“汽车的智能网联化程度越来越高,收集的个人信息和数据几乎每天都在增加,我们对信息泄露和车联网安全的担心也越来越多……”正如车主张先生所言,很多智能汽车的用户对此都有同感。
境内运营智能网联汽车数据需存储在中国境内、未经审批不得随意在线升级汽车软件……8月12日,工信部发布《关于加强智能网联汽车生产企业及产品准入管理的意见》(以下简称《意见》),提出了一系列新的要求,有望减少用户的相关担忧。
强调汽车数据安全
从高清摄像头、毫米波雷达、激光雷达到行车记录仪、驾驶员监测系统等,一辆智能汽车在使用中,几乎无时无刻不在收集数据。
“数据安全与公民生命、财产安全和公共安全息息相关,除了几乎所有汽车上都有的碰撞事件记录(EDR)和车载诊断(OBD)数据之外,智能汽车还记录了更多与驾乘人员相关的信息和数据。”华中科技大学人工智能研究中心研究员蒋琦告诉《中国汽车报》记者,其中包括地理位置、车内及车外环境数据、车联网使用数据等,例如车内数据,就是利用车内传感器,收集驾乘人员的面部表情、动作、目光、声音乃至于是否打哈欠等细节的数据。有的车型上,如果拒绝接受这样的信息采集,车辆甚至无法使用一些智能化功能。
有调研结果显示,如今的一辆智能网联汽车每天收集的数据至少有10TB,不仅数量大,而且涉及到驾乘人员的出行轨迹、习惯、语音、视频等信息,一旦泄露会涉及侵犯个人隐私。此前,特斯拉因为记录车主面部信息以及汽车数据被黑客攻击而泄露曾备受非议。数据表明,2020年全球有关车联网相关恶意攻击超过280万余次。
对此,《意见》从数据安全和网络安全两方面作出明确规定。《意见》有针对性地强调,在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当按照有关法律法规规定在境内存储。需要向境外提供数据的,应当通过数据出境安全评估。
在强化数据安全管理能力上,《意见》还提出,一是企业应当建立健全汽车数据安全管理制度,依法履行数据安全保护义务,明确责任部门和负责人。二是要建立数据资产管理台账,实施数据分类分级管理,加强个人信息与重要数据保护。三是建设数据安全保护技术措施,确保数据持续处于有效保护和合法利用的状态,依法依规落实数据安全风险评估、数据安全事件报告等要求。
在加强网络安全保障能力上,《意见》要求,一是企业应当建立汽车网络安全管理制度,依法落实网络安全等级保护制度和车联网卡实名登记管理要求,明确网络安全责任部门和负责人。二是要具备保障汽车电子电气系统、组件和功能免受网络威胁的技术措施,具备汽车网络安全风险监测、网络安全缺陷和漏洞等发现和处置技术条件,确保车辆及其功能处于被保护的状态,保障车辆安全运行。三是要依法依规落实网络安全事件报告和处置要求。
规范软件在线升级
软件远程升级(OTA)越来越普遍,但大多数车主不一定知道其中究竟要做什么。
“车企对智能汽车软件远程升级的确很随意,常常会自动升级,升级要补的是什么漏洞,提供哪些新功能,很多车企往往不会告诉车主,甚至只告知其中的一部分,谁也不知道这里面到底存在哪些问题。”车主陆先生所言,道出了眼下智能汽车车主们较为普遍的疑惑。
“在逐渐进入软件定义汽车的时代,智能汽车软件系统如果前期没有严谨、完善的开发、测试、验证体系,很容易出现很多漏洞、缺陷(bug),对此一般车主很难了解,只有车企才知道其中的奥妙。”北方大数据与人工智能研究院研究员曾文翔向《中国汽车报》记者表示,假如一辆智能汽车刹车有故障,除了硬件及驾驶员操作问题,也可能是汽车软件本身就存在缺陷或漏洞,这类问题更是一般的消费者难以发现的。如果在故障问题调查期间,车企悄悄进行OTA升级修补了这一软件缺陷问题,消费者基本是永远也不会知道。
因此,《意见》从强化企业管理能力、保证产品生产一致性等两方面提出了要求,并特别指出:未经审批,不得通过在线等软件升级方式新增或更新汽车自动驾驶功能。
在强化企业管理能力方面,《意见》要求,企业生产具有在线升级(又称OTA升级)功能的汽车产品的,应当建立与汽车产品及升级活动相适应的管理能力,具有在线升级安全影响评估、测试验证、实施过程保障、信息记录等能力,确保车辆进行在线升级时处于安全状态,并向车辆用户告知在线升级的目的、内容、所需时长、注意事项、升级结果等信息。
在保证产品生产一致性方面,《意见》提出,企业实施在线升级活动前,应当确保汽车产品符合国家法律法规、技术标准及技术规范等相关要求并向工业和信息化部备案,涉及安全、节能、环保、防盗等技术参数变更的应提前向工业和信息化部申报,保证汽车产品生产一致性。
切实强化监督管理
今年7月刚发布的《中国互联网发展报告(2021)》显示,2020年,我国智能网联汽车销量为303.2万辆,同比增长107%,渗透率在15%左右。而随着智能汽车时代的到来,越来越多的智能汽车出现在大街小巷之中。
“除了对相关企业提出明确要求,《意见》也对加强产品管理作出了规定。”东方证券分析师覃筱鹏在接受《中国汽车报》记者采访时认为,《意见》提出企业生产具有驾驶辅助和自动驾驶功能的汽车产品的,应当明确告知车辆功能及性能限制、驾驶员职责、人机交互设备指示信息、功能激活及退出方法和条件等信息;应确保汽车产品至少满足系统失效识别与安全响应、人机交互、数据记录、过程保障和模拟仿真等测试验证的要求,鼓励支持接受北斗卫星导航系统信号。这些要求,对于保证智能汽车的安全、稳定、可靠运行均具有重要意义。
《意见》还提出了完善保障措施。要求企业应当建立自查机制,发现产品存在数据安全、网络安全、在线升级安全、驾驶辅助和自动驾驶安全等严重问题的,应当依法依规立即停止相关产品的生产、销售,采取措施进行整改,并及时报告。对此,主管部门将对落实情况做好监督检查。
“《意见》相较于以往的重大变化,是澄清了一些模糊认识,针对一些现实中令人困惑的问题和潜在风险作出了较为明确的规定,具有一定的开创意义。这不仅有利于维护消费者切身利益,推动智能汽车产业加快发展,而且也将为智能化社会的到来提供有力支持。”曾文翔认为。