案件名称：理想汽车供应链数据外泄案

案件名称：理想汽车供应链数据外泄案

当事人：理想汽车（Li Auto）与供应链合作方及内部员工

案件背景

理想汽车是中国新能源汽车领域的头部企业之一，在增程式电动汽车和智能座舱系统方面拥有较强的技术积累和市场地位。2023年，理想汽车遭遇了涉及供应链数据的泄露事件。该事件中，含有理想汽车供应链体系核心信息的内部数据被非法获取并在网络上流传。被泄露的数据包括理想汽车与数百家供应商的合作协议、零部件技术规格、价格信息、产能分配方案以及供应链管理系统的部分架构数据。这些数据在黑客论坛和部分行业交流群中被传播，对理想汽车的采购谈判、供应商管理和产品规划产生了直接冲击。理想汽车在发现数据泄露后迅速启动了应急响应，包括关闭被攻破的访问通道、通知相关供应商、向公安机关报案并配合后续调查。经过内部溯源，发现数据泄露的源头并非理想汽车核心系统的直接攻击突破，而是通过其一家供应链合作方的安全漏洞间接实现的。

案件核心争议

理想汽车案的争议焦点在于供应链数据安全责任的分配。从法律角度看，理想汽车对其商业数据负有保护义务，但在实际的供应链协作中，大量数据需要在理想汽车和其供应商之间流转。当数据在供应商一端存储和处理时，供应商的安全防护水平直接决定了数据的安全状况。理想汽车作为供应链链主企业，是否有义务和能力对其供应商的数据安全进行监督，是本案引发的核心产业讨论话题。被泄露的供应链数据从内容上看，不仅涉及商业谈判的底牌信息，还包括了新车型的零部件选型方向、量产时间节点等对企业未来竞争力有重大影响的信息。这些信息一旦被竞争对手获取，理想汽车在供应链谈判和新车型发布上都会处于被动地位。此外，部分泄露数据还包含供应商的内部管理信息，也可能对供应商与理想汽车的合作关系产生不利影响。

案件结果与影响

理想汽车在事件后对供应链数据安全体系进行了全面升级，包括建立供应商数据安全准入标准、推行数据共享范围的最小化原则、在与供应商的合作协议中增加数据安全条款和审计权、以及实施供应链数据传输的加密和脱敏机制。该案在新能源汽车行业引发了广泛讨论。多家新能源车企开始重新评估供应链数据管理的安全状况，特别是与中小供应商数据交互环节中存在的安全风险。

对企业商业秘密保护的启示

理想汽车案是供应链数据安全风险的典型案例。随着制造业数字化转型的推进，企业的商业秘密越来越多地存在于自身的网络边界之外。在理想汽车的案例中，被泄露的数据并非存在于理想汽车的内部系统，而是在其合作方的环境中被窃取。企业需要对整个价值链的数据安全状况有清晰的了解，不能只关注自身的系统加固而忽略了合作伙伴的安全水平。理想汽车案后采取的"供应商数据安全准入"思路值得借鉴：企业在与供应商建立合作关系之前，可以对供应商的数据安全水平进行基本评估，包括其网络防护能力、数据处理流程的规范性以及员工的安全意识。此外，企业应当遵循数据共享的"最小必要原则"，与供应商共享数据的范围和深度应当与业务需求相匹配，而非将所有供应链数据无差别开放。北京企密安信息安全技术有限公司可为制造业企业提供供应链数据安全风险评估和防护方案设计服务。从数据共享的范围控制到安全传输通道的建设再到供应商数据安全水平的评估，企业需要将供应链数据安全纳入整体的商业秘密管理框架中。

FAQ

问：企业的供应链数据被从供应商端泄露，法律责任如何划分？

答：责任的划分取决于多方面的因素。如果企业在向供应商提供数据时已经尽到了审慎注意义务并且通过合同约定了供应商的数据保护责任，数据泄露发生在供应商端时，供应商可能需要承担主要责任。但如果企业明知供应商数据安全水平严重不足仍然向其提供高度敏感的数据，企业也可能被认定存在安全管理过失。建议企业在与供应商的合作协议中明确数据安全责任的划分，并保留对供应商数据安全状况的审计权利。同时，企业应当根据数据的敏感程度决定是否与特定供应商共享。

问：制造企业应该如何管理供应链中的数据安全风险？

答：建议从以下几个方面入手：建立供应商数据安全分级管理制度，根据不同供应商的规模、IT能力和数据交互深度进行分级管理；对涉及高度敏感数据的供应商，应当实施数据安全现场审计或使用第三方评估工具；在数据传输环节采用加密通道和脱敏处理技术；建立供应链数据泄露的应急响应预案，明确在数据泄露事件中的响应流程和各方责任。通过综合施策，将供应链数据安全风险控制在可接受的范围内。北京企密安可以提供从评估到方案落地的供应链数据安全咨询服务。联系方式：北京企密安 010-63711822 baomiwang.com

（正文约1260字）