智能化浪潮下,汽车数据安全愈发受到重视。但汽车数据早已有之,车企在思考如何采集、管理、使用智能网联汽车数据的同时,也需妥善处理陈年数据,确保用户隐私安全。
汽车数据泄露事件频发
就此次数据泄露的原因,丰田方面称,由于系统性质被设置为“公共”而非“私人”的人为错误,导致云环境中的设置错误。此次受影响的范围仅限于日本境内车辆,涉及注册丰田信息服务、远程车载信息通信等服务的约215万用户,其中包括丰田旗下品牌雷克萨斯部分车主。影响时间更是从2013年11月开始一直持续到今年4月,长达10年时间。
据悉,丰田云平台提供的服务包括提醒车主保养汽车、连接接流媒体娱乐、发生车祸后拨打求助电话、车辆遭窃后发送定位等。此次泄露的信息或包括车辆设备的识别号码和车辆位置。不过,丰田方面表示目前并没有恶意使用的报告,并已更改设置,修补系统,用户可照常使用云服务,无需返厂维修。
尽管此次事故波及范围仅限日本境内,但丰田C-HR车主小陈(化名)知悉后,仍然感到恐慌和震惊。“都10年了才发现问题,车企在乎我们的隐私被泄露吗?不过丰田的车载系统并不好用,操作起来像上个世纪的东西。我平时基本不用,都是连手机蓝牙,用手机App。”小陈直言。更有不少消费者表示,数据泄露不止丰田一家,多家车企均出现过此类事件。一位网友更是感概道:“我现在都不觉得车企数据泄露是新闻了,反倒是不发生这些问题才是新闻。”
正如众多网友所言,近年来,汽车数据泄露事件频频被曝光,多家国内外车企均出现过此类事件。本次事件的“主角”丰田便多次被曝出用户车辆数据泄露。去年10月,丰田称,发现在T-Connect服务中有约29.6万条客户信息疑似被泄露,泄露的内容包含了客户电子邮件地址和客户号码,受影响的客户为2017年7月以来使用电子邮件地址注册该服务网站的个人用户。今年1月,丰田印度分公司也发生一起数据泄露事件,但是并未披露本次数据泄露的规模,也没有透露受影响的客户的数量。
除丰田外,仅去年一年,通用汽车、奥迪、长安、梅赛德斯-奔驰、蔚来等国内外车企均相继发生用户数据泄露事件。北京辉诺律师事务所合伙人栾菲菲认为,汽车数据泄露,如车主车辆、牌号、位置信息、驾照号等信息以及链接流媒体娱乐信息泄露,均可能造成车主财产损失、隐私泄露,甚至导致车主人身安全受到威胁,隐患极大。
数据“裸奔” 车企不应止于道歉
“丰田又得鞠躬了。”此次数据泄露事件一曝光,不少网友便表示丰田又要因数据泄露道歉了。虽是调侃,但不难看出,消费者已深知车企“套路”。汽车数据泄露自然不能止于车企道歉,更应从法律、社会层面对车企行为加以约束。
在栾菲菲看来,就中国现行法律法规来看,车企应当就汽车数据泄露承担一定的法律责任。她告诉记者,《中华人民共和国民法典》第六章、《消费者权益保护法》第十四条对侵害隐私权、消费者信息泄露做出了明确规定,车企有义务确保车主数据安全,并在泄露后及时采取补救措施。“车企在获取车主数据信息后应当履行保密义务,在未经客户允许的情况下将个人信息公开暴露,侵犯了消费者权益,应当承担侵权责任。”她说。
另外,栾菲菲表示,若车企在中国境内发生数据泄露事件,还可能面临行政处罚。《中华人民共和国网络安全法》第六十四条、《中华人民共和国数据安全法》第四十五条、《中华人民共和国个人信息保护法》第六十六条对泄露车主信息的情况均有明确规定,根据情节严重程度给予不同程度的行政处罚。
就本次丰田汽车数据泄露事件,由于波及范围仅限日本境内,丰田是否需承担法律责任,需依日本法而定。栾菲菲告诉记者,日本关于用户隐私保护、汽车数据安全方面法律的立法较早,现行法律较为完善,并设有独立的个人信息保护机构。与之相比,中国法律对于个人隐私权、信息保护、数据安全保护立法较晚,目前尚无独立的个人信息保护机构,这方面有待完善。
除了从法律角度对车企数据泄露进行约束,不断出现的数据泄露事件也会加深社会舆论对车企的负面印象,对品牌价值带来难以挽回的损害。智能网联汽车领域专家李毅(化名)表示,丰田发生数据泄露事件,且涉及用户数量大、时间范围广,对其品牌影响力造成一定负面作用,若屡次发生仍未有补救措施,很容易失去大量消费者信任,势必会影响到终端销量。
建平台立体系 扎紧监管“篱笆”
“数据安全涉及数据范围不应当区分是陈年数据,还是当下的智能网联数据。”李毅表示,无论是传统汽车时代的陈年数据还是智能网联汽车数据,车企都需对数据进行安全风险识别、安全风险评估,基于安全风险评估等级采取不同的安全防护措施,保障汽车数据的安全。数据泄露过去或未来产生的影响均需依据数据的安全风险等级进行评定,不能按照数据泄露时间来衡量。
对此,邵元骏表示,由于传统汽车传感器采集数据的维度与当下智能网联汽车传感器采集数据维度发生极大变化,陈年数据与智能网联数据区别较大。对于传统汽车而言,由于自动化、智能化程度较低,数据更多涉及汽车运行状况,理论上讲数据密级并不高,但这并不意味着车企可以对陈年数据置之不理。
“以前大家对汽车数据的重视程度不够,汽车数据漏洞也比较多。”邵元骏称,多数车企对陈年数据监管不严,没有及时对陈年数据中的涉密数据与其他非涉密数据进行切割,也没有及时查漏补缺,一旦被钻空子,也会造成车主个人隐私泄露等严重后果。丰田公司发言人便表示,丰田能够在10年间都未能发现用户数据泄露漏洞,正是由于缺乏主动检测机制,今后丰田将引入持续审核云服务设置的制度,并在数据处理规范方面严格培训员工。
无论是汽车陈年数据,还是智能网联汽车数据,其泄露均会对用户、企业乃至国家造成不可预期、无法挽回的损失,保护汽车数据安全刻不容缓。目前,我国在汽车数据合规领域已形成《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》“三驾马车”。去年以来,《车联网网络安全和数据安全标准体系建设指南》、《关于进一步加强新能源汽车企业安全体系建设的指导意见》等政策文件相继出台,进一步明确汽车数据安全要求。不久前,《汽车整车信息安全技术要求》和《智能网联汽车自动驾驶数据记录系统》两项强制性国家标准的制修订也正式公开征求社会各界意见。
在李毅看来,当前我国针对汽车数据安全已经有相对明确的顶层设计,但在实施细则、相关技术标准方面仍有空缺。下一步需要继续加大细则和相关落地系列标准的制定工作,为企业实施数据安全策略提供落地依据。针对陈年数据,应当纳入数据安全管理范畴,与现有数据一并作分类分级管理,加强数据的安全防护和数据的有效利用。
“现在大家都知道数据值钱,但究竟值多少钱、究竟怎么用,大家还都不清楚。整个汽车数据管理、应用体系还不够明确,需要在规则体系之内,找出一个可行的商业模式。”邵元骏表示,除了政策法规,政府、行业、企业还需携手共建汽车数据安全管理体系,确保汽车数据在可控范围内实现有效利用。
对此,杭州安恒车联网安全技术有限公司技术总监张雷则表示,可建立保障数据安全可控的监管体系。在他看来,国内应当建立一个数据安全监管示范区域,从政府到行业建立数据安全解决方案。具体而言,可设置3个配套中心:数据安全实验室、智慧交通大数据安全检测中心、数据安全技术研究中心。其中,通过数据安全实验室来做方案确认和数据安全检测;基于大数据安全监测中心,可以把车企涉及数据安全的敏感信息、隐私信息上传到监测平台上,经过备案确保数据安全;技术研究中心可以进行一些前沿性技术研究,解决数据安全问题。在三大中心配合下,可确保企业在监管层面的数据合规,并对数据进行分类分级管理,保障企业在合法、合规的情况下充分挖掘数据价值。
13621797580