為加強個人信息和重要數據保護,規范汽車數據處理活動,根據《網絡安全法》等法律法規,國家互聯網信息辦公室會同有關部門起草了《汽車數據安全管理若干規定(征求意見稿)》(以下簡稱《規定》), 向社會公開征求意見。這是我國首個汽車行業數據安全管理的規章制度,是針對目前智能網聯汽車在發展過程中引發公眾關注的數據安全問題的監管回應。基于 360 大數據協同安全技術國家工程實驗室多年來在數據安全治理方面的研究和實踐工作,本文在數據開發利用和保障數據安全相互促進與協調發展的基礎上,從技術層面和管理層面提出了保障汽車數據安全的具體方法。
一、汽車數據利用與數據安全應達成平衡
1. 數字經濟時代需鼓勵數字創新應用
隨著人工智能、物聯網和大數據分析等技術的廣泛應用,經濟社會發展日益呈現數據驅動的新態勢,各類個人信息的處理活動不斷拓展,數據安全與發展的動態平衡已成為數字經濟領域各類新業態、新產業、新模式創新發展的關鍵。剛發布的《數據安全法》明確提出,“國家統籌發展和安全,堅持以數據開發利用和產業發展促進數據安全,以數據安全保障數據開發利用和產業發展”,其明確了國家鼓勵數據依法合理有效利用,以促進數字經濟發展。
從現在低級別的輔助駕駛,到未來高級別的自動駕駛,為了應對復雜多樣的路況和行車場景,數據的收集與分析利用是汽車智能駕駛在發展道路上不可或缺的動力源泉。而且,汽車作為人們的一個重要的生活空間,也將發展成為一個智能綜合體,汽車擁有的數字創新應用會成為一個品牌汽車能否取得市場成功的關鍵因素。因此,汽車產業需要鼓勵汽車數據的開發利用,鼓勵數字創新應用的發展,不能單純為了保障數據安全而遏制了數據的合法合規收集與數據開發利用,需要在兩者之間根據數字經濟時代的發展特點取得恰當的平衡。
2. 需正確把握汽車數據采集的度
在汽車智能網聯化的大潮中,很多行車安全功能的實現離不開數據的采集,自動駕駛所需的感知、決策、控制都依賴于大數據采集的各種場景,保障車主人身安全也需要行車路線和位置數據的采集,只有收集了這些數據才能使人車配合得更加緊密。我們知道,疫情時期健康寶的使用雖然收集了大量個人敏感信息,但同時方便了大家的出行,維護了公共安全,這需要我們在個人隱私信息上有所讓渡。同樣地,汽車收集的數據,雖然也會涉及個人隱私信息,但它會提高駕駛者的人身安全和行車安全。如果要獲得汽車智能化的一些功能,確實需要汽車去收集必要的數據。
根據《個人信息保護法(草案)》和相關標準規范,充分告知與授權同意是個人信息采集的基礎性合規框架。具體到汽車數據的業務場景,我們認為也必須要滿足個人隱私合規的法規標準要求。因為汽車和智能手機一樣,都屬于個人的物品,所以汽車數據安全的重點應放在對外交互數據特別是車企云服務平臺數據的安全管控上,不宜過度限制汽車數據的采集。對于《規定》的第六條(五)項中提出了“默認不收集原則”,要求“除非確有必要,每次駕駛時默認為不收集狀態,駕駛人的同意授權只對本次駕駛有效”,以及在第八條(二)項中規定駕駛結束(駕駛人離開駕駛席)后本次授權自動失效等條款,這在實踐中對于車主來說可能難以做到。我們建議對這些條款進行修改完善,車主只要有選擇的權利即可,從而可使車主更關注于車輛安全駕駛本身。
3. 區分車內數據和車外交互數據
《規定》第六條(一)項提出的“車內處理原則”,除非確有必要不向車外提供個人信息和重要數據。我們認為這是非常有必要的,也是科學進行汽車數據安全治理的關鍵。一方面,汽車屬于私人物品,必然會采集處理大量的個人隱私數據,只要這些數據在車內就沒有問題;另一方面,基于安全駕駛的需要,汽車也會采集大量的環境、路況、位置和地理信息,其中可能會涉及敏感數據。如果這些數據只是在車內由行車電腦進行處理,并不對外交互,可以認為不涉及數據安全和個人隱私保護問題。因此,“車內處理原則”實質上是區分了車內數據和車外交互數據,對于車內數據,其數據權屬于車主,應重點關注如何利用和安全保護;而對于車外交互數據,比如云服務平臺,其數據管理權屬于車企,則重點關注數據泄露風險,只有這樣才能更好地治理汽車數據,達到保障汽車數據安全的目的。
目前,行車電腦的性能已能滿足相關數據安全處理的要求。關鍵的一部分內容是車路協同所需的車外交互數據的處理,包括車車互聯、人車互聯、車輛與路側基礎設施以及云服務平臺的交互數據的處理。這需要區分不同的情況來將車外交互數據進行安全處理,以防止產生數據泄露和隱私侵犯等安全風險。例如,就像《規定》第六條條款所描述的,如果收集的車外行人個人信息經過了數據匿名化和脫敏處理,就無需征得其授權同意。具體而言,就要求行車電腦能夠刪除可識別自然人的畫面或對畫面中的人臉進行局部輪廓化處理,以及防止數據濫用或未經授權的第三方訪問。這是車企在數據處理方面的實踐中通常會采用的方法,體現了官方對此種處理方式的認可。
二、全周期全方位保障汽車數據安全
數智時代的到來讓汽車迎來新一輪的變革,汽車智能化在帶來便利的同時也極易引發數據安全問題。據英特爾公司預測,一輛聯網的自動駕駛汽車每運行 8 小時將產生 4TB 的數據。這主要是因為汽車上安裝了越來越多的傳感器,汽車收集的數據種類和數量不斷上升。在數智時代,所有的業務都將是數據驅動的,一旦敏感數據被破壞或泄露,將會造成重大經濟損失或生產癱瘓。因此,需要建立起數據全生命周期保護的理念,保障數據活動在每一個環節的數據安全。
1. 數據采集安全
汽車依賴其傳感器進行數據采集,通過網絡獲得來自云服務平臺或其他設備的交互數據。對于任何一個云服務平臺來說,汽車是主要的數據采集工具。因此,在某種程度上說,做好汽車數據采集安全,汽車數據安全就成功了大半。我們認為,汽車數據采集安全需要做到:1)在知情同意原則下進行數據采集,能夠獲得支撐汽車智能化發展所必須的數據;2)對采集的數據進行分類分級,至少區分車內數據和車外交互數據,并采取相對應的安全保護措施;3)對外發的車外交互數據進行匿名化、去標識化和脫敏等處理,防止敏感數據泄露;4)嚴禁汽車裝配超出地理信息測繪精度的部件,杜絕敏感測繪數據的采集;5)嚴禁采集相關法律法規禁止采集的數據。
2. 數據傳輸安全
汽車數據傳輸主要是針對車外交互數據,這存在很多潛在的攻擊入口和路徑,比如車內 Wi-Fi、藍牙和移動通信網絡等,需防止數據遭到嗅探、篡改和其他攻擊。因此,數據傳輸安全需要做到:1)對傳輸實體進行雙向身份鑒別,確保數據被正確的對象發送和接收;2)采取加密保護措施,防止傳輸過程中的數據劫持,防止惡意汽車控制交互;3)建立車與人、車與車、車與路、車與云協同的攻擊防御和無線通信安全防護機制;4)嚴禁汽車裝配衛星通信部件,直接與境外服務器進行數據傳輸。
3. 數據存儲安全
數據存儲安全需要關注兩個點:一是數據在汽車內的存儲安全,二是汽車數據在云服務平臺上的存儲安全。對于車內數據,應該有基本的訪問控制措施,防止未授權的訪問,且不需要長時間保存,例如,行車安全相關的數據可以用后即刪,或者根本不需要存儲。而對于云服務平臺上的數據,需要有數據庫安全防護和大數據平臺安全防護相關措施,并在管理上滿足相關法規標準要求。
4. 數據處理安全
汽車數據處理過程包括數據的使用和加工,應注意防范數據濫用和數據泄露問題。根據《規定》中提出的汽車數據運營者處理個人信息和重要數據應堅持 “車內處理”、“匿名化處理”、“精度范圍適用”原則,大量汽車數據在加工、分析處理前應對重要數據進行脫敏,保證數據可用性和安全性的平衡,在數據處理過程中應采取適當的安全控制措施,防止數據挖掘、分析過程中有價值數據和個人信息泄露的風險。對于需要商業合作伙伴進行數據開發利用的場景,比如進行某種汽車智能化功能的開發,汽車數據運營者需審核其數據安全能力,以有效降低數據應用開發過程中因提供數據帶來的數據泄露風險。
5. 數據交換安全
汽車數據運營者應嚴格控制汽車數據的交換,建議采用兩種方式:1)采用隱私計算技術,在確需多方汽車數據聯合計算的需求場景,通過隱私計算平臺來可控、安全地交換數據的使用權,保證自己的數據不離開本地,實現“數據可用不可見”模式下的汽車數據價值挖掘;2)對必須轉移或出售數據的需求場景,應嚴格按照相關法律規范,對數據進行去標識化、匿名化和脫敏后方可實施。同時,對數據交換過程應進行監控與審計,共享的數據不能超出數據共享使用授權范圍。
6. 數據銷毀安全
數據銷毀安全體現在汽車數據存儲介質上的數據銷毀和云服務平臺上的數據銷毀兩個地方。汽車應提供數據擦除功能,以支持原車主在汽車轉移登記之前將所有數據清除。而對于云服務平臺上的數據,云服務平臺應提供數據安全清除的功能。
7. 從“云、管、端”落實汽車數據安全保障措施
典型的車聯網結構分為“端”、“管”、“云”三層,汽車數據安全包括數據在這三個層面的安全保障。“端”主要指汽車,是屬于車主的個人物品;“管”指的是“云”和“端”之間連接的網絡通道,通常會通過移動通信網絡進行連接;“云”則是車企建立的云服務平臺,會從“端”獲取汽車相關的數據,為“端”提供相關服務。從“端”、“管”、“云”三個層面,更易于看清汽車數據安全保障措施的落地。汽車在出廠時就應具備基本的數據安全防護能力,例如安全策略設置、身份鑒別、數據加密、訪問控制和安全審計等功能,并可以通過行車電腦進行持續升級。同時,建議逐步增加數據分類分級、去標識化、匿名化和數據脫敏等功能,確保上傳給“云”的數據不含與服務無關的個人信息。通過在汽車和“云”上裝載數據加密模塊,確保“管”的數據通信是受到加密保護的。“云”數據安全是大數據平臺的數據安全,既需要身份鑒別、授權管理、訪問控制和安全審計等基礎安全功能,也需要數據庫安全、數據脫敏、數據接口和數據銷毀等涉及數據全生命周期安全的功能組件或模塊,并要求在中國境內建立云服務平臺。
三、加強汽車數據安全管理
除了采用上述數據安全的技術措施之外,還應該從管理角度采取措施來有效管控數據安全風險。
1. 限制汽車駛入的場所
就像手機不能帶入涉密場所一樣,應該對汽車駛入敏感場所進行嚴格限制,比如軍事管理區、國防科工等涉及國家秘密的區域,這是最直接簡單有效的管理辦法,可以在數據采集源頭上就根本杜絕數據非法采集和泄露的風險。
2. 限制汽車測繪精度
精準的自身位置定位和周邊環境感知是汽車自動駕駛的基礎,這涉及到對周邊道路環境和地理信息的測繪,也關系到國家安全。應按照測繪地理信息相關法規標準的要求,禁止采集超出滿足汽車自動駕駛功能需求的地理環境數據,嚴禁汽車裝配超精度測繪的零部件,對涉及國家安全的地理信息數據加強監管力度。而對于非自動駕駛汽車,則無需高精度測繪定位,相關零部件的測繪指標參數應進一步降低。
3. 管控汽車數據流動的安全風險
《意見稿》第十六條“科研和商業合作伙伴需要查詢利用境內存儲的個人信息和重要數據的,運營者應當采取有效措施保證數據安全,防止流失”。這是一個典型的涉及數據安全治理的問題,即在數據的流通共享中,如何確保數據的安全,它需要的是一個科學合理的數據安全治理體系。對于車企來說,采集上來的數據需要進行利用,很多科研和商業合作伙伴將會看到和利用這些數據,全量或部分數據將會流動到這些合作伙伴中。這需要汽車數據相關的車企、零部件供應商、應用軟件提供商、網約車企業、保險公司和科研機構等,在相同的數據安全治理體系框架下運行,持續不斷地提升自己的數據安全能力,才能有效管控數據流動的安全風險。建議采用基于數據安全能力成熟模型的數據安全治理體系,由專門的測評認證機構對汽車數據相關企業或組織進行數據安全能力評價,只有具備一定數據安全能力的企業或組織,才能獲得相應等級的汽車數據。
4. 對汽車數據出境嚴格管理
按照《網絡安全法》和《數據安全法》的要求,如《規定》第十二條明確規定的“個人信息或者重要數據應當依法在境內存儲,確需向境外提供的,應當通過國家網信部門組織的數據出境安全評估”,我們認為,汽車數據應原則上不出境。這一方面是要求所有在國內有銷售的汽車品牌,其車企應該在國內建立云服務平臺,數據在國內存儲、分析和利用;另一方面是汽車數據出境不是行車安全和使用汽車的必要條件。只有汽車設計、行車安全、重大事故等相關的數據,在經過匿名化、去標識化和脫敏處理,以及有關部門的安全審查之后,才能出境。
5. 嚴控大規模數據集的流動
《規定》中第十七條提出“處理個人信息涉及個人信息主體超過 10 萬人、或者處理重要數據的運營者,應當在每年十二月十五日前將年度數據安全管理情況報省級網信部門和有關部門”。這一條非常重要,通常對每一個品牌的車企來說,其云服務平臺收集處理的數據都將超過百萬級用戶,涉及聯系方式、位置、身份證號碼等大量用戶隱私數據。而對車企來說,這些大規模數據集都很有可能交給科研和商業合作伙伴去處理。因此,對這些有大規模數據處理需求的云服務平臺應進行嚴格監管,特別是要通過限制流動的數據量級來管控數據處理時的安全風險,并對其嚴格做好管理登記,要求數據流動所涉及的科研和商業合作伙伴應具備相應的數據安全能力。
6. 明確汽車數據分類分級規范
建議在交通領域數據分類分級標準規范的基礎上,盡快制定汽車數據分類分級規范,針對不同類別、不同級別的汽車數據,制定針對性的收集、存儲、傳輸和應用技術要求,確保用戶信息、車輛信息、測繪地理信息等數據受到恰當的保護,其相關數據活動處于安全可控的狀態。
7. 嚴禁汽車裝配衛星通信部件
為防止汽車采集的數據非法跨境傳輸,應嚴禁汽車出廠裝載衛星通信的零部件和軟件。
