智能网联汽车面临的多重数据安全风险与案例解读

立足智能网联汽车领域实践,从智能网联汽车数据所涉重点数据类型风险、数据出境风险、数据生命周期等视角,对可能涉及的合规风险进行评估。

智能网联汽车面临的数据多重安全风险与应对
出处:数据安全推进计划

智能网联汽车是指通过网络与远程信息服务平台连接并进行数据交换的汽车,这是新一代网络通信技术和汽车大型终端深度融合的产品形态,实现了车与车、路、人、云端等智能信息交换、共享,以“安全、高效、舒适、节能”的行驶体验目标,进行智能化的研发。

但随着汽车的电动化、网联化以及智能化发展,智能网联汽车产业的发展过程中交融了车辆运行安全、数据安全等合规风险。这些安全及合规风险贯穿于智能网联汽车投入市场之后的全生命周期之中,也体现于更多新型用户交互功能模块之中。

立足智能网联汽车领域实践,从智能网联汽车数据所涉重点数据类型风险、数据出境风险、数据生命周期等视角,对可能涉及的合规风险进行评估。

1. 智能网联汽车所涉重点数据类型的合规风险

我国《数据安全法》规定,国家应建立数据分类分级保护制度,各地区、各部门应当 按照数据分类分级保护制度,确定本地区、本部门及相关行业、领域的重要数据具体目录, 对列入目录的数据进行重点保护。智能网联汽车数据也应当进行分类和分级处理,对数据进行打标或建立数据目录,须区分敏感个人信息、重要数据、车外数据、座舱数据、运 数据、位置轨迹数据等数据类型。其中,针对重点数据类型,如敏感个人信息、重要数据、座舱数据、车外数据等数据,也应具备识别技术,并配置不同的安全措施。以下将重点阐述几个重点数据类型的合规风险。

1.1 智能网联汽车敏感个人信息

我国《个人信息保护法》将敏感个人信息界定为“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”。根据这一定义,自然人的生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息均属于敏感个人信息。

《汽车数据安全管理若干规定(试行)》结合汽车行业具体情况,将敏感个人信息定义为“一旦泄露或者非法使用,可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的个人信息,包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息”。由于敏感个人信息关乎自然人的人格尊严与人身财产安全,一旦泄
露或者非法使用,可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害,在处理上述信息的过程中,处理者须具有特定的目的和充分的必要性,应当告知处理敏感个人信息的必要性以及对个人权益的影响,并取得单独同意,遵循及时 删除等规则。

结合上述规定,智能网联汽车行业有严格的敏感个人信息处理规则,相关企业须识别出行业内的敏感个人信息,并严格遵循相关规定。否则,一旦发生敏感个人信息泄露或者 被非法采集使用等,相关企业可能面临民事纠纷、行政处罚、社会负面舆论、以及企业品 牌形象受损等风险。

1.2 智能网联汽车重要数据

重要数据是指以电子方式存在的,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。在处理重要数据时,处理者应当遵循成立数据安全管理机构、向设区的市级网信部门备案、组织开展全员数据安全教育培训、开展数据安 全评估等规则。在汽车行业,重要数据有更详细的结合行业特征的相关规定,例如军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据,车辆流量、物流等反映经济运行情况的数据,汽车充电网的运行数据,包含人脸信息、车牌信息等的车外视频、图像数据,涉及个人信息主体超过 10 万人的个人信息等,都属于汽车行业的重要数据。此外,汽车行业的重要数据有一系列严格的数据处理规定,包括但不限于报送风险评估报告、严格出境管理、报送年度汽车数据安全管理情况等。

结合上述规定,虽然目前法律法规并未完全明确和划定重要数据的范围,但重要数据 涉及国家安全、公众利益,且智能网联汽车行业有一系列严格的重要数据处理规则,汽车 企业应当根据业务发展以及有关法律法规、识别和指引,开展企业掌握数据的分类分级安全保护工作,高度重视可能涉及重要数据的处理行为,制定对应的安全保障措施。否则,一旦发生重要数据泄露或被非法使用,可能直接影响国家安全和公众利益,导致企业被处以重罚。

  • 案例:2021 年 12 月,某知名汽车制造商 6 个月内收集 43 万张敏感人脸个人信息实施门店流量统计等营销处理,被上海市徐汇区市场监督管理局罚款 10 万元。

除敏感个人信息、重要数据等重点数据类型外,结合汽车行业特征、有关规章制度及行业规定标准分别从座舱数据和车外数据两种场景对于智能网联汽车的数据处理情况进行具体规制。

1.3 智能网联汽车座舱数据

座舱数据是指通过摄像头、红外传感器、指纹传感器、麦克风等传感器从汽车座舱采集的数据,以及对其进行加工后产生的数据。座舱数据强调了对于车主、驾驶人、乘客知情权和控制权的保障。通过车内处理、默认不收集、明确告知、单独同意、随时终止、方便查阅以及限时删除、匿名化的模式赋予数据主体的对于自身敏感个人信息深度控制权。如果未经同意收集、使用、加工、提供、公开、未及时删除或匿名化车内自然人的个人信息,可能因违反有关规定导致企业面临民事纠纷、行政处罚、社会负面舆论、商誉受损等风险。

1.4 智能网联汽车车外数据

车外数据是指通过摄像头、雷达等传感器从汽车外部环境采集的道路、建筑、地形、交通参与者等数据,以及对其进行加工后产生的数据。关于车外数据,特别是通过车载外部摄像头收集车外个人信息 ( 如行人图像、车牌等 ),以及其他高度敏感数据,如位置轨迹数据等,有匿名化或删除的要求。

没有及时删除位置轨迹数据的风险。车外数据中包含大量位置轨迹数据。根据《汽车采集数据处理安全指南》中规定的存储要求,除了为优化行驶安全功能而存储的特定场景数据,每车每天不超过 3 个连续时间的数据片段,每个片段不超过 2 分钟以外,车外数据、位置轨迹数据在远程信息服务平台等车外位置中保存时间均不应超过 14 天。若未及时删除位置轨迹数据,如涉及军事国防地区的,可能因影响国家安全被行政监管机关处以重罚。

没有及时匿名化处理车外数据的风险。根据《信息安全技术 汽车数据处理安全要求》, 汽车收集车外视频、图像数据,如需向车外提供,应在车端对数据中的人脸、车牌信息进行匿名化处理。如果车外影像功能处理未尽合理评估,没有及时被匿名化处理,则有不符合法律法规要求导致产品下线、引起民事纠纷、行政机关处罚的风险。

  • 案例:根据 21 世纪财经报道,2022 年 3 月,某知名汽车制造商可远程查看车外摄像头影像的“千里眼”功能因不符合汽车数据法规要求的相关规定被下线。

2. 智能网联汽车数据出境的主要安全风险

国家互联网应急中心(CNCERT)联合智联出行研究院(ICMA)对 15 类主流车型 2021 年 8 月至 11 月的数据出境情况分析显示,境内与境外汽车数据通联 732.77 万次,其中汽车数据出境 262.13 万次,存在汽车数据出境行为的汽车品牌占所分析品牌的 73.3%。整体来看,汽车数据出境是众多汽车品牌的普遍行为。在智能网联汽车数据大规模出境的背景下,我国也相继出台多部法律法规监管数据出境行为。结合汽车数据出境 的实际场景和有关规定要求,智能网联汽车数据出境可能主要面临以下三种合规风险。

2.1 重要数据未本地化存储、未做数据出境安全评估申报的风险

重要数据应存储在境内,确需向境外提供的,应当通过网信部门等有关部门组织的安全评估。向境外提供也不得超过出境安全评估确定的目的、范围、方式和数据种类规模等, 网信部门会以抽查方式进行核验。没有遵守关于重要数据需要进行本地化存储,以及数据出境需要进行安全评估的规定的,可能有影响国家安全、公众利益的风险。

2.2 境外车联网服务商跨境服务的安全隐患风险

在合资汽车、境外进口汽车的情况下,其车联网服务可能由境外企业及其子公司提供,需将车主身份信息、使用习惯、车辆状态及行驶路径等用户信息传往境外。特别地,当通 信数据及车联网数据传往境外时,可能会有泄露国家地理位置信息,危害国家安全,以及侵害车主隐私的风险。

2.3 境内外云平台数据共享的安全风险

当合资企业车联网服务以境内云平台为主,且其外资公司通常负责全球车联网运营的时候,境内平台与境外平台是否互联,是否存在数据传输共享,是国家数据管理需要关注的重点内容。即使合资企业以境内云平台运营为主,如果与境内平台互联、进行数据传输共享,可能会泄露车主个人信息、国家地理位置信息,危害国家安全、公众利益和个人权益。

3. 智能网联汽车数据全生命周期合规风险

根据《汽车数据安全管理若干规定(试行)》规定,汽车数据处理活动,包括汽车数 据的采集、存储、使用加工、传输提供、公开等环节。

3.1 汽车数据采集环节

未经用户同意采集用户个人信息/敏感个人信息的,有被行政处罚、陷入社会负面舆论、及企业品牌形象受损等风险。

  • 案例一:2022 年 10 月 11 日,某汽车销售公司因未经消费者同意,收集、使用消费者个人信息,被上海市松江区市场监督管理局罚款 5 万元。
  • 案例二:2021 年 11 月26 日,某致命汽车制造商因未经消费者同意,也无明示告知消费者收集、使用目的,在2021 年 1 月至 6 月期间收集消费者 43 万余张人脸照片,被上海市徐汇区市场监督管理局罚款 10 万元。

3.2 汽车数据存储环节

因数据安全管理措施不足、黑客攻击导致用户数据泄露的,有被行政处罚风险、陷入社会负面舆论、以及企业品牌形象受损等风险。

  • 案例一:根据澎湃新闻报道,2022 年 10 月,某日本知名汽车集团因数据安全管理不善,导致其 T-Connect 服务中有 296019 条客户个人信息疑似被泄露,泄露的内容包含了客户电子邮件地址和客户号码。
  • 案例二:根据腾讯新闻报道,2021 年 4 月,某款知名电动汽车车内摄像头因遭到黑客入侵,导致驾驶员和乘客人脸数据被泄露。

3.3 汽车数据使用加工等环节

未经用户同意使用、加工、提供、公开用户的个人信息,涉嫌侵犯用户隐私权利、个人信息主体权利的,有被行政处罚、陷入民事纠纷、陷入社会负面舆论、及企业品牌形象受损等风险;若涉及处理重要数据,则有威胁国家安全被巨额行政处罚的风险。

  • 案例一:根据中国新闻网报道,2022 年 5 月,用户在社交媒体曝光,其通过使用某智能纯电品牌汽车的“车车互联”功能,能看到多位同品牌汽车用户的行车记录仪实时画面, 涉嫌未经用户同意使用用户的隐私信息,也存在泄露国家相关机密的可能。
  • 案例二:根据易车报道,2021 年 4 月,某知名电动汽车公司未经用户同意,通过车内摄像头拍摄车内外数据信息,并监控车主使用 FSD beta 功能的情况,该行为涉嫌侵犯用户隐私权利、个人信息权利。

3.4 汽车用户主体权利保护

企业未向用户清晰提供数据处理规则、数据主体权利不明的,有陷入社会负面舆论的风险,以及企业品牌形象受损的风险。

  • 案例一:根据央视网报道,2021 年 4 月,某知名新能源品牌汽车车主张女士因汽车刹车失灵向企业维权,该汽车企业拒绝“无条件提供”车辆发生事故前半小时完整行车数据。郑州市郑东新区市场监督管理局责成该品牌销售服务公司立即无条件向张女士提供该车事 故发生前半小时的完整行车数据。

4. 智能网联汽车数据分类分级案例

2020 年工信部发布的行业标准YD/T 3751-2020《车联网信息服务 数据安全技术要求》中,明确了车联网信息服务数据包括“基础属性类、车辆工况类、环境感知类、车控类、 应用服务类及用户个人信息”六类数据和“敏感、重要、一般”三个敏感度等级。2021 年中国汽车工程学会发布团体标准 T/CSAE 211-2021《智能网联汽车数据共享安全要求》, 对数据种类进行扩展,范围包括车厂数据及第三方数据,数据安全等级采用 GB/T 37973- 2019《信息安全技术 大数据安全管理指南》的五级分级。

4.1 数据分类分级痛点

国内已发布的上述数据安全及分类分级标准仍无法完全契合智能网联汽车运营实际,在智能网联汽车运行过程中,车端和路侧传感器对公共区域、车流、人流、高精地图等重要数据开展了大规模采集和传输,使海量数据在交通参与者、数据平台运营企业及第三方服务提供商之间常态化流转交互。由此可能产生的数据过度采集、不当存储、越界使用等 问题给国家安全、行业利益和个人权益带来了安全隐患。

4.1.1 数据分类分级标识

在国家安全标准《GB/T 35273-2020 信息安全技术 个人信息安全规范》出台以后,汽车行业的《YD/T 3746-2020 车联网信息服务 用户个人信息保护要求》以及《YD/T 3751-2020 车联网信息服务 数据安全技术要求》,对智能网联汽车的数据分类分级已经非常清晰明了,针对智能网联数据中具有比较明显特征的数据,如个人信息,在办公场景的 WE 应用,业界内已经形成了比较成熟的解决方案,但转化到车端应用,如何对车端涉及的个人信息以及其它工况类、车控类、环境感知类、基础属性类数据进行自动化的标记,为已定义好密级的车联网数据打上所属的标签成为了整个行业亟待解决的难点,也是目前汽车集团的业务痛点。

4.1.2 数据资产梳理不清

要想管好数据的安全,首要前提就是掌握企业和组织内的智能网联汽车数据资产信息,知道数据资产有什么、在哪里、有何特点、以及如何使用。目前的情况是智能网联汽车分类分级虽然已经有明确的行业分类标准,车企也按照行业标准梳理出了智能网联汽车数据清单,但是随着智能网联汽车业务快速发展,业务运行过程中衍生的汽车数据往往体量大、数据类型繁多、应用场景复杂。梳理智能网联汽车数据资产并非一件容易的事情,具体的智能网联汽车数据字段落在哪些数据资产上,如应用资产、数据库资产、访问的用户账号等等数据资产的识别和梳理,往往需要进行人海战术,投入大量的人力,才能将企业各个 系统海量的数据梳理完毕。

4.1.3 数据使用流转不明

数据资产只有流通起来,才能释放出数据价值,但是数据流通又会给数据隐私合规管控工作带来新的挑战。智能网联汽车数据是从何而来、经于何地、存于何处,这些散布于车、路、云、网、端的汽车数据链路信息已成为当前企业和组织极其重要的关注点,也是当前智能网联汽车数据合规管控工作的难点。智能网联汽车数据使用流向不明(车与车,车与 去端等流向),对于数据的流转路径、数据流转具体字段、数据流转量级、数据流转的接口等,无从进行车内以及对外数据流转的识别和监控,无法在数据使用过程中执行有效的 安全防护手段,还会增加数据安全事件事后处置难度。

4.1.4 数据风险监测不准

智能网联汽车数据一旦发生泄露,不仅会对企业造成名誉损失,而且会面临监管机构处罚,以往的技术手段只能进行单一维度数据风险监测,存在风险误报、漏报等痛点,造成数据风险监测不准,为企业带来极大的数据安全隐患。

4.1.5 数据安全防护不足

行业内基于智能网联汽车数据的安全防护尚未形成成熟的解决方案,企业在业务经营过程中积累了大量各种类型的车联网数据,如姓名、电话、身份证等个人隐私类数据,以及大量的车端数据。由于数据量大、类型繁多、分布广泛,企业在开展数据分类分级工作时,需要业务方、安全、咨询顾问等多方人员共同参与,人力成本高、周期长、见效慢。

4.1.6 审计溯源能力不足

在智能网联汽车数据使用和流转过程中,会涉及车、路、云、网、端等各种各样的账号、应用、数据库和数据等重要对象,传统技术难以对智能网联汽车数据重要对象进行关联审 计。即使通过业务系统改造或者使用其他安全产品,也只能获取一部分对象的日志信息,无法针对各个关注的对象进行链路级关联审计,使得开展审计溯源工作时面临要素不全或 者耗时过久的痛点。

4.2 智能网联汽车数据分类分级解决思路

对外参与智能网联汽车数据分类分级国家标准 / 行业标准 / 团体标准的制定,从标准 顶层汇集行业的经验,输出汽车集团的数据分类分级管理规范,并基于集团级的管理规范, 细化形成汽车集团智能网联汽车数据分类分级管理细则,明确智能网联汽车数据全生命周 期管理的具体要求。

4.2.1 车联网数据高效分类分级

自主研发数据识别引擎,突破传统数据识别方法局限,支持个人信息和和智能网联汽 车全类型数据识别和分类分级,自动化标识,覆盖全面,智能高效。

4.2.2 智能追踪数据流转链路

支持车、路、云、网、端等车联网环境,借助链路追踪引擎,以数据为起点,自动梳理由用户访问产生的南北向数据流转链路和由车端应用(内部及外部)调用产生的东西向 数据流转链路,全面掌握企业内数据流转的全链路资产信息。

4.2.3 数据资产持续动态运营

伴随业务过程持续动态更新数据资产,有效保障智能网联汽车数据分类分级工作的准确性和及时性。

本文摘编自数据安全推进计划发布的《智能网联汽车数据分类分级实践指南》,全文下载请留意后续。

一条评论