智能汽车时代,数据成为香饽饽,无论是对于车企和用户,还是对于不法分子。虽说在数据安全面前受害者不分三六九等,但当主语成为法拉利,则不可避免吸引了更多关注的目光。
近日,据海外媒体安莎社报道,超豪华汽车品牌法拉利称,旗下全资意大利子公司Ferrari S.p.A.最近遭到了勒索软件的攻击,黑客掌握了法拉利的客户信息,正在以此为威胁向Ferrari S.p.A.索要赎金。
(资料图片仅供参考)
据查,2022年法拉利售出的主要车型价格在263.8万-499.8万元不等,换言之,被牵涉进这场数据泄露风波中的都是千亿富翁。巨大的风险之下,我们不禁反思:汽车数据安全事故为何屡禁不止?风波之中,车主如何维权?车企又能否完全脱责?
上千名亿万富豪或受影响
法拉利在邮件中表示,泄露出的客户信息包括姓名、地址、电话等,但付款信息、银行账号等更为重要的信息未被泄露,不会对公司的运营产生影响。
面对威胁,法拉利称:“我们不会向勒索者屈服,因为支付此类赎金会为犯罪活动提供资金,并使黑客能够继续实施攻击。相反,我们认为最好的行动方案是通知客户,让客户了解此次潜在数据泄露的情况和性质并加以防范。”除此以外,法拉利自述,其也已经向有关部门报告,并与一家第三方网络安全公司联手启动调查。
虽然法拉利并未提及有多少用户会受到波及,但根据其2022年销量数据来看,情况或许要比想象中更为严重。
官方数据显示,法拉利去年全年共卖出13221辆,几乎所有区域市场的销量都实现了正增长。其中,中国大陆、中国香港和中国台湾增势最强,销量达到1552辆,同比劲增72.6%;亚洲的其他市场销量为2264辆,同比增长17.1%;美洲市场的销量为3447辆,同比增长21.8%;EMEA(欧洲,中东和非洲)的销量为5958辆,同比增长8.5%。
在法拉利2022年售出的车型中,包括9款内燃引擎汽车(占总销量的78%)和3款混合动力汽车(占总销量的22%),其中Ferrari Portofino M和the SF90系列,以及296 GTB和812 Competizione是销量增长的主要动力。据查,Ferrari Portofino M国内官方指导价为263.8万元,SF90 Spider为499.8万元,296 GTB为298.80万元,812 Competizione为390万元……动辄好几百万的售价,能够下此手笔的购买者绝非凡夫俗子。
换句话说,如果法拉利坚持不向黑客支付赎金,那么至少在国内,就有上千名刚提上新车的亿万富豪要倒霉了。
法拉利不是个例,2021-2022年,大众、沃尔沃、丰田等国际车企也都遭遇过黑客攻击。其中,大众表示有近330万名用户或潜在卖家的数据被泄露,丰田泄露的数据数量相比大众较少,但依然有29.6万人之多,沃尔沃被入侵的则是运营研发数据库,泄露数据的量级官方并未公布,但有知情者表示达到200GB。
在遭遇类似事件时,大部分车企往往采取息事宁人的处理方式,但也有包括法拉利、蔚来在内的车企拒绝向黑恶势力低头。
去年年底,蔚来也被曝出用户数据被窃取,对方以此勒索225万美元等额比特币。蔚来采取了与法拉利类似的做法,第一时间向监管部门报备。“坚决不和犯罪分子妥协。”其创始人李斌公开直言。对于数据泄露带来的损失,李斌则称会承担责任。
相关统计数据显示,2020年12月至今两年多时间里,共有980起与车企数据泄露事件在暗网平台发布,涉及品牌包括大众、宝马、奔驰、奥迪、长安、蔚来,还包括大陆集团、英伟达等供应商;同一时间段,平均每个月有7起与车企数据泄露事件在暗网平台上发布。
为何汽车数据泄露愈演愈烈?这或许与近几年来汽车智能化、电动化的加速发展脱不开关系。与传统燃油车相比,智能电动车搭载了大量的传感器、摄像头和处理器,所扮演的角色不再只是交通工具,而更像是一台移动的电脑,这也意味着,更多的用户数据和环境数据被上传及存储,给了不法分子可乘之机。一旦用户的身份信息被不法分子窃取,无论是被贩卖给移动供应商、保险公司,还是诈骗集团,带来的影响和危害可想而知。
车企难以脱责
越来越多的汽车网络安全事件引人深思:如果对此放任不管,将对个人隐私及社会安全带来重大隐患,汽车数据安全的底线如何守住,已经成为智能汽车时代车企及用户的必修课。
面对用户数据泄露,法拉利、蔚来等分别采取了向有关部门报案、联合第三方调查、通知车主等措施,这些做法是否妥当?最佳应对方式应是什么?带着这一问题,《汽车观察》独家专访了金杜律师事务所合规业务部负责合伙人宁宣凤律师。
金杜律师事务所合规业务部负责合伙人宁宣凤律师
宁宣凤律师介绍,我国现行的《网络安全法》《数据安全法》和《个人信息保护法》均对发生相应安全事件时应当采取应急预案及其管理要求进行了规范。一旦发生个人信息安全事件,车企应当根据内部的个人信息安全事件应急预案,严格和及时遵循相关流程和制度处理相关问题,并且采取措施防止用户数据泄露范围和影响的扩大,根据法律要求通知履行个人信息保护职责的部门和个人。
也就是说,法拉利、蔚来所采取的措施并无不妥,符合相关法律规范。但,针对用户数据泄露此事本身,车企或平台能够完全免责吗?
对此,宁宣凤律师认为,根据我国《个人信息保护法》相关规定,发生个人信息安全事件或者产生侵权问题的,仍然遵循过错原则判定相关方责任。就此而言,判断用户数据泄露的法律责任承担问题,核心还是要看过错方是谁。车企或平台在已经完整履行个人信息保护义务、对于数据泄露不存在任何过错的前提下,无需承担过错责任。
“但需注意的是,《个人信息保护法》采取‘过错推定’立场,需由车企或平台证明自己对用户数据泄露没有过错,才可以豁免损害赔偿等侵权责任。”宁宣凤律师补充道。换句话说,车企必须举证自己在保护用户数据的过程中没有失职,方可脱责。但从目前来看,做到这一点并不容易。
面对个人数据泄露事实,车主又应该如何维权?宁宣凤律师对此也给出了相关建议。她建议,如果认为个人数据泄露对自己产生了实际的损害或不利影响,车主可以尽快依照车企或平台提供的方式取得联系,并且配合车企或平台采取必要措施保护个人信息安全。当然,我国《个人信息保护法》同时赋予了个人在发生个人信息权益损害时通过诉讼等司法途径获得救济的权利,如果车主认为在数据泄露事件中,自己的合法权利没有得到恰当的保护和尊重,也可以在向车企或平台行使权利无果的情形下,向相关监管部门投诉或者司法机关寻求帮助。
不过,汽车智能安全问题固然值得思索,但也不必太过担心。据宁宣凤律师介绍,在汽车数据安全领域,我国目前已经出台了《汽车数据安全管理若干规定(试行) 》等专门规章和规范,并且在与发达国家对于隐私和个人数据保护理念保持相对一致的同时,也延续了我国《数据安全法》等从国家和社会公众利益层面的数据安全价值和精神内核,特别是为汽车行业清晰定义了“汽车行业重要数据”及其相关安全保障义务,能够体现相关规范的前瞻性和先进性。
“当然,在相关规则的落实层面上,还需要企业和行业从业者贡献方案和智慧,不断提高汽车领域数据安全和个人信息保护的效力和水平。” 宁宣凤律师称。