我国智能网联汽车行业近年来快速发展,而随着车联网智能化程度不断提高,网络攻击、数据泄露等风险日益增大,引发各界担忧。业内人士表示,随着2016年以来的智能网联汽车尤其是新能源汽车陆续进入二手交易环节,车主个人信息安全保护也面临新挑战,如主机中存放原车主的个人隐私信息有可被他人提取、敏感信息无法清除等。建议未来应明确负责二手车个人信息保护的监管角色,并出台相关规定,明确不同场景下的个人信息收集、处理原则和隐私保护的应对措施。
二手智能汽车个人信息泄露风险重视程度不足
随着新能源汽车的发展和汽车网联化、智能化程度不断提高,我国智能网联汽车的市场保有量不断扩大。统计数据显示,截至2021年6月底,我国新能源汽车保有量为603万辆,占比汽车总量2.06%。近年来,新能源车在二手车市场出现频次逐渐增加,尤其是2016年以来大规模上市的新能源智能网联汽车,已经开始陆续进入二手交易环节。
不过,客观来看,与新车销售一路高歌猛进不同,目前新能源智能网联汽车的二手车市场并没有想象中繁荣。业内人士表示,与成熟市场相比,中国二手车市场仍处于早期发展阶段,整体市场二手车占新车的比率较低,其中智能网联汽车车尤甚。所以,这一过程中的车主个人信息安全一直还未引起足够重视。
“智能网联汽车往往会记录包括车主信息、行车轨迹和家庭住址等敏感信息,这些都可能会在交易过程中流转,被中介或者买方获取。”奇安信天工实验室负责人刘跃对新华财经记者表示,根据一些汽车生产厂商的设定,车辆的信息绑定策略是依托于车的,所以即使汽车更换了户主,该车之前的个人信息,尤其是包括行驶轨迹在内的的敏感信息无法清除。“所以新的买家理论上可以合法查询车辆以前的信息,这就造成了信息泄露的风险。”
360数据安全专家童磊对新华财经记者表示,部分汽车品牌在早期版本上没有设计相应的个人信息保护功能,主机厂尽管更新了个人信息保护条款和控制功能,但无法确保车主进行相应功能升级,存在个人信息泄漏风险。
国家新能源汽车技术中心总经理原诚寅在接受新华财经记者采访时也表示,2016以来,电动车辆逐渐开始强调智能化,尤其是最近一两年,大量的车联网的技术得到应用。车内系统逐渐和手机结合,智能化模块中可能留存一些手机的数据,并在车辆被交易后留在车上。“因为手机里的个人数据泄露太正常了,所以如果未来大部分汽车实现智能网联化,那这里面个人数据泄露的可能性也是存在的。”
个人数据归属及留存处置问题待解
事实上,因为智能网联二手车交易而引发的个人信息泄露已经有案例。据海外媒体报道,2020年,国外一位白帽黑客发现,特斯拉汽车主机中存放车主的个人隐私信息,包括家庭和工作地址,历史WiFi密码、配对手机的通话列表和地址簿以及一些平台cookie。这些数据在特斯拉主机中不会被清除,一旦进入二手车交易链中,车主的个人隐私数据可被他人提取。
这位白帽黑客表示,他“从eBay上购得了四台特斯拉核心设备,并发现这些设备上仍有以前车主的个人资料”。报道认为,特斯拉针对媒体控制单元(MCU)和自动驾驶仪硬件的改装服务在保护车主个人数据方面可能做得不够。
北京市朝阳区的厉先生也对记者表示,近期将自有的某知名品牌新能源汽车转手后,该品牌APP还在推送新车主的行车信息。后经与该品牌客服沟通后,厉先生解绑了个人信息。
记者在北京市花乡二手车市场采访时,多位受访二手车商表示智能网联汽车本身规模并不大,中介对旧车的个人信息一般也不做特殊处理,“目前还没有听到什么因为信息泄露导致的投诉或者纠纷的例子。”
童磊认为,二手车交易涉及的场景复杂,很难保证数据在整车厂、智能汽车制造商、服务供应商及大型经销商的流转过程中的安全防护,虽然目前还没有曝光相关的巨大规模泄漏事件,但是数据滥用和非法交易的情况时有发生。
保护个人信息还需明确监管职责、完善安全标准
“随着智能化、网联化程度的不断加深,车辆正逐渐成为可移动、可交互的巨大数据中心。”有业内人士表示,车联网数据安全问题正在凸显,网络攻击、数据泄露等风险日益加大,引发各界担忧,应继续加强车辆的信息安全监管,提升个人信息保障水平。
刘跃认为,目前智能网联汽车的二手车交易的整个交易链中,还没有明确的负责车辆信息安全监管与保障的角色。“智能网联车信息安全能力建设的根源在于汽车厂商,二手车交易中介或二手车主无法对由于汽车技术问题而导致的信息泄漏问题作出规避或修复。”
因此,刘跃建议,未来应针对生产厂商的信息安全标准,从生产,销售到购买形成一套覆盖交易链中全程的信息安全规范。比如从源头明确消费者可以清除个人的智能网联汽车的信息,以及在二次交易中保护信息不会产生泄露的风险。
同时,还应该针对二手车交易平台以及中介形成一套信息安全规范,保证交易过程中,车辆、卖家和买家信息保护,防止信息泄露以及信息被恶意利用。
瓜子二手车联合创始人、高级副总裁王晓宇对新华财经记者表示,为应对包括交易环节在内的全过程中可能发生的个人信息泄露、毁损、丢失等可能出现的安全风险,瓜子制定了应急预案。如果有安全事件发生,将及时向用户告知事件基本情况和风险、应对措施、处置建议。
此外,一位业内人士对记者表示,车联网信息保护中应特别关注一部分个人数据,包括地理位置数据、生物识别数据以及可以产生犯罪或其他违法行为的数据等,并出台规定分别提出收集和处理原则,明确不同场景下的隐私保护和数据风险以及应对措施。同时,对二手车交易过程中存在的信息安全风险形成有效监管,明确数据安全和个人信息保护管理部门的职责和管理边界。
童磊表示,针对二手交易市场的规范,需要主流平台做好生态建设和引领工作,汽车信息安全相关的国标、行标宜尽早落地执行。欧洲的UNECE及WP29相关的汽车行业合规标准都对个人信息提出了明确和严格的要求,包括驾照,行驶证等敏感个人信息的流转都要在技术手段和管理要求上落实,国内也在陆续发布相关的合规政策标准。
这一方面,近年来,国家先后出台《网络安全法》《数据安全法》,明确网络安全、数据安全、个人信息保护的基本原则和要求,为强化数据安全和个人信息保护提供了法律保障。工信部也对智能网联汽车软件安全、数据安全提出了一系列的明确要求。