蔚来首席信息安全科学家、信息安全委员会负责人卢龙近日在蔚来官方社区发布声明称，该公司收到外部邮件声称拥有蔚来内部数据，并以泄露数据勒索225万美元等额比特币。经初步调查，被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。蔚来创始人李斌随后表示：“会对此次事件给用户带来的损失承担责任。将协同有关部门深入调查此次事件，对窃取和买卖此次事件相关数据的违法犯罪行为追查到底。”

据了解，本次事件为国内新能源车企中一次规模较大的数据泄露事件，由此引发多方关注。业内人士认为，汽车数据安全警钟再次敲响，各方需高度重视，加速完善汽车数据安全建设。

信息被明码标价

2022年12月20日，有不法人士公开宣称破解蔚来大量数据，并给了蔚来两次机会买断这部分数据以保护车主和用户，遭拒后决定将数据有偿曝光。

据了解，蔚来本次被泄露的数据均被明码标价：蔚来内部员工数据22800条，包含总裁到一线员工，每条售价0.15比特币；车主用户身份信息399000条，每条售价0.25比特币；用户地址信息650000条，每条售价0.15比特币；蔚来注册用户数据4860000条，每条售价0.15比特币……

记者查阅蔚来官网得知，在进行车辆订购时，蔚来会收集购买人姓名、手机号码、有效证件号码、上牌城市、交付中心、车型及车辆配置信息、价款及支付信息。事件发生后，不少蔚来车主感到不安，要求蔚来公布数据泄露具体内容、相应风险、补偿方案等。例如，有蔚来车主质疑，蔚来提到的承担给用户带来的损失是相对模棱两可的说法。“损失本来就是无法判断的，自然也没办法去计算赔偿。”

有数据显示，一辆智能网联汽车每天会产生大约10TB的数据。2021年，国家网信办等部门联合发布的《汽车数据安全管理若干规定（试行）》中对汽车数据进行了范围界定，汽车数据包括汽车设计、生产、销售、使用、运维等过程中涉及的个人信息数据和其他重要数据。

不过，卢龙表示，本次事件不涉及车辆使用中产生的数据，如行车轨迹、座舱数据，也不影响车辆的驾乘或远程控制。同时，事件发生后，蔚来对公司网络信息安全进行了排查与强化，以避免此类事件的再次发生。截至记者发稿，蔚来此次数据泄露的原因和影响范围还在进一步调查中。

数据安全问题多发

智能电动汽车的快速发展和普及，给车企和行业车辆数据安全建设提出了更高的要求，在初期未被重视的数据安全问题逐渐浮出水面。有数据显示，仅2022年上半年，针对车联网平台的恶意网络攻击行为超过100万次，较2020年同期增长超过80%。

“智能网联汽车数据安全问题凸显的原因在于，智能网联汽车发展速度较快，汽车采集环境的数据和车内信息数据大幅增长。”乘联会秘书长崔东树表示，不同于智能手机，智能网联汽车数据安全涉及问题更多、更为敏感。

事实上，数据泄露事件并非在汽车行业内首次发生，近年来，大众、通用、丰田等知名车企均遭遇过数据泄露事件。

2021年6月，大众汽车表示有330万名客户的数据遭泄露，原因是一家供应商在2019年8月至2021年5月期间将客户数据“未经保护”地留在互联网上，数据包括客户和潜在买家的姓名、地址以及电话号码等个人信息。2022年5月，通用汽车表示，其注意到2022年4月11日至29日期间，部分在线客户账户出现了可疑登录，导致在未经用户授权的情况下客户的奖励积分被兑换成礼品卡。据了解，黑客通过在线移动应用程序获取了部分客户的个人信息包括姓名、邮箱地址、邮寄地址等。2022年10月，丰田汽车表示，使用其T-Connect服务的约29.6万条电子邮件地址、客户电话号码等客户信息可能被泄露，受影响的客户为自2017年7月以来使用电子邮件地址注册该服务网站的个人用户。

安全体系正逐步建立

通常情况下，车主无法较快察觉出汽车数据的泄露。同时，针对汽车数据安全问题一直以来较难准确定责。业内人士指出，虽然目前此类事件难以根治，但车企对于数据泄露事件要勇于承担责任，并且要及时告知车主。数据泄露事件发生后，李斌就强调，蔚来会承担用户损失，并呼吁行业不要向数据买卖者妥协。

事实上，汽车数据安全既会涉及到个人隐私，还会涉及到国家安全。针对新能源汽车数据安全管理问题，国家相继出台了《汽车数据安全管理若干规定（试行）》《信息安全技术网联汽车采集数据的安全要求》等法规。不过，现阶段我国新能源汽车数据安全法规建设尚处于起步阶段，在相关法律法规制定、具体执行等方面仍需进一步细化。

天风证券分析师缪欣君指出，考虑到现阶段车端、路端、网络端的安全保护基础较为薄弱，车联网安全市场为纯增量市场。

2022年3月，工信部印发的《车联网网络安全和数据安全标准体系建设指南》明确，到2023年底，将初步构建起车联网网络安全和数据安全标准体系，完成50项以上急需标准的制订。到2025年，形成较为完善的车联网网络安全和数据安全标准体系。