隨著智能汽車的發(fā)展，數據安全日益成為行業(yè)關注的重點。近日，國家不僅頒布了《數據安全法》，其他汽車行業(yè)主管部門也都出臺與智能汽車數據安全相關的法規(guī)、政策。但隨著智能汽車的發(fā)展，智能汽車數據安全問題也會隨之增加。企業(yè)如何做到合法合規(guī)、解決新的數據安全問題，成為當前行業(yè)熱議的話題。自本期起，本報設立《“數”說安全》欄目，從法律、法規(guī)、政策、技術、運營等多方面探討智能汽車數據安全保障新課題。

近日，繼特斯拉發(fā)布公告表示在中國建立數據中心后，寶馬、戴姆勒、福特汽車等車企紛紛表示已在中國建立數據中心，以存儲其汽車在中國產生的數據。

福特汽車表示，其于去年上半年在中國建立了一個數據中心，并將所有車輛數據存儲在本地。

寶馬表示，該公司將“在中國為中國車隊運營本地數據中心”，但沒有說明該數據中心何時啟動運營。戴姆勒則表示，它在中國運行“一個專門的汽車后臺，用于存儲汽車數據。”

而通用汽車和豐田汽車拒絕透露它們在中國如何管理數據，法國雷諾則表示，尚未在中國建立汽車數據中心。日產和Stellantis表示，他們將遵守中國的規(guī)定，但沒有提供進一步細節(jié)。

大眾汽車表示，遵守數據保護規(guī)定對于成功實現(xiàn)數字化轉型至關重要，但“由于監(jiān)管環(huán)境仍處于快速發(fā)展階段，我們現(xiàn)在就對具體細節(jié)發(fā)表評論還為時過早。”

居安思危　建數據中心已成共識

工信部賽迪研究院人工智能法治研究室主任張浩指出：“建立本地數據中心的直接依據來自《網絡安全法》第三十七條的規(guī)定。該規(guī)定要求，‘關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業(yè)務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。’目前雖然還沒有規(guī)定明確重要數據的分類，但一般認為地理信息等屬于重要數據的范圍。”

如果說特斯拉建數據中心一部分原因是迫于輿情壓力，那么，寶馬、戴姆勒、福特在中國建數據庫的原因可以理解為出于對中國越來越嚴格的數據安全管理防患于未然的考慮。此前特斯拉數據安全備受關注主要有兩方面原因：一是對用戶數據隱私的侵犯；二是對境內地緣政治等敏感信息的獲取。

隨著互聯(lián)網信息技術的發(fā)展，用戶的個人信息通過各種渠道上傳到網絡終端，已經成為個人的數字名片，包含了用戶的所有信息，同時也涉及更多用戶個人信息安全問題。

隨著汽車的智能化、網聯(lián)化，用戶信息的收集平臺也從手機、電腦終端向汽車等移動終端轉移，由此汽車平臺的數據安全成為信息安全重點關注的領域。

由于自動駕駛技術的進步和智能網聯(lián)平臺的發(fā)展，智能汽車配備越來越多的傳感器和雷達攝像頭等設備，用于識別行駛環(huán)境和人車躲避，不少汽車還可以實現(xiàn)L3及以上的自動駕駛功能，但這同時對數據信息的安全管控帶來了更大的挑戰(zhàn)。一方面，車端經過處理的數據可能會關聯(lián)更多賬號信息，泄露用戶個人隱私；另一方面，車載攝像頭對敏感地理信息的獲取、識別再處理，可能會帶來一定的政治、軍事隱憂。

對于跨國車企來說，涉及某個國家秘密單位的地理信息、環(huán)境信息的收集，勢必會引起有關部門的重點關注，尤其像特斯拉等車企，其數據存儲中心在海外服務器，其他國家無法實時監(jiān)管調控，極有可能被用于間諜活動。

5月12日，國家互聯(lián)網信息辦公室發(fā)布了《汽車數據安全管理若干規(guī)定（征求意見稿）》，開始加強對汽車數據安全的監(jiān)控管理，也給這些跨國車企一些警示。面對中國日漸完善的數據管理條例，車企紛紛居安思危，提前一步采取行動，以避免自己落入同樣的困局。

技術成熟　數據收集需循規(guī)蹈矩

隨著車企的紛紛表態(tài)，數據本土化已然成為智能網聯(lián)汽車發(fā)展的必然要求，但大部分車企目前僅僅是表態(tài)，尚未有所具體行動。

工信部賽迪研究院汽車產業(yè)研究中心邵元駿博士表示：“其實車企對用戶數據的收集早已不是新鮮事，傳統(tǒng)的企業(yè)也會進行數據收集，主要通過TSP的形式對車輛的運行數據進行收集。但是在智能網聯(lián)趨勢下，由于車內外攝像頭、語音識別等設備的存在，車輛可獲取的數據已經不僅局限于車輛運行數據，還涉及駕駛人、乘車人、行人等的個人信息，以及能夠推斷個人身份、描述個人行為等的各種經過處理變形的信息。”

對于變形數據的收集和存儲是否增加企業(yè)技術成本，邵元駿認為：“由于個人信息或者重要數據具備保存時間限制，車企境內數據中心的數據并不是永久儲存的，數據量并不是很大，現(xiàn)有技術比較成熟，理論上不會帶來成本的大幅上漲。”

辰韜資本執(zhí)行總經理賀雄松也持相同觀點：“建立數據中心可能對于后續(xù)車企收集和使用數據帶來一些限制，但從技術角度上考慮，現(xiàn)行技術對于數據中心建立和數據存儲是沒有障礙的。”

但車企在收集數據時仍需注意遵循重要原則，邵元駿進一步指出，企業(yè)在數據采集的過程中要遵循車內處理原則（除非確有必要不向車外提供）；匿名化處理原則（確有必要向車外提供的，盡可能地進行匿名化和脫敏處理）；最小保存期限原則（根據所提供功能服務分類型確定數據保存期限）；精度范圍適用原則（根據所提供功能服務對數據精度的要求確定攝像頭、雷達等的覆蓋范圍、分辨率）；默認不收集原則（除非確有必要，每次駕駛時默認為不收集狀態(tài)，駕駛人的同意授權只對本次駕駛有效）等，這可能對于車企而言是一種規(guī)范上的難題。

“如何識別必要數據并進行脫敏化處理是采集儲存的關鍵，在數據存儲方面，大數據中心包括服務器、存儲、安全設備、交換機、動態(tài)監(jiān)控等技術和設備已經比較成熟，在手機等智能終端領域已經經過較大范圍論證，難點相對較少。”他表示。

多方保障　堅持發(fā)展與安全相互平衡

雖然目前來看，數據中心的建設不存在技術上的難度，但其帶來一系列新的問題，如數據由誰來管，為誰所用，如何保障汽車數據安全等，仍需提前考慮充分。

中國汽車工業(yè)協(xié)會秘書長助理兼技術部部長王耀曾表示，當前電動汽車的原始數據的實際控制權是在主機廠，用戶數據和行車數據都會通過車輛的網聯(lián)模塊并通過移動網絡傳輸到車企的數據庫進行存儲。

由此可看出，產品運營者是海量汽車數據的直接持有者，因此他們也應是汽車數據安全管理的主要對象。

邵元駿認為：“在數據收集利用的過程中，車企應當落實網絡安全等級保護制度，加強個人信息和重要數據保護，依法履行網絡安全義務，保障消費者具備隨時刪除涉及個人信息等數據的能力。國家網信部門會同國務院有關部門根據處理數據情況對運營者進行數據安全評估，承擔監(jiān)管職責。”

張浩也指出：“我國一向堅持發(fā)展與安全平衡的原則，對數據存儲的規(guī)定并非禁止，而是為了更好地保護個人信息和重要數據，促進產業(yè)健康有序發(fā)展，采取了重要數據本地化存儲的措施。除此之外，《中國禁止出口限制出口技術目錄》的修訂，將多項新興技術納入限制類技術及其控制要點。其中，在信息處理技術條目項下，增加了涉及人工智能和算法的多項限制出口技術，其中大部分與智能網聯(lián)汽車相關，例如語音合成、人工智能交互界面和基于數據分析的個性化信息推送服務等。”

“目前，我國各部委正致力于出臺政策細節(jié)，以加強數據安全的管理，從目前的規(guī)定來看，立法是在努力平衡安全和發(fā)展的關系，既充分考慮產業(yè)發(fā)展，也期望為用戶帶來安全和更好的體驗。從公開文件來看，未來主要還是從試驗和投入市場進行階段區(qū)分，對數據進行分類分級管理，進一步加強對個人信息采集、使用等方面的保護。”張浩補充道。