凤凰网汽车

作者｜云歌

来源｜汽车大观

随着智能化时代的到来，数据正成为一种新的生产要素和社会财富，并被不断收集、分享、分析、利用，随之而来的个人隐私安全及国家安全也正成为新的挑战。

315晚会期间，宝马4S店因利用人脸识别技术获取客户信息引发关注；7月5日，网络安全审查办公室对“运满满”、“货车帮”实施网络安全审查……

近日，上海小鹏汽车销售服务有限公司被徐汇区市场监督管理局罚款10万元。处罚事由为：当事人购买具有人脸识别功能的摄像设备22台安装在旗下门店，今年1月至6月，共采集上传人脸照片431623张。

一系列事件，引发了用户对个人信息安全的强烈担忧。

当前，我国汽车保有量为3.8亿辆，其中，智能网联汽车数量快速增加，预计到2022年，智能网联汽车预计将超过7800万辆。有数据显示，一辆自动驾驶汽车每秒就可产生100GB的数据，这些数据包含外部环境、车辆位置、人流车流数据、高精地图测绘等敏感信息，事关国家安全和公共利益。

换句话讲，汽车数据未来或将成为我国数据安全的重中之重。

汽车数据有哪些风险？

12月14日，小鹏针对43万人脸照片事件做出回应，表示针对上海门店客流数据的收集及分析工作，是为了更好地改善接待流程。相关设备为误购第三方设备，目前相关数据已经全部删除。

目前，被曝出的几起事件均是销售环节为了更好地分析买家信息，汽车智能化通过车载传感器、ECU、第三方应用等可以获取到车主信息、车辆位置、行驶轨迹、地理信息等个人和公共数据，所以智能网联汽车数据安全与信息安全问题日益迫切，已上升至国家公共安全的高度。

1.个人信息数据的过度采集和滥用

12月14日，中国消费者协会发布的《50款App账号注销及自动化推荐退订测评报告》显示，网约车已成为过度收集用户信息的重灾区。

近年来，APP过度收集用户个人信息已经成为智能化带来的一大顽疾，相关部门多次通报仍屡禁不止。

车联网相关服务商在为用户提供相关服务时，均需要收集车主实名、人脸特征等身份信息，以及汽车运行数据、地理信息、行车轨迹等大量高价值数据，这些数据的泄露会导致个人隐私安全风险。

目前，行业内关于哪些数据可以被采集、采集后如何使用、使用时如何监管尚未有明确规定，因此存在过度采集个人信息和侵犯用户隐私的风险。另外，5G远程驾驶技术目前也应用于智能汽车，远程超控功能在便利用车生活的同时，也给黑客攻陷车辆提供了可能，严重的可造成交通事故及人员伤亡。

2.数据存储、数据流动带来的安全隐患

汽车行业作为一个高度开放的行业，国内外的产业链高度融合，我国大部分汽车合资品牌及境外进口汽车，其车联网服务可能由境外企业及提供，其收集到的用户信息、地理信息等部分数据需要传往境外分析研究。

智能汽车中的车辆采集设备能够实时记录行驶过程中的地理数据，大量地理数据的积累就使企业具备了测绘能力。一旦大量国内道路基础设施、交通标志、建筑外观等真实地理信息被泄露，将会对国家的安全造成潜在威胁。

汽车数据存储在哪？

汽车数据一般存储于车内系统和云端服务器，部分外资企业的研发中心设置在国外，研发过程中如果使用这些数据，就存在跨境数据传输。有数据分析显示，超过60%的智能汽车数据存储在海外，因此中国智能汽车数据安全问题迫在眉睫。

5月25日，特斯拉官方发布消息称已经在中国建立数据中心，以实现数据存储本地化，未来所有在中国大陆市场销售车辆所产生的数据，都将存储在境内。

继特斯拉之后，更多的跨国车企开始重点关注在中国的数据安全问题。宝马表示会在中国运营本地数据中心；福特汽车表示已于2020年上半年在中国建立了一个数据中心，并在本地存储车辆数据；戴姆勒表示会在中国建立一个用于存储汽车数据的专用后端；日产汽车也表态在数据安全方面会遵守中国的相关规定。

国家出台的相关政策

针对智能汽车带来的信息安全问题，国家在设计智能网联汽车顶层产业发展政策中将信息安全作为重点考虑内容进行了不同层度的规划和要求。

《网络安全法》明确了网络安全事故的责任主体，在汽车信息安全方面对整车制造商、车载信息系统提供商及网络服务运营商提出了法律层面的要求，使汽车行业在汽车信息安全功能产品的生产和运营上实现了“有法可依”。

6月10日，《中华人民共和国数据安全法》经十三届全国人大常委会第二十九次会议表决通过，已于2021年9月1日起正式施行。《数据安全法》对数据的有效监管实现了有法可依，填补了数据安全保护立法的空白，完善了网络空间安全治理的法律体系。数据作为一种新型的、独立的保护对象获得了立法上的认可。

8月12日，工信部发布智能网联汽车的准入管理意见稿《关于加强智能网联汽车生产企业和产品准入管理的意见》，意见针对智能网联汽车生产企业及产品准入管理提出了系统的要求。《意见》明确提出了数据安全、网络安全、软件升级、功能安全和预期功能安全要求。《意见》明确企业应加强数据和网络安全管理。建立健全汽车数据安全管理制度，建立数据资产管理台账，加强个人信息与重要数据保护；在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当按照有关法律法规规定在境内存储，需要向境外提供数据的，应当通过数据出境安全评估。这一措施将有效遏制部分企业将数据放在境外而导致的安全隐患。

8月20日，《汽车数据安全管理若干规定（试行）》（以下简称“《规定》”）由国家网信办、发改委、工信部、公安部、交通运输部联合发布，自2021年10月1日起施行。《汽车数据安全管理若干规定（试行）》从汽车产品的设计研发到销售全生命周期，对运营者能不能收集车辆信息、如何收集信息、信息如何使用等问题作出了规定。

智能网联汽车关于网络安全、数据安全等方面的政策密集出台，表明安全监管将是未来智能网联汽车监管的重中之重。

针对企业和产品的网络安全、数据安全管理，需要进一步明确政府、行业、企业在网络安全、数据安全管理中的职责定位。加强智能网联数据安全保障技术研究，如数据防泄漏、数据完整性保护等成熟数据安全技术与自动驾驶数据安全保护相结合，构建满足国家和个人信息保护要求的数据处理与安全监管平台。

汽车企业需要守好安全红线

随着安全风险的加剧，汽车企业也在积极加强基础技术研发与数据安全技术应用，提升核心基础技术安全可控能力。如长城汽车建立数据安全管理机制，明确不同场景的数据保护方案及措施等；蔚来汽车开展数据脱敏，解绑身份信息，加密存储；理想汽车强化准入机制和统一账号身份管理；奇瑞汽车制定数据管理规定和数据治理的标准体系等。

自动驾驶技术在使用过程中难免涉及收集个人信息及道路环境信息，有些还会涉及车内音视频信息以及驾驶习惯信息，而数据安全及网络安全工作是接下来各企业需要重点关注的内容。