“数”说安全|车企建设数据中心难度几何?
随着智能汽车的发展,数据安全日益成为行业关注的重点。近日,国家不仅颁布了《数据安全法》,其他汽车行业主管部门也都出台与智能汽车数据安全相关的法规、政策。但随着智能汽车的发展,智能汽车数据安全问题也会随之增加。企业如何做到合法合规、解决新的数据安全问题,成为当前行业热议的话题。自本期起,本报设立《“数”说安全》栏目,从法律、法规、政策、技术、运营等多方面探讨智能汽车数据安全保障新课题。
近日,继特斯拉发布公告表示在中国建立数据中心后,宝马、戴姆勒、福特汽车等车企纷纷表示已在中国建立数据中心,以存储其汽车在中国产生的数据。
福特汽车表示,其于去年上半年在中国建立了一个数据中心,并将所有车辆数据存储在本地。
宝马表示,该公司将“在中国为中国车队运营本地数据中心”,但没有说明该数据中心何时启动运营。戴姆勒则表示,它在中国运行“一个专门的汽车后台,用于存储汽车数据。”
而通用汽车和丰田汽车拒绝透露它们在中国如何管理数据,法国雷诺则表示,尚未在中国建立汽车数据中心。日产和Stellantis表示,他们将遵守中国的规定,但没有提供进一步细节。
大众汽车表示,遵守数据保护规定对于成功实现数字化转型至关重要,但“由于监管环境仍处于快速发展阶段,我们现在就对具体细节发表评论还为时过早。”
居安思危 建数据中心已成共识
工信部赛迪研究院人工智能法治研究室主任张浩指出:“建立本地数据中心的直接依据来自《网络安全法》第三十七条的规定。该规定要求,‘关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。’目前虽然还没有规定明确重要数据的分类,但一般认为地理信息等属于重要数据的范围。”
如果说特斯拉建数据中心一部分原因是迫于舆情压力,那么,宝马、戴姆勒、福特在中国建数据库的原因可以理解为出于对中国越来越严格的数据安全管理防患于未然的考虑。此前特斯拉数据安全备受关注主要有两方面原因:一是对用户数据隐私的侵犯;二是对境内地缘政治等敏感信息的获取。
随着互联网信息技术的发展,用户的个人信息通过各种渠道上传到网络终端,已经成为个人的数字名片,包含了用户的所有信息,同时也涉及更多用户个人信息安全问题。
随着汽车的智能化、网联化,用户信息的收集平台也从手机、电脑终端向汽车等移动终端转移,由此汽车平台的数据安全成为信息安全重点关注的领域。
由于自动驾驶技术的进步和智能网联平台的发展,智能汽车配备越来越多的传感器和雷达摄像头等设备,用于识别行驶环境和人车躲避,不少汽车还可以实现L3及以上的自动驾驶功能,但这同时对数据信息的安全管控带来了更大的挑战。一方面,车端经过处理的数据可能会关联更多账号信息,泄露用户个人隐私;另一方面,车载摄像头对敏感地理信息的获取、识别再处理,可能会带来一定的政治、军事隐忧。
对于跨国车企来说,涉及某个国家秘密单位的地理信息、环境信息的收集,势必会引起有关部门的重点关注,尤其像特斯拉等车企,其数据存储中心在海外服务器,其他国家无法实时监管调控,极有可能被用于间谍活动。
5月12日,国家互联网信息办公室发布了《汽车数据安全管理若干规定(征求意见稿)》,开始加强对汽车数据安全的监控管理,也给这些跨国车企一些警示。面对中国日渐完善的数据管理条例,车企纷纷居安思危,提前一步采取行动,以避免自己落入同样的困局。
技术成熟 数据收集需循规蹈矩
随着车企的纷纷表态,数据本土化已然成为智能网联汽车发展的必然要求,但大部分车企目前仅仅是表态,尚未有所具体行动。
工信部赛迪研究院汽车产业研究中心邵元骏博士表示:“其实车企对用户数据的收集早已不是新鲜事,传统的企业也会进行数据收集,主要通过TSP的形式对车辆的运行数据进行收集。但是在智能网联趋势下,由于车内外摄像头、语音识别等设备的存在,车辆可获取的数据已经不仅局限于车辆运行数据,还涉及驾驶人、乘车人、行人等的个人信息,以及能够推断个人身份、描述个人行为等的各种经过处理变形的信息。”
对于变形数据的收集和存储是否增加企业技术成本,邵元骏认为:“由于个人信息或者重要数据具备保存时间限制,车企境内数据中心的数据并不是永久储存的,数据量并不是很大,现有技术比较成熟,理论上不会带来成本的大幅上涨。”
辰韬资本执行总经理贺雄松也持相同观点:“建立数据中心可能对于后续车企收集和使用数据带来一些限制,但从技术角度上考虑,现行技术对于数据中心建立和数据存储是没有障碍的。”
但车企在收集数据时仍需注意遵循重要原则,邵元骏进一步指出,企业在数据采集的过程中要遵循车内处理原则(除非确有必要不向车外提供);匿名化处理原则(确有必要向车外提供的,尽可能地进行匿名化和脱敏处理);最小保存期限原则(根据所提供功能服务分类型确定数据保存期限);精度范围适用原则(根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率);默认不收集原则(除非确有必要,每次驾驶时默认为不收集状态,驾驶人的同意授权只对本次驾驶有效)等,这可能对于车企而言是一种规范上的难题。
“如何识别必要数据并进行脱敏化处理是采集储存的关键,在数据存储方面,大数据中心包括服务器、存储、安全设备、交换机、动态监控等技术和设备已经比较成熟,在手机等智能终端领域已经经过较大范围论证,难点相对较少。”他表示。
多方保障 坚持发展与安全相互平衡
虽然目前来看,数据中心的建设不存在技术上的难度,但其带来一系列新的问题,如数据由谁来管,为谁所用,如何保障汽车数据安全等,仍需提前考虑充分。
中国汽车工业协会秘书长助理兼技术部部长王耀曾表示,当前电动汽车的原始数据的实际控制权是在主机厂,用户数据和行车数据都会通过车辆的网联模块并通过移动网络传输到车企的数据库进行存储。
由此可看出,产品运营者是海量汽车数据的直接持有者,因此他们也应是汽车数据安全管理的主要对象。
邵元骏认为:“在数据收集利用的过程中,车企应当落实网络安全等级保护制度,加强个人信息和重要数据保护,依法履行网络安全义务,保障消费者具备随时删除涉及个人信息等数据的能力。国家网信部门会同国务院有关部门根据处理数据情况对运营者进行数据安全评估,承担监管职责。”
张浩也指出:“我国一向坚持发展与安全平衡的原则,对数据存储的规定并非禁止,而是为了更好地保护个人信息和重要数据,促进产业健康有序发展,采取了重要数据本地化存储的措施。除此之外,《中国禁止出口限制出口技术目录》的修订,将多项新兴技术纳入限制类技术及其控制要点。其中,在信息处理技术条目项下,增加了涉及人工智能和算法的多项限制出口技术,其中大部分与智能网联汽车相关,例如语音合成、人工智能交互界面和基于数据分析的个性化信息推送服务等。”
“目前,我国各部委正致力于出台政策细节,以加强数据安全的管理,从目前的规定来看,立法是在努力平衡安全和发展的关系,既充分考虑产业发展,也期望为用户带来安全和更好的体验。从公开文件来看,未来主要还是从试验和投入市场进行阶段区分,对数据进行分类分级管理,进一步加强对个人信息采集、使用等方面的保护。”张浩补充道。