嚴守汽車數據安全 讓個人隱私不再“裸奔”

　　走到一輛新車前，攝像頭、毫米波雷達、鐳射雷達等各式感測器已經愈發常見，為了做到“耳聽八方、眼觀六路”，智慧汽車必須通過它們收集規模更大、覆蓋面更廣的車輛數據。有統計數據對比顯示，一輛智慧網聯汽車每天會産生約10TB的數據，是傳統燃油汽車的5-10倍。

　　2023年，因造成超過215萬日本用戶的車輛數據洩露，豐田汽車一度成為消費者關注的焦點。儘管豐田汽車立刻回應稱，這次洩露事件由人為操作失誤導致，但有報道稱，這幾乎涵蓋自2012年以來，註冊豐田主要雲服務平臺的全部客戶群。

　　事實上，隨著汽車進入數字化、智慧化時代，數據泄密問題已屢見不鮮。

　　據不完全統計，自2020年以來，國內針對整車製造、車聯網資訊服務提供等關聯企業的惡意數據攻擊達到280余萬次。據不完全統計，2023年至今，國內共發生了超過20起與車企相關的數據洩露事件。

　　從駕乘人員的面部表情、動作、目光、聲音數據，到車輛地理位置、車內及車外環境數據，汽車數據隱私洩露所引發的消費者維權事件愈發常見，汽車數據安全正面臨著許多新挑戰。如何高效、完善地守住“安全紅線”，用好汽車數據並保障個人隱私安全，成為與每一位消費者息息相關的新課題。

　　在海量汽車數據中劃清個人隱私紅線

　　根據國家網信辦此前發佈的《汽車數據安全管理若干規定(徵求意見稿)》，駕駛人能夠隨時終止汽車製造商等收集車輛位置、駕駛人或乘車人音視頻等敏感個人資訊的行為。

　　“在技術的幫助下，汽車的數據處理能力日益增強、汽車數據規模日趨龐大，同時暴露出的汽車數據安全問題和風險隱患也越來越突出。”有關負責人表示，在實際場景中，如汽車數據處理者超越實際需要，過度收集重要數據；未經用戶同意，違規處理個人資訊等，都屬於汽車數據安全問題的範疇。

　　美國市場調研機構J.D. Power發佈的“2022中國消費者智慧網聯汽車數據安全和個人隱私意識與顧慮調查”報告顯示，47.8%的受訪車主表示，從未收到過汽車品牌或經銷商對個人資訊收集的提示。

　　這表明很多車企的數據收集行為，是在用戶“不知情”的情況下進行的。一旦這些數據遭到洩露或非法共用，就會産生監聽、身份盜竊等風險，從而影響企業及個人的人身財産安全。

　　在江西新能源科技職業學院新能源汽車技術研究院院長張翔看來，部分車企的數據安全保障能力有待提高。尤其是隨著輔助駕駛、自動駕駛功能的逐步落地，保障數據安全將成為涉及道路交通安全的關鍵問題。

　　“當前，汽車數據安全的應用場景還未固定化，因此要根據其功能開發和使用效果兩方面，不斷進行改進。”張翔直言，從理論上來講，無論車企採取什麼樣的安全解決方案，其數據存儲系統始終會存有漏洞，但車企應該盡可能地提高數據安全等級，多做一些防護措施，這樣才能提升面對網路駭客攻擊的底氣。

　　今年兩會期間，全國人大代表、長安汽車黨委書記、董事長朱華榮針對汽車數據安全提出了相關建議。他認為，隨著汽車行業由“硬體主導”到“軟體定義”，汽車之於用戶已不再是單純的出行工具，已由“單一工業品”到“新數智空間”産品的屬性變遷。用好在智慧網聯汽車使用過程産生的海量數據，首先需要在個人資訊保護、數據要素市場化與國家安全三者之間達成平衡。

　　朱華榮稱，儘管目前已經出臺了《汽車數據安全管理若干規定(試行)》《個人資訊保護法》《關於構建數據基礎制度更好發揮數據要素作用的意見》等法律法規，對個人資訊保護與數據産權確立了部分概括性規定，但對汽車數據中非個人資訊邊界模糊，權屬不明。

　　他認為，智慧網聯汽車相關非個人資訊的邊界模糊與權屬不明，既不利於個人資訊的保護，也讓車企很難更合理、更充分地利用相關數據。

　　“車輛自身及零部件工況類數據，道路、天氣等與外部環境有關的數據，以及無法識別到具體個人的，應不屬於個人資訊的範疇。而車控類及應用服務類數據，與個人的關聯性存在很大差異，需要從立法層面進一步予以明確。”朱華榮建議説，要在劃清個人隱私紅線的基礎上，促使相關數據由“數據碎片”的分散化向“數據糧倉”的集約化轉變。

　　北京市中聞(武漢)律師事務所王崑崙告訴記者，由於理論層面的困難和爭議，許多國家在數據立法上回避了數據的所有權問題。

　　“因此有時候很難界定，車輛使用過程産生的數據所有權，究竟屬於車主、駕駛員還是車企。但是，《個人資訊保護法》對個人資訊權益的保護是比較明確的，處理個人資訊必須以合法、正當、必要、誠信為原則。車企如果未取得個人同意就擅自處理個人隱私資訊，無疑是侵害了個人資訊權益。”王崑崙表示，如果車企違規公開人臉識別、行車數據等個人隱私資訊，性質更為惡劣，涉嫌侵害個人隱私權，甚至還可能構成侵犯公民個人資訊罪。

　　“無論是個人資訊權益還是隱私權被侵犯，個人都可以提起民事訴訟，要求相關方承擔損害賠償等侵權責任，金額可按個人損失或車廠收益確定。”王崑崙説。

　　數據安全應成為智慧汽車發展“壓艙石”

　　放眼全球，面對智慧網聯技術發展的大潮，汽車行業一直高度關注汽車數據安全的相關問題，世界各國的監管機構，針對實際情況出臺了一系列的法規和配套標準。

　　2021年1月，聯合國歐洲經濟委員會第156號法規(UN R156)正式生效。該法規要求汽車製造商具備軟體升級管理體系，履行資訊記錄和保存、升級評估、車輛資訊安全、用戶告知等義務，對軟體升級功能也提出了具體要求，如升級失敗時仍要保證車輛安全等。

　　“按照規定，從2022年7月起，在歐盟銷售的所有新車需進行這兩項法規所要求的型式認證，才能上市銷售。”張翔分析稱，UN R155和UN R156法規的強制實施，意味著歐盟對車輛網路安全和軟體升級提出了規範的準入管理要求。

　　記者了解到，目前國內大多數車企已形成相對成熟的數據安全管理體系，80%以上整車企業組建了數據安全團隊，形成與企業業務線並行的管理鏈路。不過，相關數據遍佈研發、生産和流通等各個環節，有效管理的難度大大增加。

　　中國電動汽車百人會聯合騰訊雲發佈的《智慧網聯汽車數據安全年度洞察(2023)-企業免疫力建設》報告(以下簡稱“報告”)顯示，車企在車端安全上普遍達到了較高水位，而在數據安全治理，例如數據分類分級、數據加解密、防洩露等方面，則面臨較大的挑戰。

　　報告指出，這些挑戰來自監管壓力、技術成熟度等各個方面。有的車企將汽車數據監管聚焦在人、車交互的相關環節，而對企業研發、生産等數據的分類分級未提出明確要求，不同部門或業務團隊可能會使用不同的數據定義、收集和存儲方法，導致數據一致性差、準確度低，進而給保護汽車數據安全帶來挑戰。

　　報告認為，智慧汽車的數據安全問題已經演變成行業普遍問題，需要全行業共同解決。儘管面臨諸多挑戰，隨著法律框架不斷完善，車企在數據安全組織制度、專業人員配備上都已初步完善，第三方專業汽車數據安全解決方案廠商不斷涌現，汽車構建數據安全免疫力已具備完備的産業基礎。

　　記者注意到，由於汽車研發流程複雜，往往要耗時兩三年，部分車企在研發、推出車輛遠端拍攝等相關功能時，關於汽車數據安全的監管政策尚未落地。因此，可能出現産品功能剛用不久就被下架的消費糾紛。

　　消費者姚小平就吐槽説，許多企業為了凸顯自己産品的獨特性、體現自己更高的智慧化水準，曾爭相推出車輛遠端控制、在手機App上查看車載遠端攝像頭等功能。儘管這些功能讓消費者倍感新奇，卻埋下了汽車數據安全的隱患，最終被下架。“如果我們買車多少是衝著這些功能和技術來的，現在功能沒有了，這些錢廠家還打算退還嗎？”

　　對此，有業內專家提醒説，在宣傳新車和新功能時，相關企業應該更加謹慎，充分告知用戶政策變化可能導致的不同後果。

　　值得注意的是，去年7月，《汽車整車資訊安全技術要求》等四項“強標”完成徵集意見稿，數據安全正逐漸成為智慧網聯汽車發展的“壓艙石”已成為全行業共識。

　　有業內人士表示，汽車數據安全建設事關重大，企業需要在合規前提下，充分合理使用汽車數據促進經營，推動智慧網聯汽車良性發展。此外，還需要政府、企業、科研機構和社會公眾共同努力，創造安全、可靠的汽車數據利用環境。

　　“規範汽車數據安全，不僅能促進汽車産業又快又好地實現數字化轉型，還能有效拉動産業提升新質生産力。只有這樣，消費者才能真正享受到智慧化帶來的便利和樂趣。”上述業內人士總結道。