直面3·15，汽車智能化下的個人隐私由誰來保護？

近期，360釋出獨家報告披露大陸是NSA組織重點攻擊目标之一，來自軍工、石油、航天航空、網際網路公司、科研機構及政府機構等多個關鍵領域和機關均遭到不同程度的網絡滲透攻擊，這是繼2020年360實錘CIA對中國進行長達11年網絡攻擊滲透後的又一次公開揭露。

從維基解密事件到斯諾登事件、再到近期的瑞士加密機事件，足以說明戰争形式不止于兵戎相見這一種，網絡空間早已成為大國較量的另一重要戰場。一旦對整個國家社會系統進行網絡攻擊，将可能導緻交通、銀行、航空、水電系統等癱瘓，對國家政治穩定、經濟命脈造成不可估量的傷害。

接連數日，網絡攻擊、資料安全、個人資訊、隐私保護等熱詞頻刷3月熱搜榜，成為全民最為關注的話題之一。那麼，資料安全為何如此重要？對智能網聯汽車而言，資料安全又将産生哪些重要價值與影響？

資料安全，何以為重？

近兩年，大家通過華為事件已經意識到缺芯會被卡脖子，是以下定決心要在晶片領域做大做強。但資料安全的重要意義并不比晶片小，其不僅涉及晶片、作業系統，還涉及應用軟體、網絡連接配接等，幾乎所有先進的數字化技術都将面臨資料安全問題。

是以在今年全國“兩會”政府工作報告中，明确提出要加強數字中國建設、促進産業數字化轉型、培育壯大數字産業、釋放資料要素潛力，充分展現出資料在宏觀、中觀、微觀層面都具有非常重要的意義和價值。

首先，在宏觀層面：國家之間的競争已從原來的資本、土地、資源等有形内容，逐漸轉變成為技術、資料和創新的競争。資料是推動社會經濟發展的關鍵生産要素和核心資源，可作為國家決策、管理和創新的依據，大陸一直是資料資源大國，資料總量預計在2025年躍居世界第一，占全球資料規模27%以上。

其次，在中觀層面：要想實作從工業經濟時代向數字經濟時代轉變，資料将發揮重要作用，是賦能産業數字化轉型和更新的關鍵，不僅能提高生産效率、減少資訊不對稱、實作智能生産、提升要素配置效率，還能激發新的動能、培育新的業态。

再次，在微觀層面：企業可利用資料創造新的商業價值和服務，所謂“千人千面”就是資料在精準營銷方面的重要應用。尤其在移動網際網路時代，每個人的行為都會留下痕迹，一切行為皆可資料化。也正因如此，資料在給使用者提供便利性的同時，也會涉及個人隐私洩露等安全問題。

目前來看，全球智能網聯新車滲透率約為45%，預計到2025年可接近60%；2020年中國智能網聯汽車滲透率約為15%，到2025年有望超過75%，高于全球平均水準。這意味着未來三年，中國智能網聯新車市場還将繼續迎來井噴。

而與汽車智能化高速發展相伴的是，汽車每天要産生海量的使用者資料。一方面，車企在背景收集并使用這些資料，進行産品改良和體驗優化；另一方面，這些資料被大量收集、共享和使用，對個人隐私也帶來了潛在風險。

“個人資訊包含兩大類：一類是個人普通資訊，一類是個人敏感資訊。其中，個人敏感資訊還包含個人生物資訊，如指紋、人臉識别、行動軌迹等，原則上這些資訊是不能傳輸到車外的，需要存儲在一個相對安全的區域内，并通過軟硬結合的保護措施将其嚴格地管理起來。”電子科技大學嵌入式軟體工程中心主任、TIAA網絡安全委員會秘書長羅蕾如是說。

資料治理，如何破局？

都說資料是資訊時代的“金礦”，是21世紀的“石油”。那麼，如何讓“金礦”的商業價值真正回饋到“礦主”本身？如何去合規合法地“煉油”？放眼全球，在汽車資料安全治理方面，是否有一些經驗可循？

作為資料安全治理方面的引領者，歐盟強調的是打造共同的資料空間，如制定《通用資料保護條例》，針對不同類型的資料規定不同的保護路徑和使用範圍，并對資料進行分類分層管理，最大程度保護個人隐私。

2020年年初，歐盟還釋出了《歐洲資料戰略》，提出建立一個類似于生态共同體的公共資料空間概念；到了年底，又通過了《歐洲資料治理條例（資料治理法）》，也是立足于公民和企業，以保護其利益為出發點。

不難看出，歐洲在處理資料安全上都是以使用者利益和需求為出發點的。其中，歐盟資料保護委員會釋出的《智能網聯汽車個人資料處理指南》，是最有代表性的智能網聯汽車個人隐私保護的指導建議之一，不僅對不同類型的智能網聯汽車個人資料進行了界定，還給出了個人資料處理的若幹建議。

而美國更多是立足于行業，為電信、金融、健康、教育、汽車等行業設立了專門的資料保護法，如2014年頒布的《資料問責和透明度法案》和《加州消費者隐私法案》等，無一例外地明确了資料的主體權利和保護原則。

與此同時，中國也高度重視資料資源的應用與治理，尤其是近幾年提出了很多相關法律法規。比較典型的就是2017年《中華人民共和國網絡安全法》的實施，明确提出對個人資訊的保護要嚴格遵循合法、正當、必要的基本原則；同年還把個人資訊納入到《民法典》進行保護，說明國家已把對個人資訊的保護提升到了一個前所未有的高度。

緊接着，國家還相繼出台了《中華人民共和國電子商務法》、《App違法違規收集使用個人資訊行為認定方法》、《資料安全管理辦法》、《網絡安全審查辦法》、《資料安全法》及《個人資訊保護法》等，逐漸把資料安全上升到國家安全層面。

“尤其從2021年開始，相關行業主管部門都十分關注汽車網絡安全和資料安全，并對汽車資料的合理開發和利用進行了規範。”據羅蕾介紹，工信部已于去年正式釋出《關于加強智能網聯汽車生産企業及産品準入管理的意見》，要求加強汽車資料安全、網絡安全、軟體更新、功能安全和預期功能安全管理。

除此之外，由國家網際網路資訊辦公室牽頭、四部委聯合釋出的《汽車資料安全管理若幹規定(試行)》（以下簡稱《試行》）也于2021年10月1日起正式實施，内容涵蓋汽車資料定義、重要資料定義、資料處理原則、資料處理者應當告知個人的事項、處理敏感個人資訊需滿足的要求、向境外提供重要資料的要求等。

“《試行》不僅明确了汽車資料處理者的責任和義務，還嚴格規範了汽車資料處理的活動，同時也是大陸防範化解汽車資料安全風險、保障汽車資料依法合理有效利用的一個必須前提。”羅蕾補充道。

在羅蕾看來，大陸相關法律法規已相對完備，尤其是在今年3月7日工信部印發《車聯網網絡安全和資料安全标準體系建設指南》後，已有越來越多的車企開展資料安全方面的組織建設、管理體系建設、技術體系建設，“雖然企業的标準體系已經走在了實踐的路上，但現階段最缺的仍然是行業标準體系的落地，包括怎麼進行資料分類分級、怎麼處理個人敏感資訊、怎麼防止軟體更新漏洞、怎麼形成資料安全共享、怎麼讓資料合規升值等，都呼喚行業标準的出台。”

資料使用，邊界何在？

令人擔憂的是，大陸數字安全投入占比在全球範圍内仍相對較低，發達國家僅網絡安全占整體IT的投入占比就已達到10%，而國内尚不足1%。尤其是相比手機和網際網路行業，汽車行業對于使用者資料的使用和保護還明顯不夠成熟。

“衆所周知，資料是汽車數字化、智能化的基礎。而為實作自動駕駛、輔助駕駛、人機互動、智能網聯這些功能，智能網聯汽車需要不斷采集環境感覺資訊、車輛工況資訊及駕駛員和乘客資訊，并利用這些資訊提供‘千人千面’的個性化服務。”羅蕾如是說。

現如今，汽車已成為繼智能手機之後又一移動智能終端，越來越多的汽車制造商、網約車平台和科技公司都已将汽車資料用于減少排放、管理交通、避免事故等用途，智能網聯汽車資料帶來的好處顯而易見。但與此同時，也有越來越多的駕駛人、乘車人和車外人員的個人資訊被收集、使用和共享，進而帶來隐私風險。

據《環球時報》與J.D. Power共同釋出的《2022中國消費者智能網聯汽車資料安全和個人隐私意識與顧慮調查》（以下簡稱《調查》）顯示，中國消費者對現階段智能網聯汽車廠商能否妥善保護個人敏感資訊的整體信心不足。其中，高度介意個人敏感資訊被智能網聯汽車收集、使用和共享的受訪者比例高達77.4%。

首先，與手機廠商相比，汽車廠商更少實施個人資料收集的告知措施，這使得使用者對智能網聯汽車收集個人資訊的知曉程度更低，近半數的受訪車主表示從未收到過汽車品牌或經銷商對個人資訊收集的提示，這說明很多資料收集行為是在使用者不知情的情況下進行的。

其次，汽車使用者普遍擔心個人資訊洩露會帶來嚴重後果，比如個人資訊被收集和轉賣給第三方、個人私密資訊被偷拍後非法傳播或被敲詐、賬号被盜取後私人财産遭受損失、車輛被黑客攻擊後失去對車輛的控制等。

再次，對個人資訊保護法律法規的不了解以及不知道如何維權等，也加重了汽車使用者對個人隐私洩露及後果的擔憂。其中，有近3/4的受訪者不知道自己哪些權益受保護，更不知道如何維護自己的合法權益。

上述這些研究結果無疑給智能網聯汽車産業敲響警鐘——在充分挖掘和利用資料“金礦”來改善産品功能、提供個性化服務、進行交通擁堵預測時，還應在使用者讓渡隐私與車企獲得便利之間找到平衡點，最終使消費者受益。

其實，要想化解汽車使用者對共享個人資訊的顧慮，車企依然可以大有可為，隻要確定使用者對個人資訊的知情權和控制權，就能有效增強使用者對汽車個人隐私保護的安全感。比如當被問及在什麼情況下願意共享個人敏感資訊時，大部分汽車使用者選擇了與行車安全和路線規劃相關的場景。這說明，未來那些在資料安全和個人隐私保護方面有所建樹的車企，更容易建立起新的競争優勢，進而獲得更多消費者的青睐。

J.D. Power中國區汽車産品數字化使用者體驗總監裴林對此指出，“伴随汽車行業的轉型更新，汽車廠商的角色正逐漸從制造企業轉向科技型企業，參照科技公司的發展經驗，任何産品的網絡安全和使用者資料安全都占據着企業經營的首要位置，是以，汽車廠商未來也亟須建立完善的汽車資料安全管理規範和流程。”

另在《調查》中的一個重要發現是，有超過九成的受訪消費者會傾向性地選擇注重資料安全和保護個人敏感資訊的汽車品牌。這說明，資料安全正成為影響消費者購車決策的重要因子，并成為車企智能化競争新的分水嶺，對汽車廠商而言，如果能有效保護消費者的個人敏感資訊，将在很大程度上增強消費者的購買意願。

為此，裴林也對汽車廠商提出了六點建議：在所有情形下僅收集最小限度個人資訊；對于資料的收集和使用提供最大限度的透明，充分給予消費者分享和停止分享個人資訊的自主權；對于法律法規尚無明确要求的領域，也要主動履行消費者隐私選擇的告知義務；從企業戰略角度，建立從資料收集直至資料銷毀的完整資料生命周期戰略；從資料安全體系管理角度，建立端到端的汽車資料安全保護體系和應急處理機制；從技術實施角度，完善和加強使用者資料安全防火牆。

“在資料安全保護上建立高标準，有助于車企擷取更多消費者的科技安全認同，增強消費者對企業科技産品的信任程度，也會讓消費者更有意願與車企共享出行資料，進而促進産品使用者體驗的正向提升，幫助車企在未來出行生态的競争中赢得先機。”裴林強調。

資料收費，是否合理？

越來越多的研究資料表明，消費者除關注汽車品質和功能安全外，也逐漸開始關注起汽車網絡安全和資料安全，尤其是國内外時有發生的汽車網絡和資料安全事故，更是加重了消費者對汽車資料安全以及個人隐私安全的擔憂。

那麼，車企在使用車主駕駛資料時，需要得到車主的同意嗎？實際上，很少有車主仔細閱讀過相關隐私政策條款，可能在使用車輛時不經意間就勾選了“同意”選項，但其實這方面是需要國家有關部門給車企“劃底線”的，某些霸王條款越過了法律紅線也是無效的，是以需要立法界的支援。

此外，大陸對于車内攝像頭的使用，有無相關法律法規要求？羅蕾表示，“雖然大陸目前還沒有出台與車内攝像頭有關的法律法規，但車内攝像頭涉及個人隐私資料，國家還是有相關規定的，那就是明确要個人授權，企業才可使用相關資料。”

針對車企在使用車主資料後車主能否對此進行收費的問題，羅蕾認為，“資料的确權是一個大問題，我們也看到一些車企在做相應的實踐，例如，将分享駕駛資料作為一種激勵機制以及與車主協同形成資料生态等，我相信未來還會有更多類似的模式出現。”

實際上，關于個人資訊收費的讨論國外早有先例，且從法律上看，并沒有相關規定認為車主不能收取費用，但車主的這一行為會存在諸多潛在阻礙。首先，車主也是駕駛資料回報、優化性能的享有者；其次，如果車主同意了隐私條款，那麼從合約角度上看，車主則很難去索要經濟利益。

更為重要的一點是，車企用于改良車輛自動駕駛性能的資料其實是脫敏的，是以車主無法追蹤到車企是否使用了自身的資料。也就是說，雖然資料來源于車主，但車企會通過一些技術手段将資料脫敏後形成一個集合，再去改善使用者體驗，是以車主很難得到直接的經濟回報。

實際上，智能汽車資料安全反映出來的是車企與使用者之間一種平衡與共創的關系，即如何在讓渡隐私與獲得便利中找到平衡點。從未來趨勢上看，汽車資料安全應該是強監管、嚴監管、細監管。