谁来守护你的汽车数据安全智能汽车被神秘的黑客劫持,远程启动车辆并在街头汹涌前进,形成一股汽车巨浪……这骇人的一幕不仅出现在电影中,也一度成为人们担忧智能汽车安全性的内心写照。
好在,这个目前仍略显神秘的领域即将迎来一部重量级法规。5月12日,国家互联网信息办公室发布《汽车数据安全管理若干规定(征求意见稿)》(以下简称“《规定》”)。《规定》倡导运营者处理个人信息和重要数据过程中,坚持“车内处理原则、匿名化处理原则、最小保存期限原则、精度范围适用原则、默认不收集原则”。同时,运营者在中国境内设计、生产、销售、运维、管理汽车过程中,处理个人信息或重要数据时应当遵守相关法律法规和《规定》的相关要求。
统计数据显示,今年一季度新注册机动车996万辆,创同期历史新高。其中,越来越普及的智能汽车占据着重要地位。有预计称,到2025年,中国的智能汽车渗透率达80%,数量将达到2800万辆。预计到2030年,渗透率将达到95%,约为3800万辆。
智能化浪潮让汽车从过去的信息孤岛变成了网络中的信息节点,这既带来了一座崭新的“数据富矿”,也为管理者、企业和用户提出了“如何守护智能汽车安全”的新课题。
《规定》落地倒计时为谁敲响了警钟
《规定》发出当天,特斯拉通过官方微博回应称,“我们支持并响应行业发展进一步走向规范,共同助力技术创新。欢迎大家积极向有关部门建言献策,推动汽车行业健康有序发展。”
此前,特斯拉对外事务副总裁陶琳曾表示,特斯拉在中国采集的数据“基本上都会放在中国”。而当记者问及特斯拉如何解决数据跨境传输的安全问题时,特斯拉中国公关负责人黎婧表示,目前特斯拉尚无更多信息可以公开。
事实上,由于部分外企在国内没有设立研发中心,为了分析、利用在中国采集的数据,跨境数据传输不可避免。有数据显示,60%的智能汽车数据储存在海外。
《规定》第十二条显示,个人信息或者重要数据应当依法在境内存储,确需向境外提供的,应当通过国家网信部门组织的数据出境安全评估。我国参与的或者与其他国家和地区、国际组织缔结的条约、协议等对向境外提供个人信息有明确规定的,适用其规定,我国声明保留的条款除外。
“其实,不仅要盯着智能汽车的数据储存在哪里,如何管理车企提取、分析数据的行为也很重要。”清研华科新能源研究院增材中心主任张抗抗直言,即便对智能汽车的数据进行匿名化应用,但它仍然可能对公共安全、国家安全造成潜在威胁。
“《规定》有相当一部分内容是关于数据跨境传输的安全问题。这对规范特斯拉、奔驰、宝马等境外汽车厂商处理汽车数据的行为有着重要意义。”他建议说:“尤其是涉及敏感地理信息和空间测绘的相关数据,一定要在跨境传输上严加管理。”
“一方面,一辆智能电动车收集的数据远远多于传统燃油车;另一方面,按照车企开发流程,设在境外的研发总部往往能轻而易举地调取、使用在中国收集的汽车数据。”张抗抗以特斯拉安装的摄像头举例说,国内有些涉及国防安全的地方禁止游客拍照,但车载摄像头如果偷拍和传输图片就“可能令人防不胜防”。
“和智能手机类似,智能汽车也能通过利用大数据让生活更便利,但无论是什么程度的便利,都绝不能以随意让渡个人隐私和信息为代价,更不能威胁公共安全乃至国家安全。”中南财经政法大学数字经济研究院执行院长盘和林教授认为,智能汽车产生的数据体量更庞大,因此也需要更全面、更加精细化的管理。
“依据《中华人民共和国网络安全法》,在中国境内产生,但存放于国外的数据,依然要接受政府有关部门的监管。”盘和林建议,由于智能汽车数据的跨国存储、传输存在合规化风险,特斯拉等跨国企业需要考虑尽早完成数据本地化管理。
事实上,随着大数据在各行各业被广泛地应用,各国都十分重视数据安全。例如,欧盟的《通用数据保护条例》就对保护自然人的个人信息权利、数据出境等制定了堪称“史上最严”的规定。
张抗抗直截了当地表示,随着法律法规的完善,车企也应该加快研发本土化进程,“不能只建工厂,更不能动歪心思”。
智能汽车数据监管难在哪里
清华大学车辆与运载学院杨殿阁教授将智能汽车数据安全的潜在风险分为三大类:“第一是对行车安全的影响。联网让网络上的黑客有机会攻入车辆,可能控制车辆行驶,给行车安全带来危险。第二是用户的隐私安全。智能汽车上装载的传感器会对车上用户乃至车外的行人持续获取信息,涉及到用户隐私侵犯问题。第三则是国家安全。智能汽车上大量的视觉、毫米波雷达、激光雷达传感器在行驶的过程中会不断地扫描路面和周围的交通环境,获取大量地理信息,这些信息涉及到国家安全。”
在此前数起“失速门”事件中,“行车数据”都是特斯拉与车主双方交锋的重点。知乎法律研究员、律师朱诗睿表示,《规定》最重要的意义在于划出了重要安全数据的范围,这有助于指导车企规范收集、分析、存储、传输数据,促使智能汽车行业规范发展。
“没有规矩不成方圆。目前许多国家都在加强数据主权保护的立法,外国车企需要遵守中国境内的法律法规,同时提高数据存储、管理的本土化水平。而志在‘走出去’的中国车企既需要按照《规定》的要求进行安全评估,也需要遵守海外市场当地的法律法规。”他建议说,企业需要在挖掘数据价值和保护用户隐私间找到平衡点。
有分析称,一辆无人驾驶汽车每秒能产生100GB的数据。这固然被视为“数据富矿”,但如此庞大的数据量也让尚处于起步阶段的智能汽车数据安全面临着不少难点。
自动驾驶公司蘑菇车联副总裁、蘑菇OS部总经理邓志伟坦言:“智能汽车数据管理有三大难点。首先是数据类型的高复杂性,与智能手机相比,智能汽车采集的数据既有个人属性,又有公共属性,甚至关系到国家安全;其次是数据规模大,由于智能汽车数据具有实时动态的特殊性,一辆车每天产生的数据量最高可达TB级别;第三则是涉及的产业链条长、环节多,从产品的设计、研发、生产制造,到销售运营和维修服务、保险等各个环节都涉及到数据安全,监管难度也就更高了。”
在他看来,正因如此,提高智能汽车数据管理水平需要社会各界的共同努力。
“智能汽车所产生的数据关乎用户利益和公共安全,企业必须对此慎之又慎。”他告诉记者,智能汽车数据的有序跨境流动,有利于全球数据资源的开发利用和开放共享,这有助于推动自动驾驶、信息网络技术的产品研发和服务创新,可以进一步提升经济效率和社会福祉。
筑牢“红线”意识才能挖掘“大数据富矿”
“任何新生事物的产生和发展,必然会带来一系列新的问题,智能汽车亦然。智能汽车数据管理问题近期受到如此多的关注,恰恰说明我国的智能汽车发展进入了新阶段。”杨殿阁直言,作为智能汽车实现不断迭代和发展的基石,数据的重要性不言而喻。
在他看来,“一禁了之”的做法显然不利于我国智能汽车的发展。“若想在智能网联汽车上取得先机,我们必须对数据管理采取堵疏结合的方式,在保证个人隐私与国家安全的基础上,为智能网联汽车提供充足的发展空间。”
杨殿阁建议说,《规定》提示车企尽量少用指纹、声纹、人脸、心率等用户生物特征信息,企业应尽快找到替代方案。此外,由于智能汽车不仅涉及个人数据,也涉及到道路环境等公开数据,今后在数据管理上可能需要网信部门、工业和信息化部、交通运输部、自然资源部等多个部门联合执法。
盘和林认为,无论是对智能汽车数据进行脱敏化处理,还是设定合理的数据保存期限,都建立在技术不断进步、法规继续完善的基础上。他建议说:“由国内的第三方机构进行数据管理,企业在得到用户授权后使用数据,而第三方机构则通过脱敏、标注等方式,为企业使用数据提供便利。然后由政府负责统一监管。”
“应该说,《规定》为自动驾驶、智慧交通和智能汽车行业指明了方向。”邓志伟直言,企业发展应该始终将维护国家安全、公众利益和用户权益放在首位,“这也是智能汽车行业健康有序发展的基础”。
事实上,在“新基建”的背景下,智能汽车所涉及的自动驾驶、车路协同正在融入整个智慧交通体系。邓志伟介绍说:“我们与当地政府共建智慧交通实时数据中心,保护重要数据资源,保障智慧城市基础设施和交通信息数据安全,从而更好地服务城市出行。”
据透露,蘑菇车联已经参与了北京、苏州、衡阳等多个城市的自动驾驶、智慧交通项目。去年11月,在国内首条开放式5G商用车路协同示范路上,蘑菇车联与奇安信、中电智能共同打造了“车联网安全测评系统”,被工信部评为“网络安全技术应用试点示范项目”并授牌,这是国内首批关于车联网安全的授牌。
“相信通过公开征求意见后,日益完善的法律法规将让智能汽车行业更规范、更健康地发展。”张抗抗畅想说,在一个健康、有序的智能汽车使用场景中,企业既要充分挖掘大数据这座富矿,也要筑牢“红线”意识。