美国《消费者报告》杂志称,特斯拉公司利用车内摄像头记录和传输乘客视频影像,从而开发其自动驾驶技术的做法,引发了人们对隐私泄露的担忧。其实,不仅是特斯拉,几乎所有智能汽车收集的信息、交互数据、有记忆功能的设置都涉及信息及数据安全问题。智能化程度越来越高的配置在给车主带来方便的同时,也给数据安全带来了新的挑战。
近日,因为特斯拉首席执行官马斯克在社交媒体发文,使得特斯拉车内摄像头窥探用户隐私的情况得以曝光。
马斯克称,将收回一些车主FSD Beta版本的试用权限,因为发现不少车主使用该功能时不注意路况。由此,引发众多车主纷纷质疑特斯拉是如何得知其在行驶过程中“不注意路况”的。虽然特斯拉车内的确装有摄像头,但根据以往的说明,默认使用范围是在车内,供疲劳驾车提醒等功能即时使用,并没有说过其可以保留数据并上传至企业云端的权限。特斯拉此举无疑暴露了其违反用户个人隐私保护原则,擅自监看用户隐私的事实。而且,对于这些质疑,马斯克也在社交媒体上回应“是的”。
“其实,包括特斯拉在内,几乎所有智能汽车由于需要实现高速联网、道路感知、车路协同、车机互联、人机互动、电子导航等功能,在车身内外使用越来越多的摄像头、毫米波雷达、激光雷达、卫星定位等感知设备,而这些智能感知设备犹如一柄‘双刃剑’,一方面为车上驾乘人员安全提供了更好的保障,但同时也会产生信息数据被窃取或泄露的风险。”西安工业大学微电子技术实验室工程师魏冬在接受《中国汽车报》记者采访时谈到,随着智能汽车渗透率日益提高和车主个人隐私保护意识的增强,数据安全问题已经不容忽视,能否合法保护和利用数据资源,不仅是车主个人会遇到的问题,也是所有智能汽车企业共同面对的课题。
目前,汽车智能化和网联化进程的推进必须以大量的数据积累作为基础。“不论是汽车硬件设施提高还是软件升级,都要收集尽可能多的数据,来对技术进行改善和优化。”中南大学交通运输研究中心研究员时蔚然向《中国汽车报》记者介绍了智能汽车通常情况下的硬件、软件配置情况。
他介绍,在硬件方面,以特斯拉为例,为了实现其自动驾驶功能,特斯拉装备前置、侧方和车尾摄像头,视野范围达360度,前置雷达可探测前方较远距离的障碍物;其超声波传感器则负责探测附近车辆以降低碰撞风险,辅助泊车;车上所使用的很多高精度传感器,使得特斯拉等智能汽车对环境的探测能力和数据分析能力,都是传统燃油车所无法企及的。
在软件方面,为了可以进行精确的自动驾驶分析决策,汽车将会实时感知车辆的高精度地图定位、视觉路况等情况。据已公开的信息,特斯拉可以采集到覆盖车主个人信息、车辆环境信息、车辆行驶信息、车主手机信息等在内的200多项信息,国内智能汽车厂商也能采集170多项。而且,目前备受智能汽车推崇的OTA远程升级技术,也涉及到汽车与车企数据库的大量数据交换,特别是在可视化驾驶、辅助自动驾驶变道、无线通信等方面,只有基于现有的行车记录数据,才能进行技术优化,实现这些能力的提升。
事实上,智能汽车用户的个性化体验、汽车与其他智能终端设备之间的通信、汽车与整个交通网络之间的资源共享等交互信息,都有赖于大数据的支持。“可以说,未来的汽车制造和出行服务,如同互联网一样,是建立在海量用户使用习惯的数据收集分析之上。因此,车主们所享受的便利,其实是以出让部分个人信息的使用权为代价而获得的。”时蔚然说,对于车企来说,窥探车主行驶过程中的个人隐私非常容易,关键在于车企是否能自觉守法,合法合规使用数据,以及保证这些个人隐私数据不被泄露。
智能汽车上采集了车主大量的个人隐私信息,储存量远高于手机等日常使用的智能终端设备。“车辆和车企都能收集到这些个人隐私信息,如何保护好这些个人隐私信息,不被窃取用于非法的目的,车企也有一定的责任。”湖南法源律师事务所律师任羽伦告诉《中国汽车报》记者,智能汽车的信息数据安全主要面临三大非法手段窃取的威胁:一是黑客攻击,进入汽车信息控制系统,从而控制汽车的一些功能并可窃取数据;二是通过特制芯片及非法的“黑卡”,连接到车辆CAN总线系统,再通过无线通信网等控制汽车所有控制域的部件,同样可以窃取车上数据;三是通过密码破解,窃取车主使用的解锁APP等的密码,进而定位车辆并窃取相关个人隐私信息和车辆的控制信息。
数据安全漏洞大
“上次在一家4S店做过维修保养后,其他的4S店、车险、甚至基金的推销电话每天接连不断。根据时间推测,肯定是那次做维修保养时,车上智能设备储存的一些个人信息被盗了。”车主刘先生所言,正是一些智能汽车车主遭遇的烦恼。
其实,在另外的一些车主个人信息失窃案例中,有的是因为车上智能设备存在安全漏洞,也有的是因为黑客攻击造成的。“如果黑客通过车联网安全漏洞实施攻击,轻则可以窃取个人信息,重则可以部分控制行驶状态下的汽车甚至盗走车辆。”华泰证券分析师凌岳斌在接受《中国汽车报》记者采访时介绍,随着5G车联网、自动驾驶、车路协同的广泛应用,智能汽车的数据交换更为频繁密集。因此,智能汽车上的微小漏洞都可能给网络攻击、木马病毒、数据窃取带来机会。在智能汽车及智能终端的可靠性上,即使是特斯拉也难以做得很周全,而网络数据安全漏洞,正是被黑客入侵的“窗口”。3月初,一群美国黑客称他们成功入侵硅谷,监看到Verkada科技公司收集的海量数据,包括15万个实时录像,其中一个视频来自特斯拉上海工厂,这些黑客可以轻松看到特斯拉工厂及仓库的222个监控录像。对此,特斯拉回应称,已断开网络,并从内部查找网络漏洞。其实,这样的情况也很可能在车上出现,造成信息数据泄露。
据特斯拉的公开报告,曾经有中外工程师合作挖掘出特斯拉智能系统的多项安全漏洞,并演示如何通过干扰传感器和通信模块,“黑”进特斯拉的智能系统,窃取信息如探囊取物。
2019年,欧洲ADAC汽车协会曾对33个品牌的237款汽车进行了一项安全测试,结果显示99%的车辆能够被黑客解锁,最短耗时仅需18秒。2020年,我国国家市场监管总局缺陷产品管理中心联合相关机构,针对多款智能网联汽车进行信息安全测试,结果发现高达63%的车辆存在一定程度的信息安全隐患。
事实上,目前智能汽车上常见的功能涵盖了车机互联、车联网、辅助自动驾驶、导航、自动泊车、电子车钥、遥控车辆等,除了车路协同自动联网的部分功能之外,车主要使用车机互联的功能,就需要登记个人身份证件、手机号码等个人隐私信息。“因此,智能汽车一旦出现网络安全漏洞或被黑客攻击,首先面临的就是关键信息被窃取,从技术角度最大限度防范安全漏洞至关重要。”凌岳斌表示,智能汽车正逐步从封闭网络向开放网络升级,过去只在电脑、手机等智能终端出现的远程控制、数据窃取、信息泄露等数据安全问题,已经蔓延到智能汽车上,严重威胁到个人信息隐私的安全。
保护个人隐私信息数据安全,并不能只凭自觉,而是要方方面面遵守法律制度。“目前,我国已经有了部分相关的法律法规及国家标准。”江苏中天律师事务所主任律师吴江向《中国汽车报》记者介绍,一是我国《网络安全法》中规定,公民所有个人信息均受到相关法律的保护;二是我国《民法典》第一千零三十五条规定,处理个人信息应当遵循合法、正当、必要原则;三是我国《消费者权益保护法》第二十九条规定,经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。
窃取车主个人信息,被追究刑事责任的,也有相关案例。2017年,在江西某4S店工作的一名员工,因为想离职自己开汽车维修店,为了保证客源,他在离职前将这家4S店的客户信息拷入了自己的U盘。离职之后,他利用从4S店拷贝的客户信息,逐一向上述客户推送其维修店的广告短信,邀请客户。当地法院已对其作出一审判决,认定其构成侵犯公民个人信息罪,判处拘役3个月缓刑3个月,并处罚金人民币2000元。
国际上尤其是发达国家对于数据保护,更是下了很大功夫。2018年5月,欧盟出台了号称史上最严厉的《通用数据保护法令》,旨在更为全面覆盖网络相关的各行各业,加强个人隐私保护。“相对于发达国家而言,国内智能汽车信息数据安全法律法规还不是十分健全,面对智能汽车技术快速发展的现实,的确还需要加强个人信息及数据安全相关法律法规建设。”任羽伦说。
亟待消除信息安全焦虑
智能汽车日渐增多,信息数据浩如烟海,车上的个人信息、使用习惯、导航轨迹、定位记录等数据,必须通过健全法律法规制度体系,来保护个人信息及数据安全,这正成为业界共同关注的焦点。
2020年,11部委联合发布《智能汽车创新发展战略》,国务院办公厅印发《新能源汽车产业发展规划(2021~2035年)》,明确提出加快智能化系统推广应用和新能源汽车产业高质量发展,增强产业核心竞争力。近日,国务院又印发《国家综合立体交通网规划纲要》,要求推进交通基础设施数字化、网联化。智能网联汽车发展正迎来政策“红利期”,将会带动能源、交通、出行等领域巨大变革。
但是,面对智能网联汽车这一新生事物,与之配套的法律法规亟待完善,其中网络安全问题尤为突出,存在对数据泄露的防范不足,对数据违法的处罚力度不够等问题。
为此,今年的全国两会期间,智能汽车数据安全问题受到代表委员的广泛关注。上汽集团董事长陈虹认为,应从加强数据隐私保护、制定过程审查制度以及严惩违法违规行为等方面保护汽车数据安全。他建议,建立准入制度,智能网联汽车数据(包括高精地图数据)的采集、存储和商业用途需经国家相关部门备案管理。只有满足数据安全和隐私保护要求的智能网联汽车产品才能进入汽车公告目录;制定过程审查制度,要求智能网联汽车的制造和销售企业建立完备的数据安全管理和软件升级流程,借鉴互联网信息管理制度,智能网联汽车提供的数字服务内容也需要接受政府部门的监管和审查,并对所涉及的敏感数据及个人隐私数据出境问题作出明确的规定。
“建立准入制度和备案管理是可行的,目前国外很多发达国家都是这样做的。”任羽伦表示,健全相关法规,还要实现三个基本目标,一是数据采集使用要合法,车企不能以欺诈、诱骗、误导的方式收集个人信息;不应隐瞒使用消费者个人信息的目的、方式和范围;不能非法获取个人信息。二是要正当,智能汽车上的不同功能或产品需收集多类消费者个人信息时,不应强迫消费者一次性全部同意授权。应将消费者作出的肯定性动作,如书面授权、主动勾选等作为特定业务功能的启动条件。三是坚持必要性原则,车企收集的消费者个人信息类型与实现产品或业务的功能应有直接关联,应严格按照消费者授权同意的目的、方式和范围处理消费者个人信息。
数据显示,一辆自动驾驶汽车每天产生的数据量最高可达10TB。在汽车数字化趋势越来越明显的今天,对数据安全和个人信息安全的需求越来越迫切。报告显示,从2016年到2020年,智能汽车信息安全事件的数量增长了605%,其中针对智能网联汽车信息安全攻击的事件就达到155起。
“对智能汽车数据加强监管有一定的紧迫性,但是因为缺乏相关经验,实施备案制管理也要逐步探索,分步实施,避免‘一刀切’的方式。”吴江表示,如果从健全法律角度看,一是新制定的法律法规一定要兼顾国家、社会、企业、个人的数据保护,如果只保护个人有失偏颇;二是实行备案制,既要对企业进行合规审核,检查企业采集、管理、使用数据的规则,也要厘清对企业发生信息安全事故的责任。
在推动法规建设的同时,数据安全也涉及标准化问题。“除了法律法规,建设智能汽车数据安全标准体系,在全球范围内都得到高度重视。”全国汽车标准化技术委员会电动车辆分标委副主任委员杨世春在接受《中国汽车报》记者采访时介绍,欧美等发达国家和地区都在持续推进相关的标准及法规建设。
近日,欧盟发布的增强未来工业战略报告中,将完善智能汽车的网络数据安全标准作为提升产业竞争力的重要路径之一。而美国公路和汽车安全协会也于近日提交了新的建议,推动国会通过智能网联汽车立法,以解决现有的信息及数据安全等问题。
智能汽车数据安全标准建设,在国际范围内备受关注。去年7月,在联合国世界车辆法规协调论坛第181次全体会议上,表决通过了智能汽车的车联网信息安全等三项智能网联汽车领域的重要技术法规,并于2021年1月1日起实施。
目前,关于智能汽车数据安全问题的热议正持续发酵。“智能汽车与智能手机的核心都是网络与信息,手机能采集个人信息,智能汽车同样能采集个人信息,关键是不能过度采集,不能逾越法律与道德的底线,才能有利于推动智能汽车产业健康发展。”时蔚然表示,“保护个人信息和数据安全,既要健全法律法规、完善标准体系,也要提高全社会的自觉合法合规意识,跨越数据安全鸿沟任重而道远。”