10月1日起,国家网信办等五部委联合发布的《汽车数据安全管理若干规定(试行)》正式实施。这是中国第一部针对汽车数据安全所制定的法规,包括收集个人信息应取得同意、人脸识别应当模糊化处理等详细规定,初步建立了中国汽车数据安全的合规框架。
我国汽车保有量已接近3亿辆,作为手机之外又一个深入用户生活的智能终端,汽车数据的分级和安全和每个人息息相关。近日,懂车帝打造的国内首个汽车行业TED演讲节目——「懂车Talks」邀请上海吉大正元信息技术有限公司执行董事刘增气,对汽车数据安全进行了解读。
刘增气表示,汽车数据同样分成普通、重要、隐私三个级别,事关国家安全、公共利益和个人权益,今年新颁布的数据安全法、汽车数据安全规定等各项法律法规,都要求汽车的生产单位、数据的运营单位必须作为主体落实汽车数据安全问题。同时,消费者个体数据权利得到有效保护,针对消费者“因为应用便利性”被搜集的个人隐私数据,可以要求平台在短期时间内按照用户意愿进行删除。
他指出,随着国内相关法律法规的陆续施行,数据安全正在奔向精细化的发展过程。过去通过低成本获取数据,依靠宽松的数据安全环境取得高速发展的红利期已经结束。在未来,数据安全将是汽车行业不可逾越的红线。
以下是刘增气演讲全文:
各位懂车帝的朋友,大家好,我是懂车talks今天的讲者刘增气,我来自信息安全和数据安全的一个头部企业吉大正元公司。
我们今天要讲的主题是关于数据安全的问题,首先我们可能要讨论一下,什么是数据。数据的严格定义,是指任何以电子,或其他方式对信息的记录,拿我们自己的身体来打个比方,血液就是身体中的数据,只有血液不停的流动,我们身体各个器官才能得到养分。在数字世界中,数据跟我们之间的关系也是如此,息息相关密不可分。
根据数据的敏感程度不同,我们把数据分成普通、重要和隐私三个等级。什么是普通数据,就拿网约车软件做个例子:比如说你从手机上下载了一款网约车的APP,订阅了一些路况通知的推送消息,这种就属于普通数据。那什么是重要数据?今天你使用网约车APP叫车,去了一趟政府办事,那么这个APP中形成的路线、行驶过程中沿途景象的一些录像、过程中你跟司机聊天的语音,那这些都是重要数据。什么是隐私数据,在整个叫车的过程中,涉及到的个人的一些信息如身份信息、手机号、交易的金额、交易过程中输入的密码,这些都是隐私数据。
具体到汽车数据分类也是这样,分成普通、重要、隐私三个级别。现在我跟大家互动一下:我提个问题,你觉得对一辆车来讲,汽车的品牌、汽车的型号、汽车的牌照、是哪个级别的数据?大部分网友听众们,可能觉得这是重要数据。但是我跟大家讲:这些都是普通数据。这些都是属于车辆基础属性类的数据,即使这些数据不公开,我们可以通过其他查询的方式能找到它。我再提一个问题,我们很多朋友,可能在高速上开车,如果我们轮胎压到了边界线,这时候带有辅助驾驶功能的汽车就会出现一个抖动的提示,那这一类数据,是什么级别的数据?这是重要数据。因为这些抖动的信号其实是汽车行驶过程中属于控制类的一些数据,这些控制指令,可以很好的帮我们稳定车辆,有利于自动驾驶功能的一些执行。那这些指令的不正常执行,就会反过来对我们的人身产生一定的破坏。还有一些数据,比如说我们车辆保养类的数据、轮胎的情况、油量的情况、零部件的一些情况、这类信息都属于隐私数据。这些数据一旦泄露了,会给你的财产或者人身,带来一定的伤害或者损失。
对于我们广大消费者来说,无论是私家车、网约车还是物流车,在这三类数据里边,主要的就是关于隐私数据的部分。比如说车辆的行驶轨迹,行驶过程中通过摄像头传感器对外部信息的一个采集;还有车辆运行过程中,零配件的一些基础信息;比如说我们说《速度与激情8》里边,通过控制汽车底层的控制器,就可以控制汽车的运行。
我们接下来要讨论的事情就是如何来理解一下数据安全。可以这么说:凡是你走过的地方,身后都留下一片数据。这里边的数据就包括了身份的一些基础信息、你生理的一些标识、你的行程轨迹、支付的每次记录。这些数据扩散性很强,也覆盖你生活的各个方面,这些数据一旦被泄露或者被倒卖,就成为商家牟利的有力武器。
我们拿汽车的相关数据为例,截止到今年的上半年,我国的汽车保有量接近3亿。汽车的数据范围,覆盖行车安全、辅助驾驶、导航娱乐这些我们面上能看到的一些数据,还有一些在底层的,控制器的执行信息:摄像头、雷达、转向、车窗电子计算单元,就是这些我们平常可能不太注意,也不认为它会产生数据的部分,它都在产生数据。而这些数据被谁掌握?被你的汽车的生产企业、汽车运营的服务供应商、国家监管部门以及我们自己。这些数据可以在车辆出现故障、发生交通事故责任认定、或者在4s店做维修的时候,甚至包括你做自动驾驶的时候,这些数据都是基础的一个支撑。
汽车数据安全,近期也引起了社会大众各个层面的广泛关注,比如说前段时间某个品牌的电动车出现的刹车失灵事件。这个是在汽车智能化网联化发展过程中出现的一个小事情,但这个事情,对我们个人来讲,却是个大事情。而在汽车高速发展的过程中,海量数据更多的其实集中在重要数据和隐私数据这两种上,因为它要服务于消费者,它要服务于企业。汽车在这个过程中作为一个高速移动的数据采集的集合,不仅自身产生数据,还对外围这些环境采取数据,这就是在采集社会或者国家的数据。因为数据的复杂度问题,技术数据也会产生更多的安全威胁,防护也更难做。
那么我们怎么去避免或者降低这些安全问题呢?首先安全和应用性,其实是相对互斥的概念,而两边又协同发展。我们不能为了功能的便利性而丧失了安全,但也不能因为安全而丧失功能便利性。对于消费者来讲,我们应该怎么做?在数据安全这个命题里边,尤其是汽车数据安全命题里边,作为消费者,最重要的一方面首先要培养自己的安全意识,给自己的APP设上一个密码,用一定强度的密码,这个密码就会成为你数据安全的第一道防火墙。在APP里边会涉及到个人信息,那这时候你填写的时候要有选择;很多公开场合有免费WiFi,这个过程中你不要去贪那个小便宜,因为现在数据流量费已经很便宜了,大家可以用自己的流量来搞定一些事情。免费WiFi一定会在一些基础数据方面进行采集。另一方面,通过一些科技手段可以降低隐私数据的泄露。目前依靠数据为用户提供便利服务是所有应用开发者的重要应用场景,这里面其实也提到了:要考虑平衡的问题。目前国家是对应用开发者提过一些相关的原则,其中“数据最小化采集原则”是比较重要的一环。那作为消费者来讲我们自己也要关注这个问题。举个例子比如说:我们要求网约车平台不能向司机开放我的常用位置。现在很多APP里面都会为了导航的时候方便,采集你这些信息。但这些信息,因为你分享出去了,那就变成了数据的风险点了。
其实国家从2017年开始,就陆陆续续发布了很多标准和规范,像《中华人民共和国网络安全法》、《中华人民共和国电子签名法》、今年9月1号刚刚发布施行的《中华人民共和国数据安全法》,还有即将在11月1日生效的《中华人民共和国个人信息保护法》。这些相关的要求和法律法规把事关国家安全,国民经济命脉,事关民生,事关公共利益,以及个人权益的核心数据进行规范化使用。
另外在汽车领域也推行了一些相关的技术标准。包括对数据的采集的一些草案,包括《汽车数据安全管理若干规定(征求意见稿)》这个是在今年4、5月份的时候发布(《汽车数据安全管理若干规定(试行)》10月1日起实施)。今年的9月15号,也就是刚刚过去的几天,工业和信息化部,发布了《关于加强车联网网络安全和数据安全工作的通知》在这个要求里边对于汽车的生产单位、数据的运营单位必须作为安全责任的主体去落实汽车数据的安全问题。通过把责任落实到企业,从而对我们消费者的数据先做一定程度上的数据安全的防护。同时作为我们消费者的个体,也提了一些权利:比如要求汽车数据的采集单位必须显示向消费者提供他要采集的用户数据类型、时间周期、使用范围、并且同时赋予个人有权利要求“因为应用的便利性”我们提供的那些个人隐私的数据。可以要求采集数据的平台在短期时间内按照我们的意愿进行删除。
总结一下,随着国内相关法律法规的陆续实行,各项政策技术标准体系的逐步完善,数据安全其实在整体发展趋势上是奔向一个精细化的发展过程去的。有更多的技术标准会约束这些技术细节,对数据的全生命周期管理、从采集到传输到存储、到分享到销毁都有一套管理办法和技术要求。可以这么说:过去通过低成本或者零成本方式获取数据的时代已经结束了。过去十几年依靠宽松的数据安全环境取得高速发展的红利期已经结束了。未来的数据应用,包括汽车数据应用,安全将会是不可逾越的红线。
谢谢大家。
凡本网注明“来源:XXX(非中国财经消费)”的内容,均转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。
如有侵权等问题,请及时联系本网,本网将在第一时间删除:gkjnet@qq.com