近日�����,CNCERT聯(lián)合智聯(lián)出行研究院(ICMA)對15類主流車型近期的數據出境情況進行分析����,發(fā)現(xiàn)其中有12類產生了出境行為,覆蓋率達80%�,其中排名第一的品牌出境達413435次。整體來看��,汽車數據出境并只不是某類汽車品牌的個別行為��,而是涉及多類汽車品牌的普遍行為����。
令人擔憂的是,近日工信部網絡安全管理局負責人表示�,工信部已收錄車聯(lián)網安全漏洞信息超過2000條,包括車載智能網關��、遠程通信等漏洞����。監(jiān)測顯示��,今年上半年針對車聯(lián)網平臺的掃描探測����、拒絕服務攻擊�、病毒木馬植入等網絡惡意行為超過100萬次��,較2020年同期增長超過80%�。
數據出境的風險研究和把控,已刻不容緩����。
出境量大、頻率高
人民啟信數據顯示�,目前我國擁有智能汽車產業(yè)相關企業(yè)達4397家,其中在一年內新成立的企業(yè)就達1645家���。智能網聯(lián)汽車與傳統(tǒng)汽車相比��,所產生的數據大量增加�����,包括個人認證數據����、車輛認證數據、車輛運行數據��、個人出行數據以及車輛周邊采集數據等�。
相關研究機構估算,以一輛自動駕駛測試車輛為例���,其每天產生的數據量最高可達10TB�����,包括車輛行駛數據�����、車身數據����、操控數據����、視頻數據、圖像數據、坐標數據等數十類���。智能汽車行駛所產生的數據是自動駕駛軟件迭代升級的關鍵數據資源�����,相關數據采集��、存儲和分析應用對智能汽車企業(yè)具有重要的商業(yè)價值�����。
特別是在國內智能汽車市場,部分外商獨資或中外合資車企��,數據存儲和利用等安全問題正日益受到關注��。今年全國兩會期間�,多位代表、委員就智能汽車數據安全特別是數據出境問題表達關切�,建議國家制定相關標準并加強數據的出境監(jiān)管,細化相關數據的安全要求�。
的確,汽車數據出境問題已經刻不容緩����。CNCERT的研究結果顯示����,以車輛識別碼為例�,共發(fā)現(xiàn)我國境內車輛識別碼通過網絡出境超過100萬次,按日統(tǒng)計情況����,單日最大出境規(guī)模近8.3萬次。從7月某日開始��,每隔7天會有一次數據大量出境的情況���。經過深入分析發(fā)現(xiàn)�,主要為境內某汽車城數據中心向位于境外的某電子商務服務公司數據中心傳送某品牌汽車數據��,推測主要用于汽車銷售���。除去集中大量傳輸的5天之外�,平均每天傳輸次數仍達到7000次左右��,整體上汽車數據出境量大����、頻率高����。
分析發(fā)現(xiàn)�����,部分出境數據涉及身份證號(行駛證號)�、駕駛證檔案編號、車牌號����、手機號/固話、地址����、經緯度等個人信息和地理位置信息����。個人信息涉及公民的個人隱私,地理位置信息涉及汽車的行駛軌跡�,它們與汽車數據結合可以還原駕駛人的身份和汽車信息,形成駕駛人畫像���,再結合經緯度即可形成活動軌跡����。
數據出境場景和渠道復雜多樣
汽車數據出境問題越來越受到廣泛關注,今年5月25日��,特斯拉迫于輿論壓力����,通過官方微博表態(tài):在中國建立數據中心,所有在中國大陸市場銷售車輛所產生的數據����,都將存儲在境內,并將向車主開放車輛信息查詢平臺�����。
智能汽車數據傳輸和存儲問題不僅涉及消費者隱私�����,而且事關國家安全�����,那么這些重要數據是如何傳輸到境外的呢?新能源及智能網聯(lián)汽車獨立分析師曹廣平介紹�,數據傳輸的主體一是涉外車企,比如獨資或合資車企�;二是智能駕駛及網聯(lián)化技術發(fā)展較快的企業(yè);三是車輛拆解企業(yè)�。
而數據傳輸到境外可能有三種主要途徑。第一種是車企設定上傳服務器的數據����,如果服務器在國外,較容易傳輸到境外�。第二種是通過二手車整車或廢舊零部件出口的方式,直接隨硬件輸送到國外��。第三種是通過汽車軟件或硬件的后門或某種方式獲取��。
值得關注的是����,目前部分車企雖然是正常收集個人信息�、獲取地理位置以及地圖里周邊環(huán)境信息,但未經我國相關機構進行審核�����,數據不存放在我國本地,而是存放到境外服務器的情況����,雖然還未出現(xiàn)重大事故,但性質嚴重�,也屬于擅自破壞“汽車數據國門”的不良行為。
CNCERT的研究結果則更加觸目驚心���,它們發(fā)現(xiàn)存在汽車數據出境行為的境內IP地址45638個�,覆蓋境內全部31個省級行政區(qū)����。其中,家庭寬帶場景下的IP地址數量最多�����,但每個IP地址的汽車數據出境次數較少�,推測主要為個人用戶的境外訪問行為;數據中心場景下的IP地址數量排在第二位����,其汽車數據出境次數居于首位,但數據中心的責任主體難以溯源�����。
企業(yè)專線IP地址排在第三位,平均汽車數據出境次數僅次于數據中心��,企業(yè)專線的IP地址一般由某一企業(yè)或組織機構獨享���。針對企業(yè)專線場景�,共發(fā)現(xiàn)可識別單位共791個��?����?勺R別單位類型涵蓋汽車銷售維修服務����、汽車制造、物流及客運����、政務、保險和產權交易�、科研機構����、銀行等�����,整體來看汽車銷售維修服務類企業(yè)占比超過50%����。
法規(guī)出臺為車企樹立“數據界碑”
智能汽車的數據采集很精細����,一位技術人員告訴記者,精確到連路上小水坑都能收錄進去�����,目前大多數智能汽車已經不是收集���,而是達到“地圖測繪”的水平了���,而這些數據一般都會傳到車企自建數據平臺上,這些平臺有的在國內���,有的在國外���,國內合資品牌汽車傳感器所收集到的數據大多數都會傳送到其海外研發(fā)部門��。
如何約束汽車行業(yè)企業(yè)的數據出境行為���?法律法規(guī)的出臺無疑是最行之有效的方式。由國家網信辦等五部門聯(lián)合發(fā)布的《汽車數據安全管理若干規(guī)定(試行)》已于10月1日正式施行��。規(guī)定在開展汽車數據處理中堅持“車內處理”�����、“默認不收集”���、“精度范圍適用”�����、“脫敏處理”等數據處理原則�。
《汽車數據安全管理若干規(guī)定(試行)》強調�����,汽車數據處理者開展重要數據處理活動,應當遵守依法在境內存儲的規(guī)定��,加強重要數據安全保護�����;落實風險評估報告制度要求���,積極防范數據安全風險;落實年度報告制度要求����,按時主動報送年度汽車數據安全管理情況。因業(yè)務需要確需向境外提供重要數據的��,汽車數據處理者應當落實數據出境安全評估制度要求�,不得超出出境安全評估結論違規(guī)向境外提供重要數據,并在年度報告中補充報告相關情況�。曹廣平認為,這等于為車企樹立了“數據界碑”�����。
與此同時��,為貫徹落實《數據安全法》等法律法規(guī),工業(yè)和信息化部研究起草了《工業(yè)和信息化領域數據安全管理辦法(試行)(征求意見稿)》�����,擬以規(guī)范性文件形式印發(fā)�,10月30日前面向社會公開征求意見。其中第二十四條指出:工業(yè)和電信數據處理者在中華人民共和國境內收集和產生的重要數據�����,應當依照法律���、行政法規(guī)要求在境內存儲����,確需向境外提供的����,應當依法依規(guī)進行數據出境安全評估,在確保安全的前提下進行數據出境��,并加強對數據出境后的跟蹤掌握��。核心數據不得出境�����。
企業(yè)自律數據安全不留死角
當然,在法律約束的同時�����,汽車行業(yè)企業(yè)也要高度自律����。曹廣平建議企業(yè)����,嚴格對照規(guī)定,在車輛開發(fā)的全流程�����、車輛經營的全過程����、車輛產品的全生命周期,嚴格執(zhí)行規(guī)定����,完成規(guī)定的報送工作�,在汽車數據的收集����、存儲、使用��、加工�����、傳輸����、提供、公開等方面�����,尤其是向境內外第三方傳輸數據中��,在橫向的傳播范圍上不留死角�����。在智能網聯(lián)化的新技術應用中����,要持續(xù)對照審查����,在縱向的產品發(fā)展中始終繃緊數據安全這根弦��?!翱傊囀恰當祿T’�����,規(guī)定是‘數據界碑’��?!辈軓V平說��。
數據出境的潛在風險���,既可能傷害到個人隱私�����,也有可能威脅到國家安全�����。奧緯咨詢OliverWyman董事合伙人張君毅指出�����,以前汽車行業(yè)的數據是手工收集��,且數據量少�����;但智能汽車時代數據量幾何倍數增長���,這一問題也就隨之凸顯��,如充電樁�����、加氫站等基礎設施也存在數據泄露隱患��。事實上����,不僅是汽車行業(yè),凡是涉及到大宗交易��、基礎設施以及和民生相關的大消費者數據����,或多或少都在面臨數據出境的安全問題,數據已經成為當下社會的一種生產資料����。
數據出境一旦造成威脅國家安全和國民利益的嚴重后果,是任何企業(yè)也無法承擔的�����。因此�,張君毅也建議汽車行業(yè)企業(yè)在追求發(fā)展速度的同時����,也要關注可持續(xù)發(fā)展;在追求利潤的同時�,也要扛起維護數據安全的社會責任。(記者 郝文麗)
轉自:中國汽車報
【版權及免責聲明】凡本網所屬版權作品����,轉載時須獲得授權并注明來源“中國產業(yè)經濟信息網”�����,違者本網將保留追究其相關法律責任的權力�����。凡轉載文章及企業(yè)宣傳資訊��,僅代表作者個人觀點�����,不代表本網觀點和立場��。版權事宜請聯(lián)系:010-65363056�。
延伸閱讀
