今年2月，《汽车纵横》发表了一篇题为“车企数据安全风险加剧”的文章，对当下车企数据安全问题提出了担忧。然而在不到半年的时间里，特斯拉、丰田两大头部车企又相继曝出大规模用户数据泄露事件，让数据安全问题再次成为舆论焦点。
为何像特斯拉、丰田这样的国际汽车巨头也会发生数据泄露？相信这是许多人在未了解真相之前所产生的疑惑。而在解答疑惑之前，我们首先需要了解数据泄露的定义和原因。

数据泄露谁之过？
数据泄露指的是非法获取或未经授权披露个人信息的行为，而个人信息则包括车主的姓名、电话号码、车辆信息等。在智能汽车兴起后，汽车用户数据和汽车应用服务数据也成为数据安全风险重灾区，这两种类型的数据安全问题会直接影响到消费者的个人信息安全。
造成这些数据泄露的原因有很多，比如技术漏洞、网络攻击、内部人员失察等。此前，丰田就因在数据安全方面存在漏洞和疏忽，导致了大批的用户数据泄露。彼时，由于云端设置错误，丰田汽车的部分客户信息在2016年10月至2023年5月期间一直被允许公开访问。这意味着，在这期间订阅丰田服务 T-Connect、G-Link、G-Link Lite 和 G-BOOK 所有的用户信息都可以给未经授权的各方查看，包括客户姓名、住址以及车辆的识别号等信息。
2023年5月31日，丰田汽车发布声明称，客户数据保管相关规则不明晰以及内部管理疏忽是本次信息泄露的主要原因。为了防止进一步的信息泄露，丰田汽车表示，他们将“彻底教育员工并努力防止类似事件再次发生”，同时引入“一个系统来审计云设置，对云环境进行设置调查，并建立一个持续监控设置状态的系统”。据介绍，这套系统一旦发现配置错误，就会及时做出响应。该公司还表示，它们将调查丰田管理的所有云环境，以防止进一步的云配置错误和泄露。
无独有偶，特斯拉在近期也发生了一则大规模用户数据泄露事件。据《德国商报》报道，这些隐私数据来自一位对特斯拉“心怀不满的前员工”。该员工在离职前盗取了公司机密文件，并以此作为举报材料提供给了《德国商报》。据悉，这些数据文件大小共有100GB，其中包含了特斯拉的员工工资、客户银行信息、车辆生产信息等，甚至还包含了艾隆·马斯克本人的社保号码以及私人邮箱和电话。
值得一提的是，早在今年4月，有9名特斯拉前员工称，在2019年至2022年，特斯拉的员工们可通过内部消息系统，私下分享客户汽车摄像头记录的视频和照片。一名前员工爆料，在加州圣马特奥的特斯拉办公室里，他们还会相互分享车祸视频、好笑的视频或照片。《德国商报》指出，当一家公司达到一定规模以后，就需要不同的部门、有能力的职业经理人和 IT 来保护公司机密和员工数据。而从结果来看，特斯拉并没有做到。
由于数据泄露规模较大，该事件已引起德国数据保护中心和荷兰数据保护局的注意。位于特斯拉欧洲超级工厂所在地勃兰登堡的数据保护办公室称，此次数据泄露事件规模巨大。勃兰登堡州数据保护官Dagmar Hartge表示，若是在调查中证实特斯拉确实存在违规行为，特斯拉可能要面临高额处罚，也就是其年销售额4%的罚款，大概在35亿美元（约合人民币247亿元）。
针对上述事件，有业内人士认为，汽车企业应该承担对于数据泄露的法律责任，并在前期切实做好数据安全保护的工作。在数据管理过程中，更加注重数据合法使用，保证用户信息得到妥善的处理和保护。最后，在外部监管方面，要多管齐下，全面加强对数据安全的保障和审核，以确保汽车行业的数据安全形势得到有效维护和管理。

保护数据安全刻不容缓
智能网联汽车加速发展，已逐步从孤立的电子信息终端逐步向网联化的信息节点发展。未来无论是智能网联汽车的研发、测试验证，还是政府对于智能网联汽车的监管都将依赖于多种类的海量交互数据，包括外部环境数据、车辆运行数据、用户驾驶行为数据等。中国汽车工业协会秘书长助理兼技术部部长王耀认为，大量且频繁的数据交互给汽车数据安全带来了潜在的风险。
据《汽车纵横》记者不完全统计，仅2022年，各大车企便出现了多起大规模数据泄露事件。为了砌起安全之“墙”，欧盟、美国等地都在加速完善法律法规，中国也接连推出《网络安全法》、《数据安全法》和《个人信息保护法》，为保护用户隐私安全提供法律依据。与此同时，不少车企已经在行动。例如蔚来经过去年的泄露门事件就表示已对公司的信息安全体系进行隐患排查和安全强化，并将加强技术力量，提升信息系统的安全防护能力，充分保护用户信息安全。
业内人士看来，无论是汽车陈年数据，还是智能网联汽车数据，其泄露均会对用户、企业乃至国家造成不可预期、无法挽回的损失，因此保护汽车数据安全刻不容缓。为支持政府工作，中国汽车工业协会早在2021年就已联合相关企业单位共同编制《我国自动驾驶汽车数据应用及信息安全管理研究》，以智能网联汽车应用场景为切入点，详细剖析智能网联汽车数据全生命周期的数据安全需求，探究和分析区块链等创新性技术在汽车数据安全治理方面的应用。
去年以来，国家也相继出台了《车联网网络安全和数据安全标准体系建设指南》、《关于进一步加强新能源汽车企业安全体系建设的指导意见》、《汽车数据安全管理若干规定》等政策文件，对汽车数据安全提出了更高要求。不久前，《汽车整车信息安全技术要求》和《智能网联汽车自动驾驶数据记录系统》两项强制性国家标准的制修订也正式公开征求社会各界意见。这表明，智能网联汽车数据安全问题已引起了行业和国家的双重重视。
于2023年5月1日起实施的推荐性标准GB/T 41871—2022《信息安全技术 汽车数据处理安全要求》则是对《汽车数据规定》条文内容进一步细化。其从汽车数据处理活动通用安全、车外数据安全、座舱数据安全和管理安全四个方面对汽车数据处理者提出要求，也规定了不适用该标准的特例汽车数据处理活动。该标准为汽车数据处理者提供了相对细化的指引，需要汽车数据处理者在现有法律框架之内，结合不同场景对汽车数据处理流程、范围进行解构分析，并及时调整相应的合规制度与措施。
对于普通用户而言，上述这些无疑是利好消息。而对于企业而言，相关细则的标定也意味着需承担起更大的责任。相信随着法律法规的逐步完善和相关监管平台的有序建设，汽车产业数据安全必将得到有效治理。
注：本文首发于《汽车纵横》杂志2023年7月刊