搜索
搜索

关于我们

 

 

 

 

商务合作

电话:13051199966 

地址:北京市朝阳区安立路28号院15号楼102室

版权所有 © 1999-2018 北京云联文化传播有限公司

京ICP备18033844号

网站建设:中企动力北京

直面3·15,汽车智能化下的个人隐私由谁来保护?

作者:
文 AO记者 张静
2022/03/16
浏览量

近期,360发布独家报告披露我国是NSA组织重点攻击目标之一,来自军工、石油、航天航空、互联网公司、科研机构及政府机构等多个关键领域和单位均遭到不同程度的网络渗透攻击,这是继2020年360实锤CIA对中国进行长达11年网络攻击渗透后的又一次公开揭露。

从维基解密事件到斯诺登事件、再到近期的瑞士加密机事件,足以说明战争形式不止于兵戎相见这一种,网络空间早已成为大国较量的另一重要战场。一旦对整个国家社会系统进行网络攻击,将可能导致交通、银行、航空、水电系统等瘫痪,对国家政治稳定、经济命脉造成不可估量的伤害。

接连数日,网络攻击、数据安全、个人信息、隐私保护等热词频刷3月热搜榜,成为全民最为关注的话题之一。那么,数据安全为何如此重要?对智能网联汽车而言,数据安全又将产生哪些重要价值与影响?

 

数据安全,何以为重? 

 

近两年,大家通过华为事件已经意识到缺芯会被卡脖子,因此下定决心要在芯片领域做大做强。但数据安全的重要意义并不比芯片小,其不仅涉及芯片、操作系统,还涉及应用软件、网络连接等,几乎所有先进的数字化技术都将面临数据安全问题。

所以在今年全国“两会”政府工作报告中,明确提出要加强数字中国建设、促进产业数字化转型、培育壮大数字产业、释放数据要素潜力,充分体现出数据在宏观、中观、微观层面都具有非常重要的意义和价值。

首先,在宏观层面:国家之间的竞争已从原来的资本、土地、资源等有形内容,逐渐转变成为技术、数据和创新的竞争。数据是推动社会经济发展的关键生产要素和核心资源,可作为国家决策、管理和创新的依据,我国一直是数据资源大国,数据总量预计在2025年跃居世界第一,占全球数据规模27%以上。

其次,在中观层面:要想实现从工业经济时代向数字经济时代转变,数据将发挥重要作用,是赋能产业数字化转型和升级的关键,不仅能提高生产效率、减少信息不对称、实现智能生产、提升要素配置效率,还能激发新的动能、培育新的业态。

再次,在微观层面:企业可利用数据创造新的商业价值和服务,所谓“千人千面”就是数据在精准营销方面的重要应用。尤其在移动互联网时代,每个人的行为都会留下痕迹,一切行为皆可数据化。也正因如此,数据在给用户提供便利性的同时,也会涉及个人隐私泄露等安全问题。

目前来看,全球智能网联新车渗透率约为45%,预计到2025年可接近60%;2020年中国智能网联汽车渗透率约为15%,到2025年有望超过75%,高于全球平均水平。这意味着未来三年,中国智能网联新车市场还将继续迎来井喷。

而与汽车智能化高速发展相伴的是,汽车每天要产生海量的用户数据。一方面,车企在后台收集并使用这些数据,进行产品改良和体验优化;另一方面,这些数据被大量收集、共享和使用,对个人隐私也带来了潜在风险。

“个人信息包含两大类:一类是个人普通信息,一类是个人敏感信息。其中,个人敏感信息还包含个人生物信息,如指纹、人脸识别、行动轨迹等,原则上这些信息是不能传输到车外的,需要存储在一个相对安全的区域内,并通过软硬结合的保护措施将其严格地管理起来。”电子科技大学嵌入式软件工程中心主任、TIAA网络安全委员会秘书长罗蕾如是说。

 

数据治理,如何破局?

 

都说数据是信息时代的“金矿”,是21世纪的“石油”。那么,如何让“金矿”的商业价值真正回馈到“矿主”本身?如何去合规合法地“炼油”?放眼全球,在汽车数据安全治理方面,是否有一些经验可循?

作为数据安全治理方面的引领者,欧盟强调的是打造共同的数据空间,如制定《通用数据保护条例》,针对不同类型的数据规定不同的保护路径和使用范围,并对数据进行分类分层管理,最大程度保护个人隐私。

2020年年初,欧盟还发布了《欧洲数据战略》,提出建立一个类似于生态共同体的公共数据空间概念;到了年底,又通过了《欧洲数据治理条例(数据治理法)》,也是立足于公民和企业,以保护其利益为出发点。

不难看出,欧洲在处理数据安全上都是以用户利益和需求为出发点的。其中,欧盟数据保护委员会发布的《智能网联汽车个人数据处理指南》,是最有代表性的智能网联汽车个人隐私保护的指导建议之一,不仅对不同类型的智能网联汽车个人数据进行了界定,还给出了个人数据处理的若干建议。

而美国更多是立足于行业,为电信、金融、健康、教育、汽车等行业设立了专门的数据保护法,如2014年颁布的《数据问责和透明度法案》和《加州消费者隐私法案》等,无一例外地明确了数据的主体权利和保护原则。

与此同时,中国也高度重视数据资源的应用与治理,尤其是近几年提出了很多相关法律法规。比较典型的就是2017年《中华人民共和国网络安全法》的实施,明确提出对个人信息的保护要严格遵循合法、正当、必要的基本原则;同年还把个人信息纳入到《民法典》进行保护,说明国家已把对个人信息的保护提升到了一个前所未有的高度。

紧接着,国家还相继出台了《中华人民共和国电子商务法》、《App违法违规收集使用个人信息行为认定方法》、《数据安全管理办法》、《网络安全审查办法》、《数据安全法》及《个人信息保护法》等,逐渐把数据安全上升到国家安全层面。

“尤其从2021年开始,相关行业主管部门都十分关注汽车网络安全和数据安全,并对汽车数据的合理开发和利用进行了规范。”据罗蕾介绍,工信部已于去年正式发布《关于加强智能网联汽车生产企业及产品准入管理的意见》,要求加强汽车数据安全、网络安全、软件升级、功能安全和预期功能安全管理。

除此之外,由国家互联网信息办公室牵头、四部委联合发布的《汽车数据安全管理若干规定(试行)》(以下简称《试行》)也于2021年10月1日起正式实施,内容涵盖汽车数据定义、重要数据定义、数据处理原则、数据处理者应当告知个人的事项、处理敏感个人信息需满足的要求、向境外提供重要数据的要求等。

“《试行》不仅明确了汽车数据处理者的责任和义务,还严格规范了汽车数据处理的活动,同时也是我国防范化解汽车数据安全风险、保障汽车数据依法合理有效利用的一个必须前提。”罗蕾补充道。

在罗蕾看来,我国相关法律法规已相对完备,尤其是在今年3月7日工信部印发《车联网网络安全和数据安全标准体系建设指南》后,已有越来越多的车企开展数据安全方面的组织建设、管理体系建设、技术体系建设,“虽然企业的标准体系已经走在了实践的路上,但现阶段最缺的仍然是行业标准体系的落地,包括怎么进行数据分类分级、怎么处理个人敏感信息、怎么防止软件升级漏洞、怎么形成数据安全共享、怎么让数据合规升值等,都呼唤行业标准的出台。”

 

数据使用,边界何在?

 

令人担忧的是,我国数字安全投入占比在全球范围内仍相对较低,发达国家仅网络安全占整体IT的投入占比就已达到10%,而国内尚不足1%。尤其是相比手机和互联网行业,汽车行业对于用户数据的使用和保护还明显不够成熟。

“众所周知,数据是汽车数字化、智能化的基础。而为实现自动驾驶、辅助驾驶、人机交互、智能网联这些功能,智能网联汽车需要不断采集环境感知信息、车辆工况信息及驾驶员和乘客信息,并利用这些信息提供‘千人千面’的个性化服务。”罗蕾如是说。

现如今,汽车已成为继智能手机之后又一移动智能终端,越来越多的汽车制造商、网约车平台和科技公司都已将汽车数据用于减少排放、管理交通、避免事故等用途,智能网联汽车数据带来的好处显而易见。但与此同时,也有越来越多的驾驶人、乘车人和车外人员的个人信息被收集、使用和共享,从而带来隐私风险。

据《环球时报》与J.D. Power共同发布的《2022中国消费者智能网联汽车数据安全和个人隐私意识与顾虑调查》(以下简称《调查》)显示,中国消费者对现阶段智能网联汽车厂商能否妥善保护个人敏感信息的整体信心不足。其中,高度介意个人敏感信息被智能网联汽车收集、使用和共享的受访者比例高达77.4%。

首先,与手机厂商相比,汽车厂商更少实施个人数据收集的告知措施,这使得用户对智能网联汽车收集个人信息的知晓程度更低,近半数的受访车主表示从未收到过汽车品牌或经销商对个人信息收集的提示,这说明很多数据收集行为是在用户不知情的情况下进行的。

其次,汽车用户普遍担心个人信息泄露会带来严重后果,比如个人信息被收集和转卖给第三方、个人私密信息被偷拍后非法传播或被敲诈、账号被盗取后私人财产遭受损失、车辆被黑客攻击后失去对车辆的控制等。

再次,对个人信息保护法律法规的不了解以及不知道如何维权等,也加重了汽车用户对个人隐私泄露及后果的担忧。其中,有近3/4的受访者不知道自己哪些权益受保护,更不知道如何维护自己的合法权益。

上述这些研究结果无疑给智能网联汽车产业敲响警钟——在充分挖掘和利用数据“金矿”来改善产品功能、提供个性化服务、进行交通拥堵预测时,还应在用户让渡隐私与车企获得便利之间找到平衡点,最终使消费者受益。

其实,要想化解汽车用户对共享个人信息的顾虑,车企依然可以大有可为,只要确保用户对个人信息的知情权和控制权,就能有效增强用户对汽车个人隐私保护的安全感。比如当被问及在什么情况下愿意共享个人敏感信息时,大部分汽车用户选择了与行车安全和路线规划相关的场景。这说明,未来那些在数据安全和个人隐私保护方面有所建树的车企,更容易建立起新的竞争优势,从而获得更多消费者的青睐。

J.D. Power中国区汽车产品数字化用户体验总监裴林对此指出,“伴随汽车行业的转型升级,汽车厂商的角色正逐渐从制造企业转向科技型企业,参照科技公司的发展经验,任何产品的网络安全和用户数据安全都占据着企业经营的首要位置,因此,汽车厂商未来也亟须建立完善的汽车数据安全管理规范和流程。”

另在《调查》中的一个重要发现是,有超过九成的受访消费者会倾向性地选择注重数据安全和保护个人敏感信息的汽车品牌。这说明,数据安全正成为影响消费者购车决策的重要因子,并成为车企智能化竞争新的分水岭,对汽车厂商而言,如果能有效保护消费者的个人敏感信息,将在很大程度上增强消费者的购买意愿。

为此,裴林也对汽车厂商提出了六点建议:在所有情形下仅收集最小限度个人信息;对于数据的收集和使用提供最大限度的透明,充分给予消费者分享和停止分享个人信息的自主权;对于法律法规尚无明确要求的领域,也要主动履行消费者隐私选择的告知义务;从企业战略角度,建立从数据收集直至数据销毁的完整数据生命周期战略;从数据安全体系管理角度,建立端到端的汽车数据安全保护体系和应急处理机制;从技术实施角度,完善和加强用户数据安全防火墙。

“在数据安全保护上建立高标准,有助于车企获取更多消费者的科技安全认同,增强消费者对企业科技产品的信任程度,也会让消费者更有意愿与车企共享出行数据,从而促进产品用户体验的正向提升,帮助车企在未来出行生态的竞争中赢得先机。”裴林强调。

 

数据收费,是否合理?

 

越来越多的研究数据表明,消费者除关注汽车质量和功能安全外,也逐渐开始关注起汽车网络安全和数据安全,尤其是国内外时有发生的汽车网络和数据安全事故,更是加重了消费者对汽车数据安全以及个人隐私安全的担忧。

那么,车企在使用车主驾驶数据时,需要得到车主的同意吗?实际上,很少有车主仔细阅读过相关隐私政策条款,可能在使用车辆时不经意间就勾选了“同意”选项,但其实这方面是需要国家有关部门给车企“划底线”的,某些霸王条款越过了法律红线也是无效的,因此需要立法界的支持。

此外,我国对于车内摄像头的使用,有无相关法律法规要求?罗蕾表示,“虽然我国目前还没有出台与车内摄像头有关的法律法规,但车内摄像头涉及个人隐私数据,国家还是有相关规定的,那就是明确要个人授权,企业才可使用相关数据。”

针对车企在使用车主数据后车主能否对此进行收费的问题,罗蕾认为,“数据的确权是一个大问题,我们也看到一些车企在做相应的实践,例如,将分享驾驶数据作为一种激励机制以及与车主协同形成数据生态等,我相信未来还会有更多类似的模式出现。”

实际上,关于个人信息收费的讨论国外早有先例,且从法律上看,并没有相关规定认为车主不能收取费用,但车主的这一行为会存在诸多潜在阻碍。首先,车主也是驾驶数据反馈、优化性能的享有者;其次,如果车主同意了隐私条款,那么从合约角度上看,车主则很难去索要经济利益。

更为重要的一点是,车企用于改良车辆自动驾驶性能的数据其实是脱敏的,因此车主无法追踪到车企是否使用了自身的数据。也就是说,虽然数据来源于车主,但车企会通过一些技术手段将数据脱敏后形成一个集合,再去改善用户体验,因此车主很难得到直接的经济回报。

实际上,智能汽车数据安全反映出来的是车企与用户之间一种平衡与共创的关系,即如何在让渡隐私与获得便利中找到平衡点。从未来趋势上看,汽车数据安全应该是强监管、严监管、细监管。

特别策划