21世纪经济报道记者 夏旭田 北京报道 8月20日,国家网信办、国家发改委、工信部等五部委联合发布了《汽车数据安全管理若干规定(试行)》(简称《规定》)。《规定》倡导,汽车数据处理者在开展汽车数据处理活动中坚持“车内处理”、“默认不收集”、“精度范围适用”、“脱敏处理”等数据处理原则,减少对汽车数据的无序收集和违规滥用。《规定》要求,遵守依法在境内存储的规定,加强重要数据安全保护;落实风险评估报告制度要求,积极防范数据安全风险。
国汽智控CEO兼CTO尚进接受21世纪经济报道采访时指出,随着智能网联汽车时代的到来,信息安全正在成为汽车行业迫在眉睫的现实刚需,也将成为智能网联汽车操作系统中一项重要内容。这是因为智能网联汽车将搭载大量传感器、摄像头,其大范围、快速的移动将采集大量公共的、私人的数据,很多汽车已经成为一个小型的数据中心,同时,智能网联汽车开始具备很强大的终端计算能力,而在连接互联网后,汽车不可避免地面临着来自网络上的攻击。
在他看来,汽车面临的安全问题不限于数据安全和隐私保护等层面的挑战,更面临着交通安全等更严峻的问题,因而受到了监管的更多关注,而作为一个新兴行业,监管层需要平衡好“粗管”与“细管”的关系。
信息安全成为智能网联汽车刚需
自2021年10月1日起施行的《汽车数据安全管理若干规定(试行)》明确指出,汽车数据处理者应当履行个人信息保护责任,充分保护个人信息安全和合法权益。开展个人信息处理活动,汽车数据处理者应当通过显著方式告知个人相关信息,取得个人同意或者符合法律、行政法规规定的其他情形。处理敏感个人信息,汽车数据处理者还应当取得个人单独同意,满足限定处理目的、提示收集状态、终止收集等具体要求或者符合法律、行政法规和强制性国家标准等其他要求。汽车数据处理者具有增强行车安全的目的和充分的必要性,方可收集指纹、声纹、人脸、心律等生物识别特征信息。
尚进接受21世纪经济报道采访时指出,随着新一代信息技术与汽车产业加速融合,智能汽车产业、车联网技术的快速发展,以自动辅助驾驶为代表的人工智能技术日益普及,汽车数据处理能力日益增强,暴露出的汽车数据安全问题和风险隐患日益突出,信息安全防护正在成为智能网联汽车行业一个迫在眉睫的现实刚需。
他指出,原来汽车行业并不存在一个信息安全市场,这是因为,传统汽车并不会产生大量数据,既有的少量数据也并没有太多被攻击的价值。
“原来很少有黑客会去攻击汽车,因为在这个圈子里,攻击车是很丢人的事情:汽车大都没有信息安全防护,而经验丰富的黑客去攻击汽车,就像‘大人打小孩’一样。没有攻击也就没有防护,这个行业的安全市场几乎为零。”
尚进指出,随着智能网联汽车时代的到来,情形正在发生彻底的改变。
首先,智能网联汽车将搭载大量传感器、摄像头,其大范围、快速的移动将采集大量公共的、私人的数据。很多汽车已经成为一个小型的数据中心,汽车开始面临更多数据安全、隐私保护方面的挑战,而连接互联网,意味着汽车不可避免地面临着来自网络上的攻击。
在尚进看来,关于智能网联汽车对于数据的搜集、尤其是敏感数据的搜集,应当在充分尊重用户知情权的基础上,在底层操作系统中留出可供用户自主选择的选项。
其次,大数据的利用不可阻挡,智能汽车采集的大量数据对第三方而言可以产生很大的价值。“像手机一样,消费者的用车行为可以描绘用户画像,比如,汽车数据的泄露可能清晰地描述诸如家庭地址、工作单位,甚至中午去哪吃饭等信息,很多商家是希望获得这些信息的”。
其次,智能网联汽车开始具备很强大的终端计算能力,这会带来汽车数据的“变形”。“比如之前的汽车可能大都是一个数据收集设备,你把设备传输的关口卡住就行了,但现在的智能汽车不一样,摄像头可能采集的是图像数据,采完之后,汽车会对其进行分析,产生很多其他数据,如何监管这些数据也面临不少问题。”
更关键的是,随着自动驾驶技术的快速升级,汽车面临的安全问题还不限于数据安全和隐私保护等层面的挑战,更面临着交通安全等更严峻的问题。
平衡“粗管”与“细管”关系
《规定》强调,汽车数据处理者开展重要数据处理活动,应当遵守依法在境内存储的规定,加强重要数据安全保护;落实风险评估报告制度要求,积极防范数据安全风险;落实年度报告制度要求,按时主动报送年度汽车数据安全管理情况。
同时,因业务需要确需向境外提供重要数据的,汽车数据处理者应当落实数据出境安全评估制度要求,不得超出出境安全评估结论违规向境外提供重要数据,并在年度报告中补充报告相关情况。
对于近期部分区域禁止特斯拉驶入的问题,尚进指出,“车企必须遵守依法在境内存储数据的规定,不过,现在的问题并不仅仅限于国外车企把数据上传到国外的数据中心的数据存储问题,就算数据中心都在中国,实现了数据存储的本地化,但智能网络汽车的数据安全还面临着更多技术上的挑战,这也给监管带来了考验。”
比如,他指出,需要监管的并不是“生数据”,而是“熟数据”。中国对数据中心的地域管理只相当于是一把“粗糙的刀”,“对数据安全而言,其实其作用有限,因为原始数据本身价值有限,数据经过分析后才是有用的。”
“最近我们也在向上反馈到底是该‘粗管’还是该‘细管’的问题。一些不太了解智能汽车的人觉得要不就卡死:汽车不要收集数据,也不要传输数据,但是这会阻碍整个行业的发展,也不符合技术进步的规律。智能网联汽车是一个正在快速发展、急剧变化的行业,确实存在安全上的挑战,但很多架构与技术路线尚未完全成型,不具备‘细管’的着力点。”
在尚进看来,智能网联汽车的信息安全监管应该平衡好“粗管”与“细管”的关系,他认为,应当着眼于创新技术的融合来保障汽车的安全,一方面可以借鉴数据中心等IT行业的安全防护经验,另一方面,也要充分考虑汽车作为机械件的安全防护,这需要在最底层的操作系统层面打好基础。
“我们现在做的一件事就是,在智能网络汽车的操作系统里面做好安全功能的延伸,实现数据安全、网络安全与智能网联汽车核心技术与软件的耦合。”尚进说。
(作者:夏旭田 编辑:杜弘禹)
21世纪经济报道及其客户端所刊载内容的知识产权均属广东二十一世纪环球经济报社所有。未经书面授权,任何人不得以任何方式使用。详情或获取授权信息请点击此处。