□ 胡立彪
近日有媒体报道,四川省成都市的车主陈先生给自己的新能源汽车续保时,发现保险费比上年上涨了不少。一问保险工作人员才知道,原来他的汽车评分不高,拉高保费的负面因素包括车辆每天行驶里程较长、几乎每天充电、多次连续开车时间超过4小时、交通违章数据较多等。陈先生很诧异:除交通违章数据联网外,其他数据他并没有提供,保险公司是怎么知道的呢?
现实生活中,像陈先生这样被这一问题困扰的车主大有人在。
汽车进入智能化、网联化时代,汽车本身成为一个移动的数据生产源。目前,许多汽车尤其是新能源汽车集成了先进的传感器技术、云计算、大数据、人工智能等多种高科技,能够实现自动驾驶、智能导航、远程监控等功能。这些功能的实现,依赖于大量数据的收集、处理与分析。为收集数据,一些车企在车辆内外配备许多摄像头,这些摄像头会把道路状况、驾驶员状态、车内乘员情况等数据收集起来,上传至车企的数据库。车企通过对数据进行分析,不断升级车辆的驾驶辅助系统,并根据不同车主、乘员情况调整预设的车辆设置、驾驶模式等。
虽然车企这样做“都是为了你好”,但这个过程存在很大的安全风险。2023年,丰田汽车被曝超过215万名用户车辆数据泄露;今年2月,宝马汽车的云存储服务器发生配置错误,导致私钥和内部数据等敏感信息泄露。事实上,随着日益智能化的新能源汽车不断普及,数据泄露问题已屡见不鲜。仅2023年初至今,全国就出现了20余起与车企相关的数据泄露事件。有研究报告显示,过去5年中,全球汽车行业因为网络攻击造成的损失超过5000亿美元,近70%的汽车安全威胁由远距离的网络攻击行为引发。
车辆数据泄露,涉及企业内部业务、车辆驾驶、用户隐私等众多类型的信息,不仅威胁用户个人隐私和公私财产安全,还可能对整个汽车工业全链路的信息安全保障体系造成严重冲击。
目前人们对车辆数据安全的最大担忧,是车企随意及过度收集用户信息。市场调研机构君迪(J.D.Power)发布的一份关于智能网联汽车数据安全的报告显示,47.8%的受访车主表示从未收到过汽车品牌或经销商对个人信息收集的提示。这表明很多车企的数据收集行为,是在用户“不知情”的情况下进行的。
根据个人信息安全法、《汽车数据安全管理若干规定(试行)》等法律法规规定,车企收集车主的个人信息应遵循合法、正当、必要原则。其中,必要原则要求车企以完成车主需求服务所必需的个人信息最小范围为限度,即非必要不收集,而且收集车辆及车主相关信息必须征得车主同意。但目前不少车企在收集车主个人信息时并未严格遵守上述原则。比如,从一些车企拟定的用户协议中可以看到,车企方面表达需要通过汽车产品的配套车载感应设备收集和处理与车辆使用、操作和车况有关的车辆数据的意思,但找不到“征得车主同意”的表述。有的车企在用户协议中甚至约定车企可对车主数据库进行商业化利用。
随着人们对汽车信息安全越来越重视,我国相关部门不断完善法律、法规、标准,引导车企加强数据安全管理,逐渐建立起组织架构和管理制度。一些车企也在信息化技术方面加大投入,并与第三方安全服务商加强合作,在边界安全、端点安全和安全运营方面构建了较为完善的管理和技术体系。不过,在数据分类分级、数据加解密、防泄露等方面,车企依然面临诸多挑战。在监管端,汽车数据相关法规标准仍不健全,针对智能网联汽车的应用场景,现有法律法规未能明确非个人数据和个人信息之间的界限,权属不明的问题依旧突出。
汽车数据安全关系到每一位消费者的切身利益,需要政府相关部门、车企和消费者共同努力,构建起一个安全、可靠的汽车数据环境。要不断完善法律法规和行业标准,明确车企在数据安全方面的责任和义务,加强对车企的数据安全审查,建立数据安全监测和预警机制,及时发现和处理数据安全事件,严肃查处违法违规行为。车企要加大在数据安全方面的投入,通过先进的技术手段确保数据在收集、存储、传输和使用过程中的安全性,并建立完善的数据安全管理体系,明确数据的使用范围和权限,严防数据泄露。消费者要提高数据安全意识,在购买和使用汽车时,关注车企的隐私政策和数据安全措施,选择数据安全保障较好的汽车产品,注意保护个人隐私,不随意连接不安全的网络,定期更新车辆软件等。
【车市说事】
京公网安备 11010502031058号 
