软件定义汽车下的车联网数据安全监管风险与挑战(附下载)

本报告对当前车联网领域涉及的汽车数据类型、数据安全的监管现状、行业监管重点等问题进行梳理和分析,并提出监管建议。

车联网数据安全监管-头图
出处:毕马威中国、观韬中茂律师事务所

随着现代信息技术的不断发展,汽车行业已经进入新能源数字化时代,汽车逐步向智能化、网联化深入发展。车联网是 “互联网+” 时代网络空间的延伸,是车辆之间以及与基础设施、行人和网络组成的车际网。车联网的发展将实现人、车、路、云之间数据互通,并服务于智能交互、自动驾驶、智慧交通等各种场景。

然而,智能汽车在车联网中扮演的角色将不仅仅是一般意义上的交通工具,为实现更多的功能与场景,智能汽车正在成为深度收集、处理、传输和使用大量包含个人信息、汽车运行数据和环境数据的可移动、可交互的汽车数据枢纽。汽车数据是车联网运行的关键,其中包含的大量重要数据将涉及到个人、车辆、企业以及国家的安全。如何保障汽车数据安全,并在合规前提下,促进汽车数据的充分合理利用,逐渐成为关系到整个车联网产业健康良性发展的重要课题。

目前,我国已经制定并开始实施《网络安全法》《数据安全法》《个人信息保护法》等数据保护领域的重要法律。在车联网领域,相关部门也在不断加强监管和保护,并陆续出台了《汽车数据安全管理若干规定(试行)》《关于加强智能网联汽车生产企业及产品准入管理的意见》等重要行业规定和意见,对车联网产业提出了全方位的数据保护要求。

车联网安全与数据安全关系概述

车联网是新一代网络通信技术与汽车、电子、道路交通运输等领域深度融合的新兴产业形态,是人、车、路、云平台之间全方位连接和信息交互。狭义的车联网应用通常指车载信息服务类应用,即通过车辆把车主与各种服务资源整合在一起;广义的车联网应用还包括面向交通安全的效率类应用以及自动驾驶为基础的协同服务类应用。

数据是车联网的核心要素,车辆与车联网服务平台之间的“车-云通信”, 车辆之间的“车-车通信”, 车辆与路基设施之间的“车-路通信”, 车辆与移动智能终端之间的“车-人通信”, 以及汽车内部设施与应用之间的车内通信都离不开数据的传输与使用。车联网数据安全关系到行车安全、生命财产安全甚至国家安全。

随着车联网技术发展兴盛的同时,汽车数据安全体系建设也在稳步发展。立法对车辆使用者、公众的个人信息与隐私的保护、汽车数据的分类分级保护、安全风险评估检测以及安全应急处置等有关车辆数据安全的规定相对滞后,相关企业的数据安全防护意识也有待提高。随着车联网技术运用的不断扩张与深入,如何将车联网纳入规范化、制度化的轨道,在产品端纳入数据安全考量的维度,形成数据合理运用、技术良性发展态势是当前亟待探究的命题。

数据与车联网互动下的数据特征

车联网技术发展背景下,行业数据有着以下特点:

1. 数据的多样性

数据类别不仅包括了汽车基础数据(车牌号、车辆品牌和型号、车辆识别码、车辆颜色、车身长度和宽度外观等相关数据),也包括基础设施、交通数据、地图数据(红绿灯信息、道路基础设施相关、道路行人的具体位置、行驶和运动的方向、车外街景、交通标志、建筑外观等真实交通数据),以及车主的大量用户身份类数据(姓名、手机号码、驾照、证件号码、支付信息、家庭住址、用户的指纹、面部等生物特征识别信息等)、用户状态数据(语音、手势、眼球位置变化等)、行为类数据(登录、浏览、搜索、交易等操作信息等)等。

2. 数据的规模性

车联网数据融合了来自汽车、道路、天气、用户、智能计算系统等多方面的海量数据,涉及数据类型多,规模大,涉及众多数据处理主体,如智能网联汽车生产企业、车联网服务平台运营企业等,并且随着用户的增加,数据呈指数级增长态势,需要统计分析应用的数据总量大。

3. 数据的非结构性

车联网技术下大量的数据通过车辆内置和外挂的设备不断生成,由于各车厂、零部件商在这部分数据规范定义上存在差异,且没有统一的标准,车联网平台之间的数据无法有效同步,数据的非结构性和非标准性对数据聚合或拆分技术以及权限管理和安全存储都带来了巨大的挑战。

4. 数据的流动性

大量相关主体如智能网联汽车生产企业、车联网服务平台运营企业会参与车联网数据的处理,导致海量数据在用户端、车端、云端等多场景的交互使得数据的流动性增大。如何确保交互流动的数据的安全性,是车联网数据安全体系建设中的一个重要课题。

5. 数据的涉密性

数据的涉密性:网联汽车在公开道路驾驶过程中,会采集大量的地图数据,采集地图数据形成的测绘成果依据《测绘法》涉及国家秘密的,需要按照《保密法》中的相关规定要求进行分级管理。此外,车联网中的一部分数据可能会落入《数据安全法》体系下的重要数据甚至是核心数据的范畴,一旦未经授权披露、丢失、滥用、篡改或销毁,或汇聚、整合、分析后,可能造成影响国家安全、公共安全等严重后果。

车联网数据安全国内制度概览

国内近几年开始重视车联网的数据安全问题,在以政府引导、产业联盟推动、标准委员会执行的模式下积极开展汽车信息安全、数据安全系列的标准制定工作。

在政策法规方面,我国《数据安全法》《网络安全法》《个人信息保护法》对数据安全、网络安全、个人信息保护等问题作出了规定。

行业数据安全相关法规和指导文件也在逐步落地,具体包括《汽车数据安全管理若干规定(试行)》《关于加强智能网联汽车生产企业及产品准入管理的意见》《关于加强车联网网络安全和数据安全工作的通知》等。

在规范标准方面,国内也在积极跟踪和布局,在智能网联汽车数据应用与保护方面,目前已发布了《车联网信息服务 用户个人信息保护要求》《汽车采集数据处理安全指南》《国家车联网产业标准体系建设指南(智能网联汽车)》《国家车联网产业标准体系建设指南(总体要求)》等。

车联网数据安全制度框架

法律

·《个人信息保护法》
·《数据安全法》
·《网络安全法》
· 其他一般性法律(如《民法典》《测绘法》《保密法》)

法规、规章、指导性文件

·《汽车数据安全管理若干规定(试行)》
·《关于加强智能网联汽车生产企业及产品准入管理的意见》
·《关于加强车联网网络安全和数据安全工作的通知》
· 其他一般性法规、规章、文件,如:
《网络安全审查办法》
《网络数据安全管理条例(征求意见稿)》

国家规范标准

·《国家车联网产业标准体系建设指南(智能网联汽车)》
·《国家车联网产业标准体系建设指南(总体要求)》
·《汽车采集数据处理安全指南》等

行业标准

·《智能网联汽车数据安全共享模型与规范(征求意见稿)》
·《车联网信息服务 用户个人信息保护要求》
·《机动车保险车联网数据采集规范》等

其他与数据相关的分类分级要求、安全防护技术细则、安全责任划分、授权与使用等一系列标准规范仍待研究制定。

车联网数据安全的监管重点问题

(一)重点数据类型:车联网数据安全的关键

鉴于车联网行业数据的多样性和规模性,可对汽车产生的数据进行类型化管理。随着智能化和网联化程度的提升,智能网联汽车通过配备的摄像头、麦克风、传感器、信息娱乐系统等无时无刻不在收集用户的行为习惯和个人隐私,这些驾驶和使用过程中产生着的大量数据,包含外部环境、车辆位置、车外音视频信息、人流车流数据、高精地图测绘等敏感信息。车联网数据根据数据类型分类大致如右图所示。

1. 环境数据,自动驾驶的基础

环境数据的采集与处理是网联汽车实现自动驾驶的基础,包括实时交通数据、地图数据、周边环境感知数据和高级驾驶辅助系统(ADAS)状态数据。环境数据中涉及数据安全的是地图数据。高精定位技术下,采集自然地理信息的行为很大程度上会落入《测绘法》第2 条所规定的测绘范围。

鉴于高精地图涉及国家安全,由此可能引发以下问题:

1)数据出境方面,这类数据可能涉及《网络安全法》《数据安全法》《汽车数据安全管理若干规定》中重要数据的规定,在数据出境方面受到严格限制,包括通过国家网信部门组织的安全评估;

2)数据采集方面,测绘行为在我国实行的是资质准入,测绘活动的开展应以 拥有测绘资质证为前提;

3)数据管理上,根据《测绘地理信息管理工作国家秘密范围的规定》《导航电子地图安全处理技术基本要求》《测绘资质管理规定》《测绘资质分级标准》等相关规定,测绘地理信息可能会涉 及不同层级的国家秘密。

4)根据《外商投资准入特别管理措施(负面清单)(2020 年版)》,测绘地理信息属于外资禁入的负面清单。

5)根据《测绘法》等规定,我国实行测绘成果汇交制度,测绘项目完成后,向主管部门汇交测绘成果资料。属于基础测绘项目的,应当汇交测绘成果副本;属于非基础项目的,应当汇交测绘成果目录。因此地图数据在采集、管理上都应当是车联网企业所应重点关注的数据类型。

此外,智能网联汽车还需收集道路周边情况协助驾驶,在此过程中可能会拍摄到周围行人。此时对行人进行告知并获取同意的方案并不可行。因此,当不可避免收集到行人相关个人信息时,车联网应用软件提供者需在达到收集目的后及时删除或进行匿名化处理。比如拍摄周围行人是为了降低行人碰撞风险,当汽车行驶过该路段后,该行人个人信息即不再必要,需及时删除或进行匿名化处理。

2. 汽车自身数据,驾驶功能的必备

汽车自身数据包括座舱数据、运行数据和位置轨迹数据。智能汽车电子构架变革路径是从 ECU 到域控制器, 再到超级计算机。因此,智能汽车电子架构一般划分为五个域 : 驾驶辅助/自动驾驶域、智能座舱控制域、车身控制域、底盘控制域、动力总成域。其中驾驶辅助/自动驾驶域、智能座舱控制域与汽车数据安全直接相关。

根据《车联网信息服务用户个人信息保护要求》车辆基本资料和设备、系统或平台信息属于个人重要信息。而在《智能网联汽车数据安全共享模型与规范(征求意见稿)》中将大量的车辆数据分级为第Ⅰ级,即完全公开数据,遭到篡改、破坏或泄露后,不存在潜在的负面影响,可以面向大众公开;也有大量的数据被定义为第Ⅳ级,即遭到篡改、破坏或泄露后,潜在的影响大较大,对个人与车厂利益产生特别严重的损害,宜在车厂和相关主体的严密监控下使用。

总结来看,可以从两个维度进行判断,一是与个人的关联度,与个人关联度越高,这类数据安全等级应当越高;二是静态数据与动态数据的区分,动态数据的安全等级应当高于静态数据。但一般认为,这些数据收集是围绕车辆的基本驾驶功能开展,是实现车辆驾驶的必备数据,此外互联网时代的车辆监测、快速维修的需要也使得这类数据的收集具有必要性。因此,这类数据的收集使用可以达到必要性的要求。

3. 用户数据,车人交互的桥梁

用户数据包括个人车内活动数据,如车主和乘客信息(如姓名、身份证、电话)、消费与生活习惯信息、用户部分生理数据(体温、心跳频率等)、车主、乘客图像及语音数据,以及驾驶活动数据,如驾驶员习惯、车辆静态信息(如车牌号、车辆识别码)、车辆动态信息(如位置信息、行驶轨迹)等。

根据《车联网信息服务用户个人信息保护要求》车辆基本资料和设备、系统或平台信息属于个人重要信息。此处的重要信息不同于重要数据,在个人信息安全保护要求中,重要信息属于第二档,即一般信息—重要信息—敏感信息。对于个人重要信息应实施必要的技术和管理措施,保护用户的知情权和选择权,保护用户个人信息的机密性和完整性,确保用户个人信息访问控制安全,建立用户个人信息安全管理规范,一般只需符合个人信息保护的基本要求。身份证、电话等传统敏感信息在个人信息保护领域已经有了相对完善的规定,车联网场景中遵守个人信息保护中关于敏感信息规定即可。车联网领域中特殊的用户数据包括地理信息和生物识别信息。

为了保证车辆安全,高精地图需要反映参与交通主体的地理信息,包括位置、速度、行驶方向、路线等,以实现 “车—人” 实时交互。地理位置数据能够揭露数据主体的生活状态和生活习惯,包括家庭住址、工作地址以及活动范围等信息,涉及到隐私侵犯。

另一类敏感信息是生物识别信息,在使用生物识别信息时,应当保证数据主体对其涉及的数据具有完全的控制权限。一方面,不能将生物识别作为认证的唯一方案,应当提供非生物识别的替代方案,且不会向个人数据主体施加额外的约束条件。

另一方面,对生物识别信息采用本地、加密方式存储,不使用外部终端处理。而对构成生物识别模板和用于用户验证的原始数据进行实时处理时,坚决不存储原始生物识别数据。遵循生物识别数据相关的其他要求,例如避免存储原始数据,对构成生物识别模板和用户验证的原始数据进行实时处理。因此,信息处理者在处理地理信息和生物识别信息时,应当严格遵守个人信息保护领域相关原则,最重要的是最小必要原则和知情同意原则。

(二)重点业务环节: 数据安全监管的风险与隐患

1. 数据采集:大数据背景下数据过度采集和滥用隐患

车联网信息服务所采集的如车主身份信息(如姓名、身份证、电话)、车辆静态信息(如车牌号、车辆识别码)、车辆动态信息(如位置信息、行驶轨迹)以及用户的驾驶习惯等,都属于用户个人信息,而在必要情形下采 集的指纹、声纹、人脸、心律等生物识别特征信息则属于敏感个人信息。目前由整车厂商、车联网服务平台商采集和利用。

根据我国个人信息保护原则,个人信息的搜集需遵循 “知情同意” “最小必要” “目的限定” 三大原则。而处理敏感个人信息需要在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,且取得个人的单独同意。由于车联网属于新兴行业,管理还在完善中,对于哪些数据可被采集、数据如何利用、是否可以分享给第三方等关键问题,还需要细化管理要求,因此目前数据采集还存在过度采集和滥用的风险。

2. 数据传输:产业链条过长加大数据泄露风险

车联网服务具有场景复杂化和功能多元化的特点。车联网生态整合了出行、娱乐、交通管理、导航、车辆远程检测与控制及其他服务等。目前,车联网相关数据主要存储在智能网联汽车和车联网服务平台上,存储和传输方案主要由整车厂商、车联网服务商设计实现。由于数据的采集、传输、存储等环节没有统一的安全要求,即数据具有非结构性特征,可能因访问控制不严、数据存储不当等原因导致数据被窃。

目前主要存在两类风险:一是数据内部传输风险,主要包括 CAN 报文被篡改和伪造的安全风险,连接接口、通信总线被阻塞从而导致数据不可用或无法及时反馈的风险以及 CAN 总线与 ECU 之间缺少相应的认证保护技术引起的风险;二是数据外部传输风险,主要包括车外通信网络传输数据时,在通信链路上会面临被窃听 或遭受中间人攻击的风险;以及在特定模式下智能网联汽车会通过 V2V 广播本车的坐标和轨迹信息,从而带来的地理位置信息数据泄露的风险。

另外, 车联网所构建的网络架构中数据呈双向甚至是多向的流动状态。例如, 数据可能从车辆端流向某服务供应商, 服务供应商向车辆端反馈特定的信息内容, 上下游服务供应商之间、相关人员的移动智能终端与服务供应商之间也会发生点对点或链条式的数据流动,多向流动状态与非结构性特征导致数据传输风险加剧。

因此,《汽车数据安全管理若干规定(试行))》第六条提出了车内处理原则,即除非确有必要不向车外提供数据。第六条还规定了脱敏处理原则,即要求汽车数据处理者对汽车数据尽可能进行匿名化、去标识化等处理。脱敏处理原则可认为是对车内处理原则的补充。EDPB 的指南实际上也提出了类似的 “车内处理” 原则,其建议车辆和设备制造商、服务提供商和其他数据控制者处理的数据时应尽可能不涉及个人数据或不将个人数据传输到车辆外部(即数据在车内处理),以保证用户对个人数据的完全控制。

3. 数据出境:全球产业链融合引发数据跨境流动安全隐患

汽车行业的最大特点是全球产业链的高度融合,因此平台数据跨境流动管理问题成为车联网数据安全的重要隐患。数据出境涉及个人信息出境问题和重要数据出境问题。根据《汽车数据安全管理若干规定(试行)》规定, 重要数据包括重要敏感区域的地理信息、人员流量、车辆流量等数据;车辆流量、物流等反映经济运行情况 的数据;汽车充电网的运行数据;包含人脸信息、车牌信息等的车外视频、图像数据;涉及个人信息主体超过 10 万人的个人信息等,网络运营者应报请主管部门组织安全评估。

从形式上看,数据跨境问题主要体现在两个方面:一是存在境外车联网服务商跨境服务隐患。我国大部分汽车是合资品牌汽车,还有部分汽车属于境外进口汽车,其车联网服务可能由境外企业及其子公司提供,需将车主身份信息、使用习惯、车辆状态及行驶路径等用户信息传往境外。此外,通信数据及车联网数据传往境外,可能泄露国家地理位置信息,危害国家安全。

二是存在境内外云平台数据共享隐患,合资企业车联网服务以境内云平台为主,但其外资公司通常负责全球车联网运营,境内平台与境外平台是否互联,是否存在数据传输共享,是国家数据管理需要关注的重点内容。车联网企业应当构建自身的数据评估体系,对于无法出境,或无法判定是否能够出境的数据,应存储在境内的服务器,境内数据中心的设立和管理是数据跨境战略的重要安排。

车联网数据安全的监管制度挑战

(一)数据分类分级问题

在车联网数据分类分级指南制定之前,相关企业只能自行对数据进行分类分级。根据目前法律规定,要求企业识别出个人信息、敏感个人信息和重要数据。

车联网数据中存在着大量关于车辆行驶过程中、驾驶者与乘客使用某些车联网应用时系统自动产生的数据, 即 “Machine generated data”。此类 “Machine generated data” 是否属于个人信息, 从而需要遵守个人信息保护的相关法律规定? 这是不少企业在分级过程中面临的困境。

关于个人信息,我国采用的是识别说,根据《个人信息保护法》规定,个人信息指的是 “以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。因此,个人信息包括两大类,一类是信息本身能够识别出特定自然人,另一类个人信息是由特定自然人在其活动中所产生的信息,与其他信息结合能够识别出特定自然人。很显然, 如果一条信息识别到特定自然人所需要结合的其他信息越多, 那么其本身构成个人信息的可能性就越低, 从而得到的法律保护也应该越弱。因此可以从信息的结合程度进行判断。在实践中,判断信息是否属于个人信息可以结合以下三个方面进行综合判断:

  • 从信息内容上看,判断信息是否出现身份信息、通信通讯联系方式等能直接识别特定自然人的信息,是否能识别出自然人的行踪轨迹。
  • 从信息特征上看,判断其内容是否涉及具体个人,信息是否有助于评价个人的行为或状态,是否能够关联到车辆所有人等特定自然人。
  • 从信息重新结合识别特定自然人的成本上看,判断将已知信息与其他信息结合识别所需的技术门槛、经济成本、耗费事件等。

欧盟 GDPR 规定需要结合客观因素进行考量, 例如结合其他信息识别个人所需的时间及处理数据时的可用技术等, 但我国法律到目前为止尚未有类似的规定。因此, “Machine generated data” 在某些情况下的确有可能构成个人信息, 网络运营者应对该类数据按照个人信息的保护要求进行收集、处理、存储及保护。在目前的规范体系下,建议运营者按照已发布指南的示例先行判定,在是否属于个人信息问题上,将个人信息作宽泛理解,从严规范数据处理体系。

隐私认定方面,可以根据隐私的定义从主观方面和客观方面进行综合判断。根据《民法典》第一千等三十二条第二款规定,空间、活动与信息能否界定为隐私,关键在于是否满足以下条件:一是主观上不愿为他人知晓;二是客观上具有私密性。主观层面的 “不愿为他人知晓” 是指当事人有内容不为他人所知的主观意愿,对内容受保护已经形成了预期,并且这种主观心态或期待应当是合理的,符合社会一般观念,能得到社会普遍接 受或认可。客观层面的私密性在于存在空间、活动与信息处于隐秘状态的客观事实,此种隐秘状态与他人利 益和社会公共利益无关,不会给他人或社会公共利益带来不可容忍的减损。

(二)主体之间责任分配问题

车联网产业链覆盖“两端一云”,服务产业链条长,参与主体众多,其中包括:汽车制造商、设备制造商、汽车零部件供应商、汽车维修商、汽车经销商、汽车租赁/共享公司、车队管理商、保险公司、互联网平台、电信运营商、道路基础设施管理方和公共部门以及驾驶员、所有人、承租人和乘客等。多个汽车网络安全相关标准都明确指出网络安全需要汽车供应链上下游通力合作,推动建立健全安全责任体系要求明确汽车厂商、元器件和软件提供商、设备提供商、通信运营服务商、云服务平台提供商、数据和内容供应商等相关主体的安全责任。

在实践中,数据安全责任按照谁所有谁负责、谁持有谁负责、谁管理谁负责、谁使用谁负责、谁采集谁负责的原则确定。但是在车联网产业中由于供应商众多,采集、持有、管理、使用的流程会出现主体分离的情形,监管机构也很难一次次对数据进行溯源监管。因此,为了保障车辆安全,应当加重整车企业(平台)的义务。

在车联网中,整车企业相当于如今的互联网平台,将一系列服务连接到一起。网联汽车的发展将加速一级供应商开发新产品,届时也会有更多新供应商加入主机厂采购体系。整车厂作为关键节点,应当以网络安全标准为基础,设计健全的供应商准入体系。例如德国汽车 OEMs 对其供应商的信息安全内部审计机制 TISAX,将网络和信息安全能力评估或审计作为与 OEMs 签约和德系汽车行业的市场准入条件。整车企业还应设立与供应商的定期信息交流与信息共享渠道,做好数据安全责任界定和文档记录工作。良好的供应链体系使得数据安全问题有源可溯、有据可查,在数据漏洞问题上也有利于快速定位和及时修复,打通整个供应链链条,才能将汽车网络做成一个安全闭环。

目前,平台监管正在转型升级,算法问责机制等新的监管形式也正在探索,车联网监管可以借鉴平台监管思路,建构数据监管新体系。

本文摘自毕马威中国与观韬中茂律师事务所联合发布《车联网数据安全监管制度研究报告》,全文及相关下载:

发条评论

你的电邮不会被公开。有*标记为必填。