近日，一份关于第三方非法出售蔚来的信息数据在网上流传，并明确标注：包含蔚来内部员工数据2.28万条，车主用户身份数据近40万条，以及用户地址信息和车主贷款数据。

虽然这条信息的来源还有待考证，但蔚来还是回应了最近的信息泄露问题。

12月20日下午，蔚来首席信息安全科学家、信息安全委员会负责人卢龙在蔚来官方社区宣布，2022年12月11日，蔚来公司收到一封声称拥有蔚来内部数据的外部邮件，用泄露的数据勒索225万美元(目前约1570.5万人民币)比特币。

据卢龙介绍，收到勒索邮件后，蔚来当天就成立了专门的团队进行调查和应对，并第一时间向相关监管部门报告了该事件。经初步调查，被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息.

至于具体的信息泄露渠道，蔚来并没有进一步公布。

蔚来创始人李斌回应道：“我对此感到非常抱歉。不保护用户的信息安全是我们的责任。我们向您道歉，并将对此次事件造成的损失负责。我们将配合相关部门对事件进行深入调查，将窃取和买卖与此事件相关数据的违法犯罪行为追查到底。"

值得注意的是，这也是中国车企首次被曝光用户个人信息。

蔚来的回应有多少层含义？

首先，在声明中，并没有具体的黑客攻击方式，或者说谣言不是内部泄密造成的。对于进一步公开信息，让用户了解真实情况，蔚来需要同步更新的调查进展。

其次，蔚来首席信息安全科学家、信息安全委员会负责人卢龙也在社区解释，本次事件不涉及车辆使用过程中产生的数据，如行驶轨迹、驾驶舱数据等，也不影响车辆的骑行或远程控制。然而，关于此后蔚来如何继续改进，维护用户信息安全，则没有进一步回应。.

同时，如果不是网上流传的相关销售信息，早在12月11日发生的黑客事件，蔚来为何没有第一时间回应并提醒用户注意潜在风险，而是直到事件发酵才选择发布公告，在事件处理方式上欠妥。

在蔚来App上，很多蔚来车主也很关心信息泄露后下一步该关注什么。

比如车主要提防哪些风险，数据泄露相关的损失如何界定，用户造成的损失如何承担责任等。

据品驾了解，有第三方数据安全技术公司正在帮助蔚来做信息安全改造，目前蔚来正在修复潜在的信息泄露风险。

用户数据信息被泄露，比我们想象的还要多。

放眼全球，跨国车企的信息泄露也不在少数，包括用户的个人信息。

在蔚来之前，今年汽车行业最大的用户数据泄露来自丰田。就在10月，丰田发现T-Connect网站的一部分源代码被错误地发布在GitHub上，包括存储客户电子邮件地址和管理编号的数据服务器的访问密钥。这使得未经授权的第三方访问了2017年12月至2022年9月15日期间296，019名客户的详细信息，导致30万丰田车主数据泄露。

然而，丰田在声明中强调，使用其T-connect服务的约29.6万名客户的个人信息可能已被泄露，包括电子邮件地址和客户编号，但姓名、电话号码和信用卡信息等其他敏感信息没有受到影响。从用户个人信息泄露程度来看，蔚来此次的影响要高于此前丰田的用户数据泄露。

值得注意的是，丰田对这一事件的处理。

据外媒报道，此外，丰田还在丰田汽车已就此事向受影响的客户发送了电子道歉邮件，并且建立了网站表单，从而使客户可以查看自己的电子邮箱是否在可能被泄露的范围内。设立了专门的呼叫中心，回答客户关于信息泄露的问题。

2021年，大众和奥迪也出现了数据泄露，影响了超过330万客户和潜在买家。泄露的数据包含相关客户和潜在买家的姓名、地址和电话号码等个人信息，美国和加拿大的9万名客户的“更机密”数据被泄露，包括获得贷款。资质信息和社保号等。

关于此次事件，大众的处理方式包括：敏感数据已暴露的个人将通过注册代码获得免费信用监控。,即信息被暴露的个人可以监控自己的信息是否被破坏。

第二，聘请外部网络安全专家调查这一事件。

同时，为那些认为自己受到数据泄露影响的人设立了一个帮助中心.此举可以平息更多用户和车主的疑虑。

从丰田和大众的经验来看，用户信息数据泄露在汽车行业其实并不是个例。

据媒体报道，很多车企在被黑客勒索时，都会选择支付赎金。没有车企会选择承认这种秘密交易，因为这意味着车企在面对用户信息安全问题时选择隐瞒和妥协。

这种做法的教训是，2016年，美国网约车巨头优步经历了一次重大黑客事件。因为优步前首席安全官Joseph Sullivan在收到匿名邮件后，选择以寻找安全漏洞奖励的名义向黑客支付价值10万美元的比特币，并与黑客签署了保密协议。

最终该事件被暴露，瑟夫·沙利文被起诉。

所以，蔚来在回应中称不会支付赎金的做法，并不是与黑客硬钢，而是这种做法并不能真正保护数据不被曝光。花钱不但不能保平安，可能还犯法。

车企都拥有哪些用户隐私数据？

相比于政府机构、国际组织、门户网站、航空公司等数据泄露重点行业，最近几年，汽车制造商的数据泄露问题也越来越普遍。

另一方面，智能汽车时代的到来，除了用户个人信息数据，5G、网联化、车载传感器所获得的用户行驶数据，所涉及的隐私和安全问题同样不可小觑。

国家工业信息安全发展研究中心的一项调研显示，一辆智能网联汽车每天至少收集10TB的数据，不仅数量极大，而且涉及到驾乘人员的出行轨迹、习惯、语音、视频等等，一旦遭受侵害会泄露个人隐私。

国家工业信息安全发展研究中心也建议车企，从两个角度提升数据安全方面的能力：

一是提升核心基础技术的安全可控能力，即涉及车辆本质上的安全。

二是提升数据安全综合防护能力，利用新一代的信息技术，包括区块链技术、流量检测技术、国密技术等，提升综合防护的能力。

蔚来此次的用户数据信息泄露仅仅是冰山一角，也提醒整个行业关于强化技术手段和管理机制的重要性。

同时，蔚来的此次做法并没有为国内车企，尤其是新造车头部企业所应该树立的代表性。作为一家用户企业，蔚来的信息泄露之所以得到更多关注和讨论，也是因为我们期待一家用户企业可以在危机事件中拿出真诚对待用户的样板。

我们也将关注蔚来此次用户信息泄露事件的后续进展。