数据安全法颁布,智能汽车会更安全吗
身处大数据时代,或许你曾经历过或听过这样的事情:大数据杀熟,新旧客户购买同一件商品时不同价;或者前一秒浏览汽车资讯,下一秒打开“橙色软件”被强行推送汽车相关商品;“某酒店集团上亿条开房信息被泄露”……
互联网和数据就好像一把双刃剑,既带来生活的便利,也带来困扰全社会的信息安全问题。如今同样的问题也发生在与日俱增的智能汽车身上。
《数据安全法》对汽车行业带来什么影响?
今年初,网传国内部分政府机关和园区禁止特斯拉进入,理由是“特斯拉装有全方位摄像头、超声波雷达等一系列能暴露目标位置的技术装置”,涉及军事秘密等方面的国家安全。
再到4月,国外黑客窃取了特斯拉车内摄像头的拍摄画面并上传至社交网络,引发广泛争议。即使特斯拉中国澄清在北美以外的市场并未激活车内摄像头,但吃瓜群众的疑虑却从未消停。
再到上海车展期间发生的“刹车门”维权事件,特斯拉向有关部门提交了相关的行车数据,但却遭到车主的强烈谴责,称该数据泄露了自己的个人隐私。同时,也有人质疑数据的真实性,是否经过篡改、加工等操作。
●特斯拉事件引发深思:数据安全管理刻不容缓
于是,几个大瓜接连发生,使得舆论一时间将“汽车数据”的话题推向了历史性的高潮。可能有人会问,为什么是特斯拉单独被拎出来吐槽?
一方面特斯拉本身就以“数据”和“软件”作为核心驱动力和竞争力,自动驾驶套件选装、OTA付费升级等软件服务的累计收入就达到10亿美元。若谈汽车上的数据安全,大家难免会把目光聚焦在特斯拉身上。
另一方面,正如前文所说特斯拉身上装有摄像头、超声波雷达等一系列能暴露目标位置的设备,当驶入一些政府机关单位,确实可能采集到一些内部的道路环境信息。
事实上,数据安全问题不仅仅是特斯拉的事情。比如像蔚来、小鹏、威马等新势力品牌和其他智能汽车普遍会在车内安装摄像头,以提供监控驾驶员状态的功能;同时也会在上传用户的定位、行驶轨迹以及其他人机交互信息,所以这些数据会不会被过度采集?
另一方面,智能汽车正如摩尔定律一样飞速发展,海量数据随之诞生,这些数据该如何存储、运用、监管也是行业目前所面临的灵魂拷问。
●汽车数据管理将有法可依
6月10日,十三届全国人大常委会第二十九次会议表决通过《中华人民共和国数据安全法》(以下简称《数据安全法》)给予了法律层面的解决指引。
《数据安全法》将于年9月1日实施,它的意义在于给中国数据安全法体系描绘了大致模样。对于汽车行业而言,作为上位法(效力较高的法律)的《数据安全法》会对汽车数据的法律监管起到纲领性作用。
而在更早前的一个月,国家互联网信息办公室会与有关部门起草了《汽车数据安全管理若干规定(征求意见稿)》,对特斯拉事件引发的数据管理疑云和担忧带来了解决方案和规范,主要包括六大要点:
第一,运营者处理个人信息或重要数据应当合法、具体、明确,与汽车的设计、制造、服务直接相关,就是说数据不能乱采、乱用。
第二,对数据要落实网络安全等级保护制度。
第三,处理个人信息时,要通过用户手册、车载显示面板等告知用户;
第四,收集个人敏感信息、车内音频以及判断违法违规驾驶的数据等,要获得用户授权,且需匿名化或脱敏处理;
第五,运营者处理重要数据,应当提前向省级网信部门和有关部门报告;
第六,数据应当依法在境内存储,确需向境外提供的,应当通过国家网信部门组织的数据出境安全评估;
在数据安全质疑声音高涨下,无论是《数据安全法》还是《汽车数据安全管理若干规定(征求意见稿)》的出台,都把数据安全上升到了法律层面,将会是智能汽车爆发的基石和前提。
汽车数据的采集存储还有哪些漏洞?
虽然关于数据安全的法律和管理办法陆续出台,规范了车企等运营者的行为,但也不代表汽车数据能绝对的安全。
目前,智能汽车的技术应用架构自下而上依次分为采集层、通信层、平台层和应用层。每一个架构层之间会通过网络传输,实行数据交互与分析。这就隐藏着网络安全的风险,因为从理论上讲,只要有软件在运行并且从外界接受输入,就有被攻击和破解的可能。
比如在采集层,感知类数据通过传感器数据采集车速信息、油门、刹车、车窗、雨刷器等各种有用数据信息。在这个过程中,攻击者可通过干扰、欺骗攻击等手段造成传感器设备失灵,也可以造成感知数据污染,使得算法无法识别或识别错误。
比如在通信层,如果传感器节点和云端接口缺少认证机制,攻击者可以通过伪造传感器节点或者云端接口,从而伪造和篡改自动驾驶数据。
据统计,当前一辆配备三颗摄像头、一颗32线激光雷达以及组合惯导系统等传感器的自动驾驶测试车,每小时约产生20GB数据。而一辆特斯拉在应用自动驾驶时,每天大约就能产生并上存3.9G数据。
车企要做的不仅仅是对自身的数据采集、存储、应用行为负责,还要对黑客等第三方的恶意攻击。
智能汽车会不会成为间谍车?
智能汽车数据又可以简单分为车内数据和车外数据两部分。
●数据泄露对个人的影响
车内数据涉及行驶数据、声音数据、人机交互数据、驾乘人员图像等。一旦被泄露,个人隐私就暴露无遗,而这样的事件在国外并不少见。
年3月,两名从事汽车安全工作的黑客专门购置了一台特斯拉Model3事故车展开研究:通过扫描这台事故车的车辆控制器,获得了该车辆的大量数据,包括智能移动设备的通讯数据,如通讯录、电子邮件地址信息、行程记录的日历与安排等等。
最后黑客能查到这辆特斯拉曾归属于大波士顿的某建筑公司。
更可怕的是,黑客通过扫描获知的数据,查到了这家建筑公司的全部员工人事关系,甚至是所有员工的家庭关系,所有人的隐私如同赤裸暴露在外。
再到最近,来自北美约万大众、奥迪的车主和潜在客户的个人信息也遭到泄露,包括姓名、地址、手机号码、邮件以及部分驾照号码、车牌号码、贷款号码、社会保障号码等等。
原因是在当地的一家大众汽车经销商此前曾将这些客户数据“未经保护”地留在互联网上,于是被第三方访问并窃取。
个人隐私被曝光还算最严重,危及到身边人生安全的后果就更加难以设想了。根据国家工业信息安全发展研究中心发布的《自动驾驶数据安全白皮书》显示,从年开始全球范围内就发生过多起自动驾驶数据安全事件,包括宝马、大众、丰田等,重者可以通过伪造指令,远程操控汽车。
原本以为只会发生在《速度与激情》中被黑客自由操控汽车的电影桥段,其实随时都有可能发生现实生活中。
●数据泄露对国家安全的威胁
车外数据就包括通过摄像头、雷达等传感器从车外采集到的道路、建筑、地形、交通参与者等感知数据。以特斯拉最畅销的Model3为例,其传感器配件包括8个摄像头+12个超声波雷达+毫米波雷达。
摄像头能在米半径内,提供汽车周围度的可视性;超声波雷达作为视觉系统的补充,可以探测车辆周围的障碍物;毫米波雷达则用来测量车辆与车辆之间的距离、角度和相对速度。
当车辆在行驶时,摄像头提供了街景图像,雷达提供了周围事物的距离度量,再加上导航惯性仪和卫星地图,基本就能得到周围的全息景象。
而此前特斯拉在国内相关的行车数据存储在国外,一旦被网络攻击发生数据泄露,后果确实让人细思极恐。
可以看出,汽车数据遭到破坏后,由低到到高,可以从国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,划分为五级:
因此,如何保证车辆数据的存储完整性、真实性和防篡改性将是未来汽车产业面临的一大重要挑战。
实现汽车数据安全长路漫漫
与PC、智能手机等智能终端不同,智能汽车本质上还是交通移动工具,关切着每一位车主和其他参与者的性命、财产,这就意味着它需要最高级别的安全。再加上,智能汽车在这几年火速兴起,但行业规范标准、政府监管等尚处于初步阶段,相对行业实际发展而言,略显滞后。
因此,智能汽车的数据安全标准与法律的出台迫在眉睫,庆幸我们看到了国家层面的及时高效跟进,而车企层面也在高度重视。
特斯拉已经在中国建立数据中心,以实现数据存储本地化,并将向车主开放车辆信息查询平台。上汽的智己汽车则制定了用户数据隐私及保密计划,应用了包括区块链、零知识证明、差分隐私等技术,比如车内摄像头只采集眼球转动信息,而取消识别人脸识别。
在软件定义汽车时代,数据变成车企的一种巨大资产,一方面驱动着自动驾驶的到来,一方面也存在着种种安全隐患,鱼与熊掌,如何兼得?这将是每一家车企必修的课题。(文:太平洋汽车网曾惠君)
转载请注明:http://www.abuoumao.com/hyls/5236.html
