智能汽車如何跨越數據安全鴻溝

編前:“面部識別、指紋識別、語音識別、身份認證,以及常用地圖路線記憶、操控習慣記憶等功能,使智能汽車智能化程度越來越高,也越來越令人擔心車主信息和行駛數據泄露的問題。”正如特斯拉車主樑先生所言,他不久前曾遇到過系統宕機,手機App不能開啓車鎖,卻顯示可控制另一輛遠在歐洲的同款車型。

3月23日,美國《消費者報告》雜誌稱,特斯拉公司利用車內攝像頭記錄和傳輸乘客視頻影像,從而開發其自動駕駛技術的做法,引發了人們對隱私泄露的擔憂。其實,不僅是特斯拉,幾乎所有智能汽車收集的信息、交互數據、有記憶功能的設置都涉及信息及數據安全問題。智能化程度越來越高的配置在給車主帶來方便的同時,也給數據安全帶來了新的挑戰。詳見10~11版。

窺探個人隱私手段多

近日,因爲特斯拉首席執行官馬斯克社交媒體發文,使得特斯拉車內攝像頭窺探用戶隱私的情況得以曝光。

馬斯克稱,將收回一些車主FSD Beta版本的試用權限,因爲發現不少車主使用該功能時不注意路況。由此,引發衆多車主紛紛質疑特斯拉是如何得知其在行駛過程中“不注意路況”的。雖然特斯拉車內的確裝有攝像頭,但根據以往的說明,默認使用範圍是在車內,供疲勞駕車提醒等功能即時使用,並沒有說過其可以保留數據並上傳至企業雲端的權限。特斯拉此舉無疑暴露了其違反用戶個人隱私保護原則,擅自監看用戶隱私的事實。而且,對於這些質疑,馬斯克也在社交媒體上回應“是的”。

“其實,包括特斯拉在內,幾乎所有智能汽車由於需要實現高速聯網、道路感知、車路協同車機互聯、人機互動、電子導航等功能,在車身內外使用越來越多的攝像頭、毫米波雷達、激光雷達、衛星定位等感知設備,而這些智能感知設備猶如一柄‘雙刃劍’,一方面車上駕乘人員安全提供了更好的保障,但同時也會產生信息數據被竊取或泄露的風險。”西安工業大學微電子技術實驗室工程師魏冬在接受《中國汽車報》記者採訪時談到,隨着智能汽車滲透率日益提高和車主個人隱私保護意識的增強,數據安全問題已經不容忽視,能否合法保護和利用數據資源,不僅是車主個人會遇到的問題,也是所有智能汽車企業共同面對的課題。

目前,汽車智能化和網聯化進程的推進必須以大量的數據積累作爲基礎。“不論是汽車硬件設施提高還是軟件升級,都要收集儘可能多的數據,來對技術進行改善和優化。”中南大學交通運輸研究中心研究員時蔚然向《中國汽車報》記者介紹了智能汽車通常情況下的硬件、軟件配置情況。

他介紹,在硬件方面,以特斯拉爲例,爲了實現其自動駕駛功能,特斯拉裝備前置、側方和車尾攝像頭,視野範圍達360度,前置雷達可探測前方較遠距離的障礙物;其超聲波傳感器則負責探測附近車輛以降低碰撞風險,輔助泊車;車上所使用的很多高精度傳感器,使得特斯拉等智能汽車對環境的探測能力和數據分析能力,都是傳統燃油車所無法企及的。

在軟件方面,爲了可以進行精確的自動駕駛分析決策,汽車將會實時感知車輛的高精度地圖定位、視覺路況等情況。據已公開的信息,特斯拉可以採集到覆蓋車主個人信息、車輛環境信息、車輛行駛信息、車主手機信息等在內的200多項信息,國內智能汽車廠商也能採集170多項。而且,目前備受智能汽車推崇的OTA遠程升級技術,也涉及到汽車與車企數據庫的大量數據交換,特別是在可視化駕駛、輔助自動駕駛變道、無線通信等方面,只有基於現有的行車記錄數據,才能進行技術優化,實現這些能力的提升。

事實上,智能汽車用戶的個性化體驗、汽車與其他智能終端設備之間的通信、汽車與整個交通網絡之間的資源共享等交互信息,都有賴於大數據的支持。“可以說,未來的汽車製造和出行服務,如同互聯網一樣,是建立在海量用戶使用習慣的數據收集分析之上。因此,車主們所享受的便利,其實是以出讓部分個人信息的使用權爲代價而獲得的。”時蔚然說,對於車企來說,窺探車主行駛過程中的個人隱私非常容易,關鍵在於車企是否能自覺守法,合法合規使用數據,以及保證這些個人隱私數據不被泄露。

智能汽車上採集了車主大量的個人隱私信息,儲存量遠高於手機等日常使用的智能終端設備。“車輛和車企都能收集到這些個人隱私信息,如何保護好這些個人隱私信息,不被竊取用於非法的目的,車企也有一定的責任。”湖南法源律師事務所律師任羽倫告訴《中國汽車報》記者,智能汽車的信息數據安全主要面臨三大非法手段竊取的威脅:一是黑客攻擊,進入汽車信息控制系統,從而控制汽車的一些功能並可竊取數據;二是通過特製芯片及非法的“黑卡”,連接到車輛CAN總線系統,再通過無線通信網等控制汽車所有控制域的部件,同樣可以竊取車上數據;三是通過密碼破解,竊取車主使用的解鎖APP等的密碼,進而定位車輛並竊取相關個人隱私信息和車輛的控制信息。

數據安全漏洞

“上次在一家4S店做過維修保養後,其他的4S店、車險、甚至基金的推銷電話每天接連不斷。根據時間推測,肯定是那次做維修保養時,車上智能設備儲存的一些個人信息被盜了。”車主劉先生所言,正是一些智能汽車車主遭遇的煩惱。

其實,在另外的一些車主個人信息失竊案例中,有的是因爲車上智能設備存在安全漏洞,也有的是因爲黑客攻擊造成的。“如果黑客通過車聯網安全漏洞實施攻擊,輕則可以竊取個人信息,重則可以部分控制行駛狀態下的汽車甚至盜走車輛。”華泰證券分析師凌嶽斌在接受《中國汽車報》記者採訪時介紹,隨着5G車聯網、自動駕駛、車路協同的廣泛應用,智能汽車的數據交換更爲頻繁密集。因此,智能汽車上的微小漏洞都可能給網絡攻擊、木馬病毒、數據竊取帶來機會。在智能汽車及智能終端的可靠性上,即使是特斯拉也難以做得很周全,而網絡數據安全漏洞,正是被黑客入侵的“窗口”。3月初,一羣美國黑客稱他們成功入侵硅谷,監看到Verkada科技公司收集的海量數據,包括15萬個實時錄像,其中一個視頻來自特斯拉上海工廠,這些黑客可以輕鬆看到特斯拉工廠及倉庫的222個監控錄像。對此,特斯拉回應稱,已斷開網絡,並從內部查找網絡漏洞。其實,這樣的情況也很可能在車上出現,造成信息數據泄露。

據特斯拉的公開報告,曾經有中外工程師合作挖掘出特斯拉智能系統的多項安全漏洞,並演示如何通過干擾傳感器和通信模塊,“黑”進特斯拉的智能系統,竊取信息如探囊取物。

2019年,歐洲ADAC汽車協會曾對33個品牌的237款汽車進行了一項安全測試,結果顯示99%的車輛能夠被黑客解鎖,最短耗時僅需18秒。2020年,我國國家市場監管總局缺陷產品管理中心聯合相關機構,針對多款智能網聯汽車進行信息安全測試,結果發現高達63%的車輛存在一定程度的信息安全隱患。

事實上,目前智能汽車上常見的功能涵蓋了車機互聯、車聯網、輔助自動駕駛、導航、自動泊車、電子車鑰、遙控車輛等,除了車路協同自動聯網的部分功能之外,車主要使用車機互聯的功能,就需要登記個人身份證件、手機號碼等個人隱私信息。“因此,智能汽車一旦出現網絡安全漏洞或被黑客攻擊,首先面臨的就是關鍵信息被竊取,從技術角度最大限度防範安全漏洞至關重要。”凌嶽斌表示,智能汽車正逐步從封閉網絡向開放網絡升級,過去只在電腦、手機等智能終端出現的遠程控制、數據竊取、信息泄露等數據安全問題,已經蔓延到智能汽車上,嚴重威脅到個人信息隱私的安全。

保護個人隱私信息數據安全,並不能只憑自覺,而是要方方面面遵守法律制度。“目前,我國已經有了部分相關的法律法規及國家標準。”江蘇中天律師事務所主任律師吳江向《中國汽車報》記者介紹,一是我國《網絡安全法》中規定,公民所有個人信息均受到相關法律的保護;二是我國《民法典》第一千零三十五條規定,處理個人信息應當遵循合法、正當、必要原則;三是我國《消費者權益保護法》第二十九條規定,經營者收集、使用消費者個人信息,應當遵循合法、正當、必要的原則,明示收集、使用信息的目的、方式和範圍,並經消費者同意。

竊取車主個人信息,被追究刑事責任的,也有相關案例。2017年,在江西某4S店工作的一名員工,因爲想離職自己開汽車維修店,爲了保證客源,他在離職前將這家4S店的客戶信息拷入了自己的U盤。離職之後,他利用從4S店拷貝的客戶信息,逐一向上述客戶推送其維修店的廣告短信,邀請客戶。當地法院已對其作出一審判決,認定其構成侵犯公民個人信息罪,判處拘役3個月緩刑3個月,並處罰金人民幣2000元。

國際上尤其是發達國家對於數據保護,更是下了很大功夫。2018年5月,歐盟出臺了號稱史上最嚴厲的《通用數據保護法令》,旨在更爲全面覆蓋網絡相關的各行各業,加強個人隱私保護。“相對於發達國家而言,國內智能汽車信息數據安全法律法規還不是十分健全,面對智能汽車技術快速發展的現實,的確還需要加強個人信息及數據安全相關法律法規建設。”任羽倫說。

亟待消除信息安全焦慮

智能汽車日漸增多,信息數據浩如煙海,車上的個人信息、使用習慣、導航軌跡、定位記錄等數據,必須通過健全法律法規制度體系,來保護個人信息及數據安全,這正成爲業界共同關注的焦點。

2020年,11部委聯合發佈《智能汽車創新發展戰略》,國務院辦公廳印發《新能源汽車產業發展規劃(2021~2035年)》,明確提出加快智能化系統推廣應用和新能源汽車產業高質量發展,增強產業核心競爭力。近日,國務院又印發《國家綜合立體交通網規劃綱要》,要求推進交通基礎設施數字化、網聯化。智能網聯汽車發展正迎來政策“紅利期”,將會帶動能源、交通、出行等領域巨大變革。

但是,面對智能網聯汽車這一新生事物,與之配套的法律法規亟待完善,其中網絡安全問題尤爲突出,存在對數據泄露的防範不足,對數據違法的處罰力度不夠等問題。

爲此,今年的全國兩會期間,智能汽車數據安全問題受到代表委員的廣泛關注。上汽集團董事長陳虹認爲,應從加強數據隱私保護、制定過程審查制度以及嚴懲違法違規行爲等方面保護汽車數據安全。他建議,建立准入制度,智能網聯汽車數據(包括高精地圖數據)的採集、存儲和商業用途需經國家相關部門備案管理。只有滿足數據安全和隱私保護要求的智能網聯汽車產品才能進入汽車公告目錄;制定過程審查制度,要求智能網聯汽車的製造和銷售企業建立完備的數據安全管理和軟件升級流程,借鑑互聯網信息管理制度,智能網聯汽車提供的數字服務內容也需要接受政府部門的監管和審查,並對所涉及的敏感數據及個人隱私數據出境問題作出明確的規定。

“建立准入制度和備案管理是可行的,目前國外很多發達國家都是這樣做的。”任羽倫表示,健全相關法規,還要實現三個基本目標,一是數據採集使用要合法,車企不能以欺詐、誘騙、誤導的方式收集個人信息;不應隱瞞使用消費者個人信息的目的、方式和範圍;不能非法獲取個人信息。二是要正當,智能汽車上的不同功能或產品需收集多類消費者個人信息時,不應強迫消費者一次性全部同意授權。應將消費者作出的肯定性動作,如書面授權、主動勾選等作爲特定業務功能的啓動條件。三是堅持必要性原則,車企收集的消費者個人信息類型與實現產品或業務的功能應有直接關聯,應嚴格按照消費者授權同意的目的、方式和範圍處理消費者個人信息。

數據顯示,一輛自動駕駛汽車每天產生的數據量最高可達10TB。在汽車數字化趨勢越來越明顯的今天,對數據安全和個人信息安全的需求越來越迫切。報告顯示,從2016年到2020年,智能汽車信息安全事件的數量增長了605%,其中針對智能網聯汽車信息安全攻擊的事件就達到155起。

“對智能汽車數據加強監管有一定的緊迫性,但是因爲缺乏相關經驗,實施備案制管理也要逐步探索,分步實施,避免‘一刀切’的方式。”吳江表示,如果從健全法律角度看,一是新制定的法律法規一定要兼顧國家、社會、企業、個人的數據保護,如果只保護個人有失偏頗;二是實行備案制,既要對企業進行合規審覈,檢查企業採集、管理、使用數據的規則,也要釐清對企業發生信息安全事故的責任。

在推動法規建設的同時,數據安全也涉及標準化問題。“除了法律法規,建設智能汽車數據安全標準體系,在全球範圍內都得到高度重視。”全國汽車標準化技術委員會電動車輛分標委副主任委員楊世春在接受《中國汽車報》記者採訪時介紹,歐美等發達國家和地區都在持續推進相關的標準及法規建設。

近日,歐盟發佈的增強未來工業戰略報告中,將完善智能汽車的網絡數據安全標準作爲提升產業競爭力的重要路徑之一。而美國公路和汽車安全協會也於近日提交了新的建議,推動國會通過智能網聯汽車立法,以解決現有的信息及數據安全等問題。

智能汽車數據安全標準建設,在國際範圍內備受關注。去年7月,在聯合國世界車輛法規協調論壇第181次全體會議上,表決通過了智能汽車的車聯網信息安全等三項智能網聯汽車領域的重要技術法規,並於2021年1月1日起實施。

目前,關於智能汽車數據安全問題的熱議正持續發酵。“智能汽車與智能手機的核心都是網絡與信息,手機能採集個人信息,智能汽車同樣能採集個人信息,關鍵是不能過度採集,不能逾越法律與道德的底線,纔能有利於推動智能汽車產業健康發展。”時蔚然表示,“保護個人信息和數據安全,既要健全法律法規、完善標準體系,也要提高全社會的自覺合法合規意識,跨越數據安全鴻溝任重而道遠。”本報記者 趙建國 《 中國汽車報 》(2021-03-29  010-011 版)