近日,CNCERT聯(lián)合智聯(lián)出行研究院(ICMA)對15類主流車型近期的數(shù)據(jù)出境情況進(jìn)行分析,發(fā)現(xiàn)其中有12類產(chǎn)生了出境行為,覆蓋率達(dá)80%,其中排名第一的品牌出境達(dá)413435次。整體來看,汽車數(shù)據(jù)出境并只不是某類汽車品牌的個別行為,而是涉及多類汽車品牌的普遍行為。
令人擔(dān)憂的是,近日工信部網(wǎng)絡(luò)安全管理局負(fù)責(zé)人表示,工信部已收錄車聯(lián)網(wǎng)安全漏洞信息超過2000條,包括車載智能網(wǎng)關(guān)、遠(yuǎn)程通信等漏洞。監(jiān)測顯示,今年上半年針對車聯(lián)網(wǎng)平臺的掃描探測、拒絕服務(wù)攻擊、病毒木馬植入等網(wǎng)絡(luò)惡意行為超過100萬次,較2020年同期增長超過80%。
數(shù)據(jù)出境的風(fēng)險研究和把控,已刻不容緩。
出境量大、頻率高
人民啟信數(shù)據(jù)顯示,目前我國擁有智能汽車產(chǎn)業(yè)相關(guān)企業(yè)達(dá)4397家,其中在一年內(nèi)新成立的企業(yè)就達(dá)1645家。智能網(wǎng)聯(lián)汽車與傳統(tǒng)汽車相比,所產(chǎn)生的數(shù)據(jù)大量增加,包括個人認(rèn)證數(shù)據(jù)、車輛認(rèn)證數(shù)據(jù)、車輛運(yùn)行數(shù)據(jù)、個人出行數(shù)據(jù)以及車輛周邊采集數(shù)據(jù)等。
相關(guān)研究機(jī)構(gòu)估算,以一輛自動駕駛測試車輛為例,其每天產(chǎn)生的數(shù)據(jù)量最高可達(dá)10TB,包括車輛行駛數(shù)據(jù)、車身數(shù)據(jù)、操控數(shù)據(jù)、視頻數(shù)據(jù)、圖像數(shù)據(jù)、坐標(biāo)數(shù)據(jù)等數(shù)十類。智能汽車行駛所產(chǎn)生的數(shù)據(jù)是自動駕駛軟件迭代升級的關(guān)鍵數(shù)據(jù)資源,相關(guān)數(shù)據(jù)采集、存儲和分析應(yīng)用對智能汽車企業(yè)具有重要的商業(yè)價值。
特別是在國內(nèi)智能汽車市場,部分外商獨資或中外合資車企,數(shù)據(jù)存儲和利用等安全問題正日益受到關(guān)注。今年全國兩會期間,多位代表、委員就智能汽車數(shù)據(jù)安全特別是數(shù)據(jù)出境問題表達(dá)關(guān)切,建議國家制定相關(guān)標(biāo)準(zhǔn)并加強(qiáng)數(shù)據(jù)的出境監(jiān)管,細(xì)化相關(guān)數(shù)據(jù)的安全要求。
的確,汽車數(shù)據(jù)出境問題已經(jīng)刻不容緩。CNCERT的研究結(jié)果顯示,以車輛識別碼為例,共發(fā)現(xiàn)我國境內(nèi)車輛識別碼通過網(wǎng)絡(luò)出境超過100萬次,按日統(tǒng)計情況,單日最大出境規(guī)模近8.3萬次。從7月某日開始,每隔7天會有一次數(shù)據(jù)大量出境的情況。經(jīng)過深入分析發(fā)現(xiàn),主要為境內(nèi)某汽車城數(shù)據(jù)中心向位于境外的某電子商務(wù)服務(wù)公司數(shù)據(jù)中心傳送某品牌汽車數(shù)據(jù),推測主要用于汽車銷售。除去集中大量傳輸?shù)?天之外,平均每天傳輸次數(shù)仍達(dá)到7000次左右,整體上汽車數(shù)據(jù)出境量大、頻率高。
分析發(fā)現(xiàn),部分出境數(shù)據(jù)涉及身份證號(行駛證號)、駕駛證檔案編號、車牌號、手機(jī)號/固話、地址、經(jīng)緯度等個人信息和地理位置信息。個人信息涉及公民的個人隱私,地理位置信息涉及汽車的行駛軌跡,它們與汽車數(shù)據(jù)結(jié)合可以還原駕駛?cè)说纳矸莺推囆畔?,形成駕駛?cè)水嬒?,再結(jié)合經(jīng)緯度即可形成活動軌跡。
數(shù)據(jù)出境場景和渠道復(fù)雜多樣
汽車數(shù)據(jù)出境問題越來越受到廣泛關(guān)注,今年5月25日,特斯拉迫于輿論壓力,通過官方微博表態(tài):在中國建立數(shù)據(jù)中心,所有在中國大陸市場銷售車輛所產(chǎn)生的數(shù)據(jù),都將存儲在境內(nèi),并將向車主開放車輛信息查詢平臺。
智能汽車數(shù)據(jù)傳輸和存儲問題不僅涉及消費者隱私,而且事關(guān)國家安全,那么這些重要數(shù)據(jù)是如何傳輸?shù)骄惩獾哪??新能源及智能網(wǎng)聯(lián)汽車獨立分析師曹廣平介紹,數(shù)據(jù)傳輸?shù)闹黧w一是涉外車企,比如獨資或合資車企;二是智能駕駛及網(wǎng)聯(lián)化技術(shù)發(fā)展較快的企業(yè);三是車輛拆解企業(yè)。
而數(shù)據(jù)傳輸?shù)骄惩饪赡苡腥N主要途徑。第一種是車企設(shè)定上傳服務(wù)器的數(shù)據(jù),如果服務(wù)器在國外,較容易傳輸?shù)骄惩?。第二種是通過二手車整車或廢舊零部件出口的方式,直接隨硬件輸送到國外。第三種是通過汽車軟件或硬件的后門或某種方式獲取。
值得關(guān)注的是,目前部分車企雖然是正常收集個人信息、獲取地理位置以及地圖里周邊環(huán)境信息,但未經(jīng)我國相關(guān)機(jī)構(gòu)進(jìn)行審核,數(shù)據(jù)不存放在我國本地,而是存放到境外服務(wù)器的情況,雖然還未出現(xiàn)重大事故,但性質(zhì)嚴(yán)重,也屬于擅自破壞“汽車數(shù)據(jù)國門”的不良行為。
CNCERT的研究結(jié)果則更加觸目驚心,它們發(fā)現(xiàn)存在汽車數(shù)據(jù)出境行為的境內(nèi)IP地址45638個,覆蓋境內(nèi)全部31個省級行政區(qū)。其中,家庭寬帶場景下的IP地址數(shù)量最多,但每個IP地址的汽車數(shù)據(jù)出境次數(shù)較少,推測主要為個人用戶的境外訪問行為;數(shù)據(jù)中心場景下的IP地址數(shù)量排在第二位,其汽車數(shù)據(jù)出境次數(shù)居于首位,但數(shù)據(jù)中心的責(zé)任主體難以溯源。
企業(yè)專線IP地址排在第三位,平均汽車數(shù)據(jù)出境次數(shù)僅次于數(shù)據(jù)中心,企業(yè)專線的IP地址一般由某一企業(yè)或組織機(jī)構(gòu)獨享。針對企業(yè)專線場景,共發(fā)現(xiàn)可識別單位共791個??勺R別單位類型涵蓋汽車銷售維修服務(wù)、汽車制造、物流及客運(yùn)、政務(wù)、保險和產(chǎn)權(quán)交易、科研機(jī)構(gòu)、銀行等,整體來看汽車銷售維修服務(wù)類企業(yè)占比超過50%。
法規(guī)出臺為車企樹立“數(shù)據(jù)界碑”
智能汽車的數(shù)據(jù)采集很精細(xì),一位技術(shù)人員告訴記者,精確到連路上小水坑都能收錄進(jìn)去,目前大多數(shù)智能汽車已經(jīng)不是收集,而是達(dá)到“地圖測繪”的水平了,而這些數(shù)據(jù)一般都會傳到車企自建數(shù)據(jù)平臺上,這些平臺有的在國內(nèi),有的在國外,國內(nèi)合資品牌汽車傳感器所收集到的數(shù)據(jù)大多數(shù)都會傳送到其海外研發(fā)部門。
如何約束汽車行業(yè)企業(yè)的數(shù)據(jù)出境行為?法律法規(guī)的出臺無疑是最行之有效的方式。由國家網(wǎng)信辦等五部門聯(lián)合發(fā)布的《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》已于10月1日正式施行。規(guī)定在開展汽車數(shù)據(jù)處理中堅持“車內(nèi)處理”、“默認(rèn)不收集”、“精度范圍適用”、“脫敏處理”等數(shù)據(jù)處理原則。
《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》強(qiáng)調(diào),汽車數(shù)據(jù)處理者開展重要數(shù)據(jù)處理活動,應(yīng)當(dāng)遵守依法在境內(nèi)存儲的規(guī)定,加強(qiáng)重要數(shù)據(jù)安全保護(hù);落實風(fēng)險評估報告制度要求,積極防范數(shù)據(jù)安全風(fēng)險;落實年度報告制度要求,按時主動報送年度汽車數(shù)據(jù)安全管理情況。因業(yè)務(wù)需要確需向境外提供重要數(shù)據(jù)的,汽車數(shù)據(jù)處理者應(yīng)當(dāng)落實數(shù)據(jù)出境安全評估制度要求,不得超出出境安全評估結(jié)論違規(guī)向境外提供重要數(shù)據(jù),并在年度報告中補(bǔ)充報告相關(guān)情況。曹廣平認(rèn)為,這等于為車企樹立了“數(shù)據(jù)界碑”。
與此同時,為貫徹落實《數(shù)據(jù)安全法》等法律法規(guī),工業(yè)和信息化部研究起草了《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)(征求意見稿)》,擬以規(guī)范性文件形式印發(fā),10月30日前面向社會公開征求意見。其中第二十四條指出:工業(yè)和電信數(shù)據(jù)處理者在中華人民共和國境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù),應(yīng)當(dāng)依照法律、行政法規(guī)要求在境內(nèi)存儲,確需向境外提供的,應(yīng)當(dāng)依法依規(guī)進(jìn)行數(shù)據(jù)出境安全評估,在確保安全的前提下進(jìn)行數(shù)據(jù)出境,并加強(qiáng)對數(shù)據(jù)出境后的跟蹤掌握。核心數(shù)據(jù)不得出境。
企業(yè)自律數(shù)據(jù)安全不留死角
當(dāng)然,在法律約束的同時,汽車行業(yè)企業(yè)也要高度自律。曹廣平建議企業(yè),嚴(yán)格對照規(guī)定,在車輛開發(fā)的全流程、車輛經(jīng)營的全過程、車輛產(chǎn)品的全生命周期,嚴(yán)格執(zhí)行規(guī)定,完成規(guī)定的報送工作,在汽車數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等方面,尤其是向境內(nèi)外第三方傳輸數(shù)據(jù)中,在橫向的傳播范圍上不留死角。在智能網(wǎng)聯(lián)化的新技術(shù)應(yīng)用中,要持續(xù)對照審查,在縱向的產(chǎn)品發(fā)展中始終繃緊數(shù)據(jù)安全這根弦?!翱傊?,汽車是‘?dāng)?shù)據(jù)國門’,規(guī)定是‘?dāng)?shù)據(jù)界碑’?!辈軓V平說。
數(shù)據(jù)出境的潛在風(fēng)險,既可能傷害到個人隱私,也有可能威脅到國家安全。奧緯咨詢OliverWyman董事合伙人張君毅指出,以前汽車行業(yè)的數(shù)據(jù)是手工收集,且數(shù)據(jù)量少;但智能汽車時代數(shù)據(jù)量幾何倍數(shù)增長,這一問題也就隨之凸顯,如充電樁、加氫站等基礎(chǔ)設(shè)施也存在數(shù)據(jù)泄露隱患。事實上,不僅是汽車行業(yè),凡是涉及到大宗交易、基礎(chǔ)設(shè)施以及和民生相關(guān)的大消費者數(shù)據(jù),或多或少都在面臨數(shù)據(jù)出境的安全問題,數(shù)據(jù)已經(jīng)成為當(dāng)下社會的一種生產(chǎn)資料。
數(shù)據(jù)出境一旦造成威脅國家安全和國民利益的嚴(yán)重后果,是任何企業(yè)也無法承擔(dān)的。因此,張君毅也建議汽車行業(yè)企業(yè)在追求發(fā)展速度的同時,也要關(guān)注可持續(xù)發(fā)展;在追求利潤的同時,也要扛起維護(hù)數(shù)據(jù)安全的社會責(zé)任。(記者 郝文麗)
轉(zhuǎn)自:中國汽車報
【版權(quán)及免責(zé)聲明】凡本網(wǎng)所屬版權(quán)作品,轉(zhuǎn)載時須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力。凡轉(zhuǎn)載文章及企業(yè)宣傳資訊,僅代表作者個人觀點,不代表本網(wǎng)觀點和立場。版權(quán)事宜請聯(lián)系:010-65363056。
延伸閱讀