汽车用户数据(数十万用户数据被泄露，蔚来大翻车)

在今年的 NIO DAY 过后，相信大家都被蔚来的两款新车，全新 EC7 和 ES8 刷屏了。

但本期老狐想聊的不是新车，而是数据安全问题。

前几日，蔚来用户数据遭不法人士泄露后，蔚来官方第一时间发出了致歉声明，随后，蔚来 CEO 李斌也在该声明下方评论区留言致歉。

*图片来源蔚来 APP

事件的大致经过是，蔚来汽车确认 2021 年 8 月之前的部分信息数据被黑客窃取，黑客向蔚来汽车勒索 1567 万元等值的比特币。

随后，蔚来汽车创始人、董事长兼 CEO 李斌在公开向用户表达歉意的同时，表示“不会与不法行为妥协”。

尽管不妥协的做法得到了大多数用户的认可，但我们更关心的是，汽车数据泄露，会给安全带来哪些影响？

数据泄露并非首次，蔚来只是冰山一角？

据了解，此次蔚来泄露的数据包括：客户隐私、员工数据、订单数据、车主身份证、用户地址、车主紧急联系人、车主贷款数据等隐私信息。

业内人士分析：主要的数据来源，来自于蔚来与车主互动频繁的蔚来 APP 。

至于影响，简单来说，车主朋友们可能会收到更多的垃圾电话、广告电话骚扰，而财产与地址等信息泄露。

很可能会造成安全隐患，这无疑是让人不爽的。

不过，蔚来成为众矢之的多少有些冤。因为，此前大众、沃尔沃和通用等，均发生过数据泄露的问题。

汽车数据安全正在成为全行业需要面对的问题。当然，对于自己的后台数据管理的漏洞，蔚来还是应该要更加谨慎、重视一些。

据 J.D.Power 今年的车主调研显示：有 90 %的用户，更倾向于数据安全防护高的汽车品牌。

车企为什么会掌握到如此详细的用户数据呢？

老狐觉得：这是用户运营模式所引发的，如今消费者购车，通常最少需要下载一个 APP 。

便于实现厂家保养提醒、生日祝福等用户维护活动，如此一来，用户不仅能享受到更加优质的服务，厂家也能深入地贯穿到用户的各类用车场景中，提升品牌与车主的粘度。

还记得去年，李斌曾介绍：疫情期间，蔚来超 50 %的订单来自蔚来 APP ，且老车主介绍新客户的比例极高。

这也导致，我们在享受便利用车服务的同时，产生了数据隐患。更有许多智能汽车，可通过 APP 来实现车辆控制。

数据安全对于用车安全的影响更大，好在，此次蔚来的数据泄露不涉及行车轨迹、座舱数据和远程控制等。

方向、刹车被接管，数据安全有多重要？

今年早些时候， 360 车联网安全实验室发布了一份报告：在测试国内 25 家车企的 53 款在售车型中，发现了 1600 多个漏洞。

其中云端漏洞超过 1000 个，可能导致黑客远程批量地控制同一品牌的汽车终端。

最终导致车辆的车门开启关闭、发动机的状态，以非接触的方式被黑客控制。

英国曼彻斯特安全公司也曾做过类似实验，他们模拟黑客的方法，打开了 Model S 和 Model Y 的车门，并启动了车辆。

同时，工程师表示：我们只是通过特斯拉来演示，特斯拉以外其他品牌的车型同样可以。

可以看出：像之前电影大片中那样，车辆不受控制，油门与方向产生“自己的想法”并非杞人忧天。

这是什么概念呢？如果只是单纯地打开车门、启动车辆，那么我们最坏的结果也就是车内财产和车辆财产损失。

但如果在行驶中，车辆的转向、加速和刹车系统被“接盘操作”，这就严重影响到个人生命安全与公共道路安全了，凡事再大、再珍贵，也远远比不上生命吧。

2020 年，菲亚特克莱斯勒就曾因黑客通过车辆的网络娱乐系统，侵入电子系统，使车辆改变速度、刹车及遥控车辆的空调、雨刷器、电动等装备，召回了高达 47.1 万辆售出的汽车。

今年 1 月，一位德国 19 岁的少年，更直接入侵了 13 个不同国家地区的 25 辆特斯拉汽车，并直接接管了部分功能。

更深层次还有国家安全的问题，作为智能化程度较高的代表，特斯拉可以通过车载系统不断扫描外部信息，拼凑出数字城市，这些都是细思极恐的。

或许这些是国内部分场所，禁止特斯拉入内的原因。

比如：在你不知情的情况下，后台有人在收集路况、周边人员信息，还能随时远程接管车辆，做出并非你主观的操作。

同济大学汽车学院教授朱西产表示：汽车数据收集，并不是智能汽车催化的产物，只不过随着传感器、车载系统、 OBD 接口、 GPS 定位、 APP 数量的增多。

获取收据的方式增加了，而且收集方式变成了用户不易察觉的方式。

法理层面，汽车数据大概分为两大类，一类是驾驶者相关的驾驶行为信息；另一类是车辆传感器采集的道路非驾驶行为信息。

前者涉及过多过杂的信息，数据的应用范围与类别还缺乏明确规定，但大部分都涉嫌侵犯个人隐私。

后者的道路信息通过非驾驶行为采集，则违反国家规定。

有专家表示：不过驾驶数据、道路数据，无论合资品牌还是自主品牌，数据收集时都涉嫌违法违规。

只不过大家对这类问题还没有产生足够重视，相关法规还未跟得上。但无论未来如何细化，汽车数据属于用户的大范畴不会发生变化。

关于数据采集与监督，想实现完美的管控与隐私保护非常难，汽车领域的最大特点是数据量大且综合度高。

数以千计的系统之间形成了集成耦合，汽车本身的结构没有发生改变，各业务所需的数据结构也是恒定的，在这样的基础上，无论加上智能网联，还是 OTA 升级，汽车终端都需要这些数据。

老狐觉得：关于汽车数据采集与安全，我们消费者是比较被动的，许多免责及条款声明，都汇集在了超长的注册条款中。

我们很难注意到这些细节，即便有说“不”的权利，但选择拒绝后，也意味着无法使用响应功能。

或许只能寄希望于厂家，这又有些像买彩票、砸金蛋，全凭运气？

参考资料：

蔚来APP、2022智能网联信息安全报告

编辑：泽天