智能网联汽车数据安全的几点认识与思考
文│ 360 集团数据安全研究院 钟力 王雨薇
为加强个人信息和重要数据保护,规范汽车数据处理活动,根据《网络安全法》等法律法规,国家互联网信息办公室会同有关部门起草了《汽车数据安全管理若干规定(征求意见稿)》(以下简称《规定》), 向社会公开征求意见。这是我国首个汽车行业数据安全管理的规章制度,是针对目前智能网联汽车在发展过程中引发公众关注的数据安全问题的监管回应。基于 360 大数据协同安全技术国家工程实验室多年来在数据安全治理方面的研究和实践工作,本文在数据开发利用和保障数据安全相互促进与协调发展的基础上,从技术层面和管理层面提出了保障汽车数据安全的具体方法。
一、汽车数据利用与数据安全应达成平衡
1. 数字经济时代需鼓励数字创新应用
随着人工智能、物联网和大数据分析等技术的广泛应用,经济社会发展日益呈现数据驱动的新态势,各类个人信息的处理活动不断拓展,数据安全与发展的动态平衡已成为数字经济领域各类新业态、新产业、新模式创新发展的关键。刚发布的《数据安全法》明确提出,“国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展”,其明确了国家鼓励数据依法合理有效利用,以促进数字经济发展。
从现在低级别的辅助驾驶,到未来高级别的自动驾驶,为了应对复杂多样的路况和行车场景,数据的收集与分析利用是汽车智能驾驶在发展道路上不可或缺的动力源泉。而且,汽车作为人们的一个重要的生活空间,也将发展成为一个智能综合体,汽车拥有的数字创新应用会成为一个品牌汽车能否取得市场成功的关键因素。因此,汽车产业需要鼓励汽车数据的开发利用,鼓励数字创新应用的发展,不能单纯为了保障数据安全而遏制了数据的合法合规收集与数据开发利用,需要在两者之间根据数字经济时代的发展特点取得恰当的平衡。
2. 需正确把握汽车数据采集的度
在汽车智能网联化的大潮中,很多行车安全功能的实现离不开数据的采集,自动驾驶所需的感知、决策、控制都依赖于大数据采集的各种场景,保障车主人身安全也需要行车路线和位置数据的采集,只有收集了这些数据才能使人车配合得更加紧密。我们知道,疫情时期健康宝的使用虽然收集了大量个人敏感信息,但同时方便了大家的出行,维护了公共安全,这需要我们在个人隐私信息上有所让渡。同样地,汽车收集的数据,虽然也会涉及个人隐私信息,但它会提高驾驶者的人身安全和行车安全。如果要获得汽车智能化的一些功能,确实需要汽车去收集必要的数据。
根据《个人信息保护法(草案)》和相关标准规范,充分告知与授权同意是个人信息采集的基础性合规框架。具体到汽车数据的业务场景,我们认为也必须要满足个人隐私合规的法规标准要求。因为汽车和智能手机一样,都属于个人的物品,所以汽车数据安全的重点应放在对外交互数据特别是车企云服务平台数据的安全管控上,不宜过度限制汽车数据的采集。对于《规定》的第六条(五)项中提出了“默认不收集原则”,要求“除非确有必要,每次驾驶时默认为不收集状态,驾驶人的同意授权只对本次驾驶有效”,以及在第八条(二)项中规定驾驶结束(驾驶人离开驾驶席)后本次授权自动失效等条款,这在实践中对于车主来说可能难以做到。我们建议对这些条款进行修改完善,车主只要有选择的权利即可,从而可使车主更关注于车辆安全驾驶本身。
3. 区分车内数据和车外交互数据
《规定》第六条(一)项提出的“车内处理原则”,除非确有必要不向车外提供个人信息和重要数据。我们认为这是非常有必要的,也是科学进行汽车数据安全治理的关键。一方面,汽车属于私人物品,必然会采集处理大量的个人隐私数据,只要这些数据在车内就没有问题;另一方面,基于安全驾驶的需要,汽车也会采集大量的环境、路况、位置和地理信息,其中可能会涉及敏感数据。如果这些数据只是在车内由行车电脑进行处理,并不对外交互,可以认为不涉及数据安全和个人隐私保护问题。因此,“车内处理原则”实质上是区分了车内数据和车外交互数据,对于车内数据,其数据权属于车主,应重点关注如何利用和安全保护;而对于车外交互数据,比如云服务平台,其数据管理权属于车企,则重点关注数据泄露风险,只有这样才能更好地治理汽车数据,达到保障汽车数据安全的目的。
目前,行车电脑的性能已能满足相关数据安全处理的要求。关键的一部分内容是车路协同所需的车外交互数据的处理,包括车车互联、人车互联、车辆与路侧基础设施以及云服务平台的交互数据的处理。这需要区分不同的情况来将车外交互数据进行安全处理,以防止产生数据泄露和隐私侵犯等安全风险。例如,就像《规定》第六条条款所描述的,如果收集的车外行人个人信息经过了数据匿名化和脱敏处理,就无需征得其授权同意。具体而言,就要求行车电脑能够删除可识别自然人的画面或对画面中的人脸进行局部轮廓化处理,以及防止数据滥用或未经授权的第三方访问。这是车企在数据处理方面的实践中通常会采用的方法,体现了官方对此种处理方式的认可。
二、全周期全方位保障汽车数据安全
数智时代的到来让汽车迎来新一轮的变革,汽车智能化在带来便利的同时也极易引发数据安全问题。据英特尔公司预测,一辆联网的自动驾驶汽车每运行 8 小时将产生 4TB 的数据。这主要是因为汽车上安装了越来越多的传感器,汽车收集的数据种类和数量不断上升。在数智时代,所有的业务都将是数据驱动的,一旦敏感数据被破坏或泄露,将会造成重大经济损失或生产瘫痪。因此,需要建立起数据全生命周期保护的理念,保障数据活动在每一个环节的数据安全。
1. 数据采集安全
汽车依赖其传感器进行数据采集,通过网络获得来自云服务平台或其他设备的交互数据。对于任何一个云服务平台来说,汽车是主要的数据采集工具。因此,在某种程度上说,做好汽车数据采集安全,汽车数据安全就成功了大半。我们认为,汽车数据采集安全需要做到:1)在知情同意原则下进行数据采集,能够获得支撑汽车智能化发展所必须的数据;2)对采集的数据进行分类分级,至少区分车内数据和车外交互数据,并采取相对应的安全保护措施;3)对外发的车外交互数据进行匿名化、去标识化和脱敏等处理,防止敏感数据泄露;4)严禁汽车装配超出地理信息测绘精度的部件,杜绝敏感测绘数据的采集;5)严禁采集相关法律法规禁止采集的数据。
2. 数据传输安全
汽车数据传输主要是针对车外交互数据,这存在很多潜在的攻击入口和路径,比如车内 Wi-Fi、蓝牙和移动通信网络等,需防止数据遭到嗅探、篡改和其他攻击。因此,数据传输安全需要做到:1)对传输实体进行双向身份鉴别,确保数据被正确的对象发送和接收;2)采取加密保护措施,防止传输过程中的数据劫持,防止恶意汽车控制交互;3)建立车与人、车与车、车与路、车与云协同的攻击防御和无线通信安全防护机制;4)严禁汽车装配卫星通信部件,直接与境外服务器进行数据传输。
3. 数据存储安全
数据存储安全需要关注两个点:一是数据在汽车内的存储安全,二是汽车数据在云服务平台上的存储安全。对于车内数据,应该有基本的访问控制措施,防止未授权的访问,且不需要长时间保存,例如,行车安全相关的数据可以用后即删,或者根本不需要存储。而对于云服务平台上的数据,需要有数据库安全防护和大数据平台安全防护相关措施,并在管理上满足相关法规标准要求。
4. 数据处理安全
汽车数据处理过程包括数据的使用和加工,应注意防范数据滥用和数据泄露问题。根据《规定》中提出的汽车数据运营者处理个人信息和重要数据应坚持 “车内处理”、“匿名化处理”、“精度范围适用”原则,大量汽车数据在加工、分析处理前应对重要数据进行脱敏,保证数据可用性和安全性的平衡,在数据处理过程中应采取适当的安全控制措施,防止数据挖掘、分析过程中有价值数据和个人信息泄露的风险。对于需要商业合作伙伴进行数据开发利用的场景,比如进行某种汽车智能化功能的开发,汽车数据运营者需审核其数据安全能力,以有效降低数据应用开发过程中因提供数据带来的数据泄露风险。
5. 数据交换安全
汽车数据运营者应严格控制汽车数据的交换,建议采用两种方式:1)采用隐私计算技术,在确需多方汽车数据联合计算的需求场景,通过隐私计算平台来可控、安全地交换数据的使用权,保证自己的数据不离开本地,实现“数据可用不可见”模式下的汽车数据价值挖掘;2)对必须转移或出售数据的需求场景,应严格按照相关法律规范,对数据进行去标识化、匿名化和脱敏后方可实施。同时,对数据交换过程应进行监控与审计,共享的数据不能超出数据共享使用授权范围。
6. 数据销毁安全
数据销毁安全体现在汽车数据存储介质上的数据销毁和云服务平台上的数据销毁两个地方。汽车应提供数据擦除功能,以支持原车主在汽车转移登记之前将所有数据清除。而对于云服务平台上的数据,云服务平台应提供数据安全清除的功能。
7. 从“云、管、端”落实汽车数据安全保障措施
典型的车联网结构分为“端”、“管”、“云”三层,汽车数据安全包括数据在这三个层面的安全保障。“端”主要指汽车,是属于车主的个人物品;“管”指的是“云”和“端”之间连接的网络通道,通常会通过移动通信网络进行连接;“云”则是车企建立的云服务平台,会从“端”获取汽车相关的数据,为“端”提供相关服务。从“端”、“管”、“云”三个层面,更易于看清汽车数据安全保障措施的落地。汽车在出厂时就应具备基本的数据安全防护能力,例如安全策略设置、身份鉴别、数据加密、访问控制和安全审计等功能,并可以通过行车电脑进行持续升级。同时,建议逐步增加数据分类分级、去标识化、匿名化和数据脱敏等功能,确保上传给“云”的数据不含与服务无关的个人信息。通过在汽车和“云”上装载数据加密模块,确保“管”的数据通信是受到加密保护的。“云”数据安全是大数据平台的数据安全,既需要身份鉴别、授权管理、访问控制和安全审计等基础安全功能,也需要数据库安全、数据脱敏、数据接口和数据销毁等涉及数据全生命周期安全的功能组件或模块,并要求在中国境内建立云服务平台。
三、加强汽车数据安全管理
除了采用上述数据安全的技术措施之外,还应该从管理角度采取措施来有效管控数据安全风险。
1. 限制汽车驶入的场所
就像手机不能带入涉密场所一样,应该对汽车驶入敏感场所进行严格限制,比如军事管理区、国防科工等涉及国家秘密的区域,这是最直接简单有效的管理办法,可以在数据采集源头上就根本杜绝数据非法采集和泄露的风险。
2. 限制汽车测绘精度
精准的自身位置定位和周边环境感知是汽车自动驾驶的基础,这涉及到对周边道路环境和地理信息的测绘,也关系到国家安全。应按照测绘地理信息相关法规标准的要求,禁止采集超出满足汽车自动驾驶功能需求的地理环境数据,严禁汽车装配超精度测绘的零部件,对涉及国家安全的地理信息数据加强监管力度。而对于非自动驾驶汽车,则无需高精度测绘定位,相关零部件的测绘指标参数应进一步降低。
3. 管控汽车数据流动的安全风险
《意见稿》第十六条“科研和商业合作伙伴需要查询利用境内存储的个人信息和重要数据的,运营者应当采取有效措施保证数据安全,防止流失”。这是一个典型的涉及数据安全治理的问题,即在数据的流通共享中,如何确保数据的安全,它需要的是一个科学合理的数据安全治理体系。对于车企来说,采集上来的数据需要进行利用,很多科研和商业合作伙伴将会看到和利用这些数据,全量或部分数据将会流动到这些合作伙伴中。这需要汽车数据相关的车企、零部件供应商、应用软件提供商、网约车企业、保险公司和科研机构等,在相同的数据安全治理体系框架下运行,持续不断地提升自己的数据安全能力,才能有效管控数据流动的安全风险。建议采用基于数据安全能力成熟模型的数据安全治理体系,由专门的测评认证机构对汽车数据相关企业或组织进行数据安全能力评价,只有具备一定数据安全能力的企业或组织,才能获得相应等级的汽车数据。
4. 对汽车数据出境严格管理
按照《网络安全法》和《数据安全法》的要求,如《规定》第十二条明确规定的“个人信息或者重要数据应当依法在境内存储,确需向境外提供的,应当通过国家网信部门组织的数据出境安全评估”,我们认为,汽车数据应原则上不出境。这一方面是要求所有在国内有销售的汽车品牌,其车企应该在国内建立云服务平台,数据在国内存储、分析和利用;另一方面是汽车数据出境不是行车安全和使用汽车的必要条件。只有汽车设计、行车安全、重大事故等相关的数据,在经过匿名化、去标识化和脱敏处理,以及有关部门的安全审查之后,才能出境。
5. 严控大规模数据集的流动
《规定》中第十七条提出“处理个人信息涉及个人信息主体超过 10 万人、或者处理重要数据的运营者,应当在每年十二月十五日前将年度数据安全管理情况报省级网信部门和有关部门”。这一条非常重要,通常对每一个品牌的车企来说,其云服务平台收集处理的数据都将超过百万级用户,涉及联系方式、位置、身份证号码等大量用户隐私数据。而对车企来说,这些大规模数据集都很有可能交给科研和商业合作伙伴去处理。因此,对这些有大规模数据处理需求的云服务平台应进行严格监管,特别是要通过限制流动的数据量级来管控数据处理时的安全风险,并对其严格做好管理登记,要求数据流动所涉及的科研和商业合作伙伴应具备相应的数据安全能力。
6. 明确汽车数据分类分级规范
建议在交通领域数据分类分级标准规范的基础上,尽快制定汽车数据分类分级规范,针对不同类别、不同级别的汽车数据,制定针对性的收集、存储、传输和应用技术要求,确保用户信息、车辆信息、测绘地理信息等数据受到恰当的保护,其相关数据活动处于安全可控的状态。
7. 严禁汽车装配卫星通信部件
为防止汽车采集的数据非法跨境传输,应严禁汽车出厂装载卫星通信的零部件和软件。
(本文刊登于《中国信息安全》杂志2021年第7期)