2022年12月20日，一則“蔚來(lái)數(shù)據(jù)泄露”的消息在網(wǎng)安圈內(nèi)快速傳播，在網(wǎng)友在互聯(lián)網(wǎng)上發(fā)帖稱，有人獲取了蔚來(lái)汽車大量的數(shù)據(jù)，其中包括蔚來(lái)內(nèi)部員工數(shù)據(jù)22800條、車主用戶身份證數(shù)據(jù)399000條。一時(shí)間引起眾多業(yè)界人士的廣泛討論。

針對(duì)這一消息，12月20日下午，蔚來(lái)汽車發(fā)布了一則“關(guān)于數(shù)據(jù)安全事件的聲明”，稱蔚來(lái)公司收到外部勒索郵件，對(duì)此表示擁有蔚來(lái)內(nèi)部數(shù)據(jù)，并以數(shù)據(jù)泄露勒索225萬(wàn)美元的比特幣。經(jīng)過(guò)蔚來(lái)汽車內(nèi)部初步的調(diào)查，承認(rèn)被竊取的數(shù)據(jù)為2021年8月之前的部分用戶基本信息和車輛銷售信息。

關(guān)于此次數(shù)據(jù)泄露事件，蔚來(lái)汽車向?qū)τ脩粼斐傻挠绊懮畋砬敢?，并鄭重承諾，對(duì)因本次事件給用戶造成的損失承擔(dān)責(zé)任，并協(xié)調(diào)執(zhí)法機(jī)關(guān)深入調(diào)查。同時(shí)，蔚來(lái)表示，已對(duì)公司網(wǎng)絡(luò)信息安全進(jìn)行排查和強(qiáng)化，后續(xù)將加強(qiáng)技術(shù)力量，提升信息系統(tǒng)的安全防護(hù)能力，充分保護(hù)用戶信息安全。

完整聲明如下圖所示：

員工和車主信息泄露難以避免

截止到目前，暫時(shí)不清楚蔚來(lái)汽車員工和車主的具體數(shù)據(jù)泄露量是多少，以及泄露的數(shù)據(jù)類型有哪些。但蔚來(lái)汽車能夠及時(shí)發(fā)布公開(kāi)聲明，讓員工和車主知曉此次數(shù)據(jù)泄露事件的做法，得到不少業(yè)界人士的肯定，同時(shí)希望蔚來(lái)可以真正落實(shí)聲明中的承諾，對(duì)存在數(shù)據(jù)泄露的車主和員工負(fù)起相應(yīng)的責(zé)任。

作為新能源汽車頭部品牌，蔚來(lái)汽車的交付量處于行業(yè)前列。從第三方公開(kāi)平臺(tái)查詢的信息顯示，蔚來(lái)汽車在2021年 1~7 月累計(jì)交付 49887 臺(tái)，2020 年全年交付量達(dá) 43728 臺(tái)，2019 年全年交付量達(dá) 20565 臺(tái)，2018 年全年交付量達(dá) 11348 臺(tái)。

從蔚來(lái)公司發(fā)布的聲明可以得知，蔚來(lái)將聯(lián)合執(zhí)法機(jī)構(gòu)共同處理，因此不會(huì)支付這部分贖金，那么上述被竊取的信息很有可能會(huì)在暗網(wǎng)上打包售賣或公開(kāi)。

網(wǎng)傳蔚來(lái)汽車泄露的信息已經(jīng)在被勒索組織“拆分零售”，具體包括車主身份證號(hào)碼、車主地址信息、注冊(cè)用戶數(shù)據(jù)、貸款數(shù)據(jù)等，價(jià)格在0.1-0.25個(gè)比特幣，全部打包價(jià)格為1個(gè)比特幣。

這也就意味著將有十余萬(wàn)的車主和員工處于個(gè)人數(shù)據(jù)泄露的風(fēng)險(xiǎn)之中。在接下來(lái)的一段時(shí)間內(nèi)，他們及其親屬也將有可能面臨的垃圾短信、營(yíng)銷電話、網(wǎng)絡(luò)郵件釣魚(yú)、電信詐騙等事件，用戶應(yīng)提高警惕，保護(hù)好個(gè)人財(cái)產(chǎn)安全。

蔚來(lái)汽車是否會(huì)被監(jiān)管處罰？

“出現(xiàn)如此嚴(yán)重的數(shù)據(jù)泄露事件，蔚來(lái)汽車是否會(huì)監(jiān)管處罰”也是業(yè)界十分關(guān)注的重點(diǎn)。

由于不清楚蔚來(lái)公司在合規(guī)方面的現(xiàn)狀，因此安全專家也無(wú)法判斷，蔚來(lái)是否要被監(jiān)管處罰，以及具體的處罰措施。但近年來(lái)，我國(guó)陸續(xù)出臺(tái)了《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等重磅法律，對(duì)于企業(yè)數(shù)據(jù)泄露方面的執(zhí)法和處罰有明確的規(guī)定，可以以此事件為例進(jìn)行分析。一家之言，僅供各位讀者參考。

對(duì)于數(shù)據(jù)泄露事件，三部法律均明文規(guī)定，應(yīng)依法向監(jiān)管部門報(bào)告，也就是我們所說(shuō)的履行上報(bào)義務(wù)。例如《網(wǎng)絡(luò)安全法》第五十一條明確規(guī)定國(guó)家建立網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度。如果企業(yè)試圖掩蓋事件而沒(méi)有上報(bào)，那么將遭遇十分嚴(yán)重的處罰。從蔚來(lái)公司的公告中，大致可以猜測(cè)“蔚來(lái)履行了報(bào)告的義務(wù)”，這里不至于被監(jiān)管嚴(yán)重處罰。

同時(shí)，目前針對(duì)各類網(wǎng)絡(luò)安全事件，目前實(shí)行的一般是“一案雙查”制度，在對(duì)網(wǎng)絡(luò)安全犯罪案件進(jìn)行偵破的同時(shí)，也會(huì)啟動(dòng)對(duì)涉事企業(yè)是否滿足合規(guī)要求進(jìn)行調(diào)查。

需要注意的是，在企業(yè)網(wǎng)絡(luò)安全體系建設(shè)過(guò)程中，有沒(méi)有滿足合規(guī)要求，將面臨監(jiān)管部門兩種截然不同的處罰力度。如果企業(yè)沒(méi)有履行網(wǎng)絡(luò)安全和數(shù)據(jù)安全義務(wù)，發(fā)生了數(shù)據(jù)泄露事件之后，不僅企業(yè)需承擔(dān)各項(xiàng)損失，遭受監(jiān)管部門嚴(yán)厲的行政處罰，網(wǎng)絡(luò)安全負(fù)責(zé)人以及數(shù)據(jù)泄露事件相關(guān)責(zé)任人也有可能因此受到處罰。

數(shù)據(jù)泄露事件發(fā)生后，企業(yè)是否及時(shí)進(jìn)行補(bǔ)救，對(duì)于數(shù)據(jù)泄露的嚴(yán)重程度進(jìn)行調(diào)查，排查內(nèi)部網(wǎng)絡(luò)安全流程等，都是監(jiān)管開(kāi)具行政處罰的參考項(xiàng)。

換句話說(shuō)，如果企業(yè)滿足監(jiān)管要求，各項(xiàng)動(dòng)作都在規(guī)則之內(nèi)，那么即便打板子也會(huì)輕一些，反之，板子就會(huì)越來(lái)越重。僅從現(xiàn)有的信息來(lái)看，蔚來(lái)被打板子的概率會(huì)小一些。

加強(qiáng)安全已經(jīng)刻不容緩

安全事件出現(xiàn)的頻率越來(lái)越高已經(jīng)成為全球的共識(shí)。根據(jù) Identity Theft Resource Center 發(fā)布的《2021 Data Breach Report》，在過(guò)去一年中共發(fā)生了 1862 起數(shù)據(jù)泄露事件，刷新了 2020 年和 2017 年的最高記錄。

而身處數(shù)字化轉(zhuǎn)型浪潮之中的制造業(yè)將會(huì)面臨更加嚴(yán)峻的風(fēng)險(xiǎn)。隨著制造業(yè)轉(zhuǎn)型自動(dòng)化和智能化，企業(yè)面臨最直觀的問(wèn)題是數(shù)據(jù)體量指數(shù)級(jí)增加，以及傳統(tǒng)的IT基礎(chǔ)設(shè)施趨于多樣化，都將大大增加數(shù)據(jù)安全的風(fēng)險(xiǎn)。

可以預(yù)見(jiàn)的是，未來(lái)數(shù)據(jù)的體量將繼續(xù)增加，IT基礎(chǔ)設(shè)施多樣化更加明顯，而攻擊者的手段也將更加具有威脅性。對(duì)于企業(yè)來(lái)說(shuō)，是否在網(wǎng)絡(luò)安全體系建設(shè)方面擁有長(zhǎng)遠(yuǎn)的規(guī)劃，讓安全能力隨著企業(yè)的發(fā)展而不斷成長(zhǎng)，是一個(gè)必須要思考的問(wèn)題。