如何守護智能汽車安全?智能汽車數據監管難在哪?
智能汽車被神秘的黑客劫持,遠程啓動車輛並在街頭洶涌前進,形成一股汽車巨浪……這駭人的一幕不僅出現在電影中,也一度成爲人們擔憂智能汽車安全性的內心寫照。
好在,這個目前仍略顯神秘的領域即將迎來一部重量級法規。5月12日,國家互聯網信息辦公室發佈《汽車數據安全管理若干規定(徵求意見稿)》(以下簡稱“《規定》”)。《規定》倡導運營者處理個人信息和重要數據過程中,堅持“車內處理原則、匿名化處理原則、最小保存期限原則、精度範圍適用原則、默認不收集原則”。同時,運營者在中國境內設計、生產、銷售、運維、管理汽車過程中,處理個人信息或重要數據時應當遵守相關法律法規和《規定》的相關要求。
統計數據顯示,今年一季度新註冊機動車996萬輛,創同期歷史新高。其中,越來越普及的智能汽車佔據着重要地位。有預計稱,到2025年,中國的智能汽車滲透率達80%,數量將達到2800萬輛。預計到2030年,滲透率將達到95%,約爲3800萬輛。
智能化浪潮讓汽車從過去的信息孤島變成了網絡中的信息節點,這既帶來了一座嶄新的“數據富礦”,也爲管理者、企業和用戶提出了“如何守護智能汽車安全”的新課題。
《規定》落地倒計時爲誰敲響了警鐘
《規定》發出當天,特斯拉通過官方微博迴應稱,“我們支持並響應行業發展進一步走向規範,共同助力技術創新。歡迎大家積極向有關部門建言獻策,推動汽車行業健康有序發展。”
此前,特斯拉對外事務副總裁陶琳曾表示,特斯拉在中國採集的數據“基本上都會放在中國”。而當記者問及特斯拉如何解決數據跨境傳輸的安全問題時,特斯拉中國公關負責人黎婧表示,目前特斯拉尚無更多信息可以公開。
事實上,由於部分外企在國內沒有設立研發中心,爲了分析、利用在中國採集的數據,跨境數據傳輸不可避免。有數據顯示,60%的智能汽車數據儲存在海外。
《規定》第十二條顯示,個人信息或者重要數據應當依法在境內存儲,確需向境外提供的,應當通過國家網信部門組織的數據出境安全評估。我國參與的或者與其他國家和地區、國際組織締結的條約、協議等對向境外提供個人信息有明確規定的,適用其規定,我國聲明保留的條款除外。
“其實,不僅要盯着智能汽車的數據儲存在哪裡,如何管理車企提取、分析數據的行爲也很重要。”清研華科新能源研究院增材中心主任張抗抗直言,即便對智能汽車的數據進行匿名化應用,但它仍然可能對公共安全、國家安全造成潛在威脅。
“《規定》有相當一部分內容是關於數據跨境傳輸的安全問題。這對規範特斯拉、奔馳、寶馬等境外汽車廠商處理汽車數據的行爲有着重要意義。”他建議說:“尤其是涉及敏感地理信息和空間測繪的相關數據,一定要在跨境傳輸上嚴加管理。”
“一方面,一輛智能電動車收集的數據遠遠多於傳統燃油車;另一方面,按照車企開發流程,設在境外的研發總部往往能輕而易舉地調取、使用在中國收集的汽車數據。”張抗抗以特斯拉安裝的攝像頭舉例說,國內有些涉及國防安全的地方禁止遊客拍照,但車載攝像頭如果偷拍和傳輸圖片就“可能令人防不勝防”。
“和智能手機類似,智能汽車也能通過利用大數據讓生活更便利,但無論是什麼程度的便利,都絕不能以隨意讓渡個人隱私和信息爲代價,更不能威脅公共安全乃至國家安全。”中南財經政法大學數字經濟研究院執行院長盤和林教授認爲,智能汽車產生的數據體量更龐大,因此也需要更全面、更加精細化的管理。
“依據《中華人民共和國網絡安全法》,在中國境內產生,但存放於國外的數據,依然要接受政府有關部門的監管。”盤和林建議,由於智能汽車數據的跨國存儲、傳輸存在合規化風險,特斯拉等跨國企業需要考慮儘早完成數據本地化管理。
事實上,隨着大數據在各行各業被廣泛地應用,各國都十分重視數據安全。例如,歐盟的《通用數據保護條例》就對保護自然人的個人信息權利、數據出境等制定了堪稱“史上最嚴”的規定。
張抗抗直截了當地表示,隨着法律法規的完善,車企也應該加快研發本土化進程,“不能只建工廠,更不能動歪心思”。
智能汽車數據監管難在哪裡
清華大學車輛與運載學院楊殿閣教授將智能汽車數據安全的潛在風險分爲三大類:“第一是對行車安全的影響。聯網讓網絡上的黑客有機會攻入車輛,可能控制車輛行駛,給行車安全帶來危險。第二是用戶的隱私安全。智能汽車上裝載的傳感器會對車上用戶乃至車外的行人持續獲取信息,涉及到用戶隱私侵犯問題。第三則是國家安全。智能汽車上大量的視覺、毫米波雷達、激光雷達傳感器在行駛的過程中會不斷地掃描路面和周圍的交通環境,獲取大量地理信息,這些信息涉及到國家安全。”
在此前數起“失速門”事件中,“行車數據”都是特斯拉與車主雙方交鋒的重點。知乎法律研究員、律師朱詩睿表示,《規定》最重要的意義在於劃出了重要安全數據的範圍,這有助於指導車企規範收集、分析、存儲、傳輸數據,促使智能汽車行業規範發展。
“沒有規矩不成方圓。目前許多國家都在加強數據主權保護的立法,外國車企需要遵守中國境內的法律法規,同時提高數據存儲、管理的本土化水平。而志在‘走出去’的中國車企既需要按照《規定》的要求進行安全評估,也需要遵守海外市場當地的法律法規。”他建議說,企業需要在挖掘數據價值和保護用戶隱私間找到平衡點。
有分析稱,一輛無人駕駛汽車每秒能產生100GB的數據。這固然被視爲“數據富礦”,但如此龐大的數據量也讓尚處於起步階段的智能汽車數據安全面臨着不少難點。
自動駕駛公司蘑菇車聯副總裁、蘑菇OS部總經理鄧志偉坦言:“智能汽車數據管理有三大難點。首先是數據類型的高複雜性,與智能手機相比,智能汽車採集的數據既有個人屬性,又有公共屬性,甚至關係到國家安全;其次是數據規模大,由於智能汽車數據具有實時動態的特殊性,一輛車每天產生的數據量最高可達TB級別;第三則是涉及的產業鏈條長、環節多,從產品的設計、研發、生產製造,到銷售運營和維修服務、保險等各個環節都涉及到數據安全,監管難度也就更高了。”
在他看來,正因如此,提高智能汽車數據管理水平需要社會各界的共同努力。
“智能汽車所產生的數據關乎用戶利益和公共安全,企業必須對此慎之又慎。”他告訴記者,智能汽車數據的有序跨境流動,有利於全球數據資源的開發利用和開放共享,這有助於推動自動駕駛、信息網絡技術的產品研發和服務創新,可以進一步提升經濟效率和社會福祉。
“任何新生事物的產生和發展,必然會帶來一系列新的問題,智能汽車亦然。智能汽車數據管理問題近期受到如此多的關注,恰恰說明我國的智能汽車發展進入了新階段。”楊殿閣直言,作爲智能汽車實現不斷迭代和發展的基石,數據的重要性不言而喻。
在他看來,“一禁了之”的做法顯然不利於我國智能汽車的發展。“若想在智能網聯汽車上取得先機,我們必須對數據管理採取堵疏結合的方式,在保證個人隱私與國家安全的基礎上,爲智能網聯汽車提供充足的發展空間。”
楊殿閣建議說,《規定》提示車企儘量少用指紋、聲紋、人臉、心率等用戶生物特徵信息,企業應儘快找到替代方案。此外,由於智能汽車不僅涉及個人數據,也涉及到道路環境等公開數據,今後在數據管理上可能需要網信部門、工業和信息化部、交通運輸部、自然資源部等多個部門聯合執法。
盤和林認爲,無論是對智能汽車數據進行脫敏化處理,還是設定合理的數據保存期限,都建立在技術不斷進步、法規繼續完善的基礎上。他建議說:“由國內的第三方機構進行數據管理,企業在得到用戶授權後使用數據,而第三方機構則通過脫敏、標註等方式,爲企業使用數據提供便利。然後由政府負責統一監管。”
“應該說,《規定》爲自動駕駛、智慧交通和智能汽車行業指明瞭方向。”鄧志偉直言,企業發展應該始終將維護國家安全、公衆利益和用戶權益放在首位,“這也是智能汽車行業健康有序發展的基礎”。
事實上,在“新基建”的背景下,智能汽車所涉及的自動駕駛、車路協同正在融入整個智慧交通體系。鄧志偉介紹說:“我們與當地政府共建智慧交通實時數據中心,保護重要數據資源,保障智慧城市基礎設施和交通信息數據安全,從而更好地服務城市出行。”
據透露,蘑菇車聯已經參與了北京、蘇州、衡陽等多個城市的自動駕駛、智慧交通項目。去年11月,在國內首條開放式5G商用車路協同示範路上,蘑菇車聯與奇安信、中電智能共同打造了“車聯網安全測評系統”,被工信部評爲“網絡安全技術應用試點示範項目”並授牌,這是國內首批關於車聯網安全的授牌。
“相信通過公開徵求意見後,日益完善的法律法規將讓智能汽車行業更規範、更健康地發展。”張抗抗暢想說,在一個健康、有序的智能汽車使用場景中,企業既要充分挖掘大數據這座富礦,也要築牢“紅線”意識。