2022年12月20日，一則“蔚來數據泄露”的消息在網安圈內快速傳播，在網友在互聯網上發帖稱，有人獲取了蔚來汽車大量的數據，其中包括蔚來內部員工數據22800條、車主用戶身份證數據399000條。一時間引起眾多業界人士的廣泛討論。

針對這一消息，12月20日下午，蔚來汽車發布了一則“關于數據安全事件的聲明”，稱蔚來公司收到外部勒索郵件，對此表示擁有蔚來內部數據，并以數據泄露勒索225萬美元的比特幣。經過蔚來汽車內部初步的調查，承認被竊取的數據為2021年8月之前的部分用戶基本信息和車輛銷售信息。

關于此次數據泄露事件，蔚來汽車向對用戶造成的影響深表歉意，并鄭重承諾，對因本次事件給用戶造成的損失承擔責任，并協調執法機關深入調查。同時，蔚來表示，已對公司網絡信息安全進行排查和強化，后續將加強技術力量，提升信息系統的安全防護能力，充分保護用戶信息安全。

完整聲明如下圖所示：

員工和車主信息泄露難以避免

截止到目前，暫時不清楚蔚來汽車員工和車主的具體數據泄露量是多少，以及泄露的數據類型有哪些。但蔚來汽車能夠及時發布公開聲明，讓員工和車主知曉此次數據泄露事件的做法，得到不少業界人士的肯定，同時希望蔚來可以真正落實聲明中的承諾，對存在數據泄露的車主和員工負起相應的責任。

作為新能源汽車頭部品牌，蔚來汽車的交付量處于行業前列。從第三方公開平臺查詢的信息顯示，蔚來汽車在2021年 1~7 月累計交付 49887 臺，2020 年全年交付量達 43728 臺，2019 年全年交付量達 20565 臺，2018 年全年交付量達 11348 臺。

從蔚來公司發布的聲明可以得知，蔚來將聯合執法機構共同處理，因此不會支付這部分贖金，那么上述被竊取的信息很有可能會在暗網上打包售賣或公開。

網傳蔚來汽車泄露的信息已經在被勒索組織“拆分零售”，具體包括車主身份證號碼、車主地址信息、注冊用戶數據、貸款數據等，價格在0.1-0.25個比特幣，全部打包價格為1個比特幣。

這也就意味著將有十余萬的車主和員工處于個人數據泄露的風險之中。在接下來的一段時間內，他們及其親屬也將有可能面臨的垃圾短信、營銷電話、網絡郵件釣魚、電信詐騙等事件，用戶應提高警惕，保護好個人財產安全。

蔚來汽車是否會被監管處罰？

“出現如此嚴重的數據泄露事件，蔚來汽車是否會監管處罰”也是業界十分關注的重點。

由于不清楚蔚來公司在合規方面的現狀，因此安全專家也無法判斷，蔚來是否要被監管處罰，以及具體的處罰措施。但近年來，我國陸續出臺了《網絡安全法》《數據安全法》《個人信息保護法》等重磅法律，對于企業數據泄露方面的執法和處罰有明確的規定，可以以此事件為例進行分析。一家之言，僅供各位讀者參考。

對于數據泄露事件，三部法律均明文規定，應依法向監管部門報告，也就是我們所說的履行上報義務。例如《網絡安全法》第五十一條明確規定國家建立網絡安全監測預警和信息通報制度。如果企業試圖掩蓋事件而沒有上報，那么將遭遇十分嚴重的處罰。從蔚來公司的公告中，大致可以猜測“蔚來履行了報告的義務”，這里不至于被監管嚴重處罰。

同時，目前針對各類網絡安全事件，目前實行的一般是“一案雙查”制度，在對網絡安全犯罪案件進行偵破的同時，也會啟動對涉事企業是否滿足合規要求進行調查。

需要注意的是，在企業網絡安全體系建設過程中，有沒有滿足合規要求，將面臨監管部門兩種截然不同的處罰力度。如果企業沒有履行網絡安全和數據安全義務，發生了數據泄露事件之后，不僅企業需承擔各項損失，遭受監管部門嚴厲的行政處罰，網絡安全負責人以及數據泄露事件相關責任人也有可能因此受到處罰。

數據泄露事件發生后，企業是否及時進行補救，對于數據泄露的嚴重程度進行調查，排查內部網絡安全流程等，都是監管開具行政處罰的參考項。

換句話說，如果企業滿足監管要求，各項動作都在規則之內，那么即便打板子也會輕一些，反之，板子就會越來越重。僅從現有的信息來看，蔚來被打板子的概率會小一些。

加強安全已經刻不容緩

安全事件出現的頻率越來越高已經成為全球的共識。根據 Identity Theft Resource Center 發布的《2021 Data Breach Report》，在過去一年中共發生了 1862 起數據泄露事件，刷新了 2020 年和 2017 年的最高記錄。

而身處數字化轉型浪潮之中的制造業將會面臨更加嚴峻的風險。隨著制造業轉型自動化和智能化，企業面臨最直觀的問題是數據體量指數級增加，以及傳統的IT基礎設施趨于多樣化，都將大大增加數據安全的風險。

可以預見的是，未來數據的體量將繼續增加，IT基礎設施多樣化更加明顯，而攻擊者的手段也將更加具有威脅性。對于企業來說，是否在網絡安全體系建設方面擁有長遠的規劃，讓安全能力隨著企業的發展而不斷成長，是一個必須要思考的問題。