随着汽车智能化网联化的快速发展，汽车企业在采集和处理用户数据时面临着前所未有的安全挑战。Meta公司（Facebook的母公司）明文存储用户密码被罚事件，揭示了明文存储敏感信息可能带来的巨大安全隐患，以及违反数据保护法规可能面临的严重法律和经济后果。当地时间9月27日，爱尔兰监管机构对Meta公司开出了高达1.01亿美元（约合人民币7.08亿元）的罚单，原因是该公司以明文形式存储了数亿用户的密码，并允许公司内部员工广泛访问这些密码。此次事件为汽车行业敲响了警钟，在处理敏感数据时必须严格遵守相关法律法规，确保数据的安全。

一、事出Meta未能遵守密码存储的基本安全规则被罚

（一）事件经过

Meta在没有加密和访问控制等适当保护措施的情况下，存储了数亿用户的明文密码，甚至允许约2000名Meta工程师自由查询这些敏感数据，查询次数高达900万次之多。虽然Meta未透露具体受影响用户数量，但据估计涉及“数亿FacebookLite用户、数千万其他Facebook用户”以及数百万Instagram用户。Meta的这一行为违反了GDPR（《通用数据保护条例》）的多项条款，其中，包括未能及时通知监管机构有关数据泄露的情况、未正确记录相关事件、未确保数据的完整性和保密性以及未实施适当的处理安全措施等。

（二）原因分析

2018年5月25日，GDPR在欧盟成员国内正式生效实施，旨在保护个人数据与隐私，被认为是欧盟有史以来最为严厉的数据保护法律。该条例保护的个人数据非常广泛，包括但不限于个人的姓名、身份证号码、位置信息、IP地址、浏览历史、Cookies等。这些数据可能被用于识别个人身份或追踪个人行为。而GDPR可以阻止企业滥用追踪到的信息，违反GDPR的企业可能会面临重大的财务处罚，最高可达其全球年营业额的4%或2000万欧元，以较高者为准。

爱尔兰数据保护委员会（DPC）启动对Meta的调查，评估了Meta对GDPR的遵守情况。DPC认定Meta违反了GDPR中规定的相关安全要求：违反GDPR第5条第（1）款第（f）项，Meta未能采取适当的技术或组织措施来确保用户密码的适当安全性，防止未经授权的处理；违反GDPR第32条第（1）款，Meta未能实施适当的技术和组织措施来确保与风险相适应的安全级别，包括确保用户密码持续机密性的能力；违反GDPR第33（1）条，Meta未能通知DPC有关以明文形式存储用户密码的个人数据泄露；违反GDPR第33条第5款，Meta未能记录与以明文形式存储用户密码有关的个人数据泄露。

（三）关键的哈希加密

哈希通过单向密码学算法将明文密码转换为独特的长字符且不可逆，数据使用哈希函数加密后存储于数据库，原始数据经过运算得到一个哈希值，存储的哈希值无法被逆转以恢复原始数据，进而达到保护数据安全的目的。

为了确保加密过程的安全性，应选择计算成本高、抗攻击能力强的加密算法，避免使用像SHA-1和MD5这样计算速度快、易受暴力破解攻击的算法。此外，在哈希加密过程中实施“加盐”策略，即在数据中加入一串随机数据，再计算哈希值。由于插入不同盐值后生成的哈希值不同，破解难度将显著提升，确保即使数据泄露，攻击者也难以逆向破解出原始数据。

二、汽车行业明文存储的风险警示

为了规范汽车数据处理活动，保护个人、组织的合法权益，维护国家安全和社会公共利益，促进汽车数据合理开发利用，国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合发布《汽车数据安全管理若干规定（试行）》，对汽车数据中的个人信息、敏感个人信息、重要数据的含义和类型进行了明确界定。敏感个人信息与重要数据禁止以明文形式存储在车内或向车外传输。

守护国家安全，谨防明文存储泄密。明文存储重要数据将威胁国家安全，如特定区域的车辆流量和物流数据，如果以明文形式存储并被非法获取，将可能被用于危害国家安全的活动，影响社会稳定和公共安全。

保障企业经营安全，避免明文存储违法违规。明文存储敏感个人信息与重要数据违反了数据保护法规，可能导致汽车企业面临法律责任，包括罚款、赔偿损失甚至刑事责任。

保护个人信息安全，防止明文存储泄露隐私。明文存储的敏感个人信息，如车辆行踪轨迹、音频、视频、图像和生物识别特征等，一旦泄露，将直接暴露用户的隐私，违反《个人信息保护法》，可能导致用户面临身份盗窃、隐私侵犯甚至威胁生命安全的风险。

三、行业政策标准及改进建议

此次Meta公司明文存储被罚事件为汽车行业敲响了警钟，建议汽车制造商考虑以下三个方面：

一是熟悉掌握政策标准。汽车制造商应密切关注国内外有关汽车密码技术、数据安全、信息安全相关政策法规，严格遵守GB44495-2024《汽车整车信息安全技术要求》、GB44496-2024《汽车软件升级通用技术要求》等标准要求。

二是开展明文存储排查。企业应开展全面的数据存储排查工作，确保不存在以明文形式存储敏感数据的情况。应采用加密技术，如密码哈希算法，对敏感数据进行加密处理，以防范数据泄露风险。

三是规范密码技术应用。在处理敏感个人信息和重要数据时，应使用经过验证的、安全的密码算法进行加密。避免使用已知存在安全隐患的算法，如MD5或SHA-1。此外，可结合“加盐”技术提高安全性。同时，应定期更新和维护加密措施，以应对新的安全威胁。

中汽研科技有限公司（简称“中汽研科技”）密码技术专家鲍越表示，密码技术对智能网联汽车数据存储的保护应更加明确，如应采用密码技术保护存储在车内的敏感个人信息与重要数据的机密性，保护车内的关键安全日志的完整性。

结语

下一步，中汽研科技将持续推进密码技术在智能网联汽车中的实践应用，为企业提供汽车商用密码安全合规应用的解决方案，支撑汽车行业打造完整、安全的产业生态，保障智能网联汽车产业安全高质量发展。