近日，蔚来汽车部分用户数据被泄露一事引发关注。该公司的声明回应称，对用户造成的影响深表歉意，并郑重承诺对因本次事件给用户造成的损失承担责任。但专家表示，用户损失如何确定成难题，车企的承诺难以兑现。

用户数据遭窃取蔚来被勒索

12月20日，蔚来控股有限公司首席信息安全科学家、信息安全委员会负责人卢龙在蔚来官方社区发布《关于数据安全事件的声明》进行了回应。

声明中称，2022年12月11日，蔚来公司收到外部邮件，声称拥有蔚来内部数据，并以泄露数据勒索225万美元等额比特币。在收到勒索邮件后，公司当天即成立专项小组进行调查与应对，并第一时间向有关监管部门报告此事件。经初步调查，被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。

声明中还表示，蔚来对于此次事件对用户造成的影响深表歉意，并郑重承诺，对因本次事件给用户造成的损失承担责任。蔚来将协同有关执法部门深入调查此次事件，并依法坚决打击相关的数据窃取、买卖行为。事件发生后，还对公司网络信息安全进行了排查与强化，以避免此类事件的再次发生。

对用户的承诺恐成“空头支票”

浙江理工大学法政学院特聘副教授、网络法研究所执行所长、全国高校人工智能与大数据创新联盟理事郭兵表示，此前在类似的安全事件中，一些数据处理者或者个人信息处理者是基本不会去回应的。不过在蔚来事件的声明当中，却有“因本次事件给用户造成的损失承担责任”的表态，这是值得肯定的。但是，这种承诺恐怕很容易成为“空头支票”。

郭兵解释，因为用户的信息泄露，往往很难直接确定损失，用户的损失难以确定，蔚来又怎么去承担这个损失的责任？网上泄露的个人信息很多会被用到电信网络诈骗领域，然而这很难确定泄露来源，“即便是蔚来汽车的用户面临电信网络诈骗，也不能确定是这一次泄露事件导致的。”

不过，郭兵指出，蔚来汽车的用户至少可以向蔚来进一步行使个人信息的知情权，比如泄露的基本信息到底包括了哪些？确认自己是不是在被泄露信息的“部分用户”名单里？如果蔚来拒绝提供，用户可通过法律途径来维护权益。“用户如果能提供相应的证据证明自己因此事件造成损失，都是可以要求蔚来承担责任的。”

据了解，2021年10月1日，《汽车数据安全管理若干规定（试行）》正式实施。其中规定，利用互联网等信息网络开展汽车数据处理活动，应当落实网络安全等级保护等制度，加强汽车数据保护，依法履行数据安全义务。国家鼓励汽车数据依法合理有效利用，倡导汽车数据处理者在开展汽车数据处理活动中坚持：默认不收集原则，除非驾驶人自主设定，每次驾驶时默认设定为不收集状态；脱敏处理原则，尽可能进行匿名化、去标识化等处理。开展汽车数据处理活动造成用户合法权益或者公共利益受到损害的，汽车数据处理者应当依法承担相应责任。

车企数据泄露事件不是个例

据公开报道显示，车企数据泄露事件并不是个例，2022年10月，据外媒报道，丰田汽车称，因从2017年12月到2022年9月15日，开发 T-Connect 网站的承包商不小心上传了部分带有公共配置的源码。致使约29万名客户的个人信息可能已被泄露， 其中包括电子邮箱地址和客户编号等，但姓名、电话号码和信用卡信息等均未受到影响。

2021年6月，据外媒报道，因一家供应商在2019年8月至2021年5月期间将客户数据“未经保护”地留在互联网上，330万名客户的数据遭泄露。大众汽车及其子公司奥迪以及位于美国和加拿大的官方经销商都使用这个供应商的服务。数据中包含了客户的姓名、地址、电话号码、甚至贷款信息等。

【版权声明】本文著作权（含信息网络传播权）归属北京青年报社所有，未经授权不得转载

文/北京青年报记者 宋霞
编辑/樊宏伟