关注
目前,汽车的数据安全问题已经受到国内外的广泛关注。在汽车数据化和网络化的前提下,对汽车进行全方位的数据安全检测,提前发现隐患,避免相关风险,已成为汽车信息安全领域的迫切需求。世界各国都非常重视汽车数据安全管
理,德国、英国、法国等国家先后发布了相关安全
指南。
德国:最早探索汽车数据法律保护
在世界范围内,德国一直是数据保护方面的
“模范生”。德国最早通过明确立法对数据进行严
格保护,最先探索了数据法律保护的规则框架。
汽车报价汽车之家现行的《德国联邦数据保护法》(BDSG)修改于
2009年且延用至今。
2016年1月26日,德国联邦和州政府的独立
数据保护机构和德国汽车工业协会发布联合声
明,将车联网数据处理纳入《德国联邦数据保护
法》《德国电信法》《德国社会保险法》的范畴,强
调了车主的数据主权,明确了制造商“设计隐私”的法律责任。德国法律规定,在车辆使用过程中产生的数据,如果与车辆识别号码或车牌有联系,则被视为《德国联邦数据保护法》意义上的个人数据。
《德国联邦数据保护法》第42条规定:(1)在未经授权的情况下,以营利的方式故意将许多人的非开放个人数据传输给第三方或者通过其他方式使其公开,处3年以下刑罚或罚金。(2)在未经授权的情况下,为了获取报酬,或者为他人谋取利益,或者为了给他人造成损失,处理未开放的个人数据,或者骗取未开放的个人数据,处2年以下刑罚或者罚金。
除了以上法律,《德国刑法典》对一般数据的刑法保护设置了以下几项罪名:第一,第202a条窥探数据罪。该条规定,未经授权突破访问安全措施,为自己或他人获取数据访问路径,且对无权访问行为进行了特别安全防护,处3年以下刑罚或罚金。第二,第202b条截获数据罪。该条规定,未经授权利用技术手段,为自己或他人,从不公开的数据传输或处理装置中,获取自己无权支配的数据,处2年以下刑罚或罚金。第三,第202c条窥探和截获数据的预备罪。该条规定,为实施第202a和第202b规定的犯罪进行预备,处2年以下刑罚或罚金。第四,第303a条数据变更罪。该条规定,非法对数据进行删除、限制访问,
使其不可用或者变更,处2年以下刑罚
或罚金。
过《自动驾驶法》。该法明确列举了汽
车保有人有义务存储的13类数据,包
含个人数据(如车辆识别号、位置数据
等)和非个人数据(如车辆使用次数、
自动驾驶功能的启停、车速等)。该法
还规定,联邦汽车运输局有权在一定范
围内,向汽车保有人收集、保存和使用
前述数据以及获取技术监督员的姓名
和专业资格证明。
英国:重视自动驾驶汽车网络安全的数据保护
英国作为传统科技强国,积极推动汽车自动驾驶的发展。英国汽车制造商与经销商协会发布的一份报告显示,预计到2030年,自动驾驶对英国经济的贡献将达每年620亿英镑,创造超过42万个就业岗位,还可避免超过4.7万起交通事故。
英国非常重视自动驾驶汽车网络安全的数据保护。英国交通部官员卡兰南勋爵表示:“随着自动驾驶时代的到来,车联网等技术出现在我们的生活中,我们应该建立相应的保护措施。”
2017年,英国政府出台了一套新的网络安全准则——《车联网和自动驾驶汽车网络安全准则》,共8项内容,其中第三项指出,确
各国汽车数据安全与法规文/高荣伟
英国积极推动汽车自
动驾驶的发展。英国汽车
制造商与经销商协会发布
的一份报告显示,预计到
2030年,自动驾驶对英国
经济的贡献将达每年620
亿英镑,还可避免超过4.7
万起交通事故。
检察风云 PROSECUTORIAL VIEW
2023年第6期
保系统能够支持原始、唯一、可识别的数据的取证和恢复。第五项指出,在系统边界进行安全防护,包括访问权限最小化原则、数据单向传输控制、全磁盘加密和共享数据存储最小化。第七项规定,保证数据存储和传输是安全的与可被控制的。自动驾驶汽车的数据应该经过加密处理,以降低网络攻击的可能性。其一,数据在存储和传输时必须足够安全(保证机密性和完整性),以便只有预期的接收者接收或访问它;其二,用户个人数据进行适当管理,在数据发送到其他系统前进行杀毒;其三,用户可以删除系统和关联系统上的敏感数据。为此,政府敦促汽车制造商利用现有技术降低攻击者渗透汽车软件的可能性。
2018年,英国多家汽车制造商联合科研机构与交通部共同制定了一套自动驾驶和联网汽车的网络安全指南,以确保未来智能汽车不会被黑客与不法分子所操纵,以便保护汽车安全存储和管理用户的数据。文件规定,自动驾驶汽车和互联车辆的传感器必须能够抵抗黑客干扰。如果自动驾驶汽车发生故障,也必须有故障安全系统来保护路人和乘客。
时任英国交通部部长诺曼在评论新标准时说:“随着车辆变得更加智能,未来汽车行业的机遇将增多,但是这也带来了数据窃取和黑客攻击的风险。”诺曼补充说,新标准“应有助于该行业更好地应对挑战,并保持英国处在自动驾驶技术发展的前沿”。
法国:监管机构执法时应考虑多种因素
据报道,2019年7月,法国数据保护局(CNIL)向一家为个人提供汽车保险服务的公司开出了18万欧元的罚单,其理由是该公司未保护好其网站用户的个人数据。据了解,该监管机构开出上述巨额罚单主要是基于《通用数据保护条例》(GDPR)之规定。该条例第83条规定,在个案中决定是否给予行政及数额时,应当考虑以下因素:侵权的性质、严重程度和
持续时间,受影响之数据主体的数量
及其所遭受的损害程度;受侵
权影响的个人数据类别;
违法行为基于故意或过
失;违法行为涉及的
个人数据种类;其他
适用于个案的加重
或减轻情节,如获
利;数据控制者或
数据处理者为减轻
数据主体所遭受
的损害而采取的相关行动;与监管机构的配合程度等。
在上述案例中,起初汽车保险公司的一
名客户发现,居然能够通过自己的账户访问其
他客户的个人数据(包括驾驶证复印件、汽车
相关文件以及银行信息等),因而向法国数据
保护局进行了投诉。随后,法国数据保护局便
展开了调查。调查发现人们只要在搜索引擎
里输入客户的姓名或在该保险上填
写相关数字就可直接获取客户的数据。为此,
法国数据保护局要求该公司针对这种情形采
取补救措施,之后,法国数据保护局对该保险
公司的补救措施进行了检查。
经检查,法国数据保护局发现,尽管保
险公司采取了一些措施,但仍不足以阻止个
人数据的泄露,而且用户的登录密码设置也
不符合安全性要求……检查人员指出,“该
保险公司本应该确保每一个访问这些文件
的人都获得授权,但显而易见,他们没有做
到”。有鉴于此,法国数据保护局向该公司开
出了上述罚单。
编辑:薛华******************
各国先后发布了相关安全指南
发布评论