走到一輛新車前,攝像頭、毫米波雷達、激光雷達等各式傳感器已經愈發常見,為了做到“耳聽八方、眼觀六路”,智能汽車必須通過它們收集規模更大、覆蓋面更廣的車輛數據。有統計數據對比顯示,一輛智能網聯汽車每天會產生約10TB的數據,是傳統燃油汽車的5-10倍。
2023年,因造成超過215萬日本用戶的車輛數據泄露,豐田汽車一度成為消費者關注的焦點。盡管豐田汽車立刻回應稱,這次泄露事件由人為操作失誤導致,但有報道稱,這幾乎涵蓋自2012年以來,注冊豐田主要云服務平臺的全部客戶群。
事實上,隨著汽車進入數字化、智能化時代,數據泄密問題已屢見不鮮。
據不完全統計,自2020年以來,國內針對整車制造、車聯網信息服務提供等關聯企業的惡意數據攻擊達到280余萬次。據不完全統計,2023年至今,國內共發生了超過20起與車企相關的數據泄露事件。
從駕乘人員的面部表情、動作、目光、聲音數據,到車輛地理位置、車內及車外環境數據,汽車數據隱私泄露所引發的消費者維權事件愈發常見,汽車數據安全正面臨著許多新挑戰。如何高效、完善地守住“安全紅線”,用好汽車數據并保障個人隱私安全,成為與每一位消費者息息相關的新課題。
在海量汽車數據中劃清個人隱私紅線
根據國家網信辦此前發布的《汽車數據安全管理若干規定(征求意見稿)》,駕駛人能夠隨時終止汽車制造商等收集車輛位置、駕駛人或乘車人音視頻等敏感個人信息的行為。
“在技術的幫助下,汽車的數據處理能力日益增強、汽車數據規模日趨龐大,同時暴露出的汽車數據安全問題和風險隱患也越來越突出。”有關負責人表示,在實際場景中,如汽車數據處理者超越實際需要,過度收集重要數據;未經用戶同意,違規處理個人信息等,都屬于汽車數據安全問題的范疇。
美國市場調研機構J.D. Power發布的“2022中國消費者智能網聯汽車數據安全和個人隱私意識與顧慮調查”報告顯示,47.8%的受訪車主表示,從未收到過汽車品牌或經銷商對個人信息收集的提示。
這表明很多車企的數據收集行為,是在用戶“不知情”的情況下進行的。一旦這些數據遭到泄露或非法共享,就會產生監聽、身份盜竊等風險,從而影響企業及個人的人身財產安全。
在江西新能源科技職業學院新能源汽車技術研究院院長張翔看來,部分車企的數據安全保障能力有待提高。尤其是隨著輔助駕駛、自動駕駛功能的逐步落地,保障數據安全將成為涉及道路交通安全的關鍵問題。
“當前,汽車數據安全的應用場景還未固定化,因此要根據其功能開發和使用效果兩方面,不斷進行改進。”張翔直言,從理論上來講,無論車企采取什么樣的安全解決方案,其數據存儲系統始終會存有漏洞,但車企應該盡可能地提高數據安全等級,多做一些防護措施,這樣才能提升面對網絡黑客攻擊的底氣。
今年兩會期間,全國人大代表、長安汽車黨委書記、董事長朱華榮針對汽車數據安全提出了相關建議。他認為,隨著汽車行業由“硬件主導”到“軟件定義”,汽車之于用戶已不再是單純的出行工具,已由“單一工業品”到“新數智空間”產品的屬性變遷。用好在智能網聯汽車使用過程中產生的海量數據,首先需要在個人信息保護、數據要素市場化與國家安全三者之間達成平衡。
朱華榮稱,盡管目前已經出臺了《汽車數據安全管理若干規定(試行)》《個人信息保護法》《關于構建數據基礎制度更好發揮數據要素作用的意見》等法律法規,對個人信息保護與數據產權確立了部分概括性規定,但對汽車數據中非個人信息邊界模糊,權屬不明。
他認為,智能網聯汽車相關非個人信息的邊界模糊與權屬不明,既不利于個人信息的保護,也讓車企很難更合理、更充分地利用相關數據。
“車輛自身及零部件工況類數據,道路、天氣等與外部環境有關的數據,以及無法識別到具體個人的,應不屬于個人信息的范疇。而車控類及應用服務類數據,與個人的關聯性存在很大差異,需要從立法層面進一步予以明確。”朱華榮建議說,要在劃清個人隱私紅線的基礎上,促使相關數據由“數據碎片”的分散化向“數據糧倉”的集約化轉變。
北京市中聞(武漢)律師事務所王昆侖告訴記者,由于理論層面的困難和爭議,許多國家在數據立法上回避了數據的所有權問題。
“因此有時候很難界定,車輛使用過程中產生的數據所有權,究竟屬于車主、駕駛員還是車企。但是,《個人信息保護法》對個人信息權益的保護是比較明確的,處理個人信息必須以合法、正當、必要、誠信為原則。車企如果未取得個人同意就擅自處理個人隱私信息,無疑是侵害了個人信息權益。”王昆侖表示,如果車企違規公開人臉識別、行車數據等個人隱私信息,性質更為惡劣,涉嫌侵害個人隱私權,甚至還可能構成侵犯公民個人信息罪。
“無論是個人信息權益還是隱私權被侵犯,個人都可以提起民事訴訟,要求相關方承擔損害賠償等侵權責任,金額可按個人損失或車廠收益確定。”王昆侖說。
數據安全應成為智能汽車發展“壓艙石”
放眼全球,面對智能網聯技術發展的大潮,汽車行業一直高度關注汽車數據安全的相關問題,世界各國的監管機構,針對實際情況出臺了一系列的法規和配套標準。
2021年1月,聯合國歐洲經濟委員會第156號法規(UN R156)正式生效。該法規要求汽車制造商具備軟件升級管理體系,履行信息記錄和保存、升級評估、車輛信息安全、用戶告知等義務,對軟件升級功能也提出了具體要求,如升級失敗時仍要保證車輛安全等。
“按照規定,從2022年7月起,在歐盟銷售的所有新車需進行這兩項法規所要求的型式認證,才能上市銷售。”張翔分析稱,UN R155和UN R156法規的強制實施,意味著歐盟對車輛網絡安全和軟件升級提出了規范的準入管理要求。
記者了解到,目前國內大多數車企已形成相對成熟的數據安全管理體系,80%以上整車企業組建了數據安全團隊,形成與企業業務線并行的管理鏈路。不過,相關數據遍布研發、生產和流通等各個環節,有效管理的難度大大增加。
中國電動汽車百人會聯合騰訊云發布的《智能網聯汽車數據安全年度洞察(2023)-企業免疫力建設》報告(以下簡稱“報告”)顯示,車企在車端安全上普遍達到了較高水位,而在數據安全治理,例如數據分類分級、數據加解密、防泄露等方面,則面臨較大的挑戰。
報告指出,這些挑戰來自監管壓力、技術成熟度等各個方面。有的車企將汽車數據監管聚焦在人、車交互的相關環節,而對企業研發、生產等數據的分類分級未提出明確要求,不同部門或業務團隊可能會使用不同的數據定義、收集和存儲方法,導致數據一致性差、準確度低,進而給保護汽車數據安全帶來挑戰。
報告認為,智能汽車的數據安全問題已經演變成行業普遍問題,需要全行業共同解決。盡管面臨諸多挑戰,隨著法律框架不斷完善,車企在數據安全組織制度、專業人員配備上都已初步完善,第三方專業汽車數據安全解決方案廠商不斷涌現,汽車構建數據安全免疫力已具備完備的產業基礎。
記者注意到,由于汽車研發流程復雜,往往要耗時兩三年,部分車企在研發、推出車輛遠程拍攝等相關功能時,關于汽車數據安全的監管政策尚未落地。因此,可能出現產品功能剛用不久就被下架的消費糾紛。
消費者姚小平就吐槽說,許多企業為了凸顯自己產品的獨特性、體現自己更高的智能化水平,曾爭相推出車輛遠程控制、在手機App上查看車載遠程攝像頭等功能。盡管這些功能讓消費者倍感新奇,卻埋下了汽車數據安全的隱患,最終被下架。“如果我們買車多少是沖著這些功能和技術來的,現在功能沒有了,這些錢廠家還打算退還嗎?”
對此,有業內專家提醒說,在宣傳新車和新功能時,相關企業應該更加謹慎,充分告知用戶政策變化可能導致的不同后果。
值得注意的是,去年7月,《汽車整車信息安全技術要求》等四項“強標”完成征集意見稿,數據安全正逐漸成為智能網聯汽車發展的“壓艙石”已成為全行業共識。
有業內人士表示,汽車數據安全建設事關重大,企業需要在合規前提下,充分合理使用汽車數據促進經營,推動智能網聯汽車良性發展。此外,還需要政府、企業、科研機構和社會公眾共同努力,創造安全、可靠的汽車數據利用環境。
“規范汽車數據安全,不僅能促進汽車產業又快又好地實現數字化轉型,還能有效拉動產業提升新質生產力。只有這樣,消費者才能真正享受到智能化帶來的便利和樂趣。”上述業內人士總結道。
中青報·中青網見習記者 王志遠 記者 張真齊 來源:中國青年報
編輯:譚鵬
