数据泄露的坑怎么填?
2021-08-23陈秀娟
陈秀娟
随着汽车智能化、网联化快速发展,信息安全正在面临前所未有的挑战。
数据显示,2020年我国L2级智能网联汽车的市场渗透率达到15%,预计到2035年,高等级自动驾驶将在国内市场大范围应用,这意味着汽车数据将被大规模收集和使用。对此,有业内专家分析指出:“一辆智能网联汽车每天至少收集10TB的数据,不仅数量极大,而且涉及驾乘人员的出行轨迹、习惯、语音、视频等关键信息,一旦遭受侵害会泄露个人隐私。”
在日前召开的“中德汽车产业发展合作论坛”上,ICMA智联出行研究院执行院长何姗姗对《汽车观察》记者表示:“对于车辆本身来说,联网是为了更加便捷,数据的泄露是一定会发生的。智能网联汽车的数据泄露风险巨大,严重威胁着个人的隐私安全。”
至于智能网联汽车的信息安全问题如何解,何姗姗对记者指出,不仅需要管理端在制度上有解决方案,而且需要运营端在技术上有应对措施。
管理端:加快构建制度体系
统计数据显示,截至今年5月,全球已有超过140个国家和地区制定了隐私和数据保护的相关法律法规。可见,智能网联汽车的数据安全已引起全球重视。
工业和信息化部此前发文表示,伴随汽车网联化发展,网络攻击威胁加速向车端、车联网平台蔓延,车联网网络安全事件不仅影响公民隐私、财产和生命安全,甚至可能危害社会安全和国家安全。因此,亟需面向车联网典型应用场景建立车联网(智能网联汽车)网络安全标准体系,发挥标准引领规范作用,支撑车联网安全健康发展。据记者了解,今年以来,我国关于智能网联汽车安全的顶层设计正在不断完善中。今年4月,工信部发布了《智能网联汽车生产企业及产品准入管理指南(试行)》征求意见稿,从企业和产品两方面对智能网联汽车网络安全作出了多项要求,包括依法收集/使用和保护个人信息、不得泄露涉及国家安全的敏感信息等。同月,全国信息安全标准化技术委员会也发布了《信息安全技术网联汽车采集数据的安全要求》标准草案。
5月,国家网信办会同有关部门起草了《汽车数据安全管理若干规定(征求意见稿)》,对汽车数据从收集、分析、存储到传输、查询、应用和删除等全流程作了较为详细的规定。尤其是对于运营者收集和向车外提供敏感个人信息的行为提出了六项具体要求:以直接服务于驾驶人或者乘车人为目的,包括增强行车安全、辅助驾驶、导航、娱乐等;默认为不收集,每次都应当征得驾驶人同意授权,驾驶结束(驾驶人离开驾驶席)后本次授权自动失效;通过车内显示面板或语音等方式告知驾驶人和乘车人正在收集敏感个人信息;驾驶人能够随时、方便地终止收集;允许车主方便查看、结构化查询被收集的敏感個人信息;驾驶人要求运营者删除时,运营者应当在2周内删除。这里的“敏感信息”包括车辆位置、驾驶人或乘车人音视频,以及可以用于判断违法违规驾驶的数据等。
此外,在数据跨境方面,《汽车数据安全管理若干规定(征求意见稿)》要求个人信息或者重要数据应当依法在境内存储,确需向境外提供的,应当通过国家网信部门组织的数据出境安全评估。
在法律法规层面,我国目前出台的《网络安全法》《数据安全法》《个人信息保护法(草案)》都体现出政府对数据安全的针对性考虑。此外,其他相关标准体系(包括顶层的体系性标准以及专项标准)正陆续出台或在不断地修订中。
这一系列的相关政策和法律法规,对我国各领域的数据安全做了较为明确的规定,也为智能网联汽车行业合理、合法使用相关数据指明了方向。
运营端:新技术手段不可或缺
何姗姗对记者指出,智能网联汽车涉及整车企业、系统供应商、芯片供应商等全产业链。其中,整车企业是海量、数据的主要持有者,他们是汽车数据安全管理的主要对象。
在何姗姗看来,汽车数据持有者在处理重要数据时须遵循六项原则:最小必要原则、车内处理原则、匿名化处理原则、最小保存期限原则、精度范围实用原则、默认不收集原则。
何姗姗认为,目前,对整车企业而言,应从技术上提高数据安全方面的能力。如利用新一代的信息技术,包括区块链技术、流量检测技术、国密技术等提升数据安全综合防护能力。
德国汽车工业协会(中国)副总裁张琳也指出,车企需尽快构建企业级体系的网络安全架构,同时要尽快尝试新的技术手段。
可喜的是,各车企已纷纷行动起来,试图通过加强基础技术研发与数据安全技术应用提升安全可控能力。
作为传统车企的代表,长城汽车针对信息安全,从云端进行了全方位安全设计,并与国家互联网应急响应中心、奇虎360、百度安全实验室、中国汽车技术研究中心等机构合作,先后成立安全共建实验室、开展信息安全方面的技术研究等,以提高整车信息安全防护水平。同时,长城汽车还利用先进的加密技术,通过云、管、端全方位防护,降低了远程恶意控制风险,防止个人隐私泄露,为用户带来可靠的信息安全保障。福特、大众、宝马等车企也已经或打算在中国建立数据中心。
作为造车新势力的代表,蔚来针对ES8车主质疑车内收集音影等个人信息的安全问题,从数据脱敏、加密存储、强化体验及电动车数据监控规范四个维度进行分析,以保证ES8车内产生的所有数据都能被有效保护起来。
总之,智能网联汽车信息安全是全产业链的事,需要政府、汽车企业、电信企业、互联网企业、电子零部件企业、网络安全企业等携手合作,进一步加大对数据安全方面的投入,共同完善智能网联汽车安全保护体系,提升行业整体安全水平。
