筑牢数据安全底线 推进车联网数据安全建设

交通作为城市发展的主要动力,对促进生产要素的流动、推动社会经济增长有着决定性的影响。近年来随着新一代信息技术与基础设施建设的融合,智能交通开始步入发展的快车道,智慧交通势在必行。

中研普华研究报告《中国智能交通行业深度分析及发展战略研究咨询报告(2021~2026版)》显示,2018年中国智能交通市场规模达1340.6亿元,同比增长14.87%;2019年中国智能交通市场规模约1520.2亿元。在这一过程中车联网和自动驾驶的融合发展,无疑将推动智慧交通的建设。

车联网(Internet of Vehicles)是以车内网、车际网和车云网为基础,按照约定的体系架构及其通信协议和数据交互标准,在车—X(X:车、路、行人及移动互联网等)之间,进行通信和信息交换的信息物理系统,其概念引申自物联网(Internet of Things)。车联网主要包括人、车、路、通信、服务平台5类要素。其中,“人”是道路环境参与者和车联网服务使用者;“车”是车联网的核心,主要涉及车辆联网和智能系统;“路”是车联网业务的重要外部环境之一,主要涉及交通信息化相关设施;“通信”是信息交互的载体,打通车内、车际、车路、车云信息流;“服务平台”是实现车联网服务能力的业务载体、数据载体。

从功能上看,车联网的体系结构可分为感知层(端系统层面)、网络层(云系统层面)和应用层(管系统层面),其中感知层主要是进行数据采集,网络层主要是进行当下,中国制造业面临的最大挑战是调整工业附加值,具体怎么调?有两个办法:一是利用消费市场再增长,做新品牌,获得更高的溢价,拉动产业链。数据传输、存储、分析、处理和反馈,应用层主要是完成人机数据交互。数据是车联网运行的对老销售同事则需要按月或按季度做沙盘演练考察,保障每个人见客户时都能把产品价值描述清晰。核心载体和主要内容。但现有的车联网架构都是中心化的,一旦中心化实体被攻击,将会带来严重的数据安全风险。

2020年4月,中共中央、国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》,明确将“数据”与土地、劳动力、资本、技术等传统要素并列为生产要素,并提出“加强数据资源整合和安全保护”。《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》也多次提及“数据要素”与“数据安全”,可见,当前数据要素及数据安全已成为国家经济社会发展的重要议题。在此背景下,有必要筑牢数据安全底线,尽快推进车联网数据安全体系建设。

车联网产业面临的主要数据安全风险及法治困境

车联网市场参与者众多,包括与车联网产业相关的企业或组织,如产业链中上游包括元器件供应商、通信设备提供商、汽车电子系统供应商等,下游包括传统车企与互联网车企,此外还包括大量服务业角色,如网络运营商、数据服务商、通信服务商、车内软件提供商、负责车联网系统开发流程和上下游开发衔接的车联网供应商,车联网用户以及政府等多方主体(如下图)。随着以大数据、云计算、人工智能为代表的数字技术与移动出行服务的发展的不断融合以及我国车联网产业规模的不断扩大,车联网的市场结构及数据交换节点会变得更加复杂,其潜在的数据安全风险也将不断增加。主要表现为三个层面:

一是个人层面的数据安全风险。

对于车联网来说,数据贯穿于车联网的每一个环节,包括端系统层面的车辆信息采集与获取,管系统层面的车与车、车与路、车与网、车与人的互联互通,云系统层面的数据汇聚、存储、计算、调度、监控、管理与应用。车联网的很大一部分数据来源于智能网联汽车用户,智能网联汽车集成了大量的摄像头、雷达、测速仪等设备,可以用来收集包括与驾驶者相关的身份信息(数据)、车辆信息(数据)、驾驶行为数据以及车辆传感器采集的道路等非驾驶行为数据等。前者诸如驾驶里程、时间、位置、速度、路线、驾驶习惯等,车辆行驶后台数据,诸如车速、制动和加速系统、安全系统、电子制动器等,以及车载智能系统所记录和留存的车主或乘客的大量个人数据,如语音、影像等。后者诸如地图、交通流量、周边车辆、行人、非机动车位置、道路状况、信号灯相位、道路预警、气象信息、停车场提示等。

该部分数据与用户个人隐私安全和财产紧密联系,如通过分析该类数据,评估车主车辆保险情况或被将该数据提供给缺乏安全资质的第三方企业,诱发用户隐私风险。一旦泄露将会直接影响驾驶者乃至乘客的人身及财产安全,如2020年9月,奇安信的车联网安全研究员演示通过漏洞击破智能汽车,用远程方式在线开启了一辆智能汽车的车窗、后视镜,随后汽车被启动、上路;2021年4月6日,“特斯拉车内摄像头高清画面”登上微博热搜榜,热搜相关视频显示,特斯拉车内五个座位均被车内摄像头清晰记录,画面质量堪比高清电影。也有报道称蔚来汽车、小鹏汽车、比亚迪等超过10家汽车公司推出的部分产品均搭载了车内摄像头。

二是社会层面的数据安全风险。

随着智慧交通建设的逐步深入以及汽车的普及与应用,尤其是智能汽车的普及和应用,车联网产业数据信息的采集会变得更加广泛且普遍,数据安全问题也港交所则回应称,不评论个别公司事宜。会延伸至社会层面,引发社会层面的安全问题。

一方面,根据国家统计局测算,当前我国新产业新业态新模式逆势成长,全年规模以上工业中,汽车制造业增长6.6%,目前正处于汽车的爆发和快速推广期。2021年4月6日,公安部交通管理局发布的最新统计数据也显示,截至2021年3月,全国机动车保有量为3.78亿辆,其中汽车为2.87亿辆。在全国范围内,汽车保有量超资料图运城警方喊话女嫌犯解丽萍,这两天火了。过100万辆的城市共有72个,与去年同期相比增加5个。其中,新能源汽车保有量为551万辆。

另一方面,我国车联网建设还处在引导和发展阶段,各方面标准和法律规范都不够完善。车联网发展需要与安全保障制度供给不足、行业监管不规范等之间的矛盾,使得车联网行业数据存储使用不规范、敏感数据泄露、数据违规操作访问、数据违规开放共享、数据异常流转等数据安全问题异常突出,车联网数据安全的事件不断显现,Upstream Security发布的《2020年汽车信息安全报告》显示,从2016年到2020年1月,四年时间里汽车信息安全事件的数量增长了605%,其中仅2019年公开报道的针对智能网联汽车信息安全攻击的事件就达到了155起,相较于2018年的80起增加一倍,不仅造成了个人隐私安全风险,企业的经济损失,而且造成了不容忽视的社会影响。

三是国家层面的数据安全风险。

从我国汽车的发展历程来看,我国汽车是从中外合资中不断发展起来的。从车联网产业的发展链条来看,其产业链条长,涉主体多元,全球化程度较高。信通院《2018年车联网产业白皮书》显示,车联网赖以发展的核心技术,如汽车电子、自动驾驶技术、智能化技术等仍以国外为主,2017年全球汽车零部件百强榜TOP15中仅有一家中国企业。我国大部分车辆属于中外合资车辆,且部分车辆直接属于进口汽车,据估计60%的车辆数据离岸储存。

车联网服务数据被传输至域外,引发国家数据安全层面的隐忧。当前,数据跨境流动已引起世界各国的高度重视,纷纷加强立法保护数据出境安全。如2011年,亚太经合组织(APEC)建立跨境商业个人隐私保护规则体系(CBPR),为加入规则的企业提供数据出境合法渠道;2016年美国在与欧盟签订的《安全港协议》失效后,达成《隐私盾协议》,承诺遵守《隐私盾协议》的美国企业能够将欧盟公民的个人信息自由转移至美国境内;2018年3月美国通过了《澄清域外合法使用数据法案》(the Clarifying Lawful Overseas Use of Data Act, CLOUD),确立了数据的长臂管辖标准;2018年5月欧盟出台了《通用数据保护条例》(General Data Protection Regulation,GDPR),明确由数据控制者承担数据保护的主要责任,并且制定颁布《标准合同》,规定如果一国企业在与欧盟成员国企业的经济往来中采纳了《标准合同》,承诺按照合同履行数据保护义务,便可以认定其满足了数据保护“充分性”要求,自由进行数据出境转移。

我国随着《网络安全法》以及《个人信息出境安全评估办法》的出台也在积极探索具有中国特色的个人信息出境安全管理路径。2020年2月,国家发改委、中央网信办等11部门联合发布的《智能汽车创新发展战略》中,也明确提出要确保用户信息、车辆信息、测绘地理信息等数据安全可控。但综合来看,我国在车联网数据安全、数据出境方面的标准、法律及监管规范尚待进一步完善。

车联网产业数据安全建设重点

数据是车联网运行的核心载体和主要内容,数据安全是车联网产业发展的风险底线与合规基石。随着新一代信息技术的发展成熟以及智慧交通的稳步推进,车联网产业也将面临新的发展机遇与挑战,因此,有必要筑牢数据安全底线,推进车联网安全体系建设。具体讲,可从以下两方面展开:

一是完善车联网产业数据安全标准与规范。2020年6月,工业和信息化部、公安部、国家标准化管理委员会联合印发《国家车联网产业标准体系建设指南(车辆智能管理)》,旨在有目的、有计划、有重点地指导车辆智能管理标准化工作,满足车联网环境下的车辆智能管理工作需求,加快推进现代科技与交通管理的深度融合,促进车联网技术和产业发展。车联网发展涉及众多市场参与者,包括整车厂商、智能终端商、内容提供商、网络运营商、软件系统商、芯片提供商、服务提供商、车主(消费者)、车联网平台商等,不同部门涉及的数据不同,而当前车联网产业相关企业及组织数据安全保障机制良莠不齐,“欲知平直,则必准绳;欲知方圆,则必规矩。”故此,有必要针对车联网产业存在数据安全风险的环节,相应制定完善数据收集、传输、存储、处理、分析与销毁管理标准,确保数据安全。

二是加强车联网产业数据安全监管与协调。车联网数据安全面临的最大挑战便是监管困难。主要体现在两个方面:一是车联网产业涉及主体、环节较多,信息化程度较高,数据变化较快,数据体量较大,使得数据安全隐患难以被监测与识别。二是数据安全监管技术及基础设施不完善,无法满足监管需求。数据安全之于整车厂商、智能终端商、内容提供商、网络运营商、软件系统商、芯片提供商、服务提供商、车联网平台商等而言也比较重要,数据安全直接关系其企业盈利及企业后续发展,然而,车联网各环节的市场参与者对于数据安全的重视程度不同,数据安全“投资大、回报少”,因而,有些企业在逐利动机影响下很容易存在投机心理“挣快钱”,忽两个小时后,当她赶到病房门口时,听到的却是撕心裂肺的哭喊声,见到的是没有任何生命体征的父亲。略自身数据安全体系建设,使得部分企业的产品存在较多的安全漏洞,无法满足数据安全的发展需求。针对上述问题,建议加快数据相关基础设施建设与区块链技术应用,组建车联网数据安全风险监测与综合管理平台,提高对数据安全违规相关企业的处罚力度,以此倒逼企业提高对数据安全技术的投资力度,加强车联网产业数据安全监管。

同时,应强化行业主管部门、市场安全监管部门,交通运输部门以及网络信息主管机构等多部门多机构的协同联动机制,做好行业监管、市场监管、交通监管、网络监管等工作的统筹与协调,依法建立数据安全领域的联防联控机制,做到立法先行,科学监管,激励守法,鼓励行业内部自律与政府外部监管之间的开放合作。

(陈兵系南开大学法学院教授、司法与社会研究中心主任;胡珍系南开大学法学院博士生。)


读后有感