汽車數據安全管理規定徵求意見 收集信息應取得同意
個人數據需要安全行車道
6月11日,是國家網信辦發佈《汽車數據安全管理若干規定(徵求意見稿)》公開徵求意見的截止日。文件提出,汽車數據運營者處理個人信息和重要數據應堅持以下原則,包括車內處理、匿名化處理、最小保存期限、精度範圍適用和默認不收集等。
汽車數據運營涉及多方,包括汽車企業、軟件提供商、經銷商、維修機構、網約車企業和保險公司等。如果說傳統汽車的核心部件是發動機和變速箱,那麼智能汽車在此基礎上更爲依賴的還包括信息和芯片。伴隨着技術進步,一個個新的問題隨之而來:行車數據的控制權到底屬於誰?如何保護我們的隱私信息不被泄露?
《徵求意見稿》將整個汽車市場全鏈條相關機構囊括其中,對汽車數據保護形成良好閉環
5月10日,公安部新聞發佈會透露,目前全國機動車保有量達3.8億輛,駕駛人達4.65億人,今年一季度新註冊登記機動車996萬輛,創同期歷史新高。國家發改委數據顯示,預計到2025年,我國智能汽車滲透率將達到82%,數量達2800萬輛;預計到2030年,滲透率將達到95%,數量達3800萬輛。
“該攝像頭目前尚未激活,但可能會用於改進軟件更新中加入的未來安全功能。”針對一款智能汽車上顯示屏的提示,有車主擔憂,“我不知道它什麼時候會開啓,也不知道它開啓後會把我的個人影像用在什麼地方。”
汽車行業正在向智能化轉型,爲了支持自動駕駛輔助系統,當前車企發佈的智能車型普遍搭載攝像頭和雷達等感知設備,智能座艙也大多配備駕駛員狀態監測和車內語音系統。當下衆多車企旗下車型也都在車內預置攝像頭,以識別駕駛員的接管能力。這些情形,引起很多消費者關於個人隱私和數據方面的憂慮。
“《徵求意見稿》是從三個層面管理汽車數據,一是國家安全層面,二是公共利益層面,三是個人信息保護層面。在這三個層面形成了一個完善的汽車數據保護的體系。”中央財經大學中國互聯網經濟研究院副院長歐陽日輝認爲,作爲汽車數據安全領域出臺的第一份管理規定,這份《徵求意見稿》對汽車數據從收集、分析、存儲、傳輸、查詢、應用、刪除等全流程作了較爲詳細的規定,對行業本身具有標誌性意義。
“汽車數據涉及多部門,包括汽車的設計、製造、服務企業,還包括維修機構、保險公司、經銷商等,規定裡將整個汽車市場全鏈條的相關機構囊括其中,會對汽車數據的保護形成一個很好的閉環。”歐陽日輝說。
車主作爲數據主體,對於其自有車輛的車身數據和行車數據,到底擁有怎樣的權利?據《徵求意見稿》,敏感個人信息包括車輛位置、駕駛人或乘車人音視頻、用於判斷違法違規駕駛的數據等。敏感個人信息需直接服務於駕駛人和乘車人,允許車主查看;駕駛人提出刪除要求,數據運營者應在兩週內刪除。除非確有必要,個人信息和重要數據應默認爲不收集狀態,駕駛人授權只對當次駕駛有效。
爲什麼刪除數據要給出兩週的限期?“找到相應用戶的數據,再相應刪除,刪除後再去確認,是一個非常複雜的過程。”清華大學車輛與運載學院教授楊殿閣認爲,考慮到智能汽車的發展,未來可能會有幾十萬輛、上千萬輛的數據存在雲端的大數據庫裡,這種分佈式的存儲管理非常複雜。到底需要多長時間刪除,有待進一步研究,究竟是兩週還是一週不是最關鍵的,關鍵在於通過法律法規保護個人數據、隱私不受侵犯。
《徵求意見稿》提出,汽車數據運營者處理個人信息和重要數據堅持車內處理,確有必要時再向車外提供,應儘可能進行匿名化和脫敏處理。同時,運營者要依據提供功能服務類型,確定數據保存期限;依據提供功能服務所需數據精度要求,確定攝像頭和雷達覆蓋範圍及分辨率。
行車數據的控制權依法應歸個人,但實際歸屬相對模糊,仍被車企真正掌握
5月25日,特斯拉宣佈:公司已經在中國建立數據中心,並將陸續增加更多數據中心,所有中國市場銷售車輛所產生的數據都將存儲在境內,車輛信息查詢平臺也將向車主開放。
過去一段時間,特斯拉的行車數據問題引發不小爭議。4月上海車展期間,有維權車主指責其剎車失靈,並表示特斯拉所聲稱的車輛行駛數據不實,而後特斯拉在4月22日將事故前一分鐘數據公開。
此次爭議的核心是EDR數據(汽車事件數據)。該系統記錄了車輛發生碰撞事故前後一段時間內運行及安全狀態信息,包括車速、方向盤轉向角度、加速及制動踏板狀態、安全帶使用情況、車輛制動系統等,是事故原因分析鑑定的基礎。
2020年12月,中國政府發佈了強制性國家標準《汽車事件數據記錄系統》,要求所有銷售的車輛均需搭載EDR記錄設備,但該標準在2022年1月1日纔會正式施行。
而這背後關係到車輛數據的權屬問題。國內外現有法律均把行車數據的控制權歸於個人,但實際上仍是車企真正掌握這部分數據,行車數據的控制權歸屬相對模糊,數據調取方面的國內法規一度空白。此前,國內並無車企向用戶開放數據查詢權限。出現爭議時,若非企業自願,車主索取行車數據的行爲難有法律支撐。
不過,相關法規層面的完善已在加速。4月28日,全國信息安全標準化技術委員會發布《信息安全技術 網聯汽車 採集數據的安全要求》標準草案,向社會公開徵求意見。該草案旨在規範具有聯網功能的量產乘用車的數據處理相關活動,對數據傳輸、存儲和跨境等環節提出了安全要求。
與《徵求意見稿》類似,草案明確提出,未經被收集者的單獨同意,汽車不得通過網絡、物理接口向車外傳輸包含個人信息的數據;禁止向車外傳輸汽車座艙內採集的音頻、視頻、圖像等數據及經其處理得到的數據。此外,草案還規定,網聯汽車通過攝像頭、雷達等傳感器從車外環境採集的道路、建築、地形、交通參與者等數據,以及車輛位置、軌跡相關數據,不得出境。
信息安全是繼主動安全、被動安全、功能安全之後汽車領域的第四大安全問題
智能汽車並不是簡單地把發動機替換爲電池,而是要集自動駕駛、智能座艙、車聯網等先進技術於一體,徹底改變人類的出行方式。一段時間以來,互聯網企業紛紛加入,讓國內智能汽車的賽道競爭愈發激烈。
北京無人科技研究院院長李小光表示,一輛無人駕駛汽車每秒可產生海量數據,這些數據對於汽車製造商、移動運營商、保險公司、飯店、酒店和其他服務提供者來說,具有巨大的價值。
近年來,智能網聯車安全問題引發關注,今年全國兩會有十餘份提案議案涉及車聯網的安全風險。
“今年以來,經過監測發現針對整車企業、車聯網信息服務提供商等相關企業和平臺的惡意攻擊達到280餘萬次。平臺漏洞、通信劫持、隱私泄露等風險十分突出。”2020年9月5日,工信部網絡安全管理局局長趙志國表示。2019年專項調研檢測發現,85%的關鍵部件存在着安全漏洞,近六成企業缺乏自動化網絡安全監測響應能力。
目前國內車聯網網絡安全發展仍處於起步狀態,而網絡攻擊正在向車聯網領域發展。數據顯示,公開報道的針對智能網聯車網絡安全攻擊事件,2018年僅爲80起,2019年爲155起。
智能汽車是一個移動的網絡節點。作爲移動數據收集和發射器,它可以獲取車主身份、行動軌跡、駕駛習慣、與手機藍牙綁定的通訊錄、談話等內容,車主行駛所到之處,人、地、事、物均一覽無遺。汽車聯網後,上述安全風險更爲突出。
“信息安全是繼主動安全、被動安全、功能安全之後,汽車領域的第四大安全問題。智能網聯車的信息安全不僅可能造成企業經濟損失和個人隱私泄露,還可能對人身安全造成嚴重後果,甚至引發威脅國家的公共安全問題。”中電工業互聯網有限公司黨委書記、董事長朱立鋒認爲。
對於智能汽車所存在的網絡安全隱患,爲了避免引發社會公共安全問題,專家建議,應加強車輛安全防護技術研發,設計出更好的防火牆,避免黑客攻擊,同時,需要在立法層面對相關行爲嚴加懲處。
嚴加管控跨境數據傳輸,保護數據安全
保護數據出境安全,已成爲各國的立法共識。此次《徵求意見稿》要求,個人信息或者重要數據應當依法在境內存儲,確需向境外提供的,應當通過國家網信部門組織的數據出境安全評估。
如何理解“確需”所留下的豁免路徑?大數據是智能汽車功能迭代的重要基礎,研發過程中確實需要這些數據支撐。曾有分析稱,我國約60%的智能汽車數據存儲在海外,安全問題迫在眉睫。
對此,楊殿閣解釋稱,我國大多數智能汽車研發中心都設在國內,不存在跨境數據傳輸,但少數外資企業研發中心設在國外,存在這一問題。因爲少數外資企業具備數據採集能力的車在國內多達幾十萬輛,且採集時間長,所以單個企業存在海外的數據量比例就很大。“不管傳輸了多少,只要存在跨境數據傳輸,存在地理信息和空間測繪問題,這樣的數據就需要嚴加管理。”
嚴加管理,提示了背後蘊藏什麼風險?楊殿閣進一步解釋道,智能汽車在行駛過程中會採集道路環境數據,如果拍攝了涉及軍事禁區或國防軍工單位等信息,則會影響到國家安全,因此,對這類信息需要嚴加管控。
智能汽車配置了一系列攝像頭、傳感器,用於監測道路環境以實現智能駕駛,這必然涉及數據採集及儲存。
一家車企官網顯示其產品裝有8個攝像頭,它們環繞車身,能覆蓋360度的視野範圍,最遠監測距離250米,此外還有12個超聲波雷達。根據該公司隱私聲明,公司會收集車輛產生的諸多信息,包括安全相關數據和攝像頭圖像,以及一些用於改善自動駕駛安全功能的圖像或短視頻,如車道線、街道標誌等。
據瞭解,由於擔心數據量過大,車企一般不會將攝像頭連續獲取的圖像完整上傳至雲端。這些圖像一般先在本地處理,篩選出建築物尺寸、相對車輛的位置等特徵點後再進行傳輸。在雲端,車企會通過這些特徵點重構出高精度地圖,用於自動駕駛功能或在雲端用於AI訓練。
業內人士指出,中國對地圖採集嚴格控制,企業需具備資質才能實施。但實際上,各車企或多或少都在採集數據。
當前,汽車製造行業的格局和生態正在悄然變化,由發動機和車身設計等轉向智能化、網聯化和新能源等方面。新的發展趨勢,對汽車數據的保護提出了新的挑戰。更加重視互聯網平臺參與汽車設計、生產和使用過程中,對數據收集、分析、傳輸、利用等環節的監管,成爲當務之急。
“在此標準之下,企業可以用創新的技術和手段更好開展無人駕駛等研究行爲。這樣,整個行業會在邊界明確、方向清晰以及企業自主管理、自主創新能力得到有效發揮的情況下,有效推動我國智能網聯汽車快速發展,從而形成信息安全、技術進步協同發展的良好趨勢。”全國乘用車市場信息聯席會秘書長崔東樹說。
值得注意的是,信息數據安全問題並非汽車行業獨有。6月11日,在《中華人民共和國數據安全法》表決通過次日,國家網信辦發佈通報稱,近期針對人民羣衆反映強烈的App非法獲取、超範圍收集、過度索權等侵害個人信息的現象,網信部門組織檢測發現,Keep、今日頭條、騰訊新聞等129款App存在違法違規收集使用個人信息的情況。各相關企業表示將積極整改。
守護個人信息安全,需要各方面共同努力。(本報記者 管筱璞)