近日,CNCERT联合智联出行研究院(ICMA)对15类主流车型近期的数据出境情况进行分析,发现其中有12类产生了出境行为,覆盖率达80%,其中排名第一的品牌出境达413435次。整体来看,汽车数据出境并只不是某类汽车品牌的个别行为,而是涉及多类汽车品牌的普遍行为。
令人担忧的是,近日工信部网络安全管理局负责人表示,工信部已收录车联网安全漏洞信息超过2000条,包括车载智能网关、远程通信等漏洞。监测显示,今年上半年针对车联网平台的扫描探测、拒绝服务攻击、病毒木马植入等网络恶意行为超过100万次,较2020年同期增长超过80%。
数据出境的风险研究和把控,已刻不容缓。
出境量大、频率高
人民启信数据显示,目前我国拥有智能汽车产业相关企业达4397家,其中在一年内新成立的企业就达1645家。智能网联汽车与传统汽车相比,所产生的数据大量增加,包括个人认证数据、车辆认证数据、车辆运行数据、个人出行数据以及车辆周边采集数据等。
相关研究机构估算,以一辆自动驾驶测试车辆为例,其每天产生的数据量最高可达10TB,包括车辆行驶数据、车身数据、操控数据、视频数据、图像数据、坐标数据等数十类。智能汽车行驶所产生的数据是自动驾驶软件迭代升级的关键数据资源,相关数据采集、存储和分析应用对智能汽车企业具有重要的商业价值。
特别是在国内智能汽车市场,部分外商独资或中外合资车企,数据存储和利用等安全问题正日益受到关注。今年全国两会期间,多位代表、委员就智能汽车数据安全特别是数据出境问题表达关切,建议国家制定相关标准并加强数据的出境监管,细化相关数据的安全要求。
的确,汽车数据出境问题已经刻不容缓。CNCERT的研究结果显示,以车辆识别码为例,共发现我国境内车辆识别码通过网络出境超过100万次,按日统计情况,单日最大出境规模近8.3万次。从7月某日开始,每隔7天会有一次数据大量出境的情况。经过深入分析发现,主要为境内某汽车城数据中心向位于境外的某电子商务服务公司数据中心传送某品牌汽车数据,推测主要用于汽车销售。除去集中大量传输的5天之外,平均每天传输次数仍达到7000次左右,整体上汽车数据出境量大、频率高。
分析发现,部分出境数据涉及身份证号(行驶证号)、驾驶证档案编号、车牌号、手机号/固话、地址、经纬度等个人信息和地理位置信息。个人信息涉及公民的个人隐私,地理位置信息涉及汽车的行驶轨迹,它们与汽车数据结合可以还原驾驶人的身份和汽车信息,形成驾驶人画像,再结合经纬度即可形成活动轨迹。
数据出境场景和渠道复杂多样
汽车数据出境问题越来越受到广泛关注,今年5月25日,特斯拉迫于舆论压力,通过官方微博表态:在中国建立数据中心,所有在中国大陆市场销售车辆所产生的数据,都将存储在境内,并将向车主开放车辆信息查询平台。
智能汽车数据传输和存储问题不仅涉及消费者隐私,而且事关国家安全,那么这些重要数据是如何传输到境外的呢?新能源及智能网联汽车独立分析师曹广平介绍,数据传输的主体一是涉外车企,比如独资或合资车企;二是智能驾驶及网联化技术发展较快的企业;三是车辆拆解企业。
而数据传输到境外可能有三种主要途径。第一种是车企设定上传服务器的数据,如果服务器在国外,较容易传输到境外。第二种是通过二手车整车或废旧零部件出口的方式,直接随硬件输送到国外。第三种是通过汽车软件或硬件的后门或某种方式获取。
值得关注的是,目前部分车企虽然是正常收集个人信息、获取地理位置以及地图里周边环境信息,但未经我国相关机构进行审核,数据不存放在我国本地,而是存放到境外服务器的情况,虽然还未出现重大事故,但性质严重,也属于擅自破坏“汽车数据国门”的不良行为。
CNCERT的研究结果则更加触目惊心,它们发现存在汽车数据出境行为的境内IP地址45638个,覆盖境内全部31个省级行政区。其中,家庭宽带场景下的IP地址数量最多,但每个IP地址的汽车数据出境次数较少,推测主要为个人用户的境外访问行为;数据中心场景下的IP地址数量排在第二位,其汽车数据出境次数居于首位,但数据中心的责任主体难以溯源。
企业专线IP地址排在第三位,平均汽车数据出境次数仅次于数据中心,企业专线的IP地址一般由某一企业或组织机构独享。针对企业专线场景,共发现可识别单位共791个。可识别单位类型涵盖汽车销售维修服务、汽车制造、物流及客运、政务、保险和产权交易、科研机构、银行等,整体来看汽车销售维修服务类企业占比超过50%。
法规出台为车企树立“数据界碑”
智能汽车的数据采集很精细,一位技术人员告诉记者,精确到连路上小水坑都能收录进去,目前大多数智能汽车已经不是收集,而是达到“地图测绘”的水平了,而这些数据一般都会传到车企自建数据平台上,这些平台有的在国内,有的在国外,国内合资品牌汽车传感器所收集到的数据大多数都会传送到其海外研发部门。
如何约束汽车行业企业的数据出境行为?法律法规的出台无疑是最行之有效的方式。由国家网信办等五部门联合发布的《汽车数据安全管理若干规定(试行)》已于10月1日正式施行。规定在开展汽车数据处理中坚持“车内处理”、“默认不收集”、“精度范围适用”、“脱敏处理”等数据处理原则。
《汽车数据安全管理若干规定(试行)》强调,汽车数据处理者开展重要数据处理活动,应当遵守依法在境内存储的规定,加强重要数据安全保护;落实风险评估报告制度要求,积极防范数据安全风险;落实年度报告制度要求,按时主动报送年度汽车数据安全管理情况。因业务需要确需向境外提供重要数据的,汽车数据处理者应当落实数据出境安全评估制度要求,不得超出出境安全评估结论违规向境外提供重要数据,并在年度报告中补充报告相关情况。曹广平认为,这等于为车企树立了“数据界碑”。
与此同时,为贯彻落实《数据安全法》等法律法规,工业和信息化部研究起草了《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》,拟以规范性文件形式印发,10月30日前面向社会公开征求意见。其中第二十四条指出:工业和电信数据处理者在中华人民共和国境内收集和产生的重要数据,应当依照法律、行政法规要求在境内存储,确需向境外提供的,应当依法依规进行数据出境安全评估,在确保安全的前提下进行数据出境,并加强对数据出境后的跟踪掌握。核心数据不得出境。
企业自律数据安全不留死角
当然,在法律约束的同时,汽车行业企业也要高度自律。曹广平建议企业,严格对照规定,在车辆开发的全流程、车辆经营的全过程、车辆产品的全生命周期,严格执行规定,完成规定的报送工作,在汽车数据的收集、存储、使用、加工、传输、提供、公开等方面,尤其是向境内外第三方传输数据中,在横向的传播范围上不留死角。在智能网联化的新技术应用中,要持续对照审查,在纵向的产品发展中始终绷紧数据安全这根弦。“总之,汽车是‘数据国门’,规定是‘数据界碑’。”曹广平说。
数据出境的潜在风险,既可能伤害到个人隐私,也有可能威胁到国家安全。奥纬咨询OliverWyman董事合伙人张君毅指出,以前汽车行业的数据是手工收集,且数据量少;但智能汽车时代数据量几何倍数增长,这一问题也就随之凸显,如充电桩、加氢站等基础设施也存在数据泄露隐患。事实上,不仅是汽车行业,凡是涉及到大宗交易、基础设施以及和民生相关的大消费者数据,或多或少都在面临数据出境的安全问题,数据已经成为当下社会的一种生产资料。
数据出境一旦造成威胁国家安全和国民利益的严重后果,是任何企业也无法承担的。因此,张君毅也建议汽车行业企业在追求发展速度的同时,也要关注可持续发展;在追求利润的同时,也要扛起维护数据安全的社会责任。
本文来自中国汽车报,详情请查看原文链接