国内发生大规模自动驾驶用户数据泄露事件 网信部门启动核查处置

2024年5月12日，有网民在公开网络论坛发布了可批量下载的自动驾驶数据链接。该数据涉及国内三家车企的14款在售乘用车型。数据内容包含用户车辆行驶轨迹、自动驾驶传感器采集的场景信息。相关数据存在威胁用户个人信息安全的潜在风险。

中央网络安全和信息化委员会办公室 2024年5月13日发布了情况通报，称本次事件属于第三方存储服务器配置不当引发的自动驾驶数据泄露事件，目前已初步锁定泄露数据的来源，已要求涉事企业暂停涉事系统的后台数据采集服务。

据涉事三家车企联合声明显示，截至2024年5月15日，三家企业已完成对旗下所有数据存储接口的初步排查。本次共有12.7万条自动驾驶相关数据流出，其中1.2万条数据包含可识别用户个人身份的信息。三家企业已关闭涉事的三个第三方测试存储接口，累计冻结19个异常访问权限。

财新网记者 张帆：记者实地走访涉事车企位于上海、北京的两处办公点，两处办公点日常办公秩序正常。涉事车企前台工作人员表示，处置工作由专项工作组负责，暂不接受媒体额外采访。现场未看到相关人员聚集或异常出入的情况。

据国家互联网信息办公室2021年发布的《汽车数据安全管理若干规定（试行）》，开展自动驾驶相关活动的主体应当履行数据安全保护义务，对采集的用户信息采取安全保护措施。本次泄露的数据来自车企合作第三方机构的测试数据存储服务器，该服务器因配置错误未设置访问权限。国内此前未发生过规模超10万条的公开自动驾驶数据泄露事件。

中央网络安全和信息化委员会办公室的初步评估显示，本次事件未涉及车辆控制系统数据泄露，不会影响在用车的行驶安全。通报称，下一步网信部门将督促涉事企业完成全系统数据安全整改，逐一通知信息受影响的用户。处置工作完成后，相关部门将向社会公开完整的事件调查处置报告。