图源:东方IC
来源:IT时报
30秒快读
1、智能网联汽车开始产生海量数据,一辆自动驾驶汽车相当于每天拍500部高清电影。
2、但是,出车祸却拿不到“黑匣子”,海量地理信息涉嫌敏感数据,这些敏感数据瞬间就能出国门。
3、如何管控为智能网联汽车的数据加把“锁”已刻不容缓,尤其是特斯拉等跨国车企,其收集的数据大多存储在国外服务器上,而数据中有些已经涉及地理信息,一旦泄露,影响的可能是社会或国家安全。
近年来,关于特斯拉刹车失灵、突然加速、方向失灵等各种报道层出不穷,面对投诉,特斯拉的回复是“后台数据没问题”。
“特斯拉的数据,车主拿不到。”在一个特斯拉维权群,大家讨论着“神秘”的特斯拉数据。
智能网联汽车数据安全问题越来越受关注,尤其是新能源汽车,一开始就以“智能”为卖点。但作为用户,不禁要问:智能网联汽车收集了我多少数据?使用时会经过我的允许吗?数据收集后,智能网联汽车平台如何保护我的数据?
刚刚结束的全国两会上,多位代表委员呼吁重视智能网联汽车数据安全。《IT时报》调查发现,为智能网联汽车的数据加把“锁”已刻不容缓,尤其是特斯拉等跨国车企,其收集的数据大多存储在国外服务器上,而数据中有些已经涉及地理信息,一旦泄露,影响的可能是社会或国家安全。
01一辆自动驾驶车一天生产10TB数据
业界把智能网联汽车比喻成一台四个轮子的“大手机”,“人–车–路–云”的复杂链接形态让智能汽车能获取并处理大量的个人身份数据、地理环境数据、道路交通实时数据以及个人生活、娱乐、商务交互数据。
2020年中国汽车总销量达到2532万辆,其中具备一定自动辅助驾驶功能的智能网联汽车占比快速提升。
保守估计,当前一辆配备三颗摄像头、一颗32线激光雷达以及组合惯导系统等传感器的自动驾驶测试车,每小时约产生20GB数据。
随着L3或L4级别的车辆量产落地,为了保证自动驾驶车辆安全运行,传感器和计算模块的数量必然大幅增加,也就意味着每天产生的数据量将成倍甚至几十倍增加。
图源:维基百科
“一辆自动驾驶测试车辆每天产生的数据量最高可达10TB。”全国人大代表、上汽集团董事长陈虹在两会上如此表示。
10TB,等于10240GB,如果说一部普通高清电影约有2GB,那么,一辆自动驾驶车相当于每天拍500部高清电影。
同样,全国政协委员、上海市信息安全行业协会会长谈剑峰也对智能网联汽车强大的数据采集能力表示担忧:“特斯拉可采集车主个人信息、车辆环境信息等200多项信息,国内同类厂商采集的也有170多项。一旦被滥用或恶意使用,必将对社会安全乃至国家安全带来巨大风险。”
2025年,中国智能电动汽车销量将超过800万辆,假设基本都进入L4自动驾驶阶段,以一天10TB计算,这些新增车辆一天产生的数据量便是8000万TB,如果算上保有车型产生的数据,数据体量难以估量。
这些数据不管是实时存储在云端,还是暂时存储在车辆上,如何保证海量数据的安全,都将是巨大的难题与挑战。
02敏感数据瞬间“出国门”
“现在汽车都有App,都在收集车主信息,这是不可避免的。”同济大学汽车学院教授朱西产表示,汽车产生的数据可以分为两类,一类是和驾驶者相关的驾驶行为信息,帮助车企对汽车进行优化,另一类是车辆传感器采集的道路等非驾驶行为信息,此类信息因涉及地理信息采集活动,严格意义上属于测绘行为,只能由持证机构进行。
有媒体报道,特斯拉在中国道路上行驶,细致到可以检测到前方道路上一个微小的水坑。除此之外,特斯拉还有着达到exaflop级别的浮点运算能力,可以将别国每一处具体坐标上的各种具体数据记录得一清二楚,包括街道路况、导航距离以及环境景象等所有能被地图测绘所扫描到的数据。
图源:特斯拉
“从技术上说,目前大多数智能网联汽车基本能达到‘地图测绘’的水准,汽车周边的环境、一草一木等都能被记录下来。”中国智能网联汽车产业创新联盟副秘书长李乔告诉《IT时报》记者,导航软件只会提示车主前方有桥梁或者隧道,而智能网联汽车因为需要实现自动避障,就会测算桥梁或隧道的高度,这些均属于敏感信息。
《中华人民共和国测绘法》规定地理信息生产、保管、利用单位应当对属于国家秘密的地理信息的获取、持有、提供、利用情况进行登记并长期保存,实行可追溯管理。
自动驾驶数据感知收集过程中会不断采集地理信息,相关地理信息中若涉及到属于国家秘密的地理信息需要在有关部门登记并保存。但目前自动驾驶过程中采集的地理信息是否属于国家秘密,并没有明确界定。
更关键的是,这些涉嫌敏感的数据,有的并没有被存储在国内。
有媒体报道称,曾有工程师购买了一辆某品牌在华合资生产的SUV,车辆交付后,他下载了两个软件,其中一个控制车辆的软件,他通过代码分析发现,这款App可以随时与车辆连通获取油门、刹车踏板开合度等数据,并将这些数据实时传送至海外服务器。这意味着,他通过App对车辆执行的每一个动作都将以数据形式记录到海外服务器上。
图源:pxhere
有业内人士曾对媒体表示,国内合资品牌车企的本土化都聚焦在制造本土化,对于车辆开发过程中的数据分析本土化做得并不好,传感器所收集到的数据,大多数都是传送到海外研发部门分析。
《网络安全法》第三十七条规定,“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。”
《个人信息和重要数据出境安全评估办法》(征求意见稿)中,网络运营者应报请行业主管或监管部门组织安全评估的出境数据有:含有或累计含有50万人以上的个人信息;数据量超过1000GB;包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等。
目前来看,一辆智能汽车产生的数据应远远超过1000GB,而特斯拉2020年在中国销量超过14万,2021年仅2月便卖出1.8万辆,超过50万也并不是件难事,如果按照上述文件计算,都在被约束范围之内。
03车企自建数据平台却无等保强制要求
不少业内人士表示,汽车数据属于用户的大范畴不会发生改变,制定数据的合理使用法规时,这是一条重要原则。
如果说个人信息、车辆数据被收集,已是别无选择,对于车主来说,更为担心的是,信息被收集之后,智能网联汽车有没有“看牢”自己的数据?如果行驶路线、沿途行为、车内谈话等信息被车企或别人详细掌握,相当于“透明驾驶”。
据《IT时报》记者了解,目前,各家智能网联汽车都是各自建设数据平台。“各类网站、数据平台需要根据不同性质达到不同等级的等保标准,对于涉密性较强的数据平台而言,等保三级是基础要求,不过目前还没有出台适用于智能网联汽车数据平台建设的标准。”上海智能网联汽车技术中心研究员王艳艳向《IT时报》记者表示,不过,已有智能网联汽车数据平台在参照等保三级标准。
图源:前瞻产业研究院
在王艳艳看来,除了标准的缺失,还有成本的考量,“传统汽车要做功能安全认证,智能网联汽车又加入了信息安全,门槛和成本相对较高,大多数企业还是根据自己的实际情况进行研发”。
2020年5月,《智能网联汽车场景数据采集平台搭建要求及方法》等6项标准通过了立项审查,并列入中国汽车工程学会标准2020年研制计划。李乔向《IT时报》记者透露,中国智能网联汽车产业创新联盟正在牵头制定智能网联汽车数据安全保护的标准,预计今年底将出台。
另外,由于自动驾驶汽车采集的地理信息数据可能涉密,因此需要按照《中华人民共和国保守国家秘密法》相关规定进行分级管理。“哪些信息可以用,哪些信息需要脱敏,哪些需要加密,哪些信息不需要采集,需要有分级原则和方法,并对带来的后果进行定级。”李乔告诉《IT时报》记者,目前这方面的分级管理还比较缺失。
04数据采集要遵循最小可用原则
放眼全球,对于智能网联汽车数据的保护早已开启。2017年,欧盟出台了欧盟网联汽车战略。在这个战略中,欧盟认为所有车联网产生数据都被视为是个人数据。基于这条原则,欧盟区域内车联网产生的数据同样属于消费者。
不难看出,智能网联汽车被不少国家视为汽车发展战略,并且从立法角度开始进行相应管控。
谈剑锋表示,在符合国际规范的前提下,要完善相关行业监管法规,要求代码透明,各类软件都要通过安全检测,减少软件漏洞和木马;此外,要加快智能汽车数据安全管理制度细则的落地执行,加强数据采集类型和范围约束,尤其是针对采集大量个人和环境信息的智能汽车,应要求其采集的数据遵循合规和最小可用原则;规范智能汽车各类数据存储符合国家法律,未审查不得出境;鼓励区块链、可信多方计算等数据保护共享创新技术的应用,防止车联网数据在开发和商业化应用中被过度滥用。
陈虹建议,要建立准入制度,智能网联汽车数据的采集、存储和商业用途需经国家相关部门备案管理,加强数据隐私保护并制定相应的审查制度。并且,智能网联汽车企业对于可能存在的隐私风险具有告知义务,在收集、使用、转移、删除数据时需给予用户自由选择权。
作者/IT时报记者潘少颖