建議加快出臺智能汽車數據安全細則

國內智能汽車產業已進入快速發展期,就像蘋果智能手機重新定義了手機產業鏈生態,智能汽車的出現也將對傳統汽車產業生態帶來重大變革。

上海市信息安全行業協會名譽會長劍鋒認爲,智能汽車“人-車-路-雲”的複雜鏈接形態,具有智能化網絡化平臺化特徵,其依靠大量車載傳感器和交互應用,能獲取並處理大量的個人身份數據、地理環境數據、道路交通實時數據以及個人生活娛樂、商務交互數據,智能汽車和平臺已不僅僅是用以代步的交通工具,將可能成爲類似於手機的移動智能交互終端、智能生活平臺。

反思移動互聯網的發展過程,手機應用軟件(App)和平臺快速發展,由於法律法規、制度標準制定和落實的相對滯後,儘管促進了數字化社會的發展,但手機系統和應用軟件漏洞木馬氾濫,攝像頭偷窺,麥克風偷錄等問題頻頻發生;手機應用軟件權限未加管理,隨意索權帶來了嚴重的侵犯個人隱私和網絡欺詐等社會問題;移動互聯網平臺收集並匯聚龐大用戶基本信息和行爲信息,帶來了數據濫用和產業壟斷問題。

在談劍鋒看來,智能汽車產業的發展現況和趨勢,非常類似移動互聯網產業的快速發展期,如果不能吸取過往教訓,過度寬容,“先發展,再治理”,將可能帶來嚴重的社會安全和國家安全問題,需要我們再次付出極大的代價和成本來進行彌補。

從智能汽車目前發展情況來看,以下問題亟待重視和優先解決:

一是軟件定義汽車成爲產業發展趨勢,軟件代碼安全檢測監管,軟件供應鏈管理急需事先規範。傳統汽車代碼大概有1億行,智能汽車將可能達到5億行。智能座艙軟件、車載控制器軟件、智能駕駛軟件、動力底盤軟件、新能源(電池電機電控管控以及雲平臺、雲服務軟件,大量的軟件牽涉較長的國際、國內供應鏈廠商,智能汽車量產後,還能通過空中下載技術(OTA)進行軟件版本更新。如無法規範軟件供應鏈安全管理,有效落實軟件安全檢測,儘可能減少軟件漏洞和木馬,對智能汽車功能安全、社會和國家安全都存在巨大風險

二是智能汽車尤其是高等級智能自動駕駛汽車具有強大的數據採集能力,亟須加快落實相關數據採集、存儲、處理、應用法律法規和標準。據統計,特斯拉可以採集覆蓋車主個人信息車輛環境信息、車輛行駛信息、車主手機信息等200多項信息,國內同類廠商也採集有170多項。這些信息一方面是用於自動駕駛分析決策,另一方面成了智能汽車廠商進行商業創新和擴展的資源。但是,這麼大量的信息,尤其如果是關鍵人羣的個人信息、個人行爲信息,車路協同獲取的實時環境信息、敏感地理位置等信息,彙集到獨立的商業化公司手裡,一旦被濫用或惡意使用,必將對社會安全乃至國家安全帶來巨大風險。

有鑑於此,談劍鋒建議儘快推進以下相關工作:

一是儘快完善和落實智能汽車軟件供應鏈安全管理法律法規和標準,確保產業安全、健康穩定發展。從軟件供應鏈着手,做好軟件代碼安全審覈和規範,在符合國際規範的前提下,完善相關行業監管法規,要求代碼透明,要求各類軟件都要通過安全檢測,儘可能減少軟件漏洞和木馬,確保產業安全、健康穩定發展。

二是加快智能汽車數據安全管理制度細則落地執行,確保社會公共安全和國家安全。加強數據採集類型和範圍約束,尤其是針對採用單車智能技術,採集大量個人和環境信息的智能汽車,應要求其遵守國家法律、標準,採集的車主數據、環境數據和路網數據遵循合規和最小可用原則,不可過度採集;規範智能汽車各類數據存儲符合國家法律,未審查不得出境,確保國家安全;鼓勵區塊鏈、可信多方計算等數據保護共享創新技術的應用,加強監督檢查,防止車聯網數據在開發和商業化應用中被過度濫用,有效保護個人隱私、商業秘密國家機密,確保社會公共安全和國家安全。