马自达10万余条信息遭泄露,要不要对信息匿名化处理提上日程?
转自:法治网
近日,一则知名车企马自达遭遇信息泄露的新闻,让汽车数据安全再次引发人们的关注。
据官网消息,马自达的服务器于今年7月遭外部网络攻击,约10万条公司员工及业务合作方的个人信息被泄露,包括姓名、电话号、密码等,但客户信息未受影响。其后,马自达已采取措施阻止外部访问,关闭服务器并报警,同时承诺将改良服务器安全系统,加强对所有相关网站的监控。
经调查发现,该公司存储账户信息的系统遭到入侵,公司员工及业务合作方相关的共104732条信息被泄露,但客户信息未受影响。被泄露的个人信息包括姓名、邮箱、密码、公司名称及部门、电话号码、员工ID等。
数据泄露事件频发,车企如何应对?
近年来,有关汽车领域信息数据泄露的事件频频曝出,像特斯拉、丰田这样的国际汽车业巨头,都曾发生过此类事件。那么,信息数据到底是怎么泄露的呢?
法治网记者就此询问了一位不愿具名的业内人士,据其介绍,如今信息数据泄露范围不再只是以往的客户个人信息,更多的是车辆在使用环境下产生的大数据,此类的泄露渠道一般分为以下几类:首先是从车机端攻破,一般损害的是个体数据;其次是从车企的后台端也就是销售系统端,这时受损的通常是系统保存的客户信息;此外,如果是新能源车,还可能会涉及到一些平台数据。
值得一提的是,2022年底,蔚来首席信息安全科学家、信息安全委员会负责人卢龙曾在蔚来官方社区发布公告称,2022年12月11日,蔚来公司收到外部邮件,声称拥有蔚来内部数据,并以泄露数据来威胁勒索225万美元等额比特币。
公开信息显示,蔚来被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。而其创始人李斌在后续的回应中称:“非常抱歉发生这样的事。没有保护好用户信息安全是我们的责任,向大家深表歉意,会对此次事件给用户带来的损失承担责任。我们会协同有关部门深入调查此次事件,对窃取和买卖此次事件相关数据的违法犯罪行为追查到底。”
对此,上述业内人士表示:“为应对行业内数据遭遇黑客攻击继而进行敲诈勒索的威胁,当前对于整个汽车行业而言,在完成用户信息收集后,如何在存储上下功夫,如何将信息被泄露的风险程度降到最低,都应引起高度重视。各家车企的服务器不仅要有防火墙和加密措施,更重要的是,要对存储的信息做加密匿名化处理,这是行业内正在讨论的一个解决方向。”
数据泄露风险加大,用户数据如何保护?
近年来,随着智能网联汽车加速发展,智能操作系统的搭载在车内随处可见。然而,在提升用户体验的同时,数据泄露的风险也在同步增加。
显然,当数据泄露事件发生后,不仅会使车企陷入信用危机和法律风险,同时也给车主的个人信息安全带来隐患。对此,不少网友都表达了自己的关切:“现在隐私都不是隐私了”“泄露信息太可怕了”“数据的安全关乎着车主的安全”……
此前,小米科技创始人雷军在2023年全国两会上曾建议:“智能网联汽车作为车轮上的数据中心,其承载的行驶轨迹、生物特征等敏感个人信息及地理信息、车外影像等,既是数字经济发展的重要要素资产,也给个人隐私、国家公共利益与安全带来了挑战。建议建立汽车数据安全认证、评价机制,构建汽车数据共享机制及平台。”
那么,从法律层面,用户数据又该如何被保护呢?北京安理律师事务所合伙人杨博表示:“目前,我国对于网络运营者、个人信息处理者的合规要求越来越高,总体呈体系化、全方位、强监管的态势,一旦其违反合规义务,不仅可能涉及行政责任和民事责任,甚至可能面临更为严重的刑事责任。其中,网络安全法第64条、数据安全法第45条、个人信息保护法第66条均对此类事件有着明确的法律规定。”
杨博律师指出,汽车企业作为网络运营者、个人信息处理者,首先需要注意的是,在信息泄露安全事件事前承担网络安全、数据安全及个人信息保护责任,如制定相关应急预案、采取必要的技术措施确保网络安全、数据安全及个人信息安全;其次,在信息泄露安全事件事中,应当积极采取补救措施,阻止相关数据及个人信息进一步泄露,同时向相关主管部门进行汇报并通知有关个人信息主体;最后,在信息泄露安全事件事后,根据信息泄露事件造成的影响及相关损失,企业应当承担相应的行政责任、民事责任以及刑事责任,并加强内部网络安全管理,提高员工的网络安全意识,防止类似事件再次发生。
保障数据安全,多家车企已在行动
近年来,随着数据安全立法工作的加快推进,我国为保护用户隐私安全,正在不断提升相应的法律保障。
中国汽车工业协会秘书长助理王耀对法治网记者表示:“2021年开始施行的《汽车数据安全管理若干规定(试行)》,为汽车企业规范数据处理活动和产业数据安全管理提供了指导。数据安全工作的落实,是为了更好推动企业数据处理活动的合法合规,以降低企业数据安全风险,确保后续对数据开展可持续地开发利用,促进产业数据健康生态的建立。”
事实上,在此方面,目前不少车企已经在行动。此前,长安汽车宣布自2022年6月30日起,停止对用户开放远程监控、360全景远程拍摄和远程智能泊车三项功能。据介绍,前两项功能能够实现手机远程直播和手机车外远程拍照,这就导致行车时,会有侵犯路人个人信息的可能。随后,东风日产旗下车辆也于当年停用了远程拍照功能。
王耀指出,在严格落实国家数据安全法律法规的基础上,为有效保障企业自身的信息和数据安全,需要从管理侧和产品侧双向发力。如建立企业数据安全管理体系,组建跨职能的数据和网络安全管理委员会及其组织架构,建立数据合作方评估和审查机制,制定数据和网络安全管理的战略规划、风险预防和应急响应措施等。同时,企业需具备数据安全防护技术措施和数据全生命周期安全技术保障能力,包括采集、传输、存储、处理、共享、删除等各个环节。
“智能网联汽车时代,企业只有切实做到数据安全保护,规范数据的开发和利用,用数据资源赋能产品升级,持续推动企业技术进步,才能实现长久稳定地发展。”王耀说。(文|李升)