当前智能汽车的快速发展,给消费者带来了更智能、更便捷用户体验的同时,也引发了一系列的行业痛点,特别是汽车数据安全。
据Upstream Security此前发布的2020年《汽车信息安全报告》显示,从2016年到2020年1月,4年时间里汽车信息安全事件的数量增长了605%,其中仅2019年公开报道的针对智能网联汽车信息安全攻击的事件就达到了155起。这些事件轻则造成个人隐私泄露,重则损坏企业利益,甚至严重扰乱社会秩序,危害国家安全,影响十分恶劣。
为营造良好的汽车数据使用环境,加强个人信息和重要数据保护,规范汽车数据处理活动,国家互联网信息办公室会同有关部门起草了《汽车数据安全管理若干规定(征求意见稿)》(以下简称《征求意见稿》),于5月12日正式向社会公开征求意见。
《征求意见稿》提出,汽车设计、制造、服务企业及其他相关机构处理个人信息或重要数据时,目的应当合法、具体、明确,与汽车的设计、制造、服务直接相关。当运营者收集个人信息时,应当取得被收集人同意,法律法规规定不需取得个人同意的除外。实践上难以实现的(如通过摄像头收集车外音视频信息),且确需提供的,应当进行匿名化或脱敏处理,包括删除含有能够识别自然人的画面,或对这些画面中的人脸等进行局部轮廓化处理等。
个人信息或者重要数据应当依法在境内存储,确需向境外提供的,应当通过国家网信部门组织的数据出境安全评估。运营者处理重要数据时,应当提前向省级网信部门和有关部门报告数据类型、规模、范围、保存地点与时限、使用方式,以及是否向第三方提供等。处理个人信息涉及个人信息主体超过10万人、或者处理重要数据的运营者,应当在每年十二月十五日前将年度数据安全管理情况报省级网信部门和有关部门。
《征求意见稿》中还分别对个人信息和重要数据进行了定义。其中“个人信息”主要包括车主、驾驶人、乘车人、行人等的个人信息,以及能够推断个人身份、描述个人行为等的信息。“重要数据”则包括:
1、 军事管理区、国防科工等涉及国家秘密的单位、县级以上党政机关等重要敏感区域的人流车流数据;
2、 高于国家公开发布地图精度的测绘数据;
3、 汽车充电网的运行数据;
4、 道路上车辆类型、车辆流量等数据;
5、 包含人脸、声音、车牌等的车外音视频数据;
6、 国家网信部门和国务院有关部门明确的其他可能影响国家安全、公共利益的数据。
在处理个人信息和重要数据过程中,《征求意见稿》提出运营者应坚持五大原则:
1、车内处理原则,除非确有必要不向车外提供;
2、匿名化处理原则,确有必要向车外提供的,尽可能地进行匿名化和脱敏处理;
3、最小保存期限原则,根据所提供功能服务分类型确定数据保存期限;
4、精度范围适用原则,根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率;
5、默认不收集原则,除非确有必要,每次驾驶时默认为不收集状态,驾驶人的同意授权只对本次驾驶有效。
运营者处理个人信息时,应当通过用户手册、车载显示面板或其他适当方式,告知负责处理用户权益责任人的有效联系方式,以及收集数据的类型,包括车辆位置、生物特征、驾驶习惯、音视频等,并提供收集每种类型数据的触发条件以及停止收集的方法,收集数据的目的、用途,数据保存地点、期限,删除车内、请求删除已经提供给车外的个人信息的方法步骤。
事实上,汽车数据安全在近两年已经成了汽车产业发展的重要议题。比如今年“两会”期间,包括上汽集团董事长陈虹、360集团创始人周鸿祎、小康股份创始人张兴海等在内的多位参会代表均提出了要加强汽车信息安全防护。其中陈虹建议建立准入制度,比如智能网联汽车数据(包括高精地图数据)的采集、存储和商业用途需经国家相关部门备案管理,只有满足数据安全和隐私保护要求的智能网联汽车产品才能进入汽车公告目录。
360集团创始人周鸿祎则提出,可将智能汽车的联网安全防护体系纳入车辆生产、销售和服务体系中,并逐步形成强制性要求,像汽车安全带一样,列为汽车安全的标配。构建智能汽车实网攻防式安全验证平台,推进智能汽车联网安全测试成为新的、常规的“汽车碰撞测试”,甚至适时建立强制测试,并定期开展实战攻防演练和能力评估。
当前,汽车智能化变革渐入深水区,随着各类
传感器在车内的广泛运用,以及车辆与外界的互联互通性不断增强,很多智能汽车都开始具备强大的数据采集能力。比如特斯拉,据悉可以采集覆盖车主个人信息、车辆环境信息、车辆行驶信息、车主手机信息等200多项信息,国内同类厂商也采集有170多项,一旦这些数据落入不法分子手里,被恶意使用,无疑将对社会安全乃至国家安全带来巨大风险。
因此,建立完善的汽车数据安全体系确实迫在眉睫。如今国家层面已经开始着手制定相关的法规标准,这意味着不久的将来汽车数据的收集和利用将真正有规可依。
(原标题:网信办出手,汽车数据安全管理即将“有规可依”)
我要评论