作者|雲歌
來源|汽車大觀
随着智能化時代的到來,資料正成為一種新的生産要素和社會财富,并被不斷收集、分享、分析、利用,随之而來的個人隐私安全及國家安全也正成為新的挑戰。
315晚會期間,寶馬4S店因利用人臉識别技術擷取客戶資訊引發關注;7月5日,網絡安全審查辦公室對“運滿滿”、“貨車幫”實施網絡安全審查……
近日,上海小鵬汽車銷售服務有限公司被徐彙區市場監督管理局罰款10萬元。處罰事由為:當事人購買具有人臉識别功能的攝像裝置22台安裝在旗下門店,今年1月至6月,共采集上傳人臉照片431623張。
一系列事件,引發了使用者對個人資訊安全的強烈擔憂。
目前,我國汽車保有量為3.8億輛,其中,智能網聯汽車數量快速增加,預計到2022年,智能網聯汽車預計将超過7800萬輛。有資料顯示,一輛自動駕駛汽車每秒就可産生100GB的資料,這些資料包含外部環境、車輛位置、人流車流資料、高精地圖測繪等敏感資訊,事關國家安全和公共利益。
換句話講,汽車資料未來或将成為我國資料安全的重中之重。
汽車資料有哪些風險?
12月14日,小鵬針對43萬人臉照片事件做出回應,表示針對上海門店客流資料的收集及分析工作,是為了更好地改善接待流程。相關裝置為誤購第三方裝置,目前相關資料已經全部删除。
目前,被曝出的幾起事件均是銷售環節為了更好地分析買家資訊,汽車智能化通過車載傳感器、ECU、第三方應用等可以擷取到車主資訊、車輛位置、行駛軌迹、地理資訊等個人和公共資料,是以智能網聯汽車資料安全與資訊安全問題日益迫切,已上升至國家公共安全的高度。
1.個人資訊資料的過度采集和濫用
12月14日,中國消費者協會釋出的《50款App賬号登出及自動化推薦退訂測評報告》顯示,網約車已成為過度收集使用者資訊的重災區。
近年來,APP過度收集使用者個人資訊已經成為智能化帶來的一大頑疾,相關部門多次通報仍屢禁不止。
車聯網相關服務商在為使用者提供相關服務時,均需要收集車主實名、人臉特征等身份資訊,以及汽車運作資料、地理資訊、行車軌迹等大量高價值資料,這些資料的洩露會導緻個人隐私安全風險。
目前,行業内關于哪些資料可以被采集、采集後如何使用、使用時如何監管尚未有明确規定,是以存在過度采集個人資訊和侵犯使用者隐私的風險。另外,5G遠端駕駛技術目前也應用于智能汽車,遠端超控功能在便利用車生活的同時,也給黑客攻陷車輛提供了可能,嚴重的可造成交通事故及人員傷亡。
2.資料存儲、資料流動帶來的安全隐患
汽車行業作為一個高度開放的行業,國内外的産業鍊高度融合,我國大部分汽車合資品牌及境外進口汽車,其車聯網服務可能由境外企業及提供,其收集到的使用者資訊、地理資訊等部分資料需要傳往境外分析研究。
智能汽車中的車輛采集裝置能夠實時記錄行駛過程中的地理資料,大量地理資料的積累就使企業具備了測繪能力。一旦大量國内道路基礎設施、交通标志、建築外觀等真實地理資訊被洩露,将會對國家的安全造成潛在威脅。
汽車資料存儲在哪?
汽車資料一般存儲于車内系統和雲端伺服器,部分外資企業的研發中心設定在國外,研發過程中如果使用這些資料,就存在跨境資料傳輸。有資料分析顯示,超過60%的智能汽車資料存儲在海外,是以中國智能汽車資料安全問題迫在眉睫。
5月25日,特斯拉官方釋出消息稱已經在中國建立資料中心,以實作資料存儲本地化,未來所有在中國大陸市場銷售車輛所産生的資料,都将存儲在境内。
繼特斯拉之後,更多的跨國車企開始重點關注在中國的資料安全問題。寶馬表示會在中國營運本地資料中心;福特汽車表示已于2020年上半年在中國建立了一個資料中心,并在本地存儲車輛資料;戴姆勒表示會在中國建立一個用于存儲汽車資料的專用後端;日産汽車也表态在資料安全方面會遵守中國的相關規定。
國家出台的相關政策
針對智能汽車帶來的資訊安全問題,國家在設計智能網聯汽車頂層産業發展政策中将資訊安全作為重點考慮内容進行了不同層度的規劃和要求。
《網絡安全法》明确了網絡安全事故的責任主體,在汽車資訊安全方面對整車制造商、車載資訊系統提供商及網絡服務營運商提出了法律層面的要求,使汽車行業在汽車資訊安全功能産品的生産和營運上實作了“有法可依”。
6月10日,《中華人民共和國資料安全法》經十三屆全國人大常委會第二十九次會議表決通過,已于2021年9月1日起正式施行。《資料安全法》對資料的有效監管實作了有法可依,填補了資料安全保護立法的空白,完善了網絡空間安全治理的法律體系。資料作為一種新型的、獨立的保護對象獲得了立法上的認可。
8月12日,工信部釋出智能網聯汽車的準入管理意見稿《關于加強智能網聯汽車生産企業和産品準入管理的意見》,意見針對智能網聯汽車生産企業及産品準入管理提出了系統的要求。《意見》明确提出了資料安全、網絡安全、軟體更新、功能安全和預期功能安全要求。《意見》明确企業應加強資料和網絡安全管理。建立健全汽車資料安全管理制度,建立資料資産管理台賬,加強個人資訊與重要資料保護;在中華人民共和國境内營運中收集和産生的個人資訊和重要資料應當按照有關法律法規規定在境記憶體儲,需要向境外提供資料的,應當通過資料出境安全評估。這一措施将有效遏制部分企業将資料放在境外而導緻的安全隐患。
8月20日,《汽車資料安全管理若幹規定(試行)》(以下簡稱“《規定》”)由國家網信辦、發改委、工信部、公安部、交通運輸部聯合釋出,自2021年10月1日起施行。《汽車資料安全管理若幹規定(試行)》從汽車産品的設計研發到銷售全生命周期,對營運者能不能收集車輛資訊、如何收集資訊、資訊如何使用等問題作出了規定。
智能網聯汽車關于網絡安全、資料安全等方面的政策密集出台,表明安全監管将是未來智能網聯汽車監管的重中之重。
針對企業和産品的網絡安全、資料安全管理,需要進一步明确政府、行業、企業在網絡安全、資料安全管理中的職責定位。加強智能網聯資料安全保障技術研究,如資料防洩漏、資料完整性保護等成熟資料安全技術與自動駕駛資料安全保護相結合,建構滿足國家和個人資訊保護要求的資料處理與安全監管平台。
汽車企業需要守好安全紅線
随着安全風險的加劇,汽車企業也在積極加強基礎技術研發與資料安全技術應用,提升核心基礎技術安全可控能力。如長城汽車建立資料安全管理機制,明确不同場景的資料保護方案及措施等;蔚來汽車開展資料脫敏,解綁身份資訊,加密存儲;理想汽車強化準入機制和統一賬号身份管理;奇瑞汽車制定資料管理規定和資料治理的标準體系等。
自動駕駛技術在使用過程中難免涉及收集個人資訊及道路環境資訊,有些還會涉及車内音視訊資訊以及駕駛習慣資訊,而資料安全及網絡安全工作是接下來各企業需要重點關注的内容。