電子發燒友網報道（文/吳子鵬）日前，蔚來首席信息安全科學家、信息安全委員會負責人盧龍在蔚來官方社區發布公告，2022年12月11日，蔚來公司收到外部郵件，聲稱擁有蔚來內部數據，并以泄露數據勒索225萬美元等額比特幣。

事件引起了廣泛的關注，蔚來官方聲明下，車主已經發布了數百條留言，并且討論的熱度不減。在車主的討論中，大部分車主比較關注的事情是，蔚來此次規模性的數據泄露原因是什么？哪些數據被泄露？泄露到了何種程度？蔚來是否會妥協付款？

針對這些問題，蔚來創始人、董事長、首席執行官李斌在蔚來官方社區致歉并表示，“會對此次事件給用戶帶來的損失承擔責任”，“對竊取和買賣此次事件相關數據的違法犯罪行為追查到底，我們不會與不法行為妥協。”

黑客疑似明碼標價

在盧龍發布的《關于數據安全事件的聲明》中有提到，經初步調查，被竊取數據為2021年8月之前的部分用戶基本信息和車輛銷售信息。在收到勒索郵件后，公司當天即成立專項小組進行調查與應對，并第一時間向有關監管部門報告此事件。蔚來將協同有關執法部門深入調查此次事件，并依法堅決打擊相關的數據竊取、買賣行為。

?
圖源：蔚來官方社區

同時，圍繞此次事件，網絡上流傳一份黑客對蔚來汽車的勒索報價。如下圖所示，內容大概就是黑客公開展示的一則信息，其中提到，在事件發生之后曾兩次聯系蔚來，但是蔚來均沒有妥協，不愿意買斷。因此黑客決定將這些數據有償曝光，并提供了一份明碼標價的價格表。

?
網傳黑客售賣信息截圖

通過這份沒有經過官方確認的報價表能夠發現，此次泄露最多的信息可能是蔚來用戶注冊信息，大概有4850000條，黑客明確表示這些信息對蔚來的競爭對手是有用的，售價為0.15比特幣。此外，還有蔚來內部員工數據228000條，車主用戶身份證數據3990000條，用戶地址數據650000等信息，報價均在0.1-0.25比特幣之間。

用戶數據是車企最寶貴的財富

目前，全球主流的汽車市場全部都已經邁入到智能網聯發展階段，致使汽車在兩方面的數據出現爆發式增長，一個是智能駕駛帶來的行駛數據，還有一個便是用戶信息數據。

此次蔚來數據泄露事件所涉及的便是員工和用戶信息數據，來源分別是企業的數字化管理以及車主App。我們在此主要聊聊后者。在智能網聯汽車領域，幾乎每一個車企都有一套自己的App，用于幫助用戶了解汽車基本信息，如車況、保養、里程等，當然也有一定的社交功能。目前車友活動很多都不再依靠傳統QQ群和微信群的方式，而是有專門的車主社區，可以讓一個地區的車主發起活動倡議。

對于車企而言，智能網聯化的汽車就是一個數字終端，需要提供一個無縫鏈接的數字化體驗，以智能手機為起點再合適不過。我們電子發燒友網曾在多篇報道吉利汽車戰略，尤其是吉利收購魅族時強調過這一點。從手機上的App出發，便能做用戶聚合，提升用戶黏性，最終形成一個生態圈。

因此，在現今的汽車圈，也有一句行業共識的話：對用戶數據的挖掘，就是智能汽車的本質。

這么說是有根據的。從汽車智能化發展來看，未來的汽車架構是軟件定義硬件，在整車研發時會分兩個階段，前期是軟件和硬件的開發解耦，后期則是軟件和硬件的持續協同。那么對于整車后期開發而言，架構化的軟件以及模塊化的硬件最終是要服務平臺化的汽車。而平臺化汽車的核心宗旨是什么呢？是用戶需求導向的定制化開發，因此在協同開發階段，用戶畫像構建是最重要的環節，否則最終的車機平臺大概率要被車主唾棄。要構建貼近用戶的畫像，交互評價數據和用戶使用數據等是必不可少的。

此外，用戶大數據還能夠更好地幫助車企定制戰略。比如以蔚來舉例，哪個城市的車主密集度高，那么換電站的配比就要跟上；北方車主對用車的感觸則能夠幫助蔚來持續優化自己的電池包技術，比如加入自加熱的技術；還有自動駕駛技術的優化，可以通過用戶數據看到哪些常用場景是自己沒有覆蓋到的，在下一次優化時可以著重提出來。

因此可以說，用戶數據是智能網聯時代車企最寶貴的財富。

車主信息安全誰來守護？

然而，我們也不得不正視一個問題——過往車企對用戶都是“放養”的狀態，在直面用戶這一環當慣了“甩手掌柜”，因此對功能安全有偏執要求的車企面對突然涌來的用戶數據，并沒有建立起一套同樣要求嚴苛的安全體系。

比如在車企做App這一點上，車企的出發點是為了主導用戶生態圈的建設，而不讓其掌握在tier 1或者tier 2級供應商的手上。而車企App作為用戶現實車輛和虛擬生活的交叉點，加上互聯網實名制的要求，必然要接觸到大量的用戶數據。目前車企在用戶數據安全防護方面基本是摸著石頭過河，很多措施都有待加強。根據行業媒體的統計，目前全球包括通用汽車、豐田汽車、本田汽車和福特汽車等國際汽車巨頭在內的100多家車企都發生過不同程度的數據泄露事件。比如去年中旬大眾集團的數據泄露事件中，就有330萬名客戶被波及，原因是2019年8月至2021年5月期間大眾一家供應商將這些未曾脫敏的數據留在了互聯網上。

目前，政府和行業監管部門對于汽車產業用戶數據安全保護也沒有成套的措施，基本屬于發現一個查處一個，如果沒有涉及到用戶投訴，也就成了車企和用戶之間的問題，監管部門并不介入。實際上，當前在汽車用戶數據保護方面，從信息收集、分析、存儲、傳輸、查詢、利用、刪除到向境外提供等方面并沒有明確的法規細則。

在國內，國家互聯網信息辦公室會同相關部門，根據《網絡安全法》等法律法規，起草了《汽車數據安全管理若干規定（征求意見稿）》，目前正處于意見征詢的階段，而這是我國首個汽車行業數據安全管理的規章制度。

在國外，目前汽車行業大都遵循的也是傳統的互聯網數據保護條例，并非是專用于汽車產業的。比如2021年中旬，德國下薩克森州數據保護局對大眾進行處罰時，所依照的是《通用數據保護條例》。

此外，現階段和汽車相關的數據，無論是行駛數據還是用戶數據，都在高速爆發期，會不斷涌現出新的內容，這也給汽車數據安全保護提供了更嚴峻的挑戰。正如清華大學學科辦主任、車輛與運載學院教授楊殿閣在點評“國家網信辦就汽車數據安全管理征求意見”這一事件時表示，智能汽車信息安全問題是新出現的問題，尚無完善的解決方案。智能汽車的數據安全問題是最近剛剛出現的，針對這樣的問題，它的監管手段、技術層面還都不完善，怎么去做還有待研究。《汽車數據安全管理若干規定（征求意見稿）》規定的很細，當然也還存在進一步細化跟完善的空間。

從目前的情況來看，蔚來汽車的事件并沒有專門的法律可以遵循，對于受害車主如何賠償，基本上尺度由蔚來和車主的協商決定。而此次事件讓很多人氣憤車企胡亂收取用戶數據，但也正是因為沒有規矩，車企才敢把手伸這么長。

后記

蔚來汽車作為造車新勢力中的代表，在用戶App功能設定方面處于行業領先的位置，也受到了車主和行業的好評。這也使得蔚來能夠獲取到更多維度的用戶數據，更容易被不法分子盯上。而如何保護好用戶數據以及更廣泛意義上的汽車數據，不是蔚來一家要面對的問題，是全行業的問題。