文新品略财观 ,作者吴文武
知名造车新势力品牌蔚来深陷“用户数据泄露门”引发了一个不得不关注的问题:谁来保护新能源汽车大数据?
01 蔚来深陷“用户数据泄露门”
一家造车新势力爆出“丑闻”,这次是用户数据遭窃取。
发展势头正劲地造车新势力品牌蔚来,其 2021 年 8 月前的部分用户数据遭窃取,被勒索 225 万美元等额比特币。
这一消息是由蔚来首席信息安全科学家、信息安全委员会负责人卢龙 12 月 20 日在蔚来官方社区发布的一份关于数据安全事件的声明中所披露。
蔚来在声明中表示,2022 年 12 月 11 日,蔚来公司收到外部邮件,声称拥有蔚来内部数据,并以泄露数据勒索 225 万美元(当前约 1570.5 万元人民币)等额比特币。
经过蔚来内部初步调查,被窃取数据为 2021 年 8 月之前的部分用户基本信息和车辆销售信息。
据公开信息显示,蔚来汽车在 2021 年 1 至 7 月累计交付 49887 台,2020 年全年交付量达 43728 台,2019 年全年交付量达 20565 台, 2018 年全年交付量达 11348 台,目前尚不清楚官方所说的“部分用户”比例有多少。
蔚来用户数据被窃取事件很快引发行业内外关注和网络热议。新品略财观(原 NBS 新品略)在东方财富网蔚来股吧中关注到有关这一事件有超过 20 条媒体报道资讯及网友热评。
尽管蔚来官方成立专项小组进行调查与应对,并第一时间向有关监管部门报告此事件,并协同有关部门深入调查。蔚来创始人、董事长李斌也于 12 月 20 日晚间在蔚来官方社区就用户数据泄露一事发文致歉,但热议仍在持续。
在新品略财观(原 NBS 新品略)看来,被窃取的蔚来部分用户数据及车辆信息都是重要且涉及用户隐私的信息,这样的事件不应该发生,对一家造车新势力而言,是一个十分低级的错误,更暴露出其信息安全保护工作存在重大漏洞。
从蔚来发表的这份声明内容来看,内容很官方,态度很诚恳,强化信息安全保护工作的态度也有决心,未来事件进展如何,调查结果如何,还有待后续。
蔚来用户数据被窃取事件引发了一系列关键问题和思考题,新能源汽车发展如火如荼的背景下,新能源汽车用户数据及大数据安全谁来保护?
02 海量的新能源汽车大数据
中国新能源汽车行业强势崛起和快速发展,形成了海量的各类新能源汽车行业大数据。
据中汽协数据,今年 1 至 11 月的新能源车累计销量突破了 600 万辆大关,市场占有率达到了 25%。仅在 11 月一个月,新能源车销量为 78.6 万辆,同比增长 72.3%,刷新了历史最高纪录。
中汽协预测,2022 年全年汽车销量预计 2680 万辆,其中新能源汽车 670 万辆,同比增长 90.3%。预测 2023 年新能源汽车市场销量有望达到 900 万辆,同比增长 35%。
按照现在的新能源汽车市场销量数据及发展势头来看,意味着中国已提前三年完成国务院印发的《新能源汽车产业发展规划(2021—2035 年)》中“新能源汽车将在 2025 年渗透率达到 25%”的目标。
除了行业市场宏观数据,各大造车新势力及汽车制造商公布的车辆销售数据,上市车企也会公布财务数据等信息外,背后的数据以及更为细致的数据,往往不会被市场及消费者所关注。
整体来看,新能源汽车车辆主要涉及四类数据:
第一类是车主的信息,包括姓名、账号、身份证号码、密码、邮箱、微信名以及办理汽车金融业务信息,此部分属于车主个人隐私信息。
第二类是车辆数据,其中最主要是车架号及相关信息。
第三类是车辆行驶数据,包括定位信息、行踪轨迹、车辆操控数据、车辆工况数据、车辆行驶数据、充电数据、车辆日志信息、车内外环境等信息。
车辆行驶相关数据,也就是 RTM 数据,由车辆(TBOX 数据传输盒)传输至厂商后台,再上传至国家电动车管理平台,这是强制要求的,也就是现在实施的国标 GB/T32960,该数据每 30 秒就会上传一次,这就是新能源车辆实时运行数据的监控系统。
RTM 数据具体包括完整汽车数据(车辆状态、速度、电池 SOC 值等),驱动电机数据(电机转速、电机温度等),发动机数据(发动机状态,曲轴转速,燃油消耗量等),GPS 数据(定位数据、经度、纬度等),极限值数据(最大单体电压、最小单体电压等),警告数据(电池过高温度、COC 值突变、刹车系统等 19 项),蓄电池电压数据(所有蓄电池电压)等数据。
新品略财观(原 NBS 新品略)作者就是一位新能源车主,曾在 4S 店售后进行车辆某部件更换时,需要对全车进行断电,厂家 4S 店在几分钟内就会打电话来询问情况,车主是否知悉等。
所以说国家有关部门对新能源汽车使用有严格实施的监管大数据系统,所以新能源车要知道自己的驾驶行为数据是实时上传的。
还有就是备受关注的 EDR(汽车事件数据记录系统),用于记录车辆碰撞前、碰撞时、碰撞后三个阶段中汽车的关键运行数据(包括速度、ABS 状态、安全带状态等),EDR 被称为是汽车的“黑匣子”,这也是国家监管强制标准。
第四类是其他数据,如各大车企的 APP 终端收集的各类数据,及与 APP 使用数据、车载软件相关的数据。
蔚来、理想以及传统的燃油车电动车品牌都推出了官方的 APP 和车主社区,比如以强调服务的蔚来的 APP 就是该品牌凝聚车主,与车主互动的平台。
根据蔚来公布成立 8 周年的数据,截至 2022 年 11 月 25 日,蔚来全球累计近 27 万位用户,此外蔚来有超过 400 万的用户,活跃在 NIO App 上。
公开信息显示,截至 2022 年 11 月底,蔚来、小鹏、理想、哪吒、零跑均突破了 10 万辆年销量,新晋造车新势力华为 AITO 问界和极氪在今年的累计销量也双双跨过 6 万辆。
各大新能源车企的销量增长,车主信息数据、车辆数据、其他相关数据等随之增加,无论是从单个企业,还是从整个行业来看,新能源汽车相关数据都是海量的大数据。
其中特别是车主用户数据也是其中具有重要价值的关键数据,对各家新能源车企,特别是造车新势力而言至关重要,不仅是用户画像,更是核心无形数字资产。
03 新能源汽车大数据谁来保护?
那么,新能源汽车大数据谁来保护?
在新品略财观(原 NBS 新品略)看来,新能源汽车行业大数据保护与监管是一个不断探索、进化与规范的系统性大工程,监管、车企、车主,乃至是社会力量一个都缺不了,其中更为关键要靠“两只手”——“强化监管规范+落实车企责任”。
蔚来用户数据被窃取并不是新能源汽车行业的丑闻之一,包括每次特斯拉的事故都会引发新能源车信息安全保护责任话题的热议,网络安全、数据安全等新问题频发不得不重视。
首先,第一只手——站在行业发展高度来说,强化监管规范要先行。
早在 2020 年,《新能源汽车产业发展规划(2021-2035)》发布就明确要健全安全保障体系,打造网络安全保障体系。
今年 4 月,工业和信息化部、公安部、交通运输部、应急管理部、市场监管总局联合发布了《关于进一步加强新能源汽车企业安全体系建设的指导意见》(以下简称《意见》),明确提出要对车辆网络安全状态进行监测,加强对车辆运行数据的分析挖掘。
在推动新能源汽车行业发展的同时,监管规范也要与时俱进,在发展过程中不断规范,才能推动行业未来更健康地发展。据悉,国内相关法规正在逐步完善。
其次,第二只手——规范数据信息安全保护责任的落实主体主要在新能源车企。
除了有关部门强制要求新能源汽车行驶数据实时上传外,更为重要的是车主个人信息、车辆信息以及相关数据信息,这些信息的收集者、储存者、使用者都是新能源车企,也同时享受着这些信息的红利和经济价值。
上述《意见》也具体明确,企业要依法落实关键信息基础设施安全保护、网络安全等级保护、车联网卡实名登记、汽车产品安全漏洞管理等要求;企业要建立健全全流程数据安全管理制度,并按照法律、行政法规的有关规定进行数据收集、存储、使用、加工、传输、提供、公开等处理活动,以及数据出境安全管理。
车企要对车主个人信息及大数据进行分类管理,要采取加密、去标识化等安全措施,防止未经授权的访问以及个人信息泄露、篡改及丢失等问题。
所以说,新能源车企是车主等个人相关信息的第一责任人,出了问题不能只道歉,承认错误,再表达决心要强化信息安全保护工作,后续不了了之。
针对此次蔚来用户数据被窃取事件,有媒体评论称,蔚来的钱都花哪儿去了?
第三,作为新能源车主本人,也应该关注自身个人信息数据的安全,提高信息数据安全保护意识,主动关注,主动捍卫权益。
蔚来用户数据被窃取事件,不仅蔚来一家企业需要重视和检讨,整个新能源汽车行业企业都应该关注及思考,这是一次行业警示。
新能源汽车大数据安全保护问题是一项系统工程,并非一日之功,从规范到实施,需要不断探索,但新能源汽车大数据保护永远都只有进行时。