化解車聯網數據安全風險的治理要點

化解車聯網數據安全風險的治理要點
2022年05月01日 11:42 澎湃新聞

  澎湃研究所研究員 呂娜

  不久前,年僅19歲的德國青年大衛·哥倫布(David Colombo)成功入侵全球13個國家的25臺特斯拉汽車。哥倫布是從一個第三方軟件中找到了車輛軟件的漏洞,能夠讓黑客遠程控制車輛,并實施解鎖車門、控制車窗、啟動汽車、關閉安全系統等操作。此外,車輛的具體位置也可以被知曉,并可查看車主是否在車輛附近。導致該漏洞的原因是軟件服務商以不安全的方式存儲敏感數據,而這些數據又能夠將汽車與軟件連接。

  此事件并非偶發,而是特斯拉智能汽車數次遭遇網絡入侵風險中的尋常一例。但是,由于導致這次入侵的原因涉及敏感數據存儲方式存在的缺陷,因而引發了大眾對智能汽車數據安全風險的關注,也加劇了對車聯網監管不足的質疑和擔憂。

  車聯網主要由車內網、車際網和車載移動互聯網這三個部分組成。它們按照約定的數據協議和數據交互標準,在車與網、車與車、車與路、車與人之間進行無線通訊和數據交換,從而實現智能化車輛控制和交通管理。在中國,車聯網是“十四五”期間大力發展的關鍵新型基礎設施之一,產業鏈涉及汽車、大數據、信息通信、云計算、人工智能等眾多領域,是國家經濟實現數字化轉型升級,特別是發展產業互聯網的重點關切,并與未來城市智慧交通體系的構建密切相關。

  車聯網:新風口呼喚監管新舉措

  2020年以來,中國密集制定“新基建”政策,車聯網發展因此迎來新風口,各大汽車廠商紛紛積極布局。根據埃森哲咨詢公司的預測,中國2025年車聯網市場規模有望達到2162億美元,屆時幾乎所有新車都將具備聯網功能。5G、人工智能、云計算、大數據等新興技術在汽車上的部署應用使得車輛逐漸成為可移動、可交互的巨量數據載體,并與云端、移動端和道路端的大量數字設備產生持續的數據交換,以此來為用戶提供安全、智能、節能、高效的綜合駕乘服務。

  數據作為基本經濟要素的價值來自于流動,車聯網產生的數據在中國汽車產業的升級發展過程中具有創造巨大經濟價值的潛力。然而,隨著車聯網商用規模的不斷擴大,若不對相關數據的收集、傳輸和使用進行有效監管與規制,任由數據無序流動,卻會形成很大的數據安全風險,并對車輛使用者的個人信息和隱私保護構成明顯威脅。

  有鑒于此,今年4月初,國家工信部等五部門聯合印發了《關于進一步加強新能源汽車企業安全體系建設的指導意見》(以下簡稱“《意見》”)。其中第七部分專門就車聯網網絡安全,數據安全以及個人信息安全對企業提出了具體要求。針對車聯網數據,《意見》明確指出,企業必須切實履行數據安全保護義務,建立全流程數據安全管理制度,采取相應的技術措施和其他必要措施,保障數據安全。同時,企業還要按照法律、行政法規的有關規定進行數據收集、存儲、使用、加工、傳輸、提供、公開等處理活動,以及數據出境安全管理。對于涉及個人信息和隱私的數據,則要求企業要按照《個人信息保護法》等相關法規處理個人信息,并制定內部管理和操作規程,對個人信息實行分類管理,并采取相應的加密、去標識化等安全技術措施,防止未經授權的訪問以及個人信息泄露、篡改及丟失。

  車聯網:來自三個層面的數據安全挑戰

  從以上表述可以看出,中國車聯網數據安全當前面臨的挑戰至少涉及到個人、產業和跨境這三個層面:

  個人層面

  為了確保智能汽車能實現不同場景和路況下的安全運行,實時做出準確交通決策,車聯網需要不間斷采集和傳輸聯網車輛的各種運轉數據和用戶信息。在此過程中,汽車制造商、服務提供商、網絡運營商等利益相關方都有可能接觸到車輛相關的各類數據,包括身份信息、聯系方式、家庭住址、銀行賬號等個人信息,以及車輛行駛時間和軌跡等駕駛動態信息,甚至還有車內人員聲音、面部、指紋、體態等敏感生物信息。然而,中國當前對車聯網中和利益相關方可以采集數據的類型、范圍,以及數據使用、共享等管理要求和標準規范還不夠明確,這就容易造成車聯網相關個人數據在用戶不知情的情況下遭到過度采集、泄漏、篡改及竊取。同時,部分數據還會被用于以營銷推廣為目的的大數據分析、用戶畫像等,對個人隱私產生嚴重侵害。

  產業層面

  車聯網作為創新、融合、跨界的產業形態,產業鏈覆蓋面極廣。車輛和用戶數據的實時獲取對產業鏈各模塊的研發、營銷、業務運營、客戶服務等來說都至關重要,是推動智能汽車產業發展的核心生產要素。眼下,智能汽車及產業鏈上下游企業一方面掌握著大量汽車運行、車輛狀態、用戶行車軌跡等高價值數據,另一方面卻在數據存儲、加密、訪問、流轉和共享等方面缺少可依循的規范,相關權利、義務和責任也不夠明確。但凡移動終端、通信網絡、信息服務平臺中的任何一個環節防范不嚴,都會給網絡黑客攻擊以可乘之機,形成嚴重的數據安全威脅和路面交通風險,進而影響整個產業的健康發展。

  跨境層面

  當前,全球智能汽車產業鏈呈現高度融合的趨勢。無論是合資品牌,還是進口汽車,其車聯網服務都可能由境外企業提供。車輛和用戶信息因此會需要傳輸到國外,而這其中或含有影響國家安全的道路、環境、車流分布、人員出行等數據,以及涉及公民個人隱私的車內影像、位置軌跡、駕駛行為、生物特征等。在缺少明確監管的情況下,較易出現車聯網數據分級不當、數據處理活動欠規范、數據全生命周期安全保障能力不足等問題,將會妨礙國家安全和公共利益,危害公民個人隱私、財產甚至人身安全。

  車聯網:化解數據安全風險的三個治理要點

  針對個人層面的車聯網數據安全風險,加強立法保障和分級分類監管是關鍵,但也需要掌握好保護與創新的平衡尺度。車聯網很大一部分數據來源于用戶在各類應用場景下對智能汽車的使用。依據場景區分數據用途,明確哪些數據在何種情形下具有怎樣的敏感度,數據收集應以何種方式和程度展開,進而執行差異化的監管措施,這樣做既能對個人數據加以適當保護,又有利于貫徹用戶知情同意、數據采集最小化等原則,同時也能避免“一刀切”,過度壓抑創新。與此同時,對車聯網個人數據的治理應在已有的《個人信息保護法》、《數據安全法》等既有硬法框架下開展,形成車聯網領域的監管細則,但也需同步融入行動指南、行業自律倡議等軟法規制,以形成協同治理機制。

  在產業層面,當前化解車聯網數據安全風險,促進產業健康發展的重點在于強化頂層設計,建立健全車聯網數據安全制度和標準體系。車聯網企業在智能汽車數據采集方面存在諸多不規范現象,一大主要原因在于產業發展初期相關標準的缺位。盡快建立一個涵蓋汽車數據安全管理、個人信息和重要數據保護、數據開放共享、數據安全評估等在內的車聯網數據安全標準體系將能為企業的運營和商業活動劃定邊界,增加用戶數據利用的透明度,并促使企業依據標準加強技術治理,建立健全內部安全管理機制與合規。

  對于車聯網數據跨境傳輸的治理則需要注重在《網絡安全法》等法規明確的數據本地化存儲總體思路的前提下,進一步確定實施細則,探索能有效平衡安全、發展和開放利益的最佳實踐。需要注意的是,部分國際化程度較高的中國企業,在遵守數據本地化規定之外,確有通過多樣化數據流動機制來實現全球運營的需要。當前也有必要在確保安全的前提下,在部分行業和地區穩妥開展數據出境管理試點,同步建立車聯網數據安全評估體系,并積極參與車聯網數據流動國際規則制定,爭取更多話語權。

  物聯網的全面覆蓋是數字時代的必然趨勢。未來,萬物皆可數據化、互聯化,其中與基本民生和城市運行息息相關的交通出行將會是車聯網的天下。然而,如果無法化解暗流洶涌的數據安全風險,大眾將不能真正享受到新興技術帶來的智慧交通紅利,車聯網產業的健康發展更是無從談起。政府、企業、用戶等利益相關方,都需要提高數據風險意識和底線思維,協同構建科學有效的車聯網數據治理體系。

新浪科技公眾號
新浪科技公眾號

“掌”握科技鮮聞 (微信搜索techsina或掃描左側二維碼關注)

創事記

科學探索

科學大家

蘋果匯

眾測

專題

官方微博

新浪科技 新浪數碼 新浪手機 科學探索 蘋果匯 新浪眾測

公眾號

新浪科技

新浪科技為你帶來最新鮮的科技資訊

蘋果匯

蘋果匯為你帶來最新鮮的蘋果產品新聞

新浪眾測

新酷產品第一時間免費試玩

新浪探索

提供最新的科學家新聞,精彩的震撼圖片