时至今日,智能网联汽车已被称为“可载人的移动计算机”。它作为终端获取ICT巨大优势并转换为红利的同时,就不可避免地会沾染到来自移动互联网的威胁和风险。
数据采集、存储、使用、转移、销毁,应用软件的访问控制,调式接口暴露,多余功能权限,协议安全,OS安全,代码安全,攻击防护等,这些原本属于ICT安全风险上的专有名词,正逐步显现在智能网联汽车上,再叠加上其交通工具的属性,情况就变得更加复杂。
冗长庞杂的产业链可以滋生数不清的薄弱环节,海量代码里藏着能够被利用或攻击的漏洞,密布的传感器带来的数据上云和隐私保护的挑战……
用“发展和威胁并存,愿景和风险共生”来形容智能网联汽车在信息安全方面的现状,毫不为过。
如何遏制威胁、降低风险,仅是摆在汽车制造商、智能驾驶方案提供商、云平台服务商面前的问题,更是国家政府需要解决的问题。
既需要规避技术创新带来的潜在危害和涟漪效应,又要为技术发展预留出足够的空间,还要保证技术商业化不被政策牵制……
这些内容,你都可以在本文中找到答案。
本文没有好玩有趣的段子,没有引发共鸣的吐槽,也没有撩拨情绪的感慨,有的只是纷繁复杂的法律规范,晦涩难懂的条文解析,尽可能平实准确的文字和力求严谨清晰的逻辑,而这些都和阅读的爽利感和畅快感毫无关系。
PARTⅠ管什么
智能网联汽车信息安全具体包含哪些方面?
智能网联汽车信息安全按对象不同,可大致分为网络安全、应用安全和数据安全。这三者交叉关联,互为依托又相互影响,简单来说,就是你中有我,我中有你。
网络安全的对象包括网络系统中的硬件、软件,以及系统中存储的数据。
网络安全的核心要求是硬件和软件不会遭到更改或破坏,在网络通信过程中产生的、包含各种重要信息的海量数据不被篡改,数据不会丢失或泄露。
具体指向智能网联汽车的网络安全,指的是移动通信网络、车载通信网络、路侧通信网络、卫星通讯网络等不受任何情况影响、不因任何因素中断,能够可靠正常地连续运行,智能网联汽车正常运行所需的数据能够得到完整性、可用性和实时性的保障。
名词解释或许略显枯燥,这里可以举个例子。
以现在热火朝天的V2X为例,城市道路上配置的智能红绿灯和智能摄像头就是比较常见的路侧智能网联设备。这些设备实时获取经过这个路段的智能网联汽车的动态信息(速度信息、位置信息、驾驶状态等),上传到交通运营监管平台,平台通过分析拥堵情况、交通违规情况、拥有优先路权的特种车辆所处位置等信息,统筹调整信号灯时长配置,并以无线信号方式向智能网联汽车推送信号灯切换信息,通过路侧单元向车辆提醒前方道路情况,预警诸如结冰或湿滑的危险道路,提示车辆避让施工区域或交叉路口出现的其他交通参与者等等。
再往大了去看,智能网络汽车、道路基础设施、蜂窝网络设施,甚至是行人佩戴的手机和可穿戴设备……能够产出数据的交通参与者交织成了一张细密蛛网,数据循着看不见摸不着的蛛丝,源源不断自智能网联汽车涌出,又连绵不绝回流。
车辆的通行效率得到了提高、交通参与者的人身安全得到了保障、尾气排放进一步减少,这一切都是基于安全的网络。
图源自视觉中国
这一张全局大网的基础就是包括智能网联汽车终端在内的各种通信设备,这些通信设备和交通运营监管部门的云平台之间的实时沟通,依靠的就是网络安全。
没有安全的网络,这一切都无从谈起。
要理解什么是应用安全,我们可以从最贴近消费者的App入手。
从游戏、微博到电影、电视,从唱吧到Steam,甚至于WPS办公软件和学习强国,越来越多手机端App出现在汽车中控大屏上。
当这些偏娱乐属性App出现宕机时,用户固然会觉得麻烦和不便,但更多的是延续使用手机端App时包容或忽视的态度,最多无奈地调侃一句“重启大法好”。
然而,当这种情况出现在智能网联汽车上,尤其是带有控制车辆功能的App上时,情况就发生了质的变化,App不受控所带来的后果也不再是一句吐槽或调侃就可以一笔带过的。
基于安卓开发的应用App几乎无一例外的都面临恶意代码、二次打包和信息泄露这三大风险。
具备远程控制功能的应用App在给用户带来诸如远程解锁启动、主动召唤、遥控泊车、开启后备箱等便捷功能的同时,也成为了黑客入侵汽车最常见和最便捷的途径之一。
如果在使用过程中,这些App遭到非法入侵或攻击,不能保证输出指令的安全性和正确性,那么,车辆的动力系统和转向系统控制权就可能被窃取。用户一旦失去对车辆的控制权,由此造成的财产损失和安全事故,后果是极其严重的。
到时,大量汽车在黑客控制下飞身跃出停车楼的场景,将不再限定于电影中了。
图源自《速度与激情8》
再来看看数据安全。
这些就属于数据安全范畴。
这些基于公共道路采集到的数以百万计的摄像头片段和标注物体信息被投喂给人工智能训练计算机,用以训练智能驾驶算法,使车辆持续进化,能够更安全地行驶、更可靠地处理复杂情况、更快地适应本土化环境、更好地促进新功能和新技术的研发,从而形成正向循环。
特斯拉为例和它的人工智能训练计算机Dojo就是“善用数据”最典型的例子。
图源自网络
然而,同一个主角,同一种生产要素,带来了截然相反的影响。
同样是特斯拉,在早些时候,网传有官员驾驶特斯拉驶入我国敏感区域,特斯拉前置摄像头获取内部道路信息,疑似数据外泄,进而引发不少区域对特斯拉下达了“禁行禁停”令。这也是一个教科书般的案例,只不过,特斯拉在其中摇身一变成了“反面教材”。
数据,作为汽车产业必要的生产要素,就其本身而言,是中立的,是纯粹的。
然而,数据如何收集?如何使用、服务于哪些对象、会达成何种目的、造成何种影响,更进一步的,个人私密信息会不会被倒卖给第三方?车内影像会不会被非法传播?账户密码会不会被非法盗用侵占?日常生活轨迹会不会被偷窥跟踪?敏感地区和重要设施会不会被非法泄密?
这些问题的答案,我们无法对内,向数据本身讨要,只能向外,寻求公正中立的解答。
消费者也好,生产企业也好,运营商也好,都急需缓解和解决随着智能网联汽车销量的节节攀升而被不断放大的担忧和顾虑。
我们需要法律法规这顶“紧箍咒”,将数据的过度使用、违规处理和非法滥用问题扼杀在萌芽期,让数据保持“科技向善”的初心。
PARTⅡ怎么管
我国在智能网联汽车信息安全方面是如何搭建立法框架的?
在了解我国在智能网联汽车信息安全方面的法律法规之前,我们需要大致明确我国的立法框架是如何的。
我国的立法框架一般施行的是两条腿走路——自上而下的顶层法律设计和自下而上的区域性、试验性立法。
自上而下的顶层法律设计,逻辑严密,覆盖全面,但对瞬息万变,日新月异的新技术、新功能和新产物,往往无法迅速调整,也不能提供解决实际问题的具体操作指南,还会出现现行法律法规对技术发展掣肘甚至是冲突的情况。
这时示范区和地方法规就显现出“小而美”的优势了。他们就像是“试验田”,可以在局部小范围内进行自下而上的尝试,通过赋予经济特区特殊立法权之类的“特例”来避免技术和法律之间的冲突,进而顺应发展、填补空白。
这种小规模,试点性质的立法好处非常明显。一来,试点范围有限,但凡出现意外可以立刻将问题扑灭,控制影响范围。二来,走“绿色通道”的立法能够快速应对新增情况,跟上技术发展的速度,对形成切实可行的,具有实际操作意义的法律条款有着非常强的现实参考作用。
而信息安全作为智能网联汽车发展中极为重要的组成部分,同样遵循“双管齐下”+“相向而行”的立法模式。
图片源自网络
在顶层设计方面,《中华人民共和国网络安全法》和《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》一起构成了我国公民信息安全的法律体系框架。
整理自网络公开信息
这三部大法是由全国人民代表大会审议通过,面向的是全行业的信息安全。反过来说,全行业的信息安全都必须以这三部大法为前提和基础,不允许逾越。
可以通俗地理解为,这三部法律为所有行业在信息安全方面搭出骨骼架构,而不同行业就像是不同的骨骼区域,颅骨、躯干骨、四肢骨,他们各自有各自的特点和特性,不同骨骼外的经脉、血肉乃至毛细血管、皮肤纹理都是不同的,那就需要不同等级的立法机构、国家部委、地方政府和行业协会针对不同行业特点颁布有针对性的法律法规、管理规范、标准体系、条例通知,把有形无实的骨骼填满。
与智能网联汽车有关的(部分)立法内容整理自网络公开信息
去年,滴滴”赴美IPO遭中国国家互联网信息监管机构调查并下架一事中,有关部门对滴滴开展调查的依据就是《中华人民共和国网络安全法》。
这部《网络安全法》以人大立法的形式,规定了国家网络安全工作的基本原则、主要任务、重大指导思想和理念;明确了部门、企业、社会组织和个人的权利、义务和责任;将成熟的政策规定和措施上升为法律,为政府部门的工作提供了法律依据;建立了国家网络安全的一系列基本制度。
因此,可以理解为《中华人民共和国网络安全法》是我国网络安全的“基本法”。它让我国的网络安全工作有了基本的法律框架和基本制度,体现了全局性和基础性。
整理自《中华人民共和国网络安全法》
三大法之二的《中华人民共和国数据安全法》则是我国第一部以“数据”“数据安全”命名的法律,首次明确了对“数据”的规制原则。
它的重点内容包括确立了“国家核心数据”的概念,明确将数据安全上升到国家安全范畴;建立数据分级分类管理制度;对违反国家核心数据管理制度或违法向境外提供重要数据等涉及数据安全风险的事件,设置了不允许触碰的
“红线”。
整理自《中华人民共和国数据安全法》
《中华人民共和国个人信息保护法》则是我国数据安全法律框架的又一块重要拼图。
《个人信息保护法》主要围绕个人信息的处理展开。
从处理规则、跨境提供、个人权利、处理者义务、保护职责部门以及法律责任等不同角度确立了相应规则,并且针对敏感个人信息和国家机关处理活动强调了特别规则。
整理自《中华人民共和国个人信息保护法》
一般也将这三部法律称为我国公民信息安全的“上位法”,具有面向对象广,覆盖范围全的特点,是体现国家意志的顶层设计。至于另一条相向而行的路,就需要国家部委、地方政府、行业协会、标准团体来共同铺就。
PARTⅢ代表性
目前,各部委、各地方政府和行业协会,标准委员会等机构都在积极响应三大上位法,在各自管理范围和管辖区域内,或是着手召开座谈会,邀请各大车企和智能驾驶头部企业各抒己见,并以此为基础,修订修改现有法规条文已适应技术发展;或是基于技术趋势预测,利用自身立法权,突破上位法局限,出台专门促进智能网联汽车准入和商业化落地的管理条例。
以工信部发布的《关于加强智能网联汽车生产企业及产品准入管理的意见》为例,虽然该《意见》说的是智能网联汽车的准入管理,并不针对信息安全,但仍为智能网联汽车在信息安全方面的规定辟出了单独章节进行详细说明,可见其对信息安全的重视程度。
整理自《关于加强智能网联汽车生产企业及产品准入管理的意见》
由此可见,智能网联汽车信息安全方面的法律法规正在以不同的权责范畴,不同的颗粒度,不同的管辖区域,全方位,成体系地加速形成。
网络安全方面,OTA是风眼。
经过漫长的市场教育,现在的消费者已经完全接受车辆通过OTA的形式来进行功能优化、更迭、新增、补救和更正。甚至认为,只有具备了OTA能力的车辆,才能称得上是一辆智能网联汽车。
但也有越来越多的消费者发现,原本用于提升车辆使用感受的OTA却变了味,夹带了很多不为用户所知的“私货”。
悄无声息地通过OTA对用户手上的车辆进行“锁电”,试图通过限制车辆功率,来扩大安全范围,提高安全冗余,而由此产生的车辆性能降低,却要让无知无觉的车主来承受。
车载App经过OTA更新后,告知用户如不同意让车辆记录并收集用户个人信息,那么App将直接退出,用户将不能够使用车辆远程控制等功能。
是接受霸王条款还是接受车辆功能限制,仿佛是在问车主是断左手还是断右手,没有选择权的选择题成了摆在车主面前如鲠在喉的刺。
OTA变成了装着薛定谔猫的盒子,消费者不知道这一次的更新是某种功能和体验的改善,还是某种设计缺陷的掩饰。
本质来说,OTA相对于传统的技术服务活动,只是更新了技术手段,其本质不变,OTA仍是技术服务活动。不管OTA作为召回措施,还是技术服务活动措施,都要履行备案义务。
2020年11月25日,国家市场监管总局发布《关于进一步加强汽车远程升级技术召回监管的通知》以及2021年6月4日,市场监管总局质量发展局发布《关于汽车远程升级OTA技术召回备案的补充通知》,让OTA召回更具有操作性。
两份通知写明,如果是通过OTA进行技术服务活动,那么需要提前备案,如果是通过OTA消除产品缺陷,那么就照召回处理,对未消除的缺陷和由此引发的新缺陷,也应该切实依法履行召回主体责任。
换言之,召回就是召回,不再是优化或更新等模棱两可的描述可以遮掩过去的,OTA不再是召回的“保护伞”和“遮羞布”。
整理自《关于进一步加强汽车远程升级技术召回监管的通知》
引入企业管理、评估验证、准入测试、过程控制、政府监管五个维度,再次强调升级活动前须主动备案和申报,保证汽车产品生产一致性,不得在未经审批的情况下,通过OTA方式新增或更新汽车自动驾驶功能。
数据安全方面,可以通过解读由网信办、发改委、工信部、公安部和交通部在去年10月联合发布的《汽车数据安全管理若干规定(试行)》文件来了解法律制度对汽车数据安全方面进行的干预、限制和约束内容有哪些。
特别提及该法案的原因在于它是国内首个对汽车行业的数据安全进行保护的法律。
《规定》的内容承接自《网络安全法》、《数据安全法》和《个人信息保护法》,从管理对象,实际场景,到监管要求,具体措施,能力建设等多个方面提出了要求。
按照惯常思维,汽车制造商是汽车数据安全的主要负责人和主要被监管对象,但《规定》提出了“汽车数据处理者”这一概念,并且把这个概念覆盖在了汽车行业全链条上。不仅是汽车制造商,硬件和软件供应商、经销商、维修机构以及出行服务企业也都是汽车数据处理者,这些角色同样需要被纳入到监管范围内,这也呼应了“汽车数据自生产阶段就开始产生”这一现状。
同样,“汽车行业重要数据”这一被大家口口相传的,宽泛而抽象的名词,也在《规定》中经由实际场景被固定下来——地图信息,敏感区域和超过10万人的个人信息等,都被归类于“重要信息”。
明确了监管范围(管什么)和监管对象(管谁)两大要素,接下来自然是向监管对象提要求。
按照“不可避免风险,但可以降低风险”的说法,所有监管对象都应该建立数据安全管理制度和预警处理能力,需要定期提交风险评估报告并对数据安全事故做好应对预案。
至于被滴滴和特斯拉顶上风口浪尖的数据存储和传输问题,在《规定》里说得明明白白——重要数据依法在境内存储。确实需要跨境传输的数据,须提前进行安全评估,数据过审后才能出境。
包括特斯拉在内的很多外资与合资公司,已经或正在国内建立数据中心,并称“所有用户数据都将存储在中国”,就是该规定的直接影响和体现。
可以说,《汽车数据安全管理若干规定(试行)》相较于上位法而言,已经有了极大的细化,对于汽车领域数据安全的标准化,规范化发展来说,具有重大意义。
但同样需要指出的是,《规定》里所提及的条文仍有大量需要释疑和细化的内容,对于汽车数据处理者而言,仍存在很多实操层面的难点,需要继续出台细则类文件予以说明解释,才可有效指导汽车数据处理者开展实际工作。
整理自《汽车数据安全管理若干规定(试行)》
在众多法规条款中,我们根据基础性和高频性两个特点,罗列出了以下几项个人信息立法方面的重点内容:
关于个人信息的定义。
所谓个人信息,通常理解是这辆车的车主或驾乘人员这些坐在车里的人员被车辆通过电子方式(摄像头、麦克风等)获取的信息,例如他们的行踪轨迹,指纹声纹人脸的生物信息,账号密码,社交圈层等,但这些只是狭义的个人信息,《汽车数据安全管理若干规定(试行)》将这个概念进行了外延,除了车内人员,个人信息还包括车外人员,他们的长相(生物信息)和所处位置和行踪轨迹(地理信息)一样可以通过车外摄像头被捕获,自然也属于个人信息的范畴。
总结而言,即只要是通过车载摄像头或其他车载传感器捕获到的来自自然人的信息,都被定义为个人信息。
关于收集和处理个人信息的权力和义务。
针对App总是以“背后长眼”的幽灵状态收集用户个人信息的问题,《汽车数据安全管理若干规定(试行)》明确提出“默认不收集原则”——除非驾驶人自主设定,每次驾驶时默认设定为不收集状态。这条规定立竿见影地堵住了汽车数据处理者最喜欢钻的空子——用“默认开启收集,须用户手动关闭”的免责条文来搪塞用户的质疑。
对于收集信息的后续处理,则采用“告知→同意“方式。汽车信息处理者需要告知用户有关信息的保存地点、期限、信息的用途和使用方式等内容,并得到用户的同意,体现了对于用户处理自身信息权力的尊重。
至于车外的自然人个人信息,虽然无法采用“告知→同意“的方式,但《汽车数据安全管理若干规定(试行)》也补全了这个缺口,即需要对该类信息进行匿名化处理,对视频/照片中的人脸信息进行轮廓化处理,对于能够直接识别自然人的画面需要删除。
整理自《深圳经济特区数据条例》
PARTⅣ突破性
有哪些阶段性成果值得期待?
综上所述,我们可以清晰看到这样一幅徐徐展开的图景。
顶层设计,政府部门持续强化智能网联汽车信息安全政策体系,制定信息安全的发展专项规划,对智能网联汽车信息安全进行统一、有效的统筹管理和规范指引。
往下,各职能部门和各地方政府依据各自管辖权限,出台专门针对智能网联汽车信息安全的法律法规和类型各异的示范区,松绑限制,紧跟发展,追踪风险,控制影响。
整体规划条理清晰,规划得当,有条不紊。
徐徐推进的最终目的,是为了扫除智能网联汽车在生产、上市、上路,商业化落地过程中,有关信息安全方面的障碍和阻滞。
好消息是,我们大概率可以在今年看到成果——《深圳经济特区智能网联汽车管理条例》自2021年3月向社会公开征求意见开始,历经三审,预计将在2022年出炉。
这将是我国首部规范智能网联汽车管理的法规,它的最终出台将直接促成智能网联汽车从示范区域迈向商业化落地。
换句话说,大家大概率可以在今年的深圳街头看到挂着铁牌的智能网联车行使正常路权了。
整理自《深圳经济特区智能网联汽车管理条例(征求意见稿)》
PARTⅤ未完待续
还有哪些方面有待完善?
深圳的立法突破自然值得期待,智能网联汽车的成功上路更是值得庆贺,但我们更关心何时可以由点及面,大规模适用在全国范围内。
按照中国汽车工程协会在2020年发布的《技术路线图2.0》中的说法,高度自动驾驶智能网联汽车将在2025年开始进入市场,而L2、L3级智能网联汽车销售占比将达到50%以上,2030年将上升至70%。
同样的,国务院办公厅发布的《新能源汽车产业发展规划(2021~2035年)》中也将2025年作为高度自动驾驶汽车在限定区域和特定场景下实现商业化应用的目标年限。
目标和路线既已明确,标杆榜样也呼之欲出,剩下的就是实操层面的任务了。
收集现有的公开信息可得,
针对智能网联汽车信息安全方面的法律法规也预计会今年推出,包括软件升级通用技术要求和整车信息安全技术要求,并在2023年形成强标。
在2025年形成较为完善的车联网网络安全和数据安全标准体系。
在2030年底初步构建车联网网络安全和数据安全标准体系。
这些通用技术要求、强制标准、推荐标准,标准体系等,都能够给产业链的汽车数据处理者提供实操层面条分缕析的指导,使他们能够有法可依,有章可循。
车企,或者更准确说是车辆数据处理者需要意识到,数量客观且成规模成体系的数据已经成为信息时代的“石油和贸易”,相比钻研如何利用数据创造最大化的经济价值,遵循国家政策法规,合理合规地处理信息才是更为重要的,需要摆在首位考虑的任务。
持续跟踪和解读法律法规的更新和修订,积极参与行业标准体系讨论和制定,对供应链上的各个环节和零部件进行管理约束和测试评价,在公司内部建立信息安全的常设领导机构,全面负责数据的存储、转移、加密、分析、使用和保障,筑造车辆信息安全的长城,这些都应该罗列在汽车数据处理者的待办清单之首。
智能网联汽车的信息安全是一场看不见硝烟的攻防博弈。很多时候,在信息安全方面投入的巨大成本,并不能量化为财报上的收益。但无法计算的价值,不代表零价值,更可能意味着无价。
套用马斯洛需求理论,将安全需求和享乐需求作比较,孰轻孰重,消费者也会用真金白银来投票。任何人想要装鸵鸟,视若无睹,搪塞敷衍,没关系,法律的铁拳会教他做人。