编者按
随着汽车智能化水平的提高和二手车市场的蓬勃发展,二手车隐私信息安全值得关注。在制造环节,如何平衡个人信息安全与提供个性化便捷服务之间的关系?在交易环节,如何保障新老车主的安全交接?在监管环节,如何在保护用户隐私的同时维护产业发展?这些问题在考验车企、经销商技术能力和服务意识的同时,也考验着监管者的智慧。
新老车主期待安全交接
□记者 宋瑞 天津报道
试想一下,当你驾驶着刚入手的二手新能源智能网联汽车去兜风,车载智能系统却推荐了上任车主常去的地点,记忆座椅、驾驶习惯依旧保留着“前任”的影子;而新生成的驾驶信息,也在源源不断地上传至“前任”的手机中……如果在现实中发生了这样的驾驶体验,你还坐得住吗?
近年来,汽车智能化程度随着新能源汽车的快速发展不断提高。有数据显示,2025年,我国新能源汽车销量占比预计会超过30%,而智能网联汽车渗透率将达到50%。日益智能化和互联化的汽车产品,在方便出行的同时,可能也在不知不觉中让车主成为“数据透明人”。
天津市民王先生近期将自己的一辆新能源智能网联汽车过户到妻子名下,在没有与相关App解绑的前提下,王先生通过与手机绑定的密码锁依旧可以开启车门。不仅如此,汽车智能系统里还保留着王先生的一些“痕迹”,比如公司地址定位、家庭住址定位、与手机互联时存储到车载系统的常用通讯录等。
“这种情况发生在家人之间倒无所谓,但如果将车子过户给陌生人,我就需要一一解绑,如果漏掉一两项,对别人来说是‘累赘’,对我来说则埋下了个人信息安全隐患。”王先生对《经济参考报》记者说。
二手车头部电商平台天天拍车公布的《2020年二手车拍卖大数据》显示,2020年,新能源二手车成交量相比2019年实现翻番增长;2021年8月,新能源二手车成交量同比增幅达119%。
记者了解到,随着部分新能源智能网联汽车陆续进入二手车市场,个人信息安全问题可能进一步凸显。
天津市易海汇二手车市场管理有限公司今年10月开始运营后,每个月的二手车交易量约1000多辆,其中新能源智能网联汽车占比约60%。“在‘万物互联’的时代,汽车智能系统越来越开放,其搭载的App需要车主注册、填写信息后才能使用相应功能。”公司总经理王勇智说。
“进行二手车交易时,公司工作人员只需按照国家相关政策要求,核准车辆和过户双方身份信息,即可对车辆实施过户。对于车辆内智能车载系统的个人信息的变更,二手车交易市场只能对买卖双方当事人进行提醒,更多地则需要双方自行及时解绑、更新。”王勇智对《经济参考报》记者说。
中汽数据有限公司数据业务部研究专家介绍,二手新能源智能网联汽车数据安全问题的隐蔽性在于,车机还原出厂设置和相关操作界面不如智能手机直观,而且当前车机系统的硬件和软件功能、操作界面设计等没有行业统一标准,五花八门的界面和绑定模式,一定程度上困扰着那些对于汽车智能化操作敏感性不强的车主。
“从我们的调研来看,对车辆安全信息拥有核心控制权的汽车主机生产厂的水平参差不齐,大多数主机厂在车辆发生转移变更时,对‘一键还原出厂设置’等方面的服务跟进不及时。”该专家告诉《经济参考报》记者,进行二手车交易时,原车主没有完成信息注销,而新车主未及时进行重新绑定,已经成为车主信息泄露的一大途径。
这需要汽车主机厂强化企业责任,主动完善相应功能,并实现让消费者直接触达。“在进行车辆所有权的转移、变更,以及车机系统的注销和重新绑定时,主机厂的芯片逻辑和软件设计要做到让下任车主的信息对前任车主的信息实现全覆盖。”该专家指出,这一研发对一些汽车主机厂来说并非难事。
天津大学中国汽车战略发展研究中心主任郭焱认为,智能网联汽车的数据搜集涉及整车企业、系统供应商、芯片供应商等全产业链,需要政府、行业协会、汽车生产企业、流通经销商等掌握车主数字信息的各个环节,承担起对车主信息数据的保护义务。“这就需要在二手车生态系统建立起数据联动机制,打造数字化中台,由相关部门负责车辆流通的全生命周期信息数据监管。”
据天津市二手车流通行业协会统计,今年1月至9月,天津市11家具有一站式过户功能的二手车交易市场,累计交易约23万辆二手车,其中二手新能源汽车交易量仅占约5%。“当前,天津二手新能源智能网联汽车市场尚处于起步阶段,未来上升势头可能比较明显。”该协会负责人说。
面对车主信息泄露安全隐患,该负责人建议,汽车制造行业龙头企业、流通企业、行业主管单位等应共同建立诚信体系,制定二手新能源智能网联汽车的流通标准,加强数据信息监管。
更重要的是,车主自身应了解一定的个人信息保护知识,将防范措施做到位。“比如,保留车载储存卡,二手车交易前预先清除车载设备中留存的个人信息数据,避免造成不必要的损失。”中国新一代人工智能发展战略研究院首席经济学家、南开大学经济研究所所长刘刚说。
二手车个人信息安全值得关注
□记者 李唐宁 张超 北京报道
我国智能网联汽车行业近年来快速发展,而网络攻击、数据泄露等风险也日益增大。专家表示,随着2016年以来智能网联汽车尤其是新能源智能网联汽车陆续进入二手交易环节,车主个人信息安全保护正面临新挑战,建议明确负责二手车个人信息保护的监管角色,并明确不同场景下的个人信息收集、处理原则和隐私保护应对措施。
专家指出,与成熟市场相比,中国的二手汽车市场仍处于早期发展阶段,二手车占新车的比率较低,其中智能网联汽车尤甚。因此,这一过程中的车主个人信息安全问题一直未引起足够重视。
“智能网联汽车往往会记录包括车主信息、行车轨迹和家庭住址等在内的敏感信息,这些信息都有可能在交易过程中流转,被中介或买方获取。”奇安信天工实验室负责人刘跃告诉记者,根据一些汽车生产厂商的设定,车辆的信息绑定策略依托于车,即使汽车更换户主,该车之前的个人信息,尤其是行驶轨迹等敏感信息是无法清除的,“所以,理论上新的买家可以合法查询以前的车辆信息,这就带来了信息泄露风险。”
360数据安全专家童磊对记者表示,部分汽车品牌的早期版本没有设计相应的个人信息保护功能,主机厂尽管更新了个人信息保护条款和控制功能,但无法确保车主进行相应功能的升级,因此存在个人信息泄露风险。
国家新能源汽车技术中心总经理原诚寅在接受记者采访时也表示,2016年以来,电动汽车逐渐开始强调智能化,尤其是最近两年来,大量车联网技术得到应用。随着车内系统逐渐与手机相结合,智能化模块中可能留存一些手机中的数据,并在车辆被交易后留在车上,“如果未来大部分汽车实现智能网联化,那么个人数据泄露的可能性也是存在的。”
事实上,因智能网联二手汽车交易而引发的个人信息泄露已有案例。据报道,2020年,国外一位白帽黑客发现,特斯拉汽车主机中存放车主的个人隐私信息,包括家庭和工作地址、历史Wifi密码、配对手机通话列表和地址簿,以及一些平台cookie等,而这些数据在特斯拉主机中不会被清除,一旦进入二手车交易链中,原车主的个人隐私数据即可被他人提取。报道认为,特斯拉针对媒体控制单元(MCU)和自动驾驶仪硬件(HW)的改装服务,在保护车主个人数据方面可能做得不够。
北京市朝阳区的厉先生也对记者表示,近期将自有的某知名品牌新能源汽车转手后,该品牌App还在推送新车主的行车信息。后经与该品牌客服沟通后,厉先生解绑了个人信息。
记者在北京市花乡二手车市场采访多位二手车商了解到,二手智能网联汽车市场本身规模并不大,中介对旧车的个人信息一般也不做特殊处理,“目前还没有听到因为信息泄露导致的投诉或者纠纷的例子。”
童磊认为,二手车交易涉及的场景复杂,很难保证数据在智能汽车制造商、服务供应商,以及大型经销商的流转过程中能够得到安全防护,虽然目前还没有曝光相关的大规模信息泄露事件,但是数据滥用和非法交易情况却时有发生。
“随着智能化、网联化程度的不断加深,车辆正在逐渐成为可移动、可交互的巨大数据中心。”有专家表示,车联网的数据安全问题正在凸显,网络攻击、数据泄露等风险日益加大,应继续加强车辆的信息安全监管,提升个人信息安全保障水平。
刘跃认为,目前智能网联二手车的整个交易链中,尚没有明确的负责车辆信息安全监管与保障的角色。“智能网联车辆信息安全能力建设的根源,在于汽车厂商、二手车交易中介或二手车主无法对由于汽车技术问题而导致的信息泄露问题作出规避或修复。”
因此,刘跃建议,未来应针对生产厂商的信息安全标准,从生产、销售到购买形成一套覆盖交易链全程的信息安全规范。比如,从源头明确消费者可以清除智能网联汽车中的个人信息,以及在二次交易中不会产生信息泄露风险。
同时,还应针对二手车交易平台及中介形成一套信息安全规范,保证交易过程中车辆、卖家和买家的信息安全,防止信息泄露以及信息被恶意使用。
瓜子二手车联合创始人、高级副总裁王晓宇对记者表示,为应对包括交易环节在内的全过程中可能发生的个人信息泄露、毁损、丢失等安全风险,瓜子制定了应急预案。如果有安全事件发生,将及时向用户告知事件基本情况和面临的风险、应对措施、处置建议。
此外,一位业内人士对记者表示,车联网信息保护中应特别关注部分个人数据,包括地理位置数据、生物识别数据,以及可能产生犯罪或其他违法行为的数据等,并出台规定分别提出收集和处理原则,明确不同场景下的隐私保护和数据风险以及应对措施。同时,对二手车交易过程中存在的信息安全风险形成有效监管,明确数据安全和个人信息保护管理部门的职责和管理边界。
童磊表示,规范二手汽车交易市场,需要主流平台做好生态建设和引领工作,汽车信息安全相关的国标、行标宜尽早落地执行。欧洲的UNECE及WP29相关的汽车行业合规标准,都对个人信息提出了明确和严格的要求,包括驾照、行驶证等敏感个人信息的流转等,都要从技术手段和管理要求方面加以落实,国内也在陆续发布相关合规政策标准。
在这方面,近年来,国家先后出台《网络安全法》《数据安全法》,明确网络安全、数据安全、个人信息保护的基本原则和要求,为强化数据安全和个人信息保护提供了法律保障。工信部也对智能网联汽车软件安全、数据安全提出了一系列明确要求。
二手车隐私或将“一键注销”
□记者 周蕊 王鹤 上海报道
继手机、电脑之后,汽车作为第三大移动智能终端的时代已经渐行渐近,随之而来的个人信息安全问题,尤其是汽车市场走向存量市场后的二手车市场个人信息保护问题亟待“补课”。
中国电动汽车百人会理事长陈清泰说,智能汽车比智能手机颠覆功能手机的影响范围更大,对经济社会的改变更深刻,造福社会的效果也更明显。
“2025年,中国有望实现70%的量产新车型具备L3级别自动驾驶水平、L4级别自动驾驶水平的汽车开始规模化应用;到2030年,有望实现L5级别自动驾驶水平汽车的量产。”中国汽车工程学会副秘书长、国际汽车工程科技创新战略研究院执行院长侯福深说,很多车企已经在生产时为车路协同留下预置接口、配备芯片和算力的冗余并支持云端更新,这将能更好地迎接智能网联时代。
从全球看,搭载L2级别(部分自动驾驶)车型已经开始大规模推向商用,部分车企正在加快推进特定场景下的L3级别(有条件自动驾驶)以上车型的测试验证和量产车上市。
随着汽车智能网联程度的加深,数据安全、权益归属等问题也越来越受到关注。
“数据安全是重中之重。”上海交通大学中国城市治理研究院特聘研究员、安泰经管学院行业研究院研究员蒋炜教授说,自动驾驶的数据安全技术包括数据安全隔离、安全认证、安全授权、数据脱敏、安全存储、安全传输、数据审计、数据备份、数据恢复、安全擦除等。“如何保证海量数据的安全是难点,一旦在实际驾驶中出现数据泄露和通信安全问题,将可能造成巨大的负面后果。”
10月1日起,《汽车数据安全管理若干规定(试行)》正式施行。规定倡导,汽车数据处理者在开展汽车数据处理活动中坚持“车内处理”“默认不收集”“精度范围适用”“脱敏处理”等原则,减少对汽车数据的无序收集和违规滥用。规定明确,汽车数据处理者应当履行个人信息保护责任,充分保护个人信息安全和合法权益。
10月25日,特斯拉中国宣布,特斯拉上海超级工厂数据中心正式落成并投入使用。按照《上海市数据中心建设导则(2021版)》相关要求,特斯拉已经完成数据中心相关审批备案要求,并建成特斯拉上海超级工厂数据中心,用于存储工厂生产等中国运营数据。
跑在路上的智能网联汽车,产生的数据权益应该归谁?中国汽车企业也在探索。记者获悉,上汽集团、张江高科和阿里巴巴集团共同打造的智己汽车推出“CSOP用户数据权益计划”,按照计划,智己汽车创始股东将其拥有的4.9%的股权收益,回馈为智己汽车贡献数据的用户。
据《中国智能网联汽车产业发展白皮书》预测,到2025年,国内智能网联产业市场规模将突破万亿元,占汽车销量的50%。尽管目前智能网联汽车还未大规模进入二手市场,但随着中国汽车市场的成熟,二手车市场正在逐步壮大,智能汽车个人信息安全保护也被逐步提上议程。
此前,有网友发文表示,“理想ONE”与App关联绑定后不能取消,二手车卖掉后仍能收到车辆信息,比如车窗没关、电量不足等。与此同时,有媒体调查发现,作为造车新势力代表的蔚来汽车、小鹏汽车、理想汽车均要求车主绑定App账号,且车主无法自主解绑,这给智能汽车二手交易带来了障碍。对此,“蔚小理”回应称,目前已经在着手解决相关问题。
业内人士指出,在置换消费比例提升的趋势下,保护前后两任车主个人信息安全的同时,不影响现任车主用车,是车企需要高度重视的问题。
中国汽车工业协会发布的最新数据显示,到2021年年底,我国乘用车保有量将超过3亿辆,二手车交易量预计超过1600万辆,乘用车二手车析出率(二手车交易量占整体汽车保有量的百分比)约为5.3%。数据显示,美国二手车析出率高达15.4%,德国二手车析出率约为14.4%,显然国内二手汽车交易市场空间巨大。
近期正式推出二手车直卖店的一嗨租车相关负责人介绍,目前,进入二手车市场的车型大多尚不具备太高的智能化水平,但随着新能源汽车的不断推广,具有智能网联功能的新能源汽车将逐步进入二手车市场。到2030年左右,智能网联汽车在二手车市场的个人隐私数据安全问题将会被进一步重视,建议相关车企提供“一键注销”等功能,更好地保护消费者权益。
车企探索强化数据安全管理
□记者 周颖 熊嘉艺 广州报道
如今,新能源汽车已进入寻常百姓家,叠加智能网联功能的新能源汽车更是受到市场热捧。智能网联新能源汽车市场的竞争从“马力”转向“算力”的同时,也引发人们对个人数据安全的担忧。
为了实现智能人机交互,智能网联新能源汽车可能需要采集车内驾驶人员的脸部特征、指纹、语音语调等信息。但是,如果在数据采集、使用等环节缺乏有效管理,个人信息安全将面临威胁。
事实上,国家层面已关注到这个问题。今年8月,工业和信息化部发布《关于加强智能网联汽车生产企业及产品准入管理的意见》,专门提出强化数据安全管理能力,要求企业应当建立健全汽车数据安全管理制度;实施数据分类分级管理,加强个人信息与重要数据保护;建设数据安全保护技术措施,确保数据持续处于有效保护和合法利用的状态;依法依规落实数据安全风险评估、数据安全事件报告等。
广州是全国三大汽车生产基地之一。广州市工业和信息化局的数据显示,2020年广州汽车产量295万辆。根据广州汽车产业规划,到2025年,广州市新能源汽车产能将达到100万辆。多家广州车企也公开声明,企业将加速向着电动化、智能化、网联化方向发展。
《经济参考报》记者了解到,在转卖二手智能网联新能源汽车过程中,买卖双方车主的个人信息安全是用户关注的焦点。合创汽车相关业务负责人表示,购买二手车的新车主注册账户后,可联系后台客服进行人车绑定,并提供车辆相关证件,在经过审核后即可绑定成功。新车主在人车关系绑定成功后,系统会自动解除旧车主的绑定关系;并且旧车主没有权限继续查看车辆的任何信息,新车主也看不到以往旧车主的驾驶信息。
广汽埃安相关业务负责人介绍,人车关系绑定认定具有唯一性。新车主在绑定认证前,老车主需要解绑,否则新车主无法进行绑定。当老车主解绑后,就看不到车辆的信息了。
此外,在数据安全体系建设方面,《经济参考报》记者采访广汽埃安新能源汽车有限公司、合创汽车等多家广州车企了解到,企业在发展智能网联新能源汽车、为用户提供更便捷功能的同时,也在加大力度强化数据安全管理。目前,治理用户隐私数据泄露的难点主要集中在技术与管理两个方面。随着新能源汽车网联化、智能化的普及,智能网联新能源汽车的网络攻击点越来越多,因此亟须车企加大对信息安全领域的投入,通过事前防护、实时监控、应急处理等多举措予以应对。此外,如何平衡个人信息安全与提供个性化便捷服务之间的关系,也考验着企业的智慧。
合创汽车相关业务负责人表示,企业已经与高校合作成立智能网联中心,共同打造更智能、更安全的智能网联汽车。目前,企业已经建立了三层信息安全防护体系,覆盖云、管、端三部分。云侧与华为云合作,为联网的车辆提供实时攻击检测,并且对网络健康和威胁提供态势感知。管侧主要实现数据隔离以及设备鉴权,实现双向认证的身份验证,对传输的数据进行加密,防止数据传输被篡改。端侧则是通过电子控制单元增加安全硬件扩展模块,与加密秘钥一起使用,以获得更好的硬件性能和保护。
广汽埃安有关业务负责人表示,首先,企业在获取用户隐私数据之前须告知用户搜集数据的目的、用途,并让用户进行选择。其次,企业加强了数据安全防护能力,最大程度避免用户数据泄露。目前,公司已对车主App和车联网平台开展等级保护三级测评认证,按照等级保护的标准和要求,从技术手段、管理手段等方面进行严格管控,确保用户数据在采集、传输、存储和使用环节均受到保护。