近日,CNCERT聯(lián)合智聯(lián)出行研究院(ICMA)對15類主流車型近期的數(shù)據(jù)出境情況進行分析�,發(fā)現(xiàn)其中有12類產(chǎn)生了出境行為,覆蓋率達(dá)80%�����,其中排名第一的品牌出境達(dá)413435次�����。整體來看�,汽車數(shù)據(jù)出境并只不是某類汽車品牌的個別行為,而是涉及多類汽車品牌的普遍行為�。
令人擔(dān)憂的是�����,近日工信部網(wǎng)絡(luò)安全管理局負(fù)責(zé)人表示�,工信部已收錄車聯(lián)網(wǎng)安全漏洞信息超過2000條�,包括車載智能網(wǎng)關(guān)、遠(yuǎn)程通信等漏洞��。監(jiān)測顯示����,今年上半年針對車聯(lián)網(wǎng)平臺的掃描探測、拒絕服務(wù)攻擊����、病毒木馬植入等網(wǎng)絡(luò)惡意行為超過100萬次,較2020年同期增長超過80%���。
數(shù)據(jù)出境的風(fēng)險研究和把控�,已刻不容緩�����。
出境量大��、頻率高
人民啟信數(shù)據(jù)顯示,目前我國擁有智能汽車產(chǎn)業(yè)相關(guān)企業(yè)達(dá)4397家����,其中在一年內(nèi)新成立的企業(yè)就達(dá)1645家。智能網(wǎng)聯(lián)汽車與傳統(tǒng)汽車相比���,所產(chǎn)生的數(shù)據(jù)大量增加,包括個人認(rèn)證數(shù)據(jù)����、車輛認(rèn)證數(shù)據(jù)、車輛運行數(shù)據(jù)��、個人出行數(shù)據(jù)以及車輛周邊采集數(shù)據(jù)等��。
相關(guān)研究機構(gòu)估算����,以一輛自動駕駛測試車輛為例,其每天產(chǎn)生的數(shù)據(jù)量最高可達(dá)10TB���,包括車輛行駛數(shù)據(jù)��、車身數(shù)據(jù)��、操控數(shù)據(jù)�、視頻數(shù)據(jù)、圖像數(shù)據(jù)��、坐標(biāo)數(shù)據(jù)等數(shù)十類�����。智能汽車行駛所產(chǎn)生的數(shù)據(jù)是自動駕駛軟件迭代升級的關(guān)鍵數(shù)據(jù)資源�,相關(guān)數(shù)據(jù)采集、存儲和分析應(yīng)用對智能汽車企業(yè)具有重要的商業(yè)價值�。
特別是在國內(nèi)智能汽車市場,部分外商獨資或中外合資車企����,數(shù)據(jù)存儲和利用等安全問題正日益受到關(guān)注。今年全國兩會期間���,多位代表�、委員就智能汽車數(shù)據(jù)安全特別是數(shù)據(jù)出境問題表達(dá)關(guān)切�����,建議國家制定相關(guān)標(biāo)準(zhǔn)并加強數(shù)據(jù)的出境監(jiān)管,細(xì)化相關(guān)數(shù)據(jù)的安全要求����。
的確,汽車數(shù)據(jù)出境問題已經(jīng)刻不容緩����。CNCERT的研究結(jié)果顯示,以車輛識別碼為例���,共發(fā)現(xiàn)我國境內(nèi)車輛識別碼通過網(wǎng)絡(luò)出境超過100萬次,按日統(tǒng)計情況�����,單日最大出境規(guī)模近8.3萬次��。從7月某日開始����,每隔7天會有一次數(shù)據(jù)大量出境的情況。經(jīng)過深入分析發(fā)現(xiàn)�,主要為境內(nèi)某汽車城數(shù)據(jù)中心向位于境外的某電子商務(wù)服務(wù)公司數(shù)據(jù)中心傳送某品牌汽車數(shù)據(jù),推測主要用于汽車銷售��。除去集中大量傳輸?shù)?天之外,平均每天傳輸次數(shù)仍達(dá)到7000次左右����,整體上汽車數(shù)據(jù)出境量大、頻率高��。
分析發(fā)現(xiàn)��,部分出境數(shù)據(jù)涉及身份證號(行駛證號)����、駕駛證檔案編號、車牌號����、手機號/固話、地址��、經(jīng)緯度等個人信息和地理位置信息�。個人信息涉及公民的個人隱私,地理位置信息涉及汽車的行駛軌跡�,它們與汽車數(shù)據(jù)結(jié)合可以還原駕駛?cè)说纳矸莺推囆畔ⅲ纬神{駛?cè)水嬒?�,再結(jié)合經(jīng)緯度即可形成活動軌跡��。
數(shù)據(jù)出境場景和渠道復(fù)雜多樣
汽車數(shù)據(jù)出境問題越來越受到廣泛關(guān)注,今年5月25日���,特斯拉迫于輿論壓力���,通過官方微博表態(tài):在中國建立數(shù)據(jù)中心,所有在中國大陸市場銷售車輛所產(chǎn)生的數(shù)據(jù)���,都將存儲在境內(nèi)����,并將向車主開放車輛信息查詢平臺���。
智能汽車數(shù)據(jù)傳輸和存儲問題不僅涉及消費者隱私,而且事關(guān)國家安全����,那么這些重要數(shù)據(jù)是如何傳輸?shù)骄惩獾哪兀啃履茉醇爸悄芫W(wǎng)聯(lián)汽車獨立分析師曹廣平介紹��,數(shù)據(jù)傳輸?shù)闹黧w一是涉外車企�����,比如獨資或合資車企;二是智能駕駛及網(wǎng)聯(lián)化技術(shù)發(fā)展較快的企業(yè)����;三是車輛拆解企業(yè)。
而數(shù)據(jù)傳輸?shù)骄惩饪赡苡腥N主要途徑���。第一種是車企設(shè)定上傳服務(wù)器的數(shù)據(jù)�,如果服務(wù)器在國外�����,較容易傳輸?shù)骄惩?�。第二種是通過二手車整車或廢舊零部件出口的方式����,直接隨硬件輸送到國外。第三種是通過汽車軟件或硬件的后門或某種方式獲取�。
值得關(guān)注的是,目前部分車企雖然是正常收集個人信息���、獲取地理位置以及地圖里周邊環(huán)境信息���,但未經(jīng)我國相關(guān)機構(gòu)進行審核�,數(shù)據(jù)不存放在我國本地���,而是存放到境外服務(wù)器的情況�,雖然還未出現(xiàn)重大事故�,但性質(zhì)嚴(yán)重,也屬于擅自破壞“汽車數(shù)據(jù)國門”的不良行為�����。
CNCERT的研究結(jié)果則更加觸目驚心���,它們發(fā)現(xiàn)存在汽車數(shù)據(jù)出境行為的境內(nèi)IP地址45638個��,覆蓋境內(nèi)全部31個省級行政區(qū)�����。其中,家庭寬帶場景下的IP地址數(shù)量最多���,但每個IP地址的汽車數(shù)據(jù)出境次數(shù)較少��,推測主要為個人用戶的境外訪問行為����;數(shù)據(jù)中心場景下的IP地址數(shù)量排在第二位,其汽車數(shù)據(jù)出境次數(shù)居于首位�,但數(shù)據(jù)中心的責(zé)任主體難以溯源。
企業(yè)專線IP地址排在第三位�����,平均汽車數(shù)據(jù)出境次數(shù)僅次于數(shù)據(jù)中心�,企業(yè)專線的IP地址一般由某一企業(yè)或組織機構(gòu)獨享。針對企業(yè)專線場景�,共發(fā)現(xiàn)可識別單位共791個??勺R別單位類型涵蓋汽車銷售維修服務(wù)、汽車制造�����、物流及客運����、政務(wù)、保險和產(chǎn)權(quán)交易�、科研機構(gòu)、銀行等�����,整體來看汽車銷售維修服務(wù)類企業(yè)占比超過50%。
法規(guī)出臺為車企樹立“數(shù)據(jù)界碑”
智能汽車的數(shù)據(jù)采集很精細(xì)��,一位技術(shù)人員告訴記者���,精確到連路上小水坑都能收錄進去���,目前大多數(shù)智能汽車已經(jīng)不是收集,而是達(dá)到“地圖測繪”的水平了���,而這些數(shù)據(jù)一般都會傳到車企自建數(shù)據(jù)平臺上��,這些平臺有的在國內(nèi)�,有的在國外����,國內(nèi)合資品牌汽車傳感器所收集到的數(shù)據(jù)大多數(shù)都會傳送到其海外研發(fā)部門。
如何約束汽車行業(yè)企業(yè)的數(shù)據(jù)出境行為��?法律法規(guī)的出臺無疑是最行之有效的方式����。由國家網(wǎng)信辦等五部門聯(lián)合發(fā)布的《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》已于10月1日正式施行。規(guī)定在開展汽車數(shù)據(jù)處理中堅持“車內(nèi)處理”�、“默認(rèn)不收集”、“精度范圍適用”�����、“脫敏處理”等數(shù)據(jù)處理原則�����。
《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》強調(diào)���,汽車數(shù)據(jù)處理者開展重要數(shù)據(jù)處理活動���,應(yīng)當(dāng)遵守依法在境內(nèi)存儲的規(guī)定,加強重要數(shù)據(jù)安全保護���;落實風(fēng)險評估報告制度要求���,積極防范數(shù)據(jù)安全風(fēng)險;落實年度報告制度要求����,按時主動報送年度汽車數(shù)據(jù)安全管理情況��。因業(yè)務(wù)需要確需向境外提供重要數(shù)據(jù)的����,汽車數(shù)據(jù)處理者應(yīng)當(dāng)落實數(shù)據(jù)出境安全評估制度要求��,不得超出出境安全評估結(jié)論違規(guī)向境外提供重要數(shù)據(jù)�����,并在年度報告中補充報告相關(guān)情況���。曹廣平認(rèn)為���,這等于為車企樹立了“數(shù)據(jù)界碑”。
與此同時�����,為貫徹落實《數(shù)據(jù)安全法》等法律法規(guī)����,工業(yè)和信息化部研究起草了《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)(征求意見稿)》,擬以規(guī)范性文件形式印發(fā),10月30日前面向社會公開征求意見��。其中第二十四條指出:工業(yè)和電信數(shù)據(jù)處理者在中華人民共和國境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)�����,應(yīng)當(dāng)依照法律����、行政法規(guī)要求在境內(nèi)存儲��,確需向境外提供的��,應(yīng)當(dāng)依法依規(guī)進行數(shù)據(jù)出境安全評估���,在確保安全的前提下進行數(shù)據(jù)出境����,并加強對數(shù)據(jù)出境后的跟蹤掌握�。核心數(shù)據(jù)不得出境。
企業(yè)自律數(shù)據(jù)安全不留死角
當(dāng)然��,在法律約束的同時��,汽車行業(yè)企業(yè)也要高度自律。曹廣平建議企業(yè)���,嚴(yán)格對照規(guī)定�,在車輛開發(fā)的全流程�、車輛經(jīng)營的全過程、車輛產(chǎn)品的全生命周期���,嚴(yán)格執(zhí)行規(guī)定��,完成規(guī)定的報送工作����,在汽車數(shù)據(jù)的收集����、存儲、使用��、加工����、傳輸、提供���、公開等方面�����,尤其是向境內(nèi)外第三方傳輸數(shù)據(jù)中����,在橫向的傳播范圍上不留死角�。在智能網(wǎng)聯(lián)化的新技術(shù)應(yīng)用中,要持續(xù)對照審查��,在縱向的產(chǎn)品發(fā)展中始終繃緊數(shù)據(jù)安全這根弦��?����!翱傊?���,汽車是‘?dāng)?shù)據(jù)國門’,規(guī)定是‘?dāng)?shù)據(jù)界碑’�。”曹廣平說���。
數(shù)據(jù)出境的潛在風(fēng)險�,既可能傷害到個人隱私,也有可能威脅到國家安全��。奧緯咨詢OliverWyman董事合伙人張君毅指出����,以前汽車行業(yè)的數(shù)據(jù)是手工收集,且數(shù)據(jù)量少�����;但智能汽車時代數(shù)據(jù)量幾何倍數(shù)增長��,這一問題也就隨之凸顯�,如充電樁、加氫站等基礎(chǔ)設(shè)施也存在數(shù)據(jù)泄露隱患�����。事實上���,不僅是汽車行業(yè)����,凡是涉及到大宗交易、基礎(chǔ)設(shè)施以及和民生相關(guān)的大消費者數(shù)據(jù)����,或多或少都在面臨數(shù)據(jù)出境的安全問題,數(shù)據(jù)已經(jīng)成為當(dāng)下社會的一種生產(chǎn)資料�����。
數(shù)據(jù)出境一旦造成威脅國家安全和國民利益的嚴(yán)重后果�����,是任何企業(yè)也無法承擔(dān)的�。因此�,張君毅也建議汽車行業(yè)企業(yè)在追求發(fā)展速度的同時,也要關(guān)注可持續(xù)發(fā)展����;在追求利潤的同時,也要扛起維護數(shù)據(jù)安全的社會責(zé)任�����。(記者 郝文麗)
轉(zhuǎn)自:中國汽車報
【版權(quán)及免責(zé)聲明】凡本網(wǎng)所屬版權(quán)作品���,轉(zhuǎn)載時須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)”���,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力���。凡轉(zhuǎn)載文章及企業(yè)宣傳資訊,僅代表作者個人觀點����,不代表本網(wǎng)觀點和立場。版權(quán)事宜請聯(lián)系:010-65363056��。
延伸閱讀
