深度关注 | 个人数据需要安全行车道

发布时间:2021-06-14 07:26:17   来源:中央纪委国家监委网站

中央纪委国家监委网站  管筱璞

在2021世界数字产业博览会上,多家参展企业推出供参观者体验的5G智能驾驶、远程驾驶系统等智能驾驶服务。随着智能驾驶的普及,汽车数据安全等问题受到广泛关注。中新社记者  李超庆  摄

6月11日,是国家网信办发布《汽车数据安全管理若干规定(征求意见稿)》公开征求意见的截止日。文件提出,汽车数据运营者处理个人信息和重要数据应坚持以下原则,包括车内处理、匿名化处理、最小保存期限、精度范围适用和默认不收集等。

汽车数据运营涉及多方,包括汽车企业、软件提供商、经销商、维修机构、网约车企业和保险公司等。如果说传统汽车的核心部件是发动机和变速箱,那么智能汽车在此基础上更为依赖的还包括信息和芯片。伴随着技术进步,一个个新的问题随之而来:行车数据的控制权到底属于谁?如何保护我们的隐私信息不被泄露?

《征求意见稿》将整个汽车市场全链条相关机构囊括其中,对汽车数据保护形成良好闭环

5月10日,公安部新闻发布会透露,目前全国机动车保有量达3.8亿辆,驾驶人达4.65亿人,今年一季度新注册登记机动车996万辆,创同期历史新高。国家发改委数据显示,预计到2025年,我国智能汽车渗透率将达到82%,数量达2800万辆;预计到2030年,渗透率将达到95%,数量达3800万辆。

“该摄像头目前尚未激活,但可能会用于改进软件更新中加入的未来安全功能。”针对一款智能汽车上显示屏的提示,有车主担忧,“我不知道它什么时候会开启,也不知道它开启后会把我的个人影像用在什么地方。”

汽车行业正在向智能化转型,为了支持自动驾驶辅助系统,当前车企发布的智能车型普遍搭载摄像头和雷达等感知设备,智能座舱也大多配备驾驶员状态监测和车内语音系统。当下众多车企旗下车型也都在车内预置摄像头,以识别驾驶员的接管能力。这些情形,引起很多消费者关于个人隐私和数据方面的忧虑。

“《征求意见稿》是从三个层面管理汽车数据,一是国家安全层面,二是公共利益层面,三是个人信息保护层面。在这三个层面形成了一个完善的汽车数据保护的体系。”中央财经大学中国互联网经济研究院副院长欧阳日辉认为,作为汽车数据安全领域出台的第一份管理规定,这份《征求意见稿》对汽车数据从收集、分析、存储、传输、查询、应用、删除等全流程作了较为详细的规定,对行业本身具有标志性意义。

“汽车数据涉及多部门,包括汽车的设计、制造、服务企业,还包括维修机构、保险公司、经销商等,规定里将整个汽车市场全链条的相关机构囊括其中,会对汽车数据的保护形成一个很好的闭环。”欧阳日辉说。

车主作为数据主体,对于其自有车辆的车身数据和行车数据,到底拥有怎样的权利?据《征求意见稿》,敏感个人信息包括车辆位置、驾驶人或乘车人音视频、用于判断违法违规驾驶的数据等。敏感个人信息需直接服务于驾驶人和乘车人,允许车主查看;驾驶人提出删除要求,数据运营者应在两周内删除。除非确有必要,个人信息和重要数据应默认为不收集状态,驾驶人授权只对当次驾驶有效。

为什么删除数据要给出两周的限期?“找到相应用户的数据,再相应删除,删除后再去确认,是一个非常复杂的过程。”清华大学车辆与运载学院教授杨殿阁认为,考虑到智能汽车的发展,未来可能会有几十万辆、上千万辆的数据存在云端的大数据库里,这种分布式的存储管理非常复杂。到底需要多长时间删除,有待进一步研究,究竟是两周还是一周不是最关键的,关键在于通过法律法规保护个人数据、隐私不受侵犯。

《征求意见稿》提出,汽车数据运营者处理个人信息和重要数据坚持车内处理,确有必要时再向车外提供,应尽可能进行匿名化和脱敏处理。同时,运营者要依据提供功能服务类型,确定数据保存期限;依据提供功能服务所需数据精度要求,确定摄像头和雷达覆盖范围及分辨率。

行车数据的控制权依法应归个人,但实际归属相对模糊,仍被车企真正掌握

5月25日,特斯拉宣布:公司已经在中国建立数据中心,并将陆续增加更多数据中心,所有中国市场销售车辆所产生的数据都将存储在境内,车辆信息查询平台也将向车主开放。

过去一段时间,特斯拉的行车数据问题引发不小争议。4月上海车展期间,有维权车主指责其刹车失灵,并表示特斯拉所声称的车辆行驶数据不实,而后特斯拉在4月22日将事故前一分钟数据公开。

此次争议的核心是EDR数据(汽车事件数据)。该系统记录了车辆发生碰撞事故前后一段时间内运行及安全状态信息,包括车速、方向盘转向角度、加速及制动踏板状态、安全带使用情况、车辆制动系统等,是事故原因分析鉴定的基础。

2020年12月,中国政府发布了强制性国家标准《汽车事件数据记录系统》,要求所有销售的车辆均需搭载EDR记录设备,但该标准在2022年1月1日才会正式施行。

而这背后关系到车辆数据的权属问题。国内外现有法律均把行车数据的控制权归于个人,但实际上仍是车企真正掌握这部分数据,行车数据的控制权归属相对模糊,数据调取方面的国内法规一度空白。此前,国内并无车企向用户开放数据查询权限。出现争议时,若非企业自愿,车主索取行车数据的行为难有法律支撑。

不过,相关法规层面的完善已在加速。4月28日,全国信息安全标准化技术委员会发布《信息安全技术 网联汽车 采集数据的安全要求》标准草案,向社会公开征求意见。该草案旨在规范具有联网功能的量产乘用车的数据处理相关活动,对数据传输、存储和跨境等环节提出了安全要求。

与《征求意见稿》类似,草案明确提出,未经被收集者的单独同意,汽车不得通过网络、物理接口向车外传输包含个人信息的数据;禁止向车外传输汽车座舱内采集的音频、视频、图像等数据及经其处理得到的数据。此外,草案还规定,网联汽车通过摄像头、雷达等传感器从车外环境采集的道路、建筑、地形、交通参与者等数据,以及车辆位置、轨迹相关数据,不得出境。

信息安全是继主动安全、被动安全、功能安全之后汽车领域的第四大安全问题

智能汽车并不是简单地把发动机替换为电池,而是要集自动驾驶、智能座舱、车联网等先进技术于一体,彻底改变人类的出行方式。一段时间以来,互联网企业纷纷加入,让国内智能汽车的赛道竞争愈发激烈。

北京无人科技研究院院长李小光表示,一辆无人驾驶汽车每秒可产生海量数据,这些数据对于汽车制造商、移动运营商、保险公司、饭店、酒店和其他服务提供者来说,具有巨大的价值。

近年来,智能网联车安全问题引发关注,今年全国两会有十余份提案议案涉及车联网的安全风险。

“今年以来,经过监测发现针对整车企业、车联网信息服务提供商等相关企业和平台的恶意攻击达到280余万次。平台漏洞、通信劫持、隐私泄露等风险十分突出。”2020年9月5日,工信部网络安全管理局局长赵志国表示。2019年专项调研检测发现,85%的关键部件存在着安全漏洞,近六成企业缺乏自动化网络安全监测响应能力。

目前国内车联网网络安全发展仍处于起步状态,而网络攻击正在向车联网领域发展。数据显示,公开报道的针对智能网联车网络安全攻击事件,2018年仅为80起,2019年为155起。

智能汽车是一个移动的网络节点。作为移动数据收集和发射器,它可以获取车主身份、行动轨迹、驾驶习惯、与手机蓝牙绑定的通讯录、谈话等内容,车主行驶所到之处,人、地、事、物均一览无遗。汽车联网后,上述安全风险更为突出。

“信息安全是继主动安全、被动安全、功能安全之后,汽车领域的第四大安全问题。智能网联车的信息安全不仅可能造成企业经济损失和个人隐私泄露,还可能对人身安全造成严重后果,甚至引发威胁国家的公共安全问题。”中电工业互联网有限公司党委书记、董事长朱立锋认为。

对于智能汽车所存在的网络安全隐患,为了避免引发社会公共安全问题,专家建议,应加强车辆安全防护技术研发,设计出更好的防火墙,避免黑客攻击,同时,需要在立法层面对相关行为严加惩处。

严加管控跨境数据传输,保护数据安全

保护数据出境安全,已成为各国的立法共识。此次《征求意见稿》要求,个人信息或者重要数据应当依法在境内存储,确需向境外提供的,应当通过国家网信部门组织的数据出境安全评估。

如何理解“确需”所留下的豁免路径?大数据是智能汽车功能迭代的重要基础,研发过程中确实需要这些数据支撑。曾有分析称,我国约60%的智能汽车数据存储在海外,安全问题迫在眉睫。

对此,杨殿阁解释称,我国大多数智能汽车研发中心都设在国内,不存在跨境数据传输,但少数外资企业研发中心设在国外,存在这一问题。因为少数外资企业具备数据采集能力的车在国内多达几十万辆,且采集时间长,所以单个企业存在海外的数据量比例就很大。“不管传输了多少,只要存在跨境数据传输,存在地理信息和空间测绘问题,这样的数据就需要严加管理。”

严加管理,提示了背后蕴藏什么风险?杨殿阁进一步解释道,智能汽车在行驶过程中会采集道路环境数据,如果拍摄了涉及军事禁区或国防军工单位等信息,则会影响到国家安全,因此,对这类信息需要严加管控。

智能汽车配置了一系列摄像头、传感器,用于监测道路环境以实现智能驾驶,这必然涉及数据采集及储存。

一家车企官网显示其产品装有8个摄像头,它们环绕车身,能覆盖360度的视野范围,最远监测距离250米,此外还有12个超声波雷达。根据该公司隐私声明,公司会收集车辆产生的诸多信息,包括安全相关数据和摄像头图像,以及一些用于改善自动驾驶安全功能的图像或短视频,如车道线、街道标志等。

据了解,由于担心数据量过大,车企一般不会将摄像头连续获取的图像完整上传至云端。这些图像一般先在本地处理,筛选出建筑物尺寸、相对车辆的位置等特征点后再进行传输。在云端,车企会通过这些特征点重构出高精度地图,用于自动驾驶功能或在云端用于AI训练。

业内人士指出,中国对地图采集严格控制,企业需具备资质才能实施。但实际上,各车企或多或少都在采集数据。

当前,汽车制造行业的格局和生态正在悄然变化,由发动机和车身设计等转向智能化、网联化和新能源等方面。新的发展趋势,对汽车数据的保护提出了新的挑战。更加重视互联网平台参与汽车设计、生产和使用过程中,对数据收集、分析、传输、利用等环节的监管,成为当务之急。

“在此标准之下,企业可以用创新的技术和手段更好开展无人驾驶等研究行为。这样,整个行业会在边界明确、方向清晰以及企业自主管理、自主创新能力得到有效发挥的情况下,有效推动我国智能网联汽车快速发展,从而形成信息安全、技术进步协同发展的良好趋势。”全国乘用车市场信息联席会秘书长崔东树说。

值得注意的是,信息数据安全问题并非汽车行业独有。6月11日,在《中华人民共和国数据安全法》表决通过次日,国家网信办发布通报称,近期针对人民群众反映强烈的App非法获取、超范围收集、过度索权等侵害个人信息的现象,网信部门组织检测发现,Keep、今日头条、腾讯新闻等129款App存在违法违规收集使用个人信息的情况。各相关企业表示将积极整改。

守护个人信息安全,需要各方面共同努力。