严守汽车数据安全 让个人隐私不再“裸奔”

发布时间:2024-12-25 00:19:14 来源: sp20241225

  走到一辆新车前,摄像头、毫米波雷达、激光雷达等各式传感器已经愈发常见,为了做到“耳听八方、眼观六路”,智能汽车必须通过它们收集规模更大、覆盖面更广的车辆数据。有统计数据对比显示,一辆智能网联汽车每天会产生约10TB的数据,是传统燃油汽车的5-10倍。

  2023年,因造成超过215万日本用户的车辆数据泄露,丰田汽车一度成为消费者关注的焦点。尽管丰田汽车立刻回应称,这次泄露事件由人为操作失误导致,但有报道称,这几乎涵盖自2012年以来,注册丰田主要云服务平台的全部客户群。

  事实上,随着汽车进入数字化、智能化时代,数据泄密问题已屡见不鲜。

  据不完全统计,自2020年以来,国内针对整车制造、车联网信息服务提供等关联企业的恶意数据攻击达到280余万次。据不完全统计,2023年至今,国内共发生了超过20起与车企相关的数据泄露事件。

  从驾乘人员的面部表情、动作、目光、声音数据,到车辆地理位置、车内及车外环境数据,汽车数据隐私泄露所引发的消费者维权事件愈发常见,汽车数据安全正面临着许多新挑战。如何高效、完善地守住“安全红线”,用好汽车数据并保障个人隐私安全,成为与每一位消费者息息相关的新课题。

  在海量汽车数据中划清个人隐私红线

  根据国家网信办此前发布的《汽车数据安全管理若干规定(征求意见稿)》,驾驶人能够随时终止汽车制造商等收集车辆位置、驾驶人或乘车人音视频等敏感个人信息的行为。

  “在技术的帮助下,汽车的数据处理能力日益增强、汽车数据规模日趋庞大,同时暴露出的汽车数据安全问题和风险隐患也越来越突出。”有关负责人表示,在实际场景中,如汽车数据处理者超越实际需要,过度收集重要数据;未经用户同意,违规处理个人信息等,都属于汽车数据安全问题的范畴。

  美国市场调研机构J.D. Power发布的“2022中国消费者智能网联汽车数据安全和个人隐私意识与顾虑调查”报告显示,47.8%的受访车主表示,从未收到过汽车品牌或经销商对个人信息收集的提示。

  这表明很多车企的数据收集行为,是在用户“不知情”的情况下进行的。一旦这些数据遭到泄露或非法共享,就会产生监听、身份盗窃等风险,从而影响企业及个人的人身财产安全。

  在江西新能源科技职业学院新能源汽车技术研究院院长张翔看来,部分车企的数据安全保障能力有待提高。尤其是随着辅助驾驶、自动驾驶功能的逐步落地,保障数据安全将成为涉及道路交通安全的关键问题。

  “当前,汽车数据安全的应用场景还未固定化,因此要根据其功能开发和使用效果两方面,不断进行改进。”张翔直言,从理论上来讲,无论车企采取什么样的安全解决方案,其数据存储系统始终会存有漏洞,但车企应该尽可能地提高数据安全等级,多做一些防护措施,这样才能提升面对网络黑客攻击的底气。

  今年两会期间,全国人大代表、长安汽车党委书记、董事长朱华荣针对汽车数据安全提出了相关建议。他认为,随着汽车行业由“硬件主导”到“软件定义”,汽车之于用户已不再是单纯的出行工具,已由“单一工业品”到“新数智空间”产品的属性变迁。用好在智能网联汽车使用过程中产生的海量数据,首先需要在个人信息保护、数据要素市场化与国家安全三者之间达成平衡。

  朱华荣称,尽管目前已经出台了《汽车数据安全管理若干规定(试行)》《个人信息保护法》《关于构建数据基础制度更好发挥数据要素作用的意见》等法律法规,对个人信息保护与数据产权确立了部分概括性规定,但对汽车数据中非个人信息边界模糊,权属不明。

  他认为,智能网联汽车相关非个人信息的边界模糊与权属不明,既不利于个人信息的保护,也让车企很难更合理、更充分地利用相关数据。

  “车辆自身及零部件工况类数据,道路、天气等与外部环境有关的数据,以及无法识别到具体个人的,应不属于个人信息的范畴。而车控类及应用服务类数据,与个人的关联性存在很大差异,需要从立法层面进一步予以明确。”朱华荣建议说,要在划清个人隐私红线的基础上,促使相关数据由“数据碎片”的分散化向“数据粮仓”的集约化转变。

  北京市中闻(武汉)律师事务所王昆仑告诉记者,由于理论层面的困难和争议,许多国家在数据立法上回避了数据的所有权问题。

  “因此有时候很难界定,车辆使用过程中产生的数据所有权,究竟属于车主、驾驶员还是车企。但是,《个人信息保护法》对个人信息权益的保护是比较明确的,处理个人信息必须以合法、正当、必要、诚信为原则。车企如果未取得个人同意就擅自处理个人隐私信息,无疑是侵害了个人信息权益。”王昆仑表示,如果车企违规公开人脸识别、行车数据等个人隐私信息,性质更为恶劣,涉嫌侵害个人隐私权,甚至还可能构成侵犯公民个人信息罪。

  “无论是个人信息权益还是隐私权被侵犯,个人都可以提起民事诉讼,要求相关方承担损害赔偿等侵权责任,金额可按个人损失或车厂收益确定。”王昆仑说。

  数据安全应成为智能汽车发展“压舱石”

  放眼全球,面对智能网联技术发展的大潮,汽车行业一直高度关注汽车数据安全的相关问题,世界各国的监管机构,针对实际情况出台了一系列的法规和配套标准。

  2021年1月,联合国欧洲经济委员会第156号法规(UN R156)正式生效。该法规要求汽车制造商具备软件升级管理体系,履行信息记录和保存、升级评估、车辆信息安全、用户告知等义务,对软件升级功能也提出了具体要求,如升级失败时仍要保证车辆安全等。

  “按照规定,从2022年7月起,在欧盟销售的所有新车需进行这两项法规所要求的型式认证,才能上市销售。”张翔分析称,UN R155和UN R156法规的强制实施,意味着欧盟对车辆网络安全和软件升级提出了规范的准入管理要求。

  记者了解到,目前国内大多数车企已形成相对成熟的数据安全管理体系,80%以上整车企业组建了数据安全团队,形成与企业业务线并行的管理链路。不过,相关数据遍布研发、生产和流通等各个环节,有效管理的难度大大增加。

  中国电动汽车百人会联合腾讯云发布的《智能网联汽车数据安全年度洞察(2023)-企业免疫力建设》报告(以下简称“报告”)显示,车企在车端安全上普遍达到了较高水位,而在数据安全治理,例如数据分类分级、数据加解密、防泄露等方面,则面临较大的挑战。

  报告指出,这些挑战来自监管压力、技术成熟度等各个方面。有的车企将汽车数据监管聚焦在人、车交互的相关环节,而对企业研发、生产等数据的分类分级未提出明确要求,不同部门或业务团队可能会使用不同的数据定义、收集和存储方法,导致数据一致性差、准确度低,进而给保护汽车数据安全带来挑战。

  报告认为,智能汽车的数据安全问题已经演变成行业普遍问题,需要全行业共同解决。尽管面临诸多挑战,随着法律框架不断完善,车企在数据安全组织制度、专业人员配备上都已初步完善,第三方专业汽车数据安全解决方案厂商不断涌现,汽车构建数据安全免疫力已具备完备的产业基础。

  记者注意到,由于汽车研发流程复杂,往往要耗时两三年,部分车企在研发、推出车辆远程拍摄等相关功能时,关于汽车数据安全的监管政策尚未落地。因此,可能出现产品功能刚用不久就被下架的消费纠纷。

  消费者姚小平就吐槽说,许多企业为了凸显自己产品的独特性、体现自己更高的智能化水平,曾争相推出车辆远程控制、在手机App上查看车载远程摄像头等功能。尽管这些功能让消费者倍感新奇,却埋下了汽车数据安全的隐患,最终被下架。“如果我们买车多少是冲着这些功能和技术来的,现在功能没有了,这些钱厂家还打算退还吗?”

  对此,有业内专家提醒说,在宣传新车和新功能时,相关企业应该更加谨慎,充分告知用户政策变化可能导致的不同后果。

  值得注意的是,去年7月,《汽车整车信息安全技术要求》等四项“强标”完成征集意见稿,数据安全正逐渐成为智能网联汽车发展的“压舱石”已成为全行业共识。

  有业内人士表示,汽车数据安全建设事关重大,企业需要在合规前提下,充分合理使用汽车数据促进经营,推动智能网联汽车良性发展。此外,还需要政府、企业、科研机构和社会公众共同努力,创造安全、可靠的汽车数据利用环境。

  “规范汽车数据安全,不仅能促进汽车产业又快又好地实现数字化转型,还能有效拉动产业提升新质生产力。只有这样,消费者才能真正享受到智能化带来的便利和乐趣。”上述业内人士总结道。

  中青报·中青网见习记者 王志远 记者 张真齐 来源:中国青年报 【编辑:叶攀】