新能源汽车的普及带来了一个过去传统燃油车时代不曾出现的问题,那就是车辆数据的大规模采集和传输。一辆智能网联汽车上安装的传感器数量多达数百个,从GPS定位、行车速度、油门和刹车踏板的踩踏力度,到车内摄像头捕捉的驾驶员面部表情、语音助手记录的对话内容,再到车外摄像头拍摄的行车环境,都在以秒级的频率生成和上传数据。这些数据被用来优化自动驾驶算法、改进车辆性能和提供个性化的车内服务,但同时也构成了一个庞大的隐私风险敞口。
一家国产新能源车企发生过这样一件事。该企业通过OTA升级向用户推送了一个新版本的车载系统,其中包含了一个来自第三方合作伙伴的数据分析SDK。这个SDK的官方宣传功能是收集车辆的行驶数据,用于地图导航的实时路况分析和充电桩推荐服务。按照应用商店上架的合规要求,用户在安装升级时需要在弹窗中点击同意隐私政策,大多数人看都不看就直接点了同意。
问题出在这个SDK的数据采集范围上。安全研究人员后来在逆向分析中发现,这个SDK实际采集的数据远远超出了其声明的内容。它不仅采集了车辆的位置和行驶数据,还把车主的账号信息、手机通讯录、车辆摄像头拍摄的画面、车内麦克风拾取的声音片段、以及用户使用车载应用的完整行为日志都传回了第三方的服务器。其中最为敏感的是车内摄像头的画面数据,这些画面中包含了驾驶员的面部特征、乘车人员的身份信息、车内的私密交谈内容等高度敏感的个人数据。
这个SDK在十几款不同品牌和型号的车辆上运行了将近半年时间。可以估算一下数据的规模。如果每辆车每天行驶两个小时,采集的视频画面以每秒十五帧计算,那么每辆车每天会生成超过十万帧车内画面。半年的运行周期,乘以数十万辆安装了该系统的车辆,SDK从这些车辆中采集的数据总量达到了一个难以想象的规模。更严重的是,这些数据被传回第三方服务器后,没有采用任何有效的加密存储手段。服务器后来被安全研究人员发现有未授权访问的漏洞,大量数据的下载链接在暗网中公开出售。
事件曝光后,车主群体爆发了大规模的不满情绪。因为在整个过程中,车主对自己被采集了什么数据、数据被谁使用、用于什么目的,完全一无所知。他们购买的是汽车,却没想到自己坐在车里的每一分钟都在被摄像头和麦克风记录,然后传输到了陌生的第三方手中。对于商务人士来说,车内经常进行的电话会议和商业谈判内容可能被录制;对于家庭用户来说,接送孩子上下学时车内的亲子对话可能被采集;对于任何人来说,车内是一个有一定私密期待的空间,而这一期待被彻底打破了。
这起事件涉及的法律风险是多层次的。车辆采集的画面和声音数据包含大量个人信息,属于个人信息保护法的保护范围。车辆的地理位置轨迹可能涉国家安全的地理信息数据管理。通过SDK采集数据转卖给第三方的行为还涉嫌违反数据安全法中关于数据交易的规定。车企和SDK提供方因此双双面临监管部门的调查和处罚。
从技术治理的角度看,这起事件暴露出的核心问题是车载第三方SDK缺乏有效的合规审查和技术管控机制。车企在集成第三方SDK时,应该要求对方提供完整的数据采集清单,并通过静态代码分析和动态流量监控来验证SDK实际采集的数据是否与其声明一致。车辆系统应建立实时的数据上传监控,当检测到某个进程在大量上传音视频数据时触发告警供用户确认。同时,对于车内敏感区域的数据采集,应采取端侧处理优先的原则,即在车辆本地完成数据计算和处理,只将脱敏后的结果上传到云端,原始数据不出车。
这起案例也给监管政策提供了参考。智能网联汽车产业的数据安全标准目前仍处于逐步建立阶段,车企常常以提升用户体验和产品功能为名进行大量的数据采集,而数据采集的透明度、用户知情权的保障以及第三方准入审核机制都远没有跟上产业发展的速度。在汽车成为最大的移动数据采集终端的新时代,数据安全不再是科技公司的专属问题,而是每一个行业都需要直面的核心挑战。
