为智能汽车再上一把锁
5月25日,特斯拉官方微博发布消息称,已经在中国建立数据中心,以实现数据存储本地化,未来所有在中国大陆市场销售车辆所产生的数据,都将存储在境内。与此同时,特斯拉还表示将向车主开放车辆信息查询平台,目前该工作正在进行中。
图片来源:特斯拉官方微博
继特斯拉之后,5月27日,有媒体报道称更多的跨国车企开始重点关注在中国的数据安全问题。福特汽车表示已于2020年上半年在中国建立了一个数据中心,并在本地存储车辆数据;宝马表示会在中国运营中国车队的本地数据中心;戴姆勒表示会在中国运营一个专用的汽车后端,用于存储汽车数据;日产汽车和Stellantis也表态在数据安全方面会遵守中国的相关规定。
一时之间,国内汽车数据安全的受重视程度,达到了从未有过的高度。
汽车数据安全重要性陡增
最近几年,智能互联是汽车行业的热词,有相关数据显示,2020年我国L2级智能网联汽车的市场渗透率已经达到15%,而随着更高级别自动驾驶技术逐步进入到实验甚至是量产应用阶段,智能网联技术的使用率未来必然还将呈现出直线攀升的态势。
车用固态激光雷达,即将量产的新技术
毫无疑问,中国的汽车智能化、网联化进程已经走在了世界的前列,越来越强大的辅助驾驶、智能导航、远程控制等功能已经陆续实现了大规模的车载应用,指纹解锁,刷脸开门,声控识别,身体状况检测等技术在汽车领域的普及度也越来越广,让终端消费者的用车环境和驾乘体验都有了质的提升。但必须指出的是,我们在享受以上便利的同时,也不得不面对着个人信息更容易泄露的风险。当前的汽车产品上,摄像头、雷达等各类智能传感器的应用量暴增,这就意味着越来越多的汽车数据会被大规模地收集、使用,汽车安全领域也随之多了一个新的课题——汽车数据安全。
蔚来新车ET7,全车搭载了30余个传感器硬件,图片来源:蔚来汽车
特别是最近一两年,接连出现的智能汽车用户信息泄露事件,把汽车数据安全问题推上了舆论的风口浪尖。据Upstream Security此前发布的2020年《汽车信息安全报告》显示,2016年至2020年,四年时间里汽车信息安全事件的数量增长了605%,其中仅2019年公开报道的针对智能网联汽车信息安全攻击的事件就达到155起,较之于2018年的80起增加了近一倍。
而且因为汽车早就是一个全球化的产业,跨国生产销售是常态,换言之就是跨国的数据收集传递是常态,这种情况下,智能网联汽车数据安全关系到的不仅是用户安全,甚至不止是汽车产业的安全,而且还关系到了国家安全。任何事情涉及到了国家安全层面,都不可能再是小事情。
5月12日,国家互联网信息办公室(下称网信办)表示,为加强个人信息和重要数据保护,规范汽车数据处理活动,根据《中华人民共和国网络安全法》等法律法规,网信办会同有关部门起草了《汽车数据安全管理若干规定(征求意见稿)》(下称《征求意见稿》),这也是4月29日工信部发布征求《信息安全技术网联汽车采集数据的安全要求》标准草案意见的通知之后,短时间内国内又一个关于汽车数据安全的重要管理办法。本文开篇提到的多家外资车企近期纷纷加强在华数据安全保护的举措,也正是对以上行业新规的回应。
如何保护汽车数据安全?
软件定义汽车时代,汽车会越来越智能是大势所趋,数字化技术的大规模应用是不可逆的潮流,在此背景下,通过汽车上的相关智能设备收集、传输、解读用户信息、路面信息等,也同样是必不可少的组成部分,那么问题也就出现了,要如何才能保护汽车数据安全呢?全国乘用车市场信息联席会秘书长崔东树在接受媒体采访时表示,智能汽车领域发展迅速,但只有在明确了什么能做什么不能做的前提下,行业才能健康发展。换言之就是做什么事情都要有个度。
用户数据和行车数据被车辆的网联模块收集并通过移动网络传输到车企的数据库进行存储,目前看来这是一个完整的汽车数据收集过程。在这个过程中会存在以下几个主要问题,什么样的数据可以被收集?被收集的数据传输时的安全性要如何保障?被收集的数据可以作何用途?
什么样的信息可以被收集?很简单,国家针对个人信息安全有专门的立法,一个基本的原则是——使用公民个人信息应遵循“最小必要”原则。《征求意见稿》也指出针对个人信息,用户有知情权和同意权,也就是说个人信息愿不愿意被收集,应该是用户而非厂商决定。崔东树对此表示,《征求意见稿》中个人权益保护和数据安全保障是给运营者划定红线的依据,确保安全的前提下,给予行业发展空间。
被收集的数据安全性如何保障?首先是传输安全,数据传输过程中的监管、整治等都有不小的难度,特别是跨境传输,解决问题的难度更大且影响长远。《征求意见稿》中指出,重要的汽车数据应依法在境内存储,确需向境外提供的数据,应当通过相关部门组织的出境安全评估后才可以传输。其次是要如何保障这些数据是完整且真实的?要解决这个问题,一方面需要企业具备相应的数据安全管理能力;另一方面也需要更加严谨的行业制度,加强相关部门的监管和审查。
被收集的数据作何用途?《征求意见稿》中指出,汽车收集的相关数据只能用于方便用户使用、增加车辆电子和信息系统安全性等目的。同时还需要提供生物特征的替代方式,如删除可识别自然人的画面或对画面中的人脸进行局部轮廓化处理等。
汽车安全无小事,汽车数据安全同样如此。360集团创始人周鸿祎曾给出过建议,可将智能汽车的联网安全防护体系纳入车辆生产、销售和服务体系中,并逐步形成强制性要求,像汽车安全带一样,列为汽车安全的标配。
未来,汽车数据安全保护会不会成为行业强制标准目前还不得而知,但相关管理制度的完善已经逐步提上日程。在多方协同的前提下加速标准法规的制定、提升监管检测力度、强化汽车网络安全会是未来保障汽车安全的一个重要方向。
也只有打开了被车企和运营者捂着的数据“黑匣子”,我们今后再面对哪些当前已经从汽车安全话题转变为社会性话题的智能汽车“失速事件”时,才能更容易分辨出真相。