图:蔚来汽车数据安全事件受到消费市场持续关注。
■本报记者 吴博峰 文/摄
“485万条蔚来注册用户数据,蔚来竞争对手可以关注”“39.9万条车主用户身份证数据,从事‘黑灰产’的可以关注”……日前,有人宣称破解了蔚来汽车大量数据,并公开在网络上销售。一时间,消费者对于个人信息保护的担忧情绪在市场上蔓延开来。
用户数据遭大规模泄露
据了解,网上列出的数据涉及蔚来的经营以及用户信息,比如订单数据、车主身份证、用户地址,甚至车主亲密关系、车主贷款数据等隐私信息也全部涵盖在内。据统计,此次泄露数据高达百万条以上。这些信息被明码标价,价格均以比特币为单位。比如,39.9万条车主身份证数据,售价为0.25比特币;65万条用户地址数据,售价为0.15比特币;支付1比特币就可打包所有数据信息。
事件发生后,蔚来汽车发布了《关于数据安全事件的声明》(以下简称《声明》),称蔚来官方成立专项小组进行调查与应对,第一时间向有关监管部门报告,并协同有关部门深入调查,经初步调查,被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。
记者梳理蔚来汽车近几年销售数据发现,在2017年12月投放首款车型后,蔚来汽车在2018年1月—2021年7月期间累计交付约12.55万辆。此次信息泄露涉及多少用户?记者按照《声明》提供的电话和邮件两种联系途径试图寻找到答案,相关工作人员给出的答复为“以公司发布的相关公告为准”。
尽管蔚来汽车董事长李斌在蔚来官方社区就用户数据泄露一事发文致歉,但仍未能完全打消用户的顾虑。
记者在蔚来社区中发现,不少蔚来注册用户发表了自己的看法。一位网名为“闹一阵儿”的用户表示:“这个声明和解释完全说不过去,看不到诚意!应该把造成泄露的原因和泄露的具体内容公之于众,关于此类问题今后如何避免并作出保证。”
有的用户已经因蔚来汽车泄露隐私信息而受到影响。名为“小碗熊01”的注册用户表示:“最近突然接到很多卖车销售人员打来的电话。”
值得一提的是,10月15日,蔚来汽车曾发布《蔚来汽车隐私政策》(以下简称《隐私政策》),表示于当日起正式对内容整体进行了更新,并根据实际情况对相应内容作出校准与优化,便于用户更清晰、透明地理解公司如何处理和保护用户的个人信息。然而,距离《隐私政策》更新仅过去两个月,蔚来汽车就深陷“泄露门”的漩涡,不禁让人对《隐私政策》的实际效果提出疑问。
清华大学车辆与运载学院教授、汽车安全与节能国家重点实验室副主任宋健在接受《中国消费者报》记者采访时表示,蔚来汽车这次信息泄露事件和其自身安全防护系统建立不完善有直接关系,导致没有对消费者个人信息形成有效保护。“保护消费者的个人信息是车企应尽的义务,这一事件涉嫌侵犯了消费者的利益。”宋健直言不讳。
过度收集导致信息难保护
其实,这已经不是新造车品牌首次出现信息泄露的情况。此前,特斯拉、小鹏等多家新造车品牌均曾出现泄露用户信息事件。
中国汽车流通协会专家委员会成员颜景辉在接受《中国消费者报》记者采访时认为,信息泄露事件频发与新造车品牌更多的数字化功能应用有一定关联。相比于传统车企,新造车品牌的数字化不仅体现在功能上,还延伸至相关服务领域。而信息化保护是一项复杂课题,需要车企在车辆全生命使用周期内提供保护。
这一点,去过蔚来汽车服务门店的消费者深有同感。当消费者第一次前往蔚来汽车门店时,无论是选择试驾还是看车,相关工作人员都会建议消费者下载官方APP并完成注册,随即会拥有一个服务专员。而后,无论消费者身处哪个城市,当再次前往服务门店时,相关工作人员只要查询消费者的注册号就能查到过往记录。另外,根据《隐私政策》,消费者在选择电池租用服务、车辆订购、购车咨询与车辆试驾、融资租赁服务、保险服务、电子协议签署、车辆使用与远程车辆管理、车主服务与售后服务、商城购物及支付、活动报名等场景时,蔚来汽车会收集姓名、有效证件号码、手机号码、实时定位信息、银行卡号、车辆充换电信息、车辆及电池的保养保修记录等信息。
相比之下,无论是购车咨询,还是车辆正常维保记录,大多传统车企、车主并不面临这一问题。
宋健表示,在数据信息的各个环节,如果没有完善的防护措施作为保障,都有可能成为信息泄露的源头。毫无疑问,向消费者收集信息的环节越多,防护隐私信息泄露的压力就越大。
排查双重隐患迫在眉睫
截至记者发稿时,此次事件的具体原因还在调查当中。蔚来汽车首席信息安全科学家、信息安全委员会负责人卢龙的一则表态引起了记者的注意。
卢龙在蔚来社区中称:“本次事件不涉及车辆使用中产生的数据(如行车轨迹、座舱数据),也不影响车辆的驾乘或远程控制。我们还在调查数据泄露的原因和影响范围。”
作为私密生活空间,车内信息隐私保护对消费者至关重要。对此,ES8创始版车主“Hi迅哥”提出了自己的疑问:“言下之意,是否会涉及车内语音、图像等数据?”
针对这一说法,颜景辉认为,具体情况还有待蔚来汽车给出官方说明,但这一答复反而容易让人们心生疑问,包括就其所说没有造成行车轨迹、座舱数据等数据信息泄露,蔚来汽车应具体说明到底采取了什么样的措施和方式,不能导致行车轨迹的泄露,这有助于缓解消费市场焦虑,尤其是此次事件所涉及的车主。
宋健在分析导致事故的具体原因时介绍说,一般情况下,信息泄露主要包括两个方面:人为因素和技术原因。从技术角度来分析,信息泄露除了人为因素外,由于蔚来汽车自己不生产芯片,而是通过外采方式获取芯片。而很多芯片本身就自带“后门”,在上面的信息很有可能被不经意间收集,这是很难避免的情况。“使用外采芯片等同于用了这家公司的计算机系统,而芯片里是否暗留‘后门’,除非破译(否则无从得知)。”宋健进一步解释道。
此外,人为因素也有可能成为此次信息泄露事件的导火索。“本着对消费者负责任的态度,蔚来汽车今后应在抓紧提升技术层面,如防火墙、数据保护能力等基础上,尽可能通过技术提升有效降低人为因素干扰,使用户信息隐私得到更好保护。”颜景辉表示,是否内部有人因经济利益产生的隐私信息泄露尚不得知,这就要求要把加强内部管理摆放在同等重要的位置。