夏,21世纪经济报道记者,北京报道。8月20日,国家网信办、发改委、工信部等五部委联合发布《汽车数据安全管理若干规定(试行)》(简称《规定》)。《规定》倡导汽车数据处理者在开展汽车数据处理活动时,应当坚持“车内处理”、“默认不采集”、“适用精度范围”和“脱敏处理”的数据处理原则,减少汽车数据的无序采集和非法滥用。《规定》要求,应当遵守依法在中国境内存储的规定,加强重要数据的安全保护;落实风险评估报告制度要求,积极防范数据安全风险。
国控汽车CEO兼CTO尚进在接受21世纪经济报道记者采访时指出,随着智能网联汽车时代的到来,信息安全正成为汽车行业的迫切需求,也将成为智能网联汽车操作系统的重要内容。这是因为智能网联汽车将配备大量传感器和摄像头,其大规模快速移动将收集大量公共和私人数据。许多汽车已经成为小型数据中心。同时,智能网联汽车开始具备强大的终端计算能力,汽车接入互联网后,必然会面临来自互联网的攻击。
在他看来,汽车面临的安全问题不仅仅局限于数据安全和隐私保护的挑战,还包括交通安全等更严重的问题,这些问题已经引起了监管机构的更多关注。作为一个新兴行业,监管者需要平衡“粗管”和“细管”的关系。
信息成为智能网联汽车的刚需。
自2021年10月1日起,《汽车数据安全管理若干规定(试行)》明确指出,汽车数据处理者应当履行个人信息保护责任,充分保护个人信息安全和合法权益。汽车数据处理者开展个人信息处理活动,应当以显著方式告知个人相关信息,并取得个人同意或者符合法律、行政法规规定的其他情形。汽车数据处理者在处理敏感个人信息时,还应当征得个人同意,并符合限制处理目的、提示收集状态、终止收集等特定要求,或者法律、行政法规、强制性国家标准等其他要求。汽车数据处理器可以收集生物信息,如指纹、声纹、面部、心率等。仅出于提高驾驶安全性的目的和充分的必要性。
他在接受尚进21世纪经济报道记者采访时指出,随着新一代信息技术与汽车产业加速融合,智能汽车产业和车联网技术快速发展,以自动辅助驾驶为代表的人工智能技术日益普及,汽车数据处理能力不断提升,汽车数据安全问题和隐患日益突出,信息安全保护正在成为智能网联汽车产业迫切的现实。
他指出,汽车行业不存在信息安全市场。这是因为传统汽车不会产生大量的数据,现有的少量数据并没有太大的被攻击的价值。
“原来很少有黑客会去攻击汽车,因为在这个圈子里,攻击汽车是一件可耻的事情:大部分汽车没有信息安全保护,而经验丰富的黑客攻击汽车,就像‘大人打小孩’。没有攻击就没有保护,这个行业的安全市场几乎为零。”
尚进指出,随着智能网联汽车时代的到来,这种情况正在彻底改变。
首先,智能网联汽车将配备大量的传感器和摄像头,其大规模、快速的运动将收集大量的公共和私人数据。很多汽车变成了小型的数据中心,汽车在数据安全和隐私保护方面面临着更多的挑战。连接互联网意味着汽车不可避免地面临来自互联网的攻击。
在尚进看来,关于智能网联汽车的数据采集,尤其是敏感数据采集,在充分尊重用户知情权的基础上,应该在底层操作系统中留出选项,供用户自主选择。
其次,大数据的使用是不可阻挡的,智能汽车收集的大量数据可以为第三方产生巨大的价值。“和手机一样,消费者的用车行为可以刻画用户画像。比如汽车数据的泄露,可能会清晰地描述家庭住址、工作单位,甚至中午去哪里吃饭等信息。许多企业都想获得这些信息”。
其次,智能网联汽车开始具备强大的终端计算能力,会带来汽车数据的“变形”。“比如以前的汽车可能大多是一个数据采集设备。你只要把设备传输的网关堵住就可以了,现在智能汽车不一样了。相机可以收集图像数据。收集完成后,汽车会对其进行分析,并生成大量其他数据。如何监管这些数据也面临很多问题。”
更重要的是,随着自动驾驶技术的快速升级,汽车面临的安全问题不仅限于数据安全和隐私保护的挑战,还包括交通安全等更严重的问题。
平衡“粗管”和“细管”的关系
《规定》强调,汽车数据处理者开展重要数据处理活动时,应当遵守依法在中国境内存储的规定,加强重要数据的安全保护;落实风险评估报告制度要求,积极防范数据安全风险;落实年报制度要求,积极按时报送年度汽车安全管理数据。
同时,因业务需要确需向境外国家提供重要数据的,汽车数据处理器应当执行数据出境安全评估制度要求,不得向境外国家违规提供出境安全评估结论以外的重要数据,并在年度报告中对相关情况进行补充报告。
对于近期部分地区禁止特斯拉进入,尚进指出,“车企必须遵守在中国依法存储数据的规定。但目前的问题并不仅限于国外车企上传数据到国外数据中心的数据存储问题。即使数据中心都在国内,实现了数据存储的本地化,但智能网联汽车的数据安全仍然面临更多的技术挑战,这也给监管带来了考验。”
例如,他指出,需要监管的不是“原始数据”,而是“熟数据”。中国数据中心的区域管理只相当于一把“粗刀”。“在数据安全方面,它的作用其实是有限的,因为原始数据本身价值有限,数据只有经过分析才有用。”
“最近,我们也在向上反馈是‘粗管’还是‘细管’。一些对智能汽车不太了解的人觉得,要么会卡住:汽车不收集、不传输数据,但这样会阻碍整个行业的发展,不符合技术进步的规律。智能网联汽车是一个快速发展、快速变化的行业,确实存在安全挑战。但是很多架构和技术路线还没有完全成型,不具备‘细管’的重点。”
在尚进看来,智能网联汽车的信息安全监管要平衡好“粗管”和“细管”的关系。他认为,我们应该注重创新技术的整合,以确保车辆的安全性。一方面可以借鉴数据中心等IT行业的安全防护经验;另一方面,要充分考虑车辆作为机械部件的安全保护,这需要在最低的操作系统层面打好基础。
“我们现在正在做的一件事,就是在智能网联汽车的操作系统中扩展安全功能,实现数据安全、网络安全与智能网联汽车核心技术和软件的耦合。”尚进说。
更多信息请下载21金融APP。
