各國汽車數據安全與法規

文/高榮偉

目前，汽車的數據安全問題已經受到國內外的廣泛關注。在汽車數據化和網絡化的前提下，對汽車進行全方位的數據安全檢測，提前發現隱患，避免相關風險，已成為汽車信息安全領域的迫切需求。世界各國都非常重視汽車數據安全管理，德國、英國、法國等國家先后發布了相關安全指南。

德國：最早探索汽車數據法律保護

在世界范圍內，德國一直是數據保護方面的“模范生”。德國最早通過明確立法對數據進行嚴格保護，最先探索了數據法律保護的規則框架。現行的《德國聯邦數據保護法》（BDSG）修改于2009年且延用至今。

2016年1月26日，德國聯邦和州政府的獨立數據保護機構和德國汽車工業協會發布聯合聲明，將車聯網數據處理納入《德國聯邦數據保護法》《德國電信法》《德國社會保險法》的范疇，強調了車主的數據主權，明確了制造商“設計隱私”的法律責任。德國法律規定，在車輛使用過程中產生的數據，如果與車輛識別號碼或車牌有聯系，則被視為《德國聯邦數據保護法》意義上的個人數據。

《德國聯邦數據保護法》第42條規定：（1）在未經授權的情況下，以營利的方式故意將許多人的非開放個人數據傳輸給第三方或者通過其他方式使其公開，處3年以下刑罰或罰金。（2）在未經授權的情況下，為了獲取報酬，或者為他人謀取利益，或者為了給他人造成損失，處理未開放的個人數據，或者騙取未開放的個人數據，處2年以下刑罰或者罰金。

除了以上法律，《德國刑法典》對一般數據的刑法保護設置了以下幾項罪名：第一，第202a條窺探數據罪。該條規定，未經授權突破訪問安全措施，為自己或他人獲取數據訪問路徑，且對無權訪問行為進行了特別安全防護，處3年以下刑罰或罰金。第二，第202b條截獲數據罪。該條規定，未經授權利用技術手段，為自己或他人，從不公開的數據傳輸或處理裝置中，獲取自己無權支配的數據，處2年以下刑罰或罰金。第三，第202c條窺探和截獲數據的預備罪。該條規定，為實施第202a和第202b規定的犯罪進行預備，處2年以下刑罰或罰金。第四，第303a條數據變更罪。該條規定，非法對數據進行刪除、限制訪問，使其不可用或者變更，處2年以下刑罰或罰金。

英國積極推動汽車自動駕駛的發展。英國汽車制造商與經銷商協會發布的一份報告顯示，預計到2030年，自動駕駛對英國經濟的貢獻將達每年620億英鎊，還可避免超過4.7萬起交通事故。

德國是首個給自動駕駛立法的國家。2021年7月27日，德國聯邦議會通過《自動駕駛法》。該法明確列舉了汽車保有人有義務存儲的13類數據，包含個人數據（如車輛識別號、位置數據等）和非個人數據（如車輛使用次數、自動駕駛功能的啟停、車速等）。該法還規定，聯邦汽車運輸局有權在一定范圍內，向汽車保有人收集、保存和使用前述數據以及獲取技術監督員的姓名和專業資格證明。

英國：重視自動駕駛汽車網絡安全的數據保護

英國作為傳統科技強國，積極推動汽車自動駕駛的發展。英國汽車制造商與經銷商協會發布的一份報告顯示，預計到2030年，自動駕駛對英國經濟的貢獻將達每年620億英鎊，創造超過42萬個就業崗位，還可避免超過4.7萬起交通事故。

英國非常重視自動駕駛汽車網絡安全的數據保護。英國交通部官員卡蘭南勛爵表示：“隨著自動駕駛時代的到來，車聯網等技術出現在我們的生活中，我們應該建立相應的保護措施。”

2017年，英國政府出臺了一套新的網絡安全準則——《車聯網和自動駕駛汽車網絡安全準則》，共8項內容，其中第三項指出，確保系統能夠支持原始、唯一、可識別的數據的取證和恢復。第五項指出，在系統邊界進行安全防護，包括訪問權限最小化原則、數據單向傳輸控制、全磁盤加密和共享數據存儲最小化。第七項規定，保證數據存儲和傳輸是安全的與可被控制的。自動駕駛汽車的數據應該經過加密處理，以降低網絡攻擊的可能性。其一，數據在存儲和傳輸時必須足夠安全（保證機密性和完整性），以便只有預期的接收者接收或訪問它；其二，用戶個人數據進行適當管理，在數據發送到其他系統前進行殺毒；其三，用戶可以刪除系統和關聯系統上的敏感數據。為此，政府敦促汽車制造商利用現有技術降低攻擊者滲透汽車軟件的可能性。

2018年，英國多家汽車制造商聯合科研機構與交通部共同制定了一套自動駕駛和聯網汽車的網絡安全指南，以確保未來智能汽車不會被黑客與不法分子所操縱，以便保護汽車安全存儲和管理用戶的數據。文件規定，自動駕駛汽車和互聯車輛的傳感器必須能夠抵抗黑客干擾。如果自動駕駛汽車發生故障，也必須有故障安全系統來保護路人和乘客。

時任英國交通部部長諾曼在評論新標準時說：“隨著車輛變得更加智能，未來汽車行業的機遇將增多，但是這也帶來了數據竊取和黑客攻擊的風險。”諾曼補充說，新標準“應有助于該行業更好地應對挑戰，并保持英國處在自動駕駛技術發展的前沿”。

法國：監管機構執法時應考慮多種因素

據報道，2019年7月，法國數據保護局（CNIL）向一家為個人提供汽車保險服務的公司開出了18萬歐元的罰單，其理由是該公司未保護好其網站用戶的個人數據。據了解，該監管機構開出上述巨額罰單主要是基于《通用數據保護條例》（GDPR）之規定。該條例第83條規定，在個案中決定是否給予行政罰款及罰款數額時，應當考慮以下因素：侵權的性質、嚴重程度和持續時間，受影響之數據主體的數量及其所遭受的損害程度；受侵權影響的個人數據類別；違法行為基于故意或過失；違法行為涉及的個人數據種類；其他適用于個案的加重或減輕情節，如獲利；數據控制者或數據處理者為減輕數據主體所遭受的損害而采取的相關行動；與監管機構的配合程度等。

各國先后發布了相關安全指南

在上述案例中，起初汽車保險公司的一名客戶發現，居然能夠通過自己的賬戶訪問其他客戶的個人數據（包括駕駛證復印件、汽車相關文件以及銀行信息等），因而向法國數據保護局進行了投訴。隨后，法國數據保護局便展開了調查。調查發現人們只要在搜索引擎里輸入客戶的姓名或在該保險公司網站上填寫相關數字就可直接獲取客戶的數據。為此，法國數據保護局要求該公司針對這種情形采取補救措施，之后，法國數據保護局對該保險公司的補救措施進行了檢查。

經檢查，法國數據保護局發現，盡管保險公司采取了一些措施，但仍不足以阻止個人數據的泄露，而且用戶的登錄密碼設置也不符合安全性要求……檢查人員指出，“該保險公司本應該確保每一個訪問這些文件的人都獲得授權，但顯而易見，他們沒有做到”。有鑒于此，法國數據保護局向該公司開出了上述罰單。