315系列报道 - 车企数据泄露频发，用户隐私安全谁来保护？

出品 | 搜狐汽车·新车消费报告

随着汽车智能网联时代的到来，我们的用车生活开始发生重大改变，便利性提升，娱乐体验更加丰富。而这些都依赖于车内丰富的传感器和大量的信息数据收集，随之而来的是个人隐私可能“裸奔”的风险。近年来，汽车行业数据泄露事件多发，车企涉嫌侵犯用户隐私的行为也被频繁曝光。如何保护用户隐私，是我们不得不关注的话题。

被勒索的蔚来

2022年12月20日，距离蔚来年度发布会NIO Day还剩4天时，一篇蔚来APP社区中题为《揭露蔚来虚伪，对其进行惩罚，保护用户》的帖子搅和了蔚来的好事。发帖者声称：“我们破解了蔚来的大量数据，但由于蔚来不愿买断数据，所以决定有偿曝光。” 蔚来被黑客盯上了。

同日，蔚来信息安全部门负责人卢龙发布公 告，承认了确实存在用户基本信息和车辆销售信息可能泄露的情况，并遭遇到黑客约225万美元的勒索。蔚来创始人、董事长兼CEO李斌向用户歉意，并声明“不会与不法行为妥协”。

蔚来的“刚”无可厚非，但对于用户来说，一个道歉并不能打消担忧。从黑客披露的报价单来看，本次泄露的数据不仅包括蔚来公司内部的重要信息，还可能包括大量车主的身份、地址、亲密关系、贷款数据等敏感信息。这些数据一旦被不法分子利用，会产生怎样的后果难以预料。

由于汽车用户数据价值高、数据主体集中，近年来成为了数据泄露的重灾区。事实上，我们经过整理后发现，不止蔚来，国内外许多汽车企业均发生过数据泄露事件。下面简单举几个2022年以来发生的案例：

被“直播”的记录仪

除了安全措施不到位，被黑客钻了空子导致数据泄露之外。一些车企还存在不规范、过度收集用户信息的行为，涉嫌侵犯用户隐私。2022年5月，一位汽车博主发布了一条视频，其内容展示了高合汽车具备查看陌生车主行车记录仪的功能，这便是一个典型的例子。

当时流出的视频中看到，该博主在行车记录仪界面点击一个按钮，就出现了一个用户列表，该列表展示了其他高合车主的头像、昵称、距离等，点击任意一个，即可直接加载其行车记录仪画面。这则视频很快引发了网友关于高合汽车是否泄露用户隐私的讨论。事后高合汽车做出回应，称该功能属于车队出行、车路协同系统的组成部分，出厂时默认关闭，需用户确认才能开启。符合相关法规要求，不存在泄露用户隐私。

但官方回应难以服众，先不说共享行车记录仪对于车队出行、车路协同功能的意义有多大，即使要共享也应当是单次、同车队小范围的授权。而当时高合汽车只要开启了车车互联的权限，就相当于对全国各地所有的车主开启了行车记录画面实时直播。视频博主的车辆并不属于任何一个车队，和列表中的用户也并无联系，但却能查看对方的记录仪画面，这显然是不合理的，至少说明高合汽车的功能当时存在很大漏洞。事发之后第二天，该功能被关闭。

无论你是否愿意承认，在智能汽车时代，每个人都面临着隐私“裸奔”的隐患，高合汽车这起事件并非个例。小鹏汽车曾因为“擅自采集43万张人脸照片被罚10万元”登上热搜。去年4月，比亚迪和日产先后宣布，品牌下的相关车辆紧急暂停“千里眼”及远程拍照等相似功能的使用，并进行整改优化。特斯拉也曾因车内摄像头拍摄高清画面被黑客曝光而引发舆论热议，而如今很多中高端车型都配备了车内摄像头，用来监测驾驶员是否疲劳驾驶，或是支持辅助驾驶功能等。

特斯拉被曝光的车内画面

智能座舱的终极模式就是要变成一个懂得驾乘人员的知心朋友，给予驾乘人员安全、娱乐的各项建议。它会通过车内的各种摄像头、传感器监视你的一举一动。在高算力芯片的加持下，人们的内在想法，情绪表达都会被系统智能分析，那些当场不好分析的也会通过网络上传到车企后台，被更强悍的成组处理器进行一一剖析。据工信部此前发布的调研结果，一辆智能网联汽车每天收集的数据容量在10TB以上。

而随着智能化水平的快速发展，搭载于车辆上的传感器数量也会越来越多。根据 IHS Markit 的《智能座舱市场与技术发展趋势研究白皮书》统计，2020 年平均单车状态的传感器数量是 3.3 个，包括车载摄像头、毫米波雷达、体征测试传感器等等。而到 2030 年，单车传感器将达到两位数，平均每辆车有 11.3 个传感器。这其中座舱内用到最多的就是车内摄像头和麦克风。

这些愈发先进的传感器采集到的信息如果能被合理利用，固然有利于提升人们的出行体验，但若对于私密数据无法做好防护，被轻易盗取、破解，也会存在难以预知的隐患。

如何破解智能与隐私的悖论？

随着汽车网联化的脚步加快，汽车信息安全成为了近年来的行业关注点，相关法律和监管日益完善，车企在这方面也会更加谨慎。在欧盟、美国扎紧数据安全的监管”篱笆”后，中国于2021年也掀起数据监管立法之潮，形成《网络安全法》、《数据安全法》和《个人信息保护法》三大上位法联合构成数据合规的“三驾马车”。此外，各部门的监管力度也在逐渐加大。

2022年3月7日，工信部印发《车联网网络安全和数据安全标准体系建设指南》，提出到2023年底，初步构建起车联网网络安全和数据安全标准体系。

2022年4月8日，工信部等五部委发布《关于进一步加强新能源汽车企业安全体系建设的指导意见》，《意见》中重点提出网络安全保障体系的建设要求，强化网络安全、数据安全以及个人信息安全的防护。

2022年7月21日，国家互联网信息办公室依据相关法律法规，对滴滴全球股份有限公司处人民币80.26亿元罚款。针对滴滴的处罚，标志我国网络安全和数据安全的法律法规已在不断完善，监管监督落到实处。

2022年12月22日，我国首个汽车信息安全研究中心在天津揭牌成立，着力于漏洞攻防、舆情监控、数据分析、产品研发、企业安全等方向，全面推进汽车信息安全政府治理支撑、关键技术攻关、产业化应用推进和高精人才培育，助力解决业内信息安全关键共性问题，促进车联网行业安全持续发展。

但业内人开始担忧，智能汽车的技术进步需要大量数据，隐私数据又不能肆意裸奔，如何平衡？业内人士曾在分析中指出，“对用户来说，所有选项都框选‘拒绝’，可能连车机系统都进不去。信息是安全了，但也放弃了车的智能属性，不值。全选‘同意’，把自己的信息安全完全交给主机厂，自己丧失了保护隐私的主动权，不当。所以，用户需要的，是可以多重选择，可个性化设置的隐私与数据保护‘电子围栏’。”

有一些车企也开始有意识的采取措施，极力避免踩到用户的“雷区”。为了规避隐私问题，智己汽车开始采用虹膜识别来监控驾驶员的疲劳状态。相比人脸识别，虹膜识别只读取用户人脸的关键元素，不会抓取整张脸的信息。蔚来汽车“Nomi之父”的李泰德也公开表态：“蔚来产生的所有数据都将用于提升用户体验，并会被有效保护。”据介绍，蔚来会进行数据脱敏，解绑身份信息等技术手段。此外，这些数据信息都会有专属的服务器加密存储，过期不可追溯。

我们并不能因为隐私而彻底拒绝智能，在国家与车企双方的共同努力之下，法规不断健全，数据收集、处理和存储更加规范，相信平衡点也会很快达到。

总结：汽车智能化是一把双刃剑，但“提高产品体验”不应该成为车企无底线收集、使用和贩卖用户数据的借口，对于用户敏感信息更应妥善存贮避免泄露。想要规避风险，让消费者放心，汽车行业需从法规和技术上构筑汽车信息安全的双重“防火墙”，“他律”与“自律”缺一不可。