知道,即便是截止2021年12月,蔚来累计卖出的车辆也才仅17万辆左右,这远远低于黑客们所说的39.9万车主身份证信息。这意味着,除了已经购车的车主面临数据泄露之外,还有大量的蔚来潜在车主,也面临着数据泄露风险。
蔚来面临何种责任?
一片吐槽之下,导致超百万车主用户信息泄露的蔚来,除了道歉外,还需要承担哪些具体的责任呢?是否需要给出一些更加具体的赔偿补救措施?
在中国政法大学知识产权研究中心研究员赵占领看来,“由于目前蔚来方面给出的单方声明,并未清楚说明用户数据被盗的原因,因此对于该如何承担责任,是进行金钱还是其他形式的赔偿也并不清楚。但如果用户数据被盗取的原因得以明确,蔚来公司在此过程中如果没有尽到信息安全保障义务,则蔚来公司必须赔偿给用户造成的全部损失,同时还需要承担行政处罚责任。”
据赵占领介绍,根据《个人信息保护法》规定,蔚来公司作为个人信息处理者,应该履行信息安全保障义务。蔚来应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息:(一)制定内部管理制度和操作规程;(二)对个人信息实行分类管理;(三)采取相应的加密、去标识化等安全技术措施;(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;(五)制定并组织实施个人信息安全事件应急预案。
“这次事件中蔚来公司是否承担责任,关键看是否尽到前述信息安全义务。这需要结合用户数据被盗的具体方式和途径来判断。”赵占领表示。对于这一判断,北京乾成律师事务所高级合伙人徐春江深表认同。在他看来,在这起事件中,蔚来既可能面临对用户承担责任,但同时也是勒索受害方,最终的责任方式及赔偿数额,还需要结合用户的具体受损情况确定。
“根据《中华人民共和国个人信息保护法》第六十九条规定,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。也就是说,在个人信息遭受损害时,蔚来作为个人信息处理者需要承担过错推定责任,蔚来需要证明其没有过错,否则需要承担损害赔偿责任。”徐春江表示。
此外,上海段和段律师事务所刘春泉律师同样对指出,“根据我国《网络安全法》第40条,蔚来有义务为收集的信息严格保密,并建立健全用户信息保护制度的义务。如果蔚来没有遵循法律规定履行合规动作,待将来查明事实后,行政机关可能会根据企业合规情况,确定其是否应当承担责任,以及需要承担什么性质处罚责任。”
此外,刘春泉还指出,“在出现安全问题后,企业也应该及时向有关部门报告,采取补救措施并告知用户,否则也会进一步遭受合规风险。”
据《个人信息保护法》规定,当发生或者可能发生个人信息泄露、篡改、丢失时,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。此外,在《蔚来汽车隐私政策》中,类似的条文也有着不少篇幅描述。然而在蔚来车友圈,多位车主先后表示,“自己至今没有收到蔚来方面给到的任何短信或者邮件提示。在社区也是找了半天才找到蔚来方面出具的公示文章。”
刘春泉建议道,“当企业泄露个人信息导致个人利益受损,个人可以向有管辖权的行政机关投诉举报,或者向消保机构起诉,甚至可以到人民法院起诉索赔。”
事故频发的蔚来,怎么了?
近一年来,蔚来可谓是流年不利。
今年初,受疫情影响,蔚来成为了受影响最大的新能源汽车厂商之一。4月份,蔚来官方App发布关于近期生产与交付情况的说明称,因为疫情原因,蔚来整车生产已经暂停,这直接导致了蔚来4月份仅交付新车5074辆,同比下降28.6%。
而在随后的6月份,蔚来又连续出现“高空坠楼事故”和“被国际做空机构做空”两起负面新闻。蔚来后续的不当回应,也在网络上掀起一阵不满情绪。
不止于此,随着新能源汽车进入智能化下半场,竞争越发激烈。过去一直被视为第二梯队的零跑汽车、哪吒汽车开始发力,也开始坐稳交付量新势力前二,实现了对第一梯队的超车。把蔚来这个曾经的“新势力一哥”,甩到了身后。
一时之间,“蔚来掉队了?”等言论也开始不断出现。
如今,随着车主数据泄露事件的发生,蔚来在自己的消费者们面前的形象,无疑再一次跌到了谷底。蔚来泄露用户数据事件背后,智能汽车信息安全如何防范?也成为了越来越多消费者关注的焦点。
近年来,随着汽车的智能化发展日趋深入,同时智能汽车逐渐被认为将是下一代智能终端,信息安全正在成为一道新的课题。然而,由于智能汽车同时涉及自动驾驶、云计算、智能交互等多元技术领域,各类软硬件技术供应商随之增多,使得智能汽车的软件系统日趋复杂,这给信息安全防护带来了一定的难度。
作为国内常以“高端智能电动汽车”标榜自己的品牌,蔚来或许需要认真地掂量一下自己的智能技术以及安全能力是否匹配了。事实上,这已是今年来蔚来第二次发生重大信息安全事件。今年4月,蔚来在一份内部通告中表示,2021年9月1日,蔚来风险管理部门收到相关投诉表明,该公司的一位员工利用职位之便,使用公司内部服务器进行了以太坊挖矿,时间长达一年以上,经过内部授权调查,蔚来证实该事件属实。