汽车智能化不断演进,如何保护用户隐私和汽车数据安全?

汽车智能化不断演进,如何保护用户隐私和汽车数据安全?

2020年以来,随着“软件定义汽车”呼声渐起,从传统车企到造车新势力,以智能网联+自动驾驶为核心的竞赛全面铺开。

随着智能化的不断演进,汽车正在从交通工具逐渐演化为奔跑在公路上的智能终端,而其核心部件也逐渐由曾经的发动机、变速箱、底盘,转变成了芯片、软件以及数据组成的“汽车大脑”。

与此同时,变革之后的汽车,将彻底脱离代步工具的属性,在“汽车大脑”的操纵下,演变成为一个智能出行移动空间。

然而,智能网联+自动驾驶的加持为用户带来了更加便捷的出行体验,集成了大量的摄像头、雷达、测速仪、导航仪等各类传感器的智能汽车也掀开了隐私与数据安全的一角——远程控制、数据窃取、信息欺骗、隐私泄漏等安全问题已经陆续出现在智能汽车上。

日前,“特斯拉车内摄像头高清画面”登上微博热搜榜,相关视频显示,特斯拉车内五个座位均被车内高清摄像头清晰记录。尽管特斯拉在一天后发文回应称,其驾驶室摄像头在北美以外的市场并没有激活,即使是在美国,车主也可以自由选择是否开启使用。但智能汽车如何保障用户数据与隐私安全再一次引发广泛关注。新华社评论更是“一针见血”:“车内涉及到的隐私不是你想采就能采”。

而更值得关注的是,智能网联汽车所能够采集到的汽车信息并不限于车内的声音和图像,集成大量摄像头、雷达、测速仪、导航仪等各类传感器使汽车从原来的信息孤岛变成了一个联网的信息节点。在智能汽车的使用过程中,从数据采集到传输、再到处理使用,全生命周期都有数据安全风险的问题。

据研究机构估算,一辆智能网联汽车在使用过程中每天将会产生大约10TB的数据。面对海量的数据,相比于传统汽车,智能驾驶汽车的发展,正在面临数据安全的新挑战。

智能却不安全?

“智能网联汽车在使用过程中的风险涉及到很多方面,如果系统地对这个风险进行归纳,可以归纳为三大类风险——汽车的行车安全、用户的隐私安全和国家安全。” 清华大学学科办主任、发展规划处处长、车辆与运载学院创院院长杨殿阁教授指出。

“第一类,对行车安全的影响。汽车的联网使黑客有机会攻入到车辆里面,控制车辆的行驶,会行车安全带来巨大的风险;第二类,车上传感器不断获取车上的用户包括车外的一些行人的信息,侵犯用户隐私;第三类,车上视觉、毫米波雷达、激光雷达等传感器,在行驶的过程中不断扫描路面、扫描着周围的交通环境,涉及到大量的地理信息,这些信息又涉及到国家安全。”杨殿阁教授补充道。

然而,在智能互联与自动驾驶的大潮中,为了吸引更多的消费者,近年来各大汽车厂商不断推出新的智能化方案,诸如面部识别、指纹解锁,给客户带来全新体验、“让车更懂你”的同时,也在某种程度上获取用户个人信息。

在杨殿阁教授看来,从采集到传输,到处理使用,全生命周期都存在安全问题。

据了解,数据全生命周期指数据从创建到销毁的整个过程,包括采集、存储、处理、应用、流动和销毁等环节。

在采集阶段,面临非授权采集、数据分类分级不清、敏感数据识别不清、采集时缺乏细粒度的访问控制、数据无法追本溯源、以数据污染等问题;在存储阶段,面临着数据分类分级不清、重要数据的保密性问题、重要数据缺乏细粒度访问控制的要求;在传输阶段(主要是指数据在各业务平台、各节点之间、各组件之间以及跨组织的数据传输),主要的风险在于传输时存在泄露问题;在处理阶段,面临的安全风险包括数据处理时缺乏访问控制、数据结果的访问接口缺乏控制、数据处理结果缺乏敏感数据保护措施、缺乏安全审计和数据溯源的能力;在交换阶段(数据交换阶段主要指数据最终通过提供给其他业务系统使用),面临的风险有数据交换和数据输出存在未授权的行为,输出的数据在应用或终端存在安全泄露的问题;在销毁阶段数据安全的风险主要是恶意恢复而导致的数据泄漏风险。

“大家关注的点都是在传输、存储的安全,忽略了业务应用层的数据安全。” 理想汽车信息安全总监徐超指出,“黑灰产、竞争对手、商业趋势分析,情报分析、政治倾向分析的形形色色的团体,都在互联网上进行着数据的挖掘。通过抽样数据的获取和分析,就能非常精确的分析出实际业务的商业机密。”

值得关注的是,Upstream报告数据显示,2020年整车企业、车联网信息服务提供商等相关企业和平台的恶意攻击已达到280余万次。

这也意味着,如何保障数据安全、避免数据滥用、如何给数据脱敏,都存在挑战。

与此同时,智能汽车的使用还涉及到数据跨境传输的问题,跨境数据的传输涉及到的实际上是国家安全问题。

据了解,数据跨境过程环节多、路径广、溯源难,传输过程中可能被中断,面临数据被截获、篡改、伪造、泄露导致的电信网络诈骗的同时,也面临着信息数据不当使用、技术数据遭知识产权侵害的风险。

“大家近期关注某电动车品牌的数据采集,包括部分国防单位禁止某品牌电动车进入,更多的原因是该车本身存在高精度环境信息采集能力,同时背后存在数据跨境传输的风险和隐患。”

杨殿阁教授指出,目前,我国与跨境传输相关的政策和法规还不够完善,对跨境传输的这些数据缺乏有效的监管机制和监管手段,同时,出现数据违规跨境传输,目前的处理手段和技术跟不上。

两难选择

尽管面临数据安全风险,但在智能化大潮中,为了让车辆在不同的路况、场景、情景下实现智能驾驶,数据获取与分析是汽车智能化之路上的必然选择。

“在车辆的使用过程中,主要会涉及两方面的数据,一部分是车辆数据,包括地理位置、系统信息、业务相关的数据;另一部分是用户数据,车机上大量丰富的应用涉及到用户账号包括访问记录,以及车内的摄像头、车内的麦克风,涉及到用户个人隐私的数据。” 腾讯车联网安全技术专家张康表示。

“车内的摄像头,既然能监测我的行为状态,是不是一直在记录我在车内做了什么?”车内摄像头以及麦克风的存在,给消费者带来隐私泄露的恐慌。

“车企有一种方案,除了让用户有知情权之外,告诉用户需要采集到哪些信息,还提供一个用户主动干涉的功能,用户可以手动把摄像头盖上。”张康表示,“除了从传统的技术层面该加密的加密、该存储的存储之外,赋予用户这样主动干涉的权限,一定程度上可以避免用户的恐慌。”

但这也是一个两难的选择,一旦手动关闭摄像头,那么智能汽车所具有的一些功能也会失效,例如监测用户的疲劳驾驶功能。

在张康看来,企业需要关注数据合规性问题,无论是车辆数据还是对于用户数据,需要满足网络安全法的等级保护的要求。此外,作为个人数据的处理者,企业需要对用户的个人信息负责。

但目前,涉及到用户的行为数据,包括未经授权的数据的归属、管理、使用的权限目前来看并不是很清晰。

“车企目前面临的问题是很难识别车辆会采集哪些数据,以及这些数据会分享给谁。并不清楚车辆在数据采集、传输、分享过程当中会面临哪些安全风险以及需要有怎样的手段去处理。”张康指出。

值得注意的是,随着行业的发展,对于车企来说,如何保护信息安全包括数据安全已经过了行业教育的阶段,车企面临的问题是该怎么去做。

“车上的数据类型很多且归属权复杂,很难笼统地说这些数据归属某一方。正常的情况下车内摄像头或者是传感器所采集到的这些数据,如果经过用户授权,相对来讲这些数据车企是有使用权限的,由车企负责管理、负责使用。” 杨殿阁教授表示,“涉及到用户的行为数据,包括未经授权的数据的归属、管理、使用的权限目前来看并不是很清晰。这也是国内在立法或者是建立相关的标准和规范的时候需要去考虑的一个问题,规范这些数据的归属、使用、管理是接下来一个很重要的工作。”

事实上,关于智能汽车的数据安全问题的相关政策正在推进。早在2020年工信部曾组织出台了一系列的标准,其中车联网信息服务里面的用户个人信息保护要求,对个人信息保护的分类、敏感程度包括分级保护都做了明确的规定。

今年两会期间,多位代表委员针对智能网联汽车的数据隐私保护建言献策。

全国人大代表、上汽集团党委书记、董事长陈虹建议,智能网联汽车数据的采集、存储和商业用途需经国家相关部门备案管理,在数据隐私保护方面,智能网联汽车企业对于可能存在的隐私风险应向用户告知,在分析处理数据时要进行数据和个人身份的分离,并将数据匿名化,以确保用户数据安全。

此外,针对智能汽车可能产生的安全问题,全国政协委员、360集团创始人、董事长周鸿祎建议国家加大鼓励和引导汽车企业,将智能汽车的联网安全防护体系纳入车辆生产、销售和服务体系中,并逐步形成强制性要求,像汽车安全带一样,列为汽车安全的标配。

近日,工信部公布了《智能网联汽车生产企业及产品准入管理指南(试行)》(征求意见稿)并公开征求意见。

《指南》指出,将针对具备有条件自动驾驶、高度自动驾驶功能的智能网联汽车生产企业及其产品加强准入管理,规范智能网联汽车产业健康有序发展。

同时,《指南》要求智能网联汽车生产企业应依法收集、使用和保护个人信息,不得泄露涉及国家安全的敏感信息。在中国境内运营中收集和产生的个人信息和重要数据要按照有关规定在境内存储。同时,还要求企业遵守网络安全法律法规规定,建立覆盖车辆全生命周期的网络安全防护体系,保护车辆及其联网设施免受攻击、侵入、干扰和破坏等。

在业内看来,随着政策的逐步完善和出台和全行业对数据安全理解的深入,未来,智能网联汽车数据、安全等相关的一系列问题也将逐步得到进一步规范。

本站部分文章来自互联网,文章版权归原作者所有。如有疑问请联系QQ:3164780!