”。它作为终端获取ICT巨大优势并转换为红利的同时,就不可避免地会沾染到来自移动互联网的威胁和风险。
数据采集、存储、使用、转移、销毁,应用软件的访问控制,调式接口暴露,多余功能权限,协议安全,OS安全,代码安全,攻击防护等,这些原本属于ICT安全风险上的专有名词,正逐步显现在智能网联汽车上,再叠加上其交通工具的属性,情况就变得更加复杂。
冗长庞杂的产业链可以滋生数不清的薄弱环节,海量代码里藏着能够被利用或攻击的漏洞,密布的传感器带来的数据上云和隐私保护的挑战……
如何遏制威胁、降低风险,仅是摆在汽车制造商、智能驾驶方案提供商、云平台服务商面前的问题,更是国家政府需要解决的问题。
既需要规避技术创新带来的潜在危害和涟漪效应,又要为技术发展预留出足够的空间,还要保证技术商业化不被政策牵制……
政府手上的“法律政策”之鞭,是紧是松,是监管还是解绑,是明令禁止还是鼓励促进,政策的一举一动都会对智能网联汽车行业发展产生很大的影响,值得所有从业者关注。
本文没有好玩有趣的段子,没有引发共鸣的吐槽,也没有撩拨情绪的感慨,有的只是纷繁复杂的法律规范,晦涩难懂的条文解析,尽可能平实准确的文字和力求严谨清晰的逻辑,而这些都和阅读的爽利感和畅快感毫无关系。
可以想象,这是一篇注定阅读量惨淡的推文,但如果能帮助到身处智能网联汽车行业的读者搭建一个智能网联汽车信息安全的大致框架脉络,那么这篇文章也算有些作用。
智能网联汽车信息安全按对象不同,可大致分为网络安全、应用安全和数据安全。这三者交叉关联,互为依托又相互影响,简单来说,就是你中有我,我中有你。
网络安全的核心要求是硬件和软件不会遭到更改或破坏,在网络通信过程中产生的、包含各种重要信息的海量数据不被篡改,数据不会丢失或泄露。
具体指向智能网联汽车的网络安全,指的是移动通信网络、车载通信网络、路侧通信网络、卫星通讯网络等不受任何情况影响、不因任何因素中断,能够可靠正常地连续运行,智能网联汽车正常运行所需的数据能够得到完整性、可用性和实时性的保障。
以现在热火朝天的V2X为例,城市道路上配置的智能红绿灯和智能摄像头就是比较常见的路侧智能网联设备。这些设备实时获取经过这个路段的智能网联汽车的动态信息(速度信息、位置信息、驾驶状态等),上传到交通运营监管平台,平台通过分析拥堵情况、交通违规情况、拥有优先路权的特种车辆所处位置等信息,统筹调整信号灯时长配置,并以无线信号方式向智能网联汽车推送信号灯切换信息,通过路侧单元向车辆提醒前方道路情况,预警诸如结冰或湿滑的危险道路,提示车辆避让施工区域或交叉路口出现的其他交通参与者等等。
再往大了去看,智能网络汽车、道路基础设施、蜂窝网络设施,甚至是行人佩戴的手机和可穿戴设备……能够产出数据的交通参与者交织成了一张细密蛛网,数据循着看不见摸不着的蛛丝,源源不断自智能网联汽车涌出,又连绵不绝回流。
车辆的通行效率得到了提高、交通参与者的人身安全得到了保障、尾气排放进一步减少,这一切都是基于安全的网络。
这一张全局大网的基础就是包括智能网联汽车终端在内的各种通信设备,这些通信设备和交通运营监管部门的云平台之间的实时沟通,依靠的就是网络安全。
智能网联汽车被誉为移动互联网的新流量入口,要想坐实这个名号,就无可避免地要和手机争夺流量。几乎所有汽车厂商都雄心勃勃地想要将车辆打造成“第三生活空间”,不遗余力地想要占有用户的时间和注意力。
从游戏、微博到电影、电视,从唱吧到Steam,甚至于WPS办公软件和学习强国,越来越多手机端App出现在汽车中控大屏上。
当这些偏娱乐属性App出现宕机时,用户固然会觉得麻烦和不便,但更多的是延续使用手机端App时包容或忽视的态度,最多无奈地调侃一句“重启好”。
然而,当这种情况出现在智能网联汽车上,尤其是带有控制车辆功能的App上时,情况就发生了质的变化,App不受控所带来的后果也不再是一句吐槽或调侃就可以一笔带过的。
具备远程控制功能的应用App在给用户带来诸如远程解锁启动、主动召唤、遥控泊车、开启后备箱等便捷功能的同时,也成为了黑客入侵汽车最常见和最便捷的途径之一。
如果在使用过程中,这些App遭到非法入侵或攻击,不能保证输出指令的安全性和正确性,那么,车辆的动力系统和转向系统控制权就可能被窃取。用户一旦失去对车辆的控制权,由此造成的财产损失和安全事故,后果是极其严重的。
和手机App类似,用户使用车端App,意味着要和车辆分享个人信息、生物特征、网络浏览记录、消费记录、地理位置、支付密码和车内DMS摄像头所记录的视频音频等等一系列数据。
车企和应用App运营者通过分析这些数据,能够更精准地生成“猜你喜欢”,让车辆成为继手机之后,生活中又一个“不可或缺的亲密伙伴”。这些“投你所好”的推荐,它的基础就是用车企和应用App从用户那里获得的海量的个人信息。
如果说这些App的目标是用户的时间、注意力和钱包,是个人数据安全,那么车载传感器的目标则更贴近驾驶和车辆本身,从信息安全角度而言,是公共数据安全。
在智能网联汽车运行过程中,激光雷达、毫米波雷达、摄像头、车辆CAN/以太网网络会不断产生和收集与道路信息和驾驶行为信息相关的数据。
这些基于公共道路采集到的数以百万计的摄像头片段和标注物体信息被投喂给人工智能训练计算机,用以训练智能驾驶算法,使车辆持续进化,能够更安全地行驶、更可靠地处理复杂情况、更快地适应本土化环境、更好地促进新功能和新技术的研发,从而形成正向循环。
同样是特斯拉,在早些时候,网传有官员驾驶特斯拉驶入我国敏感区域,特斯拉前置摄像头获取内部道路信息,疑似数据外泄,进而引发不少区域对特斯拉下达了“禁行禁停”令。这也是一个教科书般的案例,只不过,特斯拉在其中摇身一变成了“反面教材”。
然而,数据如何收集?如何使用、服务于哪些对象、会达成何种目的、造成何种影响,更进一步的,个人私密信息会不会被倒卖给第三方?车内影像会不会被非法传播?账户密不会被非法盗用侵占?日常生活轨迹会不会被跟踪?敏感地区和重要设施会不会被非法泄密?
消费者也好,生产企业也好,运营商也好,都急需缓解和解决随着智能网联汽车销量的节节攀升而被不断放大的担忧和顾虑。
我们需要法律法规这顶“紧箍咒”,将数据的过度使用、违规处理和非法滥用问题扼杀在萌芽期,让数据保持“科技向善”的初心。
在了解我国在智能网联汽车信息安全方面的法律法规之前,我们需要大致明确我国的立法框架是如何的。
我国的立法框架一般施行的是两条腿走路——自上而下的顶层法律设计和自下而上的区域性、试验性立法。
自上而下的顶层法律设计,逻辑严密,覆盖全面,但对瞬息万变,日新月异的新技术、新功能和新产物,往往无法迅速调整,也不能提供解决实际问题的具体操作指南,还会出现现行法律法规对技术发展掣肘甚至是冲突的情况。
这时示范区和地方法规就显现出“小而美”的优势了。他们就像是“试验田”,可以在局部小范围内进行自下而上的尝试,通过赋予经济特区特殊立法权之类的“特例”来避免技术和法律之间的冲突,进而顺应发展、填补空白。
这种小规模,试点性质的立法好处非常明显。一来,试点范围有限,但凡出现意外可以立刻将问题扑灭,控制影响范围。二来,走“绿色通道”的立法能够快速应对新增情况,跟上技术发展的速度,对形成切实可行的,具有实际操作意义的法律条款有着非常强的现实参考作用。
而信息安全作为智能网联汽车发展中极为重要的组成部分,同样遵循“双管齐下”+“相向而行”的立法模式。
在顶层设计方面,《中华人民共和国网络安全法》和《中华人民共和国数据安全法》和《中华人民共和国个人信息保》一起构成了我国公民信息安全的法律体系框架。
这三部是由全国人民代表大会审议通过,面向的是全行业的信息安全。反过来说,全行业的信息安全都必须以这三部为前提和基础,不允许逾越。
可以通俗地理解为,这三部法律为所有行业在信息安全方面搭出骨骼架构,而不同行业就像是不同的骨骼区域,颅骨、躯干骨、四肢骨,他们各自有各自的特点和特性,不同骨骼外的经脉、血肉乃至毛细血管、皮肤纹理都是不同的,那就需要不同等级的立法机构、国家部委、地方政府和行业协会针对不同行业特点颁布有针对性的法律法规、管理规范、标准体系、条例通知,把有形无实的骨骼填满。
去年,滴滴”赴美IPO遭中国国家互联网信息监管机构调查并下架一事中,有关部门对滴滴开展调查的依据就是《中华人民共和国网络安全法》。
这部《网络安全法》以立法的形式,规定了国家网络安全工作的基本原则、主要任务、重大指导思想和理念;明确了部门、企业、社会组织和个人的权利、义务和责任;将成熟的政策规定和措施上升为法律,为政府部门的工作提供了法律依据;建立了国家网络安全的一系列基本制度。
因此,可以理解为《中华人民共和国网络安全法》是我国网络安全的“基本法”。它让我国的网络安全工作有了基本的法律框架和基本制度,体现了全局性和基础性。
三之二的《中华人民共和国数据安全法》则是我国第一部以“数据”“数据安全”命名的法律,首次明确了对“数据”的规制原则。
它的重点内容包括确立了“国家核心数据”的概念,明确将数据安全上升到范畴;建立数据分级分类管理制度;对违反国家核心数据管理制度或违法向境外提供重要数据等涉及数据安全风险的事件,设置了不允许触碰的
从处理规则、跨境提供、个利、处理者义务、保护职责部门以及法律责任等不同角度确立了相应规则,并且针对敏感个人信息和国家机关处理活动强调了特别规则。
一般也将这三部法律称为我国公民信息安全的“上位法”,具有面向对象广,覆盖范围全的特点,是体现国家意志的顶层设计。至于另一条相向而行的路,就需要国家部委、地方政府、行业协会、标准团体来共同铺就。
目前,各部委、各地方政府和行业协会,标准委员会等机构都在积极响应三大上位法,在各自管理范围和管辖区域内,或是着手召开座谈会,邀请各大车企和智能驾驶头部企业各抒己见,并以此为基础,修订修改现有法规条文已适应技术发展;或是基于技术趋势预测,利用自身立法权,突破上位法局限,出台专门促进智能网联汽车准入和商业化落地的管理条例。
以工信部发布的《关于加强智能网联汽车生产企业及产品准入管理的意见》为例,虽然该《意见》说的是智能网联汽车的准入管理,并不针对信息安全,但仍为智能网联汽车在信息安全方面的规定辟出了单独章节进行详细说明,可见其对信息安全的重视程度。
由此可见,智能网联汽车信息安全方面的法律法规正在以不同的权责范畴,不同的颗粒度,不同的管辖区域,全方位,成体系地加速形成。
这些正在细密编制的“保护网”里,有诸多具有代表性和突破性,十分值得关注的内容,将网络安全、数据安全和个人信息安全囊括其中。
经过漫长的市场教育,现在的消费者已经完全接受车辆通过OTA的形式来进行功能优化、更迭、新增、补救和更正。甚至认为,只有具备了OTA能力的车辆,才能称得上是一辆智能网联汽车。
但也有越来越多的消费者发现,原本用于提升车辆使用感受的OTA却变了味,夹带了很多不为用户所知的“私货”。
悄无声息地通过OTA对用户手上的车辆进行“锁电”,试图通过限制车辆功率,来扩大安全范围,提高安全冗余,而由此产生的车辆性能降低,却要让无知无觉的车主来承受。
车载App经过OTA更新后,告知用户如不同意让车辆记录并收集用户个人信息,那么App将直接退出,用户将不能够使用车辆远程控制等功能。
是接受霸王条款还是接受车辆功能限制,仿佛是在问车主是断左手还是断右手,没有选择权的选择题成了摆在车主面前如鲠在喉的刺。
OTA变成了装着薛定谔猫的盒子,消费者不知道这一次的更新是某种功能和体验的改善,还是某种设计缺陷的掩饰。
本质来说,OTA相对于传统的技术服务活动,只是更新了技术手段,其本质不变,OTA仍是技术服务活动。不管OTA作为召回措施,还是技术服务活动措施,都要履行备案义务。
换句话说,不管是涉及如导航、车载娱乐、人机互动等软件升级的SOTA,还是更新转向、制动、整车控制、智能驾驶相关的FOTA,都需要进行备案。
2020 年 11 月 25 日,国家市场监管总局发布《关于进一步加强汽车远程升级技术召回监管的通知》 以及2021年6月4日,市场监管总局质量发展局发布《关于汽车远程升级OTA技术召回备案的补充通知》,让OTA召回更具有操作性。
两份通知写明,如果是通过OTA进行技术服务活动,那么需要提前备案,如果是通过OTA消除产品缺陷,那么就照召回处理,对未消除的缺陷和由此引发的新缺陷,也应该切实依法履行召回主体责任。
换言之,召回就是召回,不再是优化或更新等模棱两可的描述可以遮掩过去的,OTA不再是召回的“保护伞”和“遮羞布”。
对于OTA过程中出现的车辆被入侵,被远程控制等事故发生后的规范操作,两份通知中也有相关规定:要求生产者向市场监管总局报告并开展调查,不允许有隐瞒缺陷或不经备案私下处理的情况出现,如有,就发动群众力量,欢迎举报,联合消费者一起监督企业的行为。
2021年9月13日工业和信息化部装备中心发布《关于开展汽车数据安全、网络安全等自查工作的通知》以及2021年9月15日,工业和信息化部发布《工业和信息化部关于加强车联网网络安全和数据安全工作的通知》也同样对智能网联汽车软件升级相关工作和要求进行了明确。
引入企业管理、评估验证、准入测试、过程控制、政府监管五个维度,再次强调升级活动前须主动备案和申报,保证汽车产品生产一致性,不得在未经审批的情况下,通过OTA方式新增或更新汽车自动驾驶功能。
数据安全方面,可以通过解读由网信办、发改委、工信部、和交通部在去年10月联合发布的《汽车数据安全管理若干规定(试行)》文件来了解法律制度对汽车数据安全方面进行的干预、限制和约束内容有哪些。
《规定》的内容承接自《网络安全法》、《数据安全法》和《个人信息保》,从管理对象,实际场景,到监管要求,具体措施,能力建设等多个方面提出了要求。
按照惯常思维,汽车制造商是汽车数据安全的主要负责人和主要被监管对象,但《规定》提出了“汽车数据处理者”这一概念,并且把这个概念覆盖在了汽车行业全链条上。不仅是汽车制造商,硬件和软件供应商、经销商、维修机构以及出行服务企业也都是汽车数据处理者,这些角色同样需要被纳入到监管范围内,这也呼应了“汽车数据自生产阶段就开始产生”这一现状。
同样,“汽车行业重要数据”这一被大家口口相传的,宽泛而抽象的名词,也在《规定》中经由实际场景被固定下来——地图信息,敏感区域和超过10万人的个人信息等,都被归类于“重要信息”。
按照“不可避免风险,但可以降低风险”的说法,所有监管对象都应该建立数据安全管理制度和预警处理能力,需要定期提交风险评估报告并对数据安全事故做好应对预案。
至于被滴滴和特斯拉顶上风口浪尖的数据存储和传输问题,在《规定》里说得明明白白——重要数据依法在境内存储。确实需要跨境传输的数据,须提前进行安全评估,数据过审后才能出境。
包括特斯拉在内的很多外资与合资公司,已经或正在国内建立数据中心,并称“所有用户数据都将存储在中国”,就是该规定的直接影响和体现。
可以说,《汽车数据安全管理若干规定(试行)》相较于上位法而言,已经有了极大的细化,对于汽车领域数据安全的标准化,规范化发展来说,具有重大意义。
但同样需要指出的是,《规定》里所提及的条文仍有大量需要释疑和细化的内容,对于汽车数据处理者而言,仍存在很多实操层面的难点,需要继续出台细则类文件予以说明解释,才可有效指导汽车数据处理者开展实际工作。
个人信息方面,由于贴近个人日常生活,关系到几乎所有人的切身利益,并且已经有不少车企被爆出种种不合理的利己操作,每次曝光都引起了大范围的吐槽和抱怨,切身相关和压力,两厢叠加的结果,导致大家对智能网联汽车在个人信息方面的立法尤为关注。
在众多法规条款中,我们根据基础性和高频性两个特点,罗列出了以下几项个人信息立法方面的重点内容:
所谓个人信息,通常理解是这辆车的车主或驾乘人员这些坐在车里的人员被车辆通过电子方式(摄像头、麦克风等)获取的信息,例如他们的行踪轨迹,指纹声纹人脸的生物信息,账号密码,社交圈层等,但这些只是狭义的个人信息,《汽车数据安全管理若干规定(试行)》将这个概念进行了外延,除了车内人员,个人信息还包括车外人员,他们的长相(生物信息)和所处位置和行踪轨迹(地理信息)一样可以通过车外摄像头被捕获,自然也属于个人信息的范畴。
总结而言,即只要是通过车载摄像头或其他车载传感器捕获到的来自自然人的信息,都被定义为个人信息。
针对App总是以“背后长眼”的幽灵状态收集用户个人信息的问题,《汽车数据安全管理若干规定(试行)》明确提出“默认不收集原则”——除非驾驶人自主设定,每次驾驶时默认设定为不收集状态。这条规定立竿见影地堵住了汽车数据处理者最喜欢钻的空子——用“默认开启收集,须用户手动关闭”的免责条文来搪塞用户的质疑。
对于收集信息的后续处理,则采用“告知→同意“方式。汽车信息处理者需要告知用户有关信息的保存地点、期限、信息的用途和使用方式等内容,并得到用户的同意,体现了对于用户处理自身信息权力的尊重。
至于车外的自然人个人信息,虽然无法采用“告知→同意“的方式,但《汽车数据安全管理若干规定(试行)》也补全了这个缺口,即需要对该类信息进行匿名化处理,对视频/照片中的人脸信息进行轮廓化处理,对于能够直接识别自然人的画面需要删除。
针对无时无刻都存在的App推荐和广告问题,我们则可以从在2022年1月1日施行的《深圳经济特区数据条例》里了解到相关解决方案。
《数据条例》提出了“数据权益“的概念,强化个人数据的保护,明确要求企业不能强行索要用户授权,用户有权拒绝被画像和被推荐。也就是说用户可以拒绝各大App凑到你眼前的”猜你喜欢“,可以在不和App分享自己的喜好和习惯的情况下正常使用App功能,保有个人隐私不被窥探和变现。
顶层设计,政府部门持续强化智能网联汽车信息安全政策体系,制定信息安全的发展专项规划,对智能网联汽车信息安全进行统一、有效的统筹管理和规范指引。
往下,各职能部门和各地方政府依据各自管辖权限,出台专门针对智能网联汽车信息安全的法律法规和类型各异的示范区,松绑限制,紧跟发展,追踪风险,控制影响。
再往下,行业协会、标准委员会等建立智能网联汽车网络安全和数据安全的标准体系,来解决目前信息安全相关标准法规较少,不成体系又难以实操的问题。
徐徐推进的最终目的,是为了扫除智能网联汽车在生产、上市、上路,商业化落地过程中,有关信息安全方面的障碍和阻滞。
好消息是,我们大概率可以在今年看到成果——《深圳经济特区智能网联汽车管理条例》自2021年3月向社会公开征求意见开始,历经三审,预计将在2022年出炉。
这将是我国首部规范智能网联汽车管理的法规,它的最终出台将直接促成智能网联汽车从示范区域迈向商业化落地。
《深圳经济特区智能网联汽车管理条例》同样将“网络安全和数据安全”列为单独章节,要求智能网联汽车相关企业取得网络安全检测认证,尽早建立网络安全评估和管理机制,制定数据采集和隐私保护方案。
《管理条例》还特别提到,允许车企获得与智能网联汽车产品相关的道路违法、交通事故等脱敏数据信息。这就意味着,车企或智能驾驶解决方案提供商能够利用海量数据搭建不同类型的仿真场景库,提升场景库的数量和质量,训练智能驾驶系统覆盖更多极端情况,加速智能驾驶系统的优化和迭代。当然,这一切都必基于“合法合规”四字之上。
作为少数几个拥有特区立法权且智能网联汽车产业链完备的城市,深圳经济特区把特区立法权用足用好,结成了第一枚看得见摸得着的果实,为其他城市在智能网联汽车信息安全方面提供先行先试的宝贵经验和借鉴,为国家相关立法探索经验,夯实基础,意义重大。
深圳的立法突破自然值得期待,智能网联汽车的成功上路更是值得庆贺,但我们更关心何时可以由点及面,大规模适用在全国范围内。
按照中国汽车工程协会在2020年发布的《技术路线》中的说法,高度自动驾驶智能网联汽车将在2025年开始进入市场,而L2、L3级智能网联汽车销售占比将达到50%以上,2030年将上升至70%。
同样的,国务院办公厅发布的《新能源汽车产业发展规划(2021~2035年)》中也将2025年作为高度自动驾驶汽车在限定区域和特定场景下实现商业化应用的目标年限。
《汽车软件升级通用技术要求》作为强标,预计将于今年年底报批。它将进一步对汽车软件升级管理的相关要求规范化,具体化。
针对智能网联汽车信息安全方面的法律法规也预计会今年推出,包括软件升级通用技术要求和整车信息安全技术要求,并在2023年形成强标。
这些通用技术要求、强制标准、推荐标准,标准体系等,都能够给产业链的汽车数据处理者提供实操层面条分缕析的指导,使他们能够有法可依,有章可循。
车企,或者更准确说是车辆数据处理者需要意识到,数量客观且成规模成体系的数据已经成为信息时代的“石油和贸易”,相比钻研如何利用数据创造最大化的经济价值,遵循国家政策法规,合理合规地处理信息才是更为重要的,需要摆在首位考虑的任务。
持续跟踪和解读法律法规的更新和修订,积极参与行业标准体系讨论和制定,对供应链上的各个环节和零部件进行管理约束和测试评价,在公司内部建立信息安全的常设领导机构,全面负责数据的存储、转移、加密、分析、使用和保障,筑造车辆信息安全的长城,这些都应该罗列在汽车数据处理者的待办清单之首。
智能网联汽车的信息安全是一场看不见硝烟的攻防博弈。很多时候,在信息安全方面投入的巨大成本,并不能量化为财报上的收益。但无法计算的价值,不代表零价值,更可能意味着无价。
套用马斯洛需求理论,将安全需求和享乐需求作比较,孰轻孰重,消费者也会用真金白银来投票。任何人想要装鸵鸟,视若无睹,搪塞敷衍,没关系,法律的铁拳会教他做人。