作者|陈重山 编辑|阿峰 排版|浩天
近期发生的特斯拉数据泄露事件,再一次将智能网联汽车数据安全问题暴露在世人面前。
5月26日,荷兰数据监管机构表示,特斯拉可能存在数据保护漏洞。而据德国媒体相关报道,这些泄漏文件包含超过10万名前任和现任员工姓名的表格,甚至包括马斯克的社保号码,以及私人电子邮件地址、电话号码、员工工资、客户银行详细信息和生产机密信息。
特斯拉数据泄密报道截图
不止特斯拉,就在半年前,蔚来也发生数据泄露事件。
2022年12月11日,蔚来曾收到外部邮件,以窃取蔚来数据为由,勒索225万美元等额比特币。当时,蔚来称,遭窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息,并承诺对因数据泄露给用户造成的损失承担责任。
此前,车百智库、智能汽车与智慧城市协同发展联盟合作的研报《智能网联汽车发展若干重大问题》(下简称研报)就已密切关注智能网联汽车数据泄露的问题。研报称,随着智能网联汽车数量扩大、种类拓展,汽车数据安全问题呈扩大态势。如何更好地对汽车数据进行管理,对汽车企业和管理部门来说,都是一个新问题。
研报首页
研报称,在实践中,智能网联汽车数据安全,依然处于技术创新的“早期阶段”,容易出现“一管就死,一放就乱”,为此,需要找到一个技术创新与监管之间的平衡点,既要更好地支持创新,又要防止出现重大数据安全事件。
汽车数据数量激增、重要性凸显
当前,汽车正由典型的机械产品,转化为数据决定体验、软件定义功能的智能移动终端。
据研报,一辆 L4 自动驾驶的智能网联汽车,每日通过车内外传感器采集的行驶数据、环境数据和行为翻据等,已达到 10TB的量级,是传统汽车的 5-10 倍。保守估算,千辆自动驾驶汽车一年会产生近 11EB(万亿兆)的数据,是 2016年全球互联网数据传输量总和(3EB)的 3.5 倍。而且,随着汽车智能化的不断发展,智能网联汽车会像依赖化石燃料、电力一样依赖数据。
面对如此大量级的数据,以及智能化、网联化的深入和应用场景的不断丰富,智能网联汽车数据安全问题的影响呈现逐步扩大的态势。针对汽车数据的攻击、窃取、劫持、滥用等手段不断推陈出新,给国家安全、交通安全、用户隐私安全造成重大影响。
智能网联汽车数据安全是国家安全的重要防线,是交通安全的重要外延,而且与个人隐私保护密切相关,但是,我国现阶段的汽车数据安全管理,依然面临着不少的挑战。
汽车数据安全管理面临的挑战
据研报,汽车数据安全管理面临的挑战包括以下几点。
首先,虽然我国汽车数据安全政策法规持续加码,但是,尚未出台具体执行层面的指导文件。
具体来看,《网络安全法》《数据安全法》《汽车数据安全管理若干规定(试行)》《个人信息保护法》虽然构成了一个较为完整的数据安全法规体系,但现有的这些法规体系仍然存在较多需要明确的问题,包括具体落地实施文件相对缺失,执行层面缺乏操作指导,法律法规的要求落实不充分等,这使相关企业不知该如何自查和执行。
其次,我国汽车数据标准规范处于起步阶段,尚未形成系统可执行的标准规范体系。
目前,各监管机构、行业组织已在积极推动汽车数据安全标准的制定,但是,目前尚未形成系统的体系,制定的标准也没有与管理体制形成配合,企业落实标准实施的可执行性和执行效果也亟待考验。
再次,汽车数据安全防护技术缺口依然存在,难以形成全面数据安全防护。
智能网联汽车面临的数据安全风险主要来自于“云-管-端”,即云端数据库、网络数据传输、车端系统漏洞、车端密钥数据均可能面临攻击、泄露、丢失。但是,目前对于如何建立完整的、系统级的智能网联汽车的数据安全防护体系仍缺乏经验,存在安全技术和安全人才“双缺口”现象。
最后,更为关键的是,目前智能汽车数据安全正处于技术创新的“早期阶段”,体系不健全、标准不完善等问题是产业发展初期的常态。在这样的形势下,产业发展容易“一管就死,一放就乱”。
长远来看,安全是为了更好地发展。但在实践进程中,出于不同发展阶段的需要,发展会付出一定的安全代价,安全亦会事实上影响发展进程。只有找到技术创新与政府监管间的平衡点,才能给产业提供一个良好健康的发展环境。
平衡数据安全与产业发展建议
研报在平衡好数据安全与产业发展的基础上,给出我国汽车数据安全防护的建议。
首先,要针对智能网联企业数据安全治理领域的痛点、难点问题,如数据归属问题,加快建设、完善汽车领域的专项法律法规。
其次,要基于《网络安全法》《数据安全法》《个人信息保护法》等数据安全法律法规和政策文件,由汽车行业主管部门牵头,联合各相关部门出台细化到产业的智能网联汽车数据安全规范指南,并组建执行委员会,切实实施相关细则。
再次,要突破技术难点,构建汽车数据安全防护体系。因为传统数据安全技术具有一定的迁移性,在构建智能网联汽车数据安全防护体系时,要结合区块链、云计算等新一代信息技术进行突破性创新。另外,要鼓励我国智能网联汽车领域加密技术突破,以提高国密算法和国产加密产品的应用。最后,要实现入侵检测和防护技术创新,从车内外进行多层次多维度的安全防范,实现“进不来”的安全防护和“攻不破”的入侵防护。
最后,要加强政府监管,建立数据安全评估体系。智能网联汽车成为移动智能终端后,其安全检测和评估的范围,不能仅局限于汽车,也要随之扩大到智能网联汽车全生态圈。因为智能网联汽车数据安全测试与评价,是智能网联汽车安全水平提升的重要驱动力,因此需要建立更加完善的智能网联汽车数据安全评估机制。
关于智能网联汽车数据安全的更详细内容,请关注车百智库研报《智能网联汽车发展若干重大问题》