文| 劉皖媛 蘧毛毛
編輯|施智梁
智能汽車數據收集帶來的個人隱私和國家安全風險,即將納入管控。
5月12日晚,國家互聯網信息辦公室(簡稱“網信辦”)官方網站發布了關於《汽車數據安全管理若乾規定(征求意見稿)》(簡稱“征求意見稿”),現向社會公開征求意見。
本次征求意見稿總共二十一條,涉及運營者、個人信息和重要數據的定義範疇,運營者收集個人信息或重要數據應當堅持的告知責任和使用權限,運營者向境外提供個人信息或重要數據的安全評估等等方面。
數據是智能汽車的命門。從軟體定義汽車到數據驅動迭代,汽車在使用過程中貢獻的數據已經成為眾多車企最為寶貴的資產。但隨著智能化、網聯化的進一步發展,數據安全問題也被放大,比如汽車攝影頭、雷射雷達等傳感器對車內車外環境的采集。
消費者的個人隱私、車企的商業機密和國家的數據安全亟需政策進行規範。此前,《數據安全管理辦法征求意見稿》等文件對數據的采集、存儲、傳輸、處理、監督、保護以及出境做了明確的規定,但針對智能汽車的數據管理未曾有專門的法律法規可以遵守。
征求意見稿的發布可謂一場“及時雨”,也是對近期一系列智能汽車安全事件的回應。
“在此之前,我們國家在智能汽車數據管理方的規定措施方面基本是空白,企業在做智能汽車研發的時候,也無法可依,無規可依,這一規定公布以後,企業就可以在指導下做智能汽車相關技術的研發,也保證了智能汽車產業的健康。”清華大學車輛與運載學院創院院長楊殿閣表示。
更多傳感器采集信息更多,涉及問題更大
伴隨著智能化浪潮席卷汽車工業,汽車越來越“聰明”,但數據安全的監管缺失和法規滯後也顯露出來。
智能汽車產生的數據主要分為兩部分,一類是用戶數據,主要關於用戶個人隱私,如微信上車會涉及到用戶账號和訪問記錄,車內攝影頭、車內麥克風等也可能侵犯用戶隱私。另外一類是車輛數據,包括地理位置、系統信息、業務相關的數據。
2月,博泰車聯網和上汽通用五菱與騰訊公司之間發生法律糾紛,究竟哪一方侵權未有定論,但騰訊聲明足夠引起警惕,即前兩者在未獲得騰訊及用戶的明確授權情況下,可以收集、存儲和上傳微信聯繫人信息、聊天信息等敏感數據。
账號、身份、位置信息等個人信息之外,智能汽車行車路線、運行參數等數據的歸屬權如何界定也成為一個爭議點。正如特斯拉“車展維權”事件中,企業向媒體公布行車數據,是否構成對該車主個人隱私的侵犯,在法律上並沒有完全的界定;但特斯拉公布的數據中包含車架號,車輛屬於個人財產、車架號是唯一標識,識別到車等同於識別到人,業內人士分析稱,這已經構成對個人信息的泄漏。
個人信息之外,行駛過程中汽車采集的道路環境信息,涉及到地理信息的測繪,更是威脅著國家安全。
隨著車聯網應用快速上車後,汽車更像一台智能手機,但智能汽車比手機采集的信息面更廣,攝影頭、雷射雷達等各類傳感器更多,涉及的安全問題更嚴重。
“在車輛行駛的過程中,雷射雷達和攝影頭也時刻采集路面的信息,這些信息很有可能涉及到敏感地點,內容是非法的。不僅內容非法,一些雷射雷達精度很高,可能造成精度非法,不應該有這麽高的精度。”4月8日,中國電動汽車百人會《焦點觀察室》欄目中,出行一客(ID:carcaijing)從楊殿閣處了解到。
而本次網信辦頒布的政策,在信息采集上,對個人信息的采集和地理信息的采集都做出了明確的限制:
征求意見稿第八條和第九條提到,在個人信息采集上,應默認為不收集,每次都應當征得駕駛人同意授權,駕駛結束(駕駛人離開駕駛席)後本次授權自動失效;需要明顯地告知車內人員正在收集個人信息;需要對個人信息進行匿名化或脫敏處理。
征求意見稿第三條提到,將軍事管理區、國防科工等涉及國家秘密的部門、縣級以上黨政機關等重要敏感區域的人流車流數據,和高於國家公開發布地圖精度的測繪數據都納入“重要數據”的範疇。
跨境傳輸風險難避,必須建設境內數據中心
智能汽車對涉及國家秘密部門的地理信息、環境信息的收集已經引發政府部門的注意。
3月,華爾街日報引述知情人稱,因為擔心攝影頭收集敏感數據,中國政府已開始限制軍方人員和重點國企員工使用特斯拉,部分機構要求員工不得駕駛特斯拉上班,以及禁止駛入敏感企業的住宅小區。
對此,特斯拉首席執行官埃隆·馬斯克(Elon Musk)在中國發展高層論壇上表示,特斯拉絕不會向美國政府提供其在中國或其他國家收集的任何車輛和用戶數據。
特斯拉是否在從事“間諜”活動不得而知,但智能汽車尤其是跨國車企,已經引發了數據存儲和跨境傳輸等新問題。
業內人士指出,我國對數據跨境傳輸一直缺乏有效的監管機制,但涉密數據跨境傳輸對國家安全影響極大,且一旦數據傳出去了,後期要再整治、修補的難度更大。
“在技術手段不完備、管理制度還不完善的情況下,對跨境傳輸應該采取更為嚴格的管理方式,盡快將數據先‘堵住’,待研究清楚之後,這些確實需要傳出去且不涉密的脫敏數據才能在全球範圍聯合研發。但在研究清楚之前、控制手段完善之前,數據應該嚴格地留在國內。”楊殿閣表示。
華東理工大學法學院特聘副研究員王鵬鵬告訴出行一客(ID:carcaijing),汽車使用中產生的數據都要經過“脫敏”後才能被傳輸、保存並應用在車企的智能化研發中,車主的隱私敏感隱私數據也得以被篩除掉。
“但汽車收集的一些數據如行動軌跡,必然是帶著人的屬性,屬於法律上需要‘脫敏’的信息,這對於無人駕駛深度學習的技術貢獻可能大打折扣。”王鵬鵬認為,要平衡數據安全和技術進步,需要建立一個數據平台處理中心,但必須讓政府參與進來進行監督,尤其是特斯拉這樣的涉外企業。
本次發布的征求意見稿也尤其對數據存儲和跨境傳輸做出規定:
征求意見稿第十二條指出,個人信息或者重要數據應當依法在境記憶體儲,確需向境外提供的,應當通過國家網信部門組織的數據出境安全評估;征求意見稿第十三條提出,向境外提供個人信息或者重要數據,應當采取有效措施明確和監督接收者按照雙方約定的目的、範圍、方式使用數據,保證數據安全。
“我們的工作就是要跟行業、政府監管機構一起,把數據安全的規則建立好,讓老百姓更放心。”上海車展期間,特斯拉中國區副總裁陶琳在接受出行一客(ID:carcaijing)專訪時表示,特斯拉數據中心正在建設中,預計今年二季度建成。
可以預見的是,特斯拉等跨國車企都需要像蘋果在貴州建立數據中心一樣,在國內設立專門的數據中心進行處理和存儲。業界預測,此次征求意見稿將對數據後台在境外的汽車企業形成較大的約束作用。
隱私與功能難兼得
汽車的數據安全問題,能否從車企和智能解決方案供應商的源頭層面進行規避?出行一客(ID:carcaijing)從理想汽車信息安全總監徐超處了解到,這在技術層面是可以實現的。
“數據安全和整車的研發過程是沒有衝突的。車企可以把安全融入到整車研發流程中,從需求、設計、研發到測試。”徐超表示。以攝影頭為例,哪些信息可以采集、哪些較為敏感,需要經過用戶授權以及脫敏處理,車企都可以在研發中同步完成安全評估,滿足國家法規。
互聯網時代的“安全守護者”加入汽車行業,也將為產業鏈夥伴提供智能汽車網絡安全服務。近日,以安全為立身之本的360宣布與哪吒合作造車,360集團創始人周鴻禕認為,360為消費者提供更平價的數字化產品的同時,可以深入研究汽車網絡安全問題。
不過,車企在信息處理中,仍面臨諸多困惑。出行一客(ID:carcaijing)從騰訊車聯網安全技術專家張康處了解到,車企對每個數據的流向很難有一個宏觀的印象和掌控,“車企不知道這輛車采集的數據在傳輸、分享中會面臨哪些安全風險,以及需要有怎樣的手段去處理。”
對於技術使用和用戶隱私處理,車企還面臨著魚和熊掌難以兼得的局面。理想汽車當前沒有安裝車內攝影頭,未來車型可能會安裝,但徐超坦言,如果為了保護隱私關閉車內攝影頭,監控用戶疲勞駕駛的功能就會失效,用戶體驗也有損失。
為了保護車主隱私,另一種解決方法是隻提取部分信息。“數據是具有兩面性的。我們承諾決不採用Face ID的技術,只需抽取用戶眉毛、眼皮等面部核心信息。哪怕黑客來攻擊,也不能在系統中找到一張完整的‘face’。” 智己汽車聯席CEO劉濤對媒體表示。
汽車數據洩露不僅威脅著消費者,對於車企來說,它們也擔心業務信息、商業機密的洩露。
出行一客(ID:carcaijing)了解到,黑客或競爭對手通過爬蟲獲取數據、利用統計學抽樣分析,構造一些模型,再通過抽樣數據的獲取和分析,就能非常精確地分析出實際業務的商業機密。
“大家關注的點都是在傳輸、存儲的安全,忽略了業務應用層的數據安全,實際上,黑灰產、競爭對手、商業趨勢分析,情報分析、政治傾向分析的形形色色的團體,都在互聯網上進行著數據的挖掘。”徐超表示。
香港九龍灣馬來街興發大廈15樓D室