随着新能源汽车保有量的快速增长,车辆数据安全问题越来越引起关注。传统燃油车的电子系统相对封闭,而新能源车从动力系统到座舱系统几乎全面数字化、联网化,数据采集的种类和数量比传统车辆高出好几个数量级。很多车主在享受智能座舱和智能驾驶便利的同时,可能并没有意识到自己的车辆正在收集哪些数据、这些数据被传输到哪里、谁有权访问这些数据。今天的文章就来聊聊新能源汽车的数据安全到底涉及哪些方面,以及如何才能有效保障。
新能源车数据采集的范围非常广泛。首先是位置数据,车辆通过GPS和北斗等多模定位系统实时获取位置信息,包括行驶轨迹、停车位置、行驶速度、行驶里程等。这些数据对于导航服务和智能驾驶功能是必需的,但如果被不当使用,家住在哪里、公司在哪里、每天几点出门几点回家、周末经常去哪些场所,这些信息都会被完整记录下来。其次是车辆状态数据,包括电池电量、充电习惯、电机状态、制动系统状态、轮胎压力等。这些数据对于车辆诊断和保养很重要,但数据的采集频率和传输方式同样值得关注。第三类是座舱数据,包括车内麦克风采集的语音指令、摄像头采集的车内影像、驾驶员监测系统的面部识别数据等。这类数据与个人隐私的关联度较高,也是车主最关心的部分。第四类是个人账户数据,包括车主的手机号、支付信息、通讯录、日历等与车载账户绑定的个人信息。
数据安全风险主要体现在几个方面。一个是数据采集不透明,很多车主在购车时并不会仔细阅读那份冗长的隐私协议,也不清楚车辆默认开启了多少数据采集开关。车辆可能在不必要的情况下采集大量敏感数据,车主却浑然不知。另一个是数据传输安全性,车辆通过4G或5G网络将数据上传到云端服务器,如果数据传输过程中没有充分的加密保护,就有被截获和篡改的可能。还有数据存储和访问控制问题,云端存储的数据是否得到了妥善的保护,哪些人员和机构可以访问这些数据,数据保留多长时间后会被删除,这些都需要明确的规范和承诺。此外随着智能驾驶功能的普及,车辆之间的V2V通信和车辆与基础设施之间的V2X通信也会产生新的数据接口,增加了攻击面。
法律法规方面,我国已经出台了一系列与汽车数据安全相关的政策法规。汽车数据安全管理若干规定明确要求汽车数据处理者在处理敏感个人信息时需要取得个人同意,并且应当遵循车内处理的原则,也就是说能不传出车外的数据尽量在车内处理。数据出境安全评估办法也对汽车数据跨境传输设置了审批门槛。但在实际执行中,车主作为数据主体,很难真正监督企业的数据实践是否合规,需要监管部门加强执法力度。
对于车主个人来说,可以从几个方面保护自己的数据安全。第一是认真阅读隐私政策和数据收集说明,了解自己的车辆会采集哪些数据、数据用途是什么。虽然条款很长,但至少可以重点关注敏感数据采集的部分。第二是在车辆设置中关闭非必要的数据采集开关。很多车型在设置菜单中提供了数据收集的开关选项,比如是否允许采集车内影像、是否允许共享位置数据等,车主可以根据自己的需求进行选择。第三是定期清理车载系统中的个人数据和账户信息,特别是借车给别人使用或者出售车辆之前,要彻底清除车机中的个人信息和账户绑定。第四是对车载应用的权限进行管理,检查哪些应用有权访问麦克风、摄像头、通讯录等敏感权限,对不合理的权限予以拒绝。第五是关注车辆系统的OTA升级通知,及时安装安全补丁和固件更新,修补已知的漏洞。
对于企业用户来说,在采购和管理新能源车辆时,需要对车辆的数据安全能力进行评估。建议将数据安全条款纳入采购合同,明确车辆制造商需要遵守的数据保护义务和数据泄露责任。商务接待车辆建议关闭车内摄像头和语音采集功能,或者至少向乘客明示车内有数据采集设备。企业还可以考虑为新能源车辆部署安全的网络接入环境,对车联网数据进行监控和管理。
行业趋势方面,一些汽车制造商已经开始在车内引入隐私保护技术,比如在车内摄像头加装物理遮挡盖、在语音助手功能中增加本地语音识别选项、提供更加细粒度的数据权限管理界面等。同时国家标准的制定也在持续推进,汽车整车信息安全技术要求和汽车软件升级通用技术要求等标准为行业提供了技术基准。随着数据安全法规的不断完善,新能源汽车的数据安全水平有望得到持续提升。
总的来说,新能源汽车数据安全是一个需要车主、车企和监管机构共同参与的系统工程。车主提升数据安全意识、主动管理个人数据的采集和分享,车企加强技术防护和合规实践,监管部门完善法律法规和执行标准,三方共同努力才能构建一个更加安全可信的新能源汽车数据环境。
