重磅! 網信辦新規保護汽車數據: 重要信息需境內存儲默認不收集數據

作者 | 唐柳楊

5月12日，國家互聯網信息辦公室（下稱“國家網信辦”）發佈《汽車數據安全管理若干規定（徵求意見稿）》（下稱“意見稿”），即日起向社會公開徵求意見。國家網信辦表示，爲加強個人信息和重要數據保護，規範汽車數據處理活動，根據《中華人民共和國網絡安全法》等法律法規，會同相關部門制定了該意見稿，意見反饋截止時間爲2021年6月11日。

意見稿共有21條規定，主要涉及個人信息和重要數據保護、傳輸、查詢、利用、刪除等。意見稿所稱重要數據包括軍事管理區、國防科工等涉及國家祕密的單位、縣級以上黨政機關等重要敏感區域的人流車流數據，高於國家公開發布地圖精度的測繪數據，汽車充電網的運行數據，道路上車輛類型、車輛流量等數據，包含人臉、聲音、車牌等的車外音視頻數據，國家網信部門和國務院有關部門明確的其他可能影響國家安全、公共利益的數據。

總體而言，意見稿倡導車企默認不收集用戶數據原則，每次駕駛時默認爲不收集狀態，駕駛人的同意授權只對本次駕駛有效。如果確有必要收集，應堅持匿名化處理、脫敏處理、最小保存期限和精度範圍適用原則。如果科研和商業合作伙伴需要查詢利用境內存儲的個人信息和重要數據的，運營者應當採取有效措施保證數據安全，防止流失，同時應嚴格限制對重要數據以及車輛位置、生物特徵、駕駛人或者乘車人音視頻，以及可以用於判斷違法違規駕駛的數據等敏感數據的查詢利用。在數據存儲安全方面，意見稿要求個人信息或者重要數據應當依法在境內存儲，確需向境外提供的，應當通過國家網信部門組織的數據出境安全評估。

此前網絡上曾流傳出特斯拉車型被拒絕進入國防科工等涉及國家祕密的單位，因爲特斯拉車內外佈置了大量的攝像頭，且數據存儲在境外。近日，河南一名車主也起訴特斯拉泄漏屬於其本人的行駛數據信息。特斯拉中國區副總裁陶琳此前在國家相關部門組織的企業圓桌會上表示，在中國採集的數據會嚴格遵守中國對於數據管理的法律法規，實現本地存儲。

大邦律師事務所高級合夥人遊雲庭向第一財經記者表示，首先，發文的機關是網信辦而不是工信部，說明汽車數據的主管部門已經確定。其次，規定和網絡安全法一脈相承，重大原則基本一致，對於國家信息安全、個人信息保護、以及汽車企業收集、存儲和使用數據，對運營者主體等都進行了明確。

“這個規定徵求意見稿的前瞻性還是比較強的，在智能汽車產業發展的初期，就對相關的數據問題進行釐清，讓行業的利益相關者有指引，可以對消費者權益也是一個很好的保護，對於智能汽車產業的發展會是一個很好的促進。”遊雲庭說。

據瞭解，隨着汽車智能網聯設備的裝載，網絡攻擊、木馬病毒、數據竊取等互聯網安全威脅也逐漸延伸至汽車領域。一旦車載系統和關鍵零部件、車聯網平臺等遭受網絡攻擊，可導致車輛被非法控制，進而造成隱私泄露、財產損失甚至人員傷亡。2016年起行業內開始出現針對汽車信息安全的攻擊事件，大部分車企從2017年開始意識到信息安全問題，佈局汽車安全體系。

騰訊科恩實驗室車聯安全技術專家範士雄此前在接受媒體採訪時表示，未來車輛會引入越來越多的信息化技術，如自動駕駛、V2X等，每個新的技術都可能會成爲一個新的攻擊點面。車輛智能化和信息化程度會越來越高，這也就意味着攻擊者可以利用信息化中的漏洞獲得更多的控制權限，導致更嚴重的功能安全問題，如可以利用車聯網平臺中的漏洞實現車輛的羣體控制等。

昨日，360公司創始人周鴻禕在一場媒體溝通會上表示，未來高度智能化的汽車內部的組件通過高速以太網連接，車裏有多個電腦分別處理動力電池、座艙娛樂系統和自動駕駛等功能，這些電腦互相之間高速地通信，同時還與車廠實時地連在一起。

“（如果黑客攻破汽車的服務器）要求它執行遠程停車，遠程啓動，遠程開車門，開天窗，它都無條件地執行。可以設想一下，當滿大街都跑智能網聯車，如果對車廠發起網絡攻擊，一個城市自動網聯車都在馬路上亂跑亂停或趴窩不動，會是什麼樣的情況？可能會像美國輸油管道被攻擊事件一樣影響美國的油價、能源運輸和能源供給，就帶來社會的動亂。”周鴻禕說。