TRAFFIC AND SAFETY | 交通与安全
胡红霞
中共湖南省委党校 湖南省长沙市 410006
摘 要: 随着“5G”时代的到来,汽车行业的中国制造正加快转变为“中国智造”,智能网联汽车开始逐步广泛普及。
但近年来多次发生的特斯拉汽车事件,引发了社会对智能网联汽车数据安全问题的担忧。智能网联汽车的数据安全风险存在于数据的采集、存储、传输、使用和跨境流动等多个方面,为加强我国智能网联汽车数据安全风险与控制,要从多个维度进行规制。
关键词:智能网联汽车 数据 数据安全
1 引言
近年来,特斯拉事件频发,智能网联汽车的数据安全风险引发社会广泛担忧。针对智能网联汽车数据的采集、存储、传输、使用、跨境流动等方面的安全风险,急需提出相应的解决对策。
2 智能网联汽车的基本概念
智能网联汽车,包含智能汽车和车辆网两个方面。智能汽车是通过先进的电控系统、大数据、人工智能和算法等技术来实现车辆的半自动或者全自动驾驶的新型汽车;车联网是通过物联网和全新的信息通信技术,实现“人—车—路—云”的复杂链接形态。二者相辅相成,共同促进智能网联汽车的发展。
3 我国智能网联汽车存在的数据安全风险
3.1 数据采集
根据研究估算,一辆智能汽车每天大概会产生大约10TB的数据。智能网联汽
车厂商采集信息,不仅是用于汽车自动驾
驶分析决策,还是为了获得进行商业创新
和拓展市场的数据资源。但在采集海量的
数据过程中,存在很多数据安全风险。
第一,行车安全风险。由于智能网联
汽车搭载了车载传感器,若车载传感器会
被攻击,可能会采集到一些虚假数据,影
响到行车安全。例如在2021年2月份,福
建厦门一名车主在空无一车的隧道中正常
行驶,但在智能汽车的中控大屏中却出现
了一辆公交车的行驶图像,这便是数据采
集中出现了问题,采集到了虚假数据,一
定程度上会影响行车安全。
第二,个人隐私风险。目前智能网联
汽车法律规制和行业规范尚未完善,厂商
可能会以欺诈、诱骗、误导等方式收集个
人数据,并隐瞒数据的使用目的、方式和
范围;在车辆相关不同功能或者产品收集
多种用户个人数据时,会强制用户一次性
全部授权同意等;在采集数据的过程中,
存在未经授权的非法采集隐患,即汽车上
装载的传感器会对车上用户甚至车外的行
人持续获取信息,存在侵犯个人隐私的风
险。[2]
第三,国家安全风险。在智能网联汽
车厂商采集数据过程中,特别是涉及到实
时环境信息、敏感的地理位置信息等,一
旦被滥用或恶意泄露,会对国家安全带来
巨大的风险。
3.2 数据存储
智能网联汽车数据存储主要有云端存
储和本地存储两种,云端存储是主要形式。
在智能网联汽车的数据存储中,存在一些
的不足和漏洞,潜藏了一定的数据安全风
险。
第一,数据分类分级不清。目前智能
网联汽车的数据存储是采用分布式的存储,
在智能网联汽车采集的海量数据中并未对
不同类型、不同级别、不同来源等的数据
Data security risk and control of Intelligent connected V ehicles in China
Hu Hongxia
Abstract: W ith the arrival of the "5G" era, Made-in-China automotive industry is accelerating its transformation into "Intelligent manufacturing in China", and intelligent connected vehicles have gradually become widely available. However, tesla incidents in recent years have triggered social concerns about data security of intelligent connected vehicles. Data security risks of intelligent connected vehicles exist in data collection, storage, transmission, use and cross-border fl ow, etc. In order to strengthen data security risks and control of intelligent connected vehicles in China, regulations should be carried out from multiple dimensions.
Key words:Intelligent connected vehicle, Data, Data security
170AUTO TIME
TRAFFIC AND SAFETY | 交通与安全
进行详细的分类,导致了数据使用不便。
第二,重要数据保密程度不足。由于数据分类分级不清,对一些重要性的数据未进行特殊存储和加密保护,存在重要数据被窃取、篡改和泄露的风险。
第三,缺乏细粒度访问控制机制。目前云端存储中对不同级别的数据没有相应的细粒度访问控制机制,公众访问权限过大,极易导致数据被泄漏甚至滥用。
3.3 数据传输
目前,智能网联汽车的数据传输是指数据在各业务平台之间、各节点之间、各组件之间和跨组织的数据传输,主要分为内部传输和外部传输两种。
第一,内部传输。智能网联汽车的数据内部交互,主要采用的是传统的CAN 总线或以太网,保护措施比较弱。传统的CAN报文极易被篡改甚至伪造,实践中常发生线路连接接口和总线故障导致感知数据无法及时采集的情况,影响行车风险。
第二,外部传输。智能网联汽车数据与外部进行交互,是通过车外通信网络进行传输数据,存在数据在传输过程中被窃听、篡改的风险,不仅是个人隐私可能被泄露,还有地理信息数据、敏感数据在传输中不采用加密机制也可能被窃取、泄露,甚至会影响国家安全。
3.4 数据使用
在数据使用过程中,主要存在以下问题和风险:
第一,敏感数据易被获取。由于智能网联汽车在存储阶段对数据分级分类不清,对重要和敏感的数据未进行加密保护,从而导致敏感数据在未经过授权的情况下极易被非法获取,也一定程度上存在个人隐私泄露的风险。
第二,数据滥用。当前,智能网联汽车的数据是掌握在车企手中的,数据也成为其产品开发和市场扩展的重要资源,但我国《民法典》明确规定公民是数据的所有者,个人数据能否成为车企开发产品的资源是值得商榷的,而且由于智能网联汽车数据的权责不明确,也存在数据滥用的风险。
第三,数据公开难且真实性存疑。在智能网联汽车中,虽然个人是数据的所有者,但是数据掌握在车企手中。以2021年
4月上海车展“刹车失灵维权案”为例,一
工信部约谈特斯拉方面,车企一方在最初以各种理由推诿且
不愿意公开有关数据,在数据使用的过程
中存在数据公开难的问题,公开与不公开
都是车企一方自主决定。另一方面,数据
真实性存疑。由于特斯拉事故车的原始数
据在没有监督的情况下由特斯拉单方面进
行提取,某种意义上而言,数据层面的“第
一现场”已经失去,更改黑匣子数据的可
能性是存在的。而且,特斯拉既当运动员,
又当裁判员,特斯拉将自己管理的数据在
未经第三方监管的情况下拿出来,数据公
信力不足。
3.5 数据跨境流动
在当今全球化的趋势中,智能网联汽
车数据的跨境流动十分常见。目前,我国
的大部分汽车都是合资品牌的汽车,还存
在部分进口汽车,通过网联服务可能会将
车主的身份信息、使用习惯和车辆行驶路
径等属于用户个人的信息传到。但是,
在智能网联汽车的数据跨境流动中,也存
在一定的问题和风险。
第一,划分数据标准不一。由于各国
之间划分数据的标准存在差异,对敏感数
据和重要数据的界定范围也存在不同,因
此在智能网联汽车数据跨境流动中可能会
导致我国的重要数据或者敏感数据外漏,
影响国家安全。
第二,缺乏有效监管。目前我国在智
能网联汽车数据的跨境流动中缺乏完善的
法律法规规定,对智能网联汽车跨境流动
的数据也缺乏完善的监管措施,数据违法
跨界传输现象常有发生。
第三,缺乏实操性措施。目前我国对
智能网联汽车数据违法跨境流动的行为缺
乏实操性处理措施,即使发生了违法的跨
境流动,当前我国的相应处理手段和处理
技术也跟不上。
4 完善我国智能网联汽车数据安全的
举措
4.1 完善法律法规,出台智能网联汽车
数据安全专门法
随着汽车领域新兴技术的大规模应用,
机械汽车正加速转变为智能汽车,智能网
联汽车已经成为各国产业技术发展的战略
制高点。数据作为当今各国经济的新驱动,
数据即价值。目前我国对智能网联汽车数
据安全的规定大多只是原则性规定,针对
目前变化万千、层出不穷的数据安全,要
加大技术配合和改进力度,完善法律法规,
并突破立法上的难点,从而更好保护我国
智能网联汽车数据安全。
当前,对智能网联汽车数据安全的详
细规定大多规定在各种部门规章之中,例
如2020年发改委联合多部门发布的《智能
汽车创新发展战略》、2021年工信部出台
《汽车数据安全管理若干规定》和《关于
加强智能网联汽车生产企业及产品准入管
理的意见》等,法律位阶较低,出台的部
门规章繁杂,不利于集中统一对智能网联
汽车数据安全进行规制,因此出台智能网
联汽车数据安全专门法便尤为重要。
4.2 细化行业要求,加快制定智能网联
汽车数据安全标准实施细则
针对智能网联汽车数据采集和存储中
出现的安全风险,虽然目前在部门规章中
多次提出要加强数据分级分类,对敏感数
据加强保护等等,但具体的内容和实施细
则并未规定。因此,要加快制定智能网联
汽车数据安全标准实施细则,与此同时还
可以通过促进科研机构和智能网联汽车厂
商相互合作的方式,研究制定智能网联汽
车数据安全相关的全生命周期管理、技术、
测评等标准规范,共同推进智能网联汽车
数据安全标准的运用。
第一,制定数据分级分类的标准细则。
一方面,对数据安全等级划分,对敏感数
据和个人信息加强保护和提高访问权限,
以防国家秘密被窃取、泄露和个人信息被
滥用的风险。另一方面,对数据进行分类
存储。对不同行业不同种类的数据进行分
类存储而非统一集中化无序存储,将极大
便利数据的使用。
第二,明确智能网联汽车厂商采集数
据的范围。对于涉及个人隐私的数据,应
该在数据安全标准实施细则中明确规定是
否可以采集、采集后应如何防止个人隐私
被泄露和如何加强对采集的个人信息的技
AUTO TIME 171
TRAFFIC AND SAFETY | 交通与安全
术保护。
第三,禁止智能网联汽车厂商强制性要求用户一次性授权同意采集所有用户个人数据。在实践中,用
户在使用智能网联汽车产品的功能和服务前,常常会出现车企强制性要求用户一次性授权全部个人数据,否则就不能使用该产品。在数据安全实施细则中,应严厉打击此种行为,并在合理的范围内对车企收集用户个人数据的种类和范围进行明确规定。
4.3 突破技术难点,构建智能网联汽车数据安全防护体系
在数据传输和采集中,都存在由于智能网联汽车数据安全防护体系不健全导致数据风险出现。因此,要加快突破技术难点,构建智能网联汽车数据安全防护体系。
一方面,加强入侵检测和防护技术的创新,通过多层网络防护和多重检测技术结合,实时对智能网联汽车数据传输的网络流量进行深度检测,精准判断出攻击和异常行为。[3]
另一方面,督促车企强化网络和数据安全防护,各类软件都要通过安全检测,尽可能减少软件漏洞,并且建立相应的评估检测机制,搭建实验平台,将智能网联汽车数据安全防护体系应用在整个数据过程中。
4.4 强化政府监管,建立健全智能网联汽车数据安全责任体系
针对数据使用中存在的问题和风险,第一,构建适应行业发展、确保数据安全、满足政府有效监管的数据安全责任体系。 由智能网联汽车产业发展专委会负责,并协调各部门,建立以数据安全为重点的
安全责任体系,明确汽车厂商、元器件和软件提供商、设备提供商、通信运营服务商、云服务平台提供商、数据和内容提供商等相关主体的安全责任。并且,将目前智能网联汽车相关企业和产品纳入现有的数据安全责任体系,定期开展安全监督检查,并将智能网联汽车数据安全的事件进行公告,以避免数据的滥用和无法追责的情况出现。
第二,在全国范围内建立智能网联汽
车大数据交互区块链平台。由车企定期在
平台上生成并上传带有时间戳的“指纹”
数据标签,当车企需要提供数据时,可以
快速通过将所提供数据的数据标签与之前
已在平台“备案”的数据标签进行比对验
证来证明所提供数据的真实性,验证结果
可以作为有效的法律依据,并且该平台要
由政府进行监管。
4.5 推动全球数据标准一体化建立,严
格监管数据跨境流动
针对当前数据跨境流动带来的诸多安
全隐患,第一,要发挥我国的大国责任,
推动全球数据标准一体化建立。对于智能
网联汽车的数据类型和范围,结合各国实
际和国际上的惯例,制定全球统一的数据
标准,以消除各国对于数据跨境流动可能
带来敏感数据泄露而引发国家安全风险的
顾虑,从而推动智能网联汽车行业进一步
发展。
第二,建立数据准入制度和备案管理。
针对我国的数据跨境流动,可以加强对数
据的严格监管,对于我国跨境流动的有关
数据制定标准和细则,明确准入的种类和
范围,明确未经审查的数据不得出境,并
且进行备案管理,以加强国家安全。
第三,鼓励和推动车企在中国建立数
据中心。目前我国是智能汽车销售的最大
一块国际市场,众多外资企业和中外合资
企业在我国进行销售,要鼓励和推动车企
在我国建立数据中心,同时将我国用户的
数据存储在国内,不仅是为了更好服务我
国的用户,一定程度上还可以避免数据敏
感的问题。
第四,制定数据跨境流动实施细则。
违法必追责,针对目前我国对数据违法跨
境流动缺乏实操性措施的尴尬境地,我国
要加快制定数据跨境流动的实施细则,加
大对数据违法跨境流动的打击力度,并且
加强国际合作,推动各国在数据违法跨境
流动联合追责机制的建立。
5 结束语
当前,智能网联汽车已经成为汽车行
业的新趋势,智能汽车行业的竞争核心实
质上是数据竞争,因此理清我国智能网联
汽车存在的数据安全风险,并针对存在的
风险提出相应的对策,是具有理论和实践
研究意义的。
参考文献:
[1]杨殿阁.对当前智能汽车数据安全的 6 点
看法[J].汽车纵横,2021(05):90-92.
[2]李雅琪,余雪松,温晓君 . 加强智能网联
汽车数据安全管理刻不容缓 [J]. 网络安全
和信息化,2021(09).
作者简介
胡红霞: (1998.01—),女,汉族,江西省赣
州市上犹县人,本科毕业于吉林大学法
学院,硕士现就读于湖南省委党校法硕
研究生,曾获优秀研究生,研究方向为
数据安全、个人信息保护等。
172AUTO TIME
发布评论