堵住汽车数据安全漏洞
王轶辰 文
今后,汽车安全又多了一项核心指标,即汽车数据安全。5月12日,国家网信办就《汽车数据安全管理若干规定(征求意见稿)》公开征求意见。这是继4月29日全国信息安全标准化技术委员会发布关于征求《信息安全技术网联汽车采集数据的安全要求》标准草案意见的通知后,又一部门出台对汽车数据安全的管理办法。
安全性能向来是消费者购买汽车最看重的指标之一,刹车性能、安全气囊、倒车影像、并道辅助等都是车辆安全的基本保障和加分项。但在智能汽车时代,数据安全日益成为一柄高悬于车主头顶的利剑。
智能汽车带来的新风险远超人们想象。2019年,全球主要汽车厂商均出现了大小不等的信息安全事故:由于APP遭到破解,在美国芝加哥有100辆奔驰车被盗;由于黑客组织对公司网络系统渗透,宝马公司计算机受感染被迫关闭;由于车友会网站存在漏洞,大量奥迪车主信息泄露。根据Upstream Security2020年发布的《汽车网络安全报告》显示,2016年至2019年,全球汽车网络安全事件数量增加了605%。
以往道路交通安全才是行车安全的核心,如今汽车数据安全渐成“主角”。随着汽车智能化、电子化水平提高,造车的底层逻辑从“硬件优化”转为“以软件为中心”,汽车的核心部件也逐渐由曾经的发动机、变速箱、底盘,转变为由芯片、软件以及数据组成的“汽车大脑”。有专家甚至形象地将智能汽车比喻为“装上四个轮子的手机”。
为提升汽车的智能化水平,安装到汽车上的传感器越来越多。在车内,有内部摄像头、定位设备、座位传感器等,可能会采集到车主及乘客的隐私信息;在车外,有车载摄像头、激光雷达、毫米波雷达等,能够对车辆行驶途经的道路、城市数据进行全方位扫描和数据采集。大量车载传感器的应用,导致车辆收集数据的种类和数量都呈指数级增长。据相关研究机构估算,一辆自动驾驶测试车每天产生的数据量最高可达10TB。
面对快速增长的汽车数据,我们缺乏对数据采集和存储方面的权责规范,对于数据的商业用途约束要求不清晰,数据泄漏的防范不足,数据违法采集与应用处罚更缺乏力度。一旦汽车数据安全出现问题,除了个人信息泄露,攻击者还能对汽车实现远程操控,包括远程开车门、远程启动、远程熄火等,严重威胁智能汽车安全驾驶。汽车数据安全可谓猛于虎。
安全是1,其余都是0。如果汽车数据安全得不到有效保障,再好的用户体验、再高级的行车功能都无济于事。保障数据安全首要是将数据采集和应用装入制度的笼子,做到“知情同意、最小够用”。运营者在处理个人信息和重要数据过程中应遵循默认不收集、车内处理、匿名化处理等原则,除非确有必要,每次驾驶时应默认为不收集状态;出现数据采集后,除非确有必要不向车外提供数据。
相关部门也应加大监管和执法力度,对于违反相关法律法规的严厉惩处。当然,数据是智能汽车商业创新的源泉,在监管上也应做到张弛有度,方能推动行业行稳致远。
摘自《经济日报》