8月20日,国家互联网信息办公室(下称“网信办”)微信公众号“网信中国”发布消息称,近日网信办、国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合发布《汽车数据安全管理若干规定(试行)》(下称“《规定》”),自2021年10月1日起实施。
网信办有关负责人表示,出台《规定》旨在规范汽车数据处理活动,保护个人、组织的合法权益,维护国家安全和社会公共利益,促进汽车数据合理开发利用。
“此前特斯拉的数据安全问题引起了业内广泛关注,《规定》使得汽车数据的使用进入到一个规范化的阶段,除了在国家层面防止重要信息外流,保证国家网络数据安全外,《规定》对个人数据的滥用问题也进行了保护。”全国乘用车市场信息联席会秘书长崔东树谈到,目前这两个领域的数据安全是客观存在又迫切需要关注的。
《规定》在国家和个人数据安全方面提出了许多监管倡议。在第十一条、第十四条、第十七条等多个条款中提到了数据的监管和查看权利的问题,如“处理个人信息涉及个人信息主体超过10万人、或者处理重要数据的运营者,应当在每年十二月十五日前将年度数据安全管理情况报省级网信部门和有关部门。”在第十二条中,《规定》提到:“个人信息或者重要数据应当依法在境内存储,确需向境外提供的,应当通过国家网信部门组织的数据出境安全评估。”
有车企人士告诉记者,现在的智能汽车,都具备实时的数据搜集能力,这些被车辆采集的数据,只要车企愿意利用,都可以被利用。比如特斯拉目前所有的车型都是实时数据在线的,所有不包含隐私信息的数据都会上传给特斯拉的中央服务器。特斯拉创始人马斯克此前将这种技术称作为“车队学习网络(Fleet Learning Network)”,所有的车辆都共享中央的数据库,与此同时又都在给中央数据库做着数据贡献,当一辆车获取了什么数据,所有车就都拥有了这份数据。
据Upstream Security此前发布的2020年《汽车信息安全报告》显示,从2016年到2020年1月,4年内汽车信息安全事件的数量增长了605%,其中仅2019年公开报道的针对智能网联汽车信息安全攻击的事件就达到了155起。由此可见,汽车数据安全的规范管理至关重要。
该人士认为,从理论上说,特斯拉中国车主的数据,也是中央数据库的一部分,而随着新的规定的正式实施,特斯拉等企业在中国产生的车辆数据如果要传回美国的服务器,必须经过安全评估。针对上述说法,特斯拉方面曾在今年4月明确表示,该公司在中国采集的数据会严格遵守中国对于数据管理的法律法规,实现本地存储。
在上述《规定》发布的前几日,工业和信息化部(下称“工信部”)也印发了《关于加强智能网联汽车生产企业及产品准入管理的意见》(下称《意见》),对汽车数据安全及网络安全管理、规范软件升级、加强产品管理等多项当下备受关注的新技术提出了11项具体意见。一个月内两次发布关于汽车信息和数据安全的相关规定和意见,由此可见国家相关部门对于智能汽车的数据安全以及顶层监管的重视。
“软件定义汽车”的时代正在逐渐到来,有研究机构估算,一辆自动驾驶测试车辆每天产生的数据量最高可达10TB,汽车数据是一把双刃剑,在提供便利的同时,如果不能合理监管也会对个人隐私和公共安全产生危害,从数据流通和收集层面进行监管,这样才能双管齐下保证数据安全。