數據泄露的坑怎么填？

陳秀娟

隨著汽車智能化、網聯化快速發展，信息安全正在面臨前所未有的挑戰。

數據顯示，2020年我國L2級智能網聯汽車的市場滲透率達到15%，預計到2035年，高等級自動駕駛將在國內市場大范圍應用，這意味著汽車數據將被大規模收集和使用。對此，有業內專家分析指出：“一輛智能網聯汽車每天至少收集10TB的數據，不僅數量極大，而且涉及駕乘人員的出行軌跡、習慣、語音、視頻等關鍵信息，一旦遭受侵害會泄露個人隱私?！?/p>

在日前召開的“中德汽車產業發展合作論壇”上，ICMA智聯出行研究院執行院長何姍姍對《汽車觀察》記者表示：“對于車輛本身來說，聯網是為了更加便捷，數據的泄露是一定會發生的。智能網聯汽車的數據泄露風險巨大，嚴重威脅著個人的隱私安全?！?/p>

至于智能網聯汽車的信息安全問題如何解，何姍姍對記者指出，不僅需要管理端在制度上有解決方案，而且需要運營端在技術上有應對措施。

管理端：加快構建制度體系

統計數據顯示，截至今年5月，全球已有超過140個國家和地區制定了隱私和數據保護的相關法律法規。可見，智能網聯汽車的數據安全已引起全球重視。

工業和信息化部此前發文表示，伴隨汽車網聯化發展，網絡攻擊威脅加速向車端、車聯網平臺蔓延，車聯網網絡安全事件不僅影響公民隱私、財產和生命安全，甚至可能危害社會安全和國家安全。因此，亟需面向車聯網典型應用場景建立車聯網（智能網聯汽車）網絡安全標準體系，發揮標準引領規范作用，支撐車聯網安全健康發展。據記者了解，今年以來，我國關于智能網聯汽車安全的頂層設計正在不斷完善中。今年4月，工信部發布了《智能網聯汽車生產企業及產品準入管理指南（試行）》征求意見稿，從企業和產品兩方面對智能網聯汽車網絡安全作出了多項要求，包括依法收集/使用和保護個人信息、不得泄露涉及國家安全的敏感信息等。同月，全國信息安全標準化技術委員會也發布了《信息安全技術網聯汽車采集數據的安全要求》標準草案。

5月，國家網信辦會同有關部門起草了《汽車數據安全管理若干規定（征求意見稿）》，對汽車數據從收集、分析、存儲到傳輸、查詢、應用和刪除等全流程作了較為詳細的規定。尤其是對于運營者收集和向車外提供敏感個人信息的行為提出了六項具體要求：以直接服務于駕駛人或者乘車人為目的，包括增強行車安全、輔助駕駛、導航、娛樂等;默認為不收集，每次都應當征得駕駛人同意授權，駕駛結束（駕駛人離開駕駛席）后本次授權自動失效;通過車內顯示面板或語音等方式告知駕駛人和乘車人正在收集敏感個人信息;駕駛人能夠隨時、方便地終止收集;允許車主方便查看、結構化查詢被收集的敏感個人信息;駕駛人要求運營者刪除時，運營者應當在2周內刪除。這里的“敏感信息”包括車輛位置、駕駛人或乘車人音視頻，以及可以用于判斷違法違規駕駛的數據等。

此外，在數據跨境方面，《汽車數據安全管理若干規定（征求意見稿）》要求個人信息或者重要數據應當依法在境內存儲，確需向境外提供的，應當通過國家網信部門組織的數據出境安全評估。

在法律法規層面，我國目前出臺的《網絡安全法》《數據安全法》《個人信息保護法（草案）》都體現出政府對數據安全的針對性考慮。此外，其他相關標準體系（包括頂層的體系性標準以及專項標準）正陸續出臺或在不斷地修訂中。

這一系列的相關政策和法律法規，對我國各領域的數據安全做了較為明確的規定，也為智能網聯汽車行業合理、合法使用相關數據指明了方向。

運營端：新技術手段不可或缺

何姍姍對記者指出，智能網聯汽車涉及整車企業、系統供應商、芯片供應商等全產業鏈。其中，整車企業是海量、數據的主要持有者，他們是汽車數據安全管理的主要對象。

在何姍姍看來，汽車數據持有者在處理重要數據時須遵循六項原則：最小必要原則、車內處理原則、匿名化處理原則、最小保存期限原則、精度范圍實用原則、默認不收集原則。

何姍姍認為，目前，對整車企業而言，應從技術上提高數據安全方面的能力。如利用新一代的信息技術，包括區塊鏈技術、流量檢測技術、國密技術等提升數據安全綜合防護能力。

德國汽車工業協會（中國）副總裁張琳也指出，車企需盡快構建企業級體系的網絡安全架構，同時要盡快嘗試新的技術手段。

可喜的是，各車企已紛紛行動起來，試圖通過加強基礎技術研發與數據安全技術應用提升安全可控能力。

作為傳統車企的代表，長城汽車針對信息安全，從云端進行了全方位安全設計，并與國家互聯網應急響應中心、奇虎360、百度安全實驗室、中國汽車技術研究中心等機構合作，先后成立安全共建實驗室、開展信息安全方面的技術研究等，以提高整車信息安全防護水平。同時，長城汽車還利用先進的加密技術，通過云、管、端全方位防護，降低了遠程惡意控制風險，防止個人隱私泄露，為用戶帶來可靠的信息安全保障。福特、大眾、寶馬等車企也已經或打算在中國建立數據中心。

作為造車新勢力的代表，蔚來針對ES8車主質疑車內收集音影等個人信息的安全問題，從數據脫敏、加密存儲、強化體驗及電動車數據監控規范四個維度進行分析，以保證ES8車內產生的所有數據都能被有效保護起來。

總之，智能網聯汽車信息安全是全產業鏈的事，需要政府、汽車企業、電信企業、互聯網企業、電子零部件企業、網絡安全企業等攜手合作，進一步加大對數據安全方面的投入，共同完善智能網聯汽車安全保護體系，提升行業整體安全水平。