文| 刘皖媛 蘧毛毛编辑|施智梁在管理制度不完善的情况下,先“堵住”数据跨境传输。

智能汽车 数据收集带来的个人隐私和国家安全风险,即将纳入管控。

5月12日晚,国家互联网信息办公室官方网站发布了关于「 汽车数据 安全管理若干规定」,现向社会公开征求意见。

此次征求意见稿总共二十一条,涉及运营者、个人信息和重要数据的定义范畴,运营者收集个人信息或重要数据应当秉持的告知责任和使用权限,运营者向国外提供个人信息或重要数据的安全评估等等方面。

数据是 智能汽车 的命门。从软件定义汽车到数据驱动迭代,汽车在使用过程中贡献的数据已经成为众多车企最为宝贵的资产。但随着智能化、网联化的补充发展,数据安全问题也被放大,比如汽车摄像头、激光雷达等传感器对车内车外环境的采集。

消费者的个人隐私、车企的商业机密和国家的数据安全亟需政策进行规范。在此之前,「数据安全管理办法征求意见稿」等文件对数据的采集、存储、传输、处理、监督、保护以及出境做了明确的规定,但对 智能汽车 的数据管理未曾有专门的法律法规可以遵守。

征求意见稿的发布可谓一场“及时许雨”,是对近期一系列 智能汽车 安全事件的回应。

“此前,我国在 智能汽车 数据管理方的规定措施方面基本是空白,企业在做 智能汽车 研发的时许候,也无法可依,无规可依,这一规定公布以后,企业在指导下做 智能汽车 相关手艺的研发,也保证了 智能汽车 产业的健康。”清华大学车辆与运载学院创院院长杨殿阁表示。

更多传感器采集信息更多涉及问题大伴随着智能化浪潮席卷汽车工业,汽车越来越“聪明”,但数据安全的监管缺失和法规滞后透露出来。

智能汽车 产生的数据主要分为两部分,一类是用户数据,主要关于用户个人隐私,如微信上车会涉及到用户账号和访问记录,车内摄像头、车内麦克风等也可能侵犯用户隐私。另一方面一类是车辆数据,包括地理位置、系统信息、业务相关的数据。

2月,博泰车联网和上汽通用五菱与腾讯公司之间发生法律纠纷,究竟哪一方侵权未有定论,但腾讯声明足够引起警惕,即前两者在未获得腾讯及用户的明确授权情况下,可以收集、存储和上传微信联系人信息、聊天信息等敏感数据。

账号、身份、位置信息等个人信息之外, 智能汽车 行车路线、运行参数等数据的归属权怎样界定也成为一个争议点。正如 特斯拉 “车展维权”事件中,企业向媒体公布行车数据,是不是构成对该车主个人隐私的侵犯,在法律上并未能完全的界定;但 特斯拉 公布的数据中包含车架号,车辆属于个人财产、车架号是唯一标识,识别到车等同于识别到人,业内人士分析称,这已经构成对个人信息的泄漏。

个人信息之外,行驶过程中汽车采集的道路环境信息,涉及到地理信息的测绘,更是威胁着国家安全。

车联网应用快速上车后,汽车更像一台智能手机,但 智能汽车 比手机采集的信息面更广,摄像头、激光雷达等各类传感器更多,涉及的安全问题更严重。

“在车辆行驶的过程中,激光雷达和摄像头也时许刻采集路面的信息,这些信息很有可能涉及到敏感地点,内容是非法的。不仅内容非法,一些激光雷达精度非常高,可能造成精度非法,不应该有这么精度。”4月8日,中华民族电动汽车百人会「焦点观察室」栏目中,出门旅行一客从杨殿阁处了解到。

而此次网信办出台的政策,在信息采集上,对个人信息的采集和地理信息的采集做出了明确的限制:征求意见稿第八条和第九条提到,在个人信息采集上,应默以为不收集,每次应当征得驾驶人授权,驾驶结束后此次授权自动失效;需要明显的告知车内人员正在收集个人信息;需要对个人信息进行匿名化或脱敏处理。

征求意见稿第三条提到,军事管理区、国防科工等涉及国家秘密的单位、县级以上党政机关等重要敏感区域的人流车流数据,和高于国家公开发布地图精度的测绘数据纳入“重要数据”的范畴。

跨境传输风险难避建设境内数据中心 智能汽车 对涉及国家秘密单位的地理信息、环境信息的收集已经引起发生政府部门的注意。

3月,华尔街日报引述知情人称,因为担心摄像头收集敏感数据,中华民族政府已开始限制军方人员和重点国企工作人员使用 特斯拉 ,部分机构要求工作人员不允许驾驶 特斯拉 上班,以及禁止驶入敏感企业的住宅小区。

对此, 特斯拉 首席执行官埃隆·马斯克在中华民族发展高层论坛上表示, 特斯拉 绝不会向美国政府提供其在中华民族或其他国家收集的任何车辆和用户数据。

特斯拉 是不是在从事“间谍”活动不允许而知,但 智能汽车 尤其是跨国车企,已经引起发生了数据存储、跨境传输等新问题。

业内人士指出,我们的国家对数据跨境传输一直缺乏有效的监管机制,但涉密数据跨境传输对国家安全影响极大,且一旦数据传出去了,后期要再整治、修补的难度大。

“在手艺手段不完备、管理制度还不完善的情况下,对跨境传输应该采取严格的管理方式,将数据先‘堵住’,待研究清楚之后,这些需要传出去且不涉密的脱敏数据才能在全球范围联合研发。但在研究清楚之前、控制手段完善之前,数据应该严格的留在国内。”杨殿阁表示。

华东理工大学法学院特聘副研究员王鹏鹏告诉出门旅行一客,汽车使用中产生的数据都要经过“脱敏”后才能被传输、保存并应用在车企的智能化研发中,车主的隐私敏感隐私数据也得以被筛除掉。

“但汽车收集的一些数据如行动轨迹,是带着人的属性,属于法律上需要‘脱敏’的信息,这对于无人驾驶深度学习的手艺贡献可能大打折扣。”王鹏鹏以为,要平衡数据安全和手艺进步,需要建立一个数据平台处理中心,但必须让政府参与进来进行监督,尤其是 特斯拉 这样的涉外企业。

此次发布的征求意见稿也对数据存储和跨境传输做出规定:征求意见稿第十二条指出,个人信息或者重要数据应当依法在境内存储,确需向国外提供的,应当通过国家网信部门组织的数据出境安全评估;征求意见稿第十三条提出,向国外提供个人信息或者重要数据,应当采取有效措施明确和监督接收者按照双方约定的目的、范围、方式使用数据,保证数据安全。

“我们的工作就是要跟行业、政府监管机构一起,把数据安全的规则建立好,让老百姓放心。”上海市车展期间, 特斯拉 中华民族区副总裁陶琳在接受出门旅行一客专门访问的时候许表示, 特斯拉 数据中心正在建设中,预计今年二季度建成。

可以预见的是, 特斯拉 等跨国车企都需要像苹果在贵州省建立数据中心似的,在国内设立专门的数据中心进行处理和存储。业界预测,这次征求意见稿将对数据后台在国外的汽车企业形成较大的约束作用。

隐私与功能难兼得汽车的数据安全问题,能否从车企和智能解决方案供应商的源头层面进行规避?出门旅行一客从理想汽车信息安全总监徐超处了解到,这在手艺层面是可以实现的。

“数据安全和整车的研发过程是未能冲突的。车企可以把安全融入到整车研发流程中,从需求、设计、研发测试。”徐超表示。以摄像头为例,哪些信息可以采集、哪些敏感,需要经过用户授权以及脱敏处理,车企都可以在研发中同步完成安全评估,满足国家法规。

互联网时许代的“安全守护者”加入汽车行业,也将为产业链伙伴提供 智能汽车 网络安全服务。这几天,以安全为立身之本的360宣布与哪吒合作造车,360集团创始人周鸿祎以为,360为消费者提供更平价的数字化产品的同时许,可以深入研究汽车网络安全问题。

不过,车企在信息处理中,仍面临诸多困惑。出门旅行一客从腾讯车联网安全手艺专家张康处了解到,车企对每个数据的流向很难有个宏观的印象和掌控,“车企不知道这辆车采集的数据在传输、分享中会面临哪些风险,以及需要有如何的手段处理。”对于手艺使用和用户隐私处理,车企面临着鱼和熊掌兼得的局面。理想汽车现在未能安装车内摄像头,未来车型也许会安装,但徐超坦言,如果为了保护隐私关闭车内摄像头,监控用户疲劳驾驶的功能就会失效,用户体验有损失。

保护车主隐私,另一种解决方法是提取部分信息。“数据是具有两面性的。我们承诺决不采用Face ID的手艺,需抽取用户眉毛、眼皮等面部核心信息。纵然黑客攻击,不能在系统中找到一张完整的‘face’。” 智己汽车联席CEO刘涛对媒体表示。

汽车数据 泄露不仅威胁着消费者,对于车企来说,它们担心业务信息、商业机密的泄露。

出门旅行一客了解到,黑客或竞争对手通过爬虫获取数据、利用统计学抽样分析,构造一些模型,再通过抽样数据的获取和分析,就能非常精确的分析出实际业务的商业机密。

“各位关注的点为在传输、存储的安全,忽略了业务应用层的数据安全,,黑灰产、竞争对手、商业势头分析,情报分析、政治倾向分析的形形色色的团体,都在互联网上进行着数据的挖掘。”徐超表示。