半月谈丨智能车：“懂你”却不令你“安心”

  智能网联汽车时代,辅助驾驶、自动泊车、贴心而“懂你”的智能座舱无疑给驾驶带来极大便利。车联网更是以“智慧的路”辅以“聪明的车”,大大提高了整个道路交通的智能化。当汽车成为数字化生活的新终端,如何解决由此衍生出的车辆数据安全、网络安全问题,是摆在眼前的新任务。

  汽车数据打开风险敞口

  与个人电脑和手机类似,汽车从机械交通工具的一个端点,变成智能交通网络中的一个节点,自然会带来数据安全问题。

  电子科技大学嵌入式软件工程中心主任罗蕾介绍,数据是汽车数字化、智能化的基础。为了实现自动驾驶、辅助驾驶、人机交互、智能网联这些功能,智能网联汽车会不断地采集环境感知信息、车辆工况信息、驾驶人员及乘客个人信息等,并利用这些信息来提供千人千面的个性化服务。

  “汽车网络安全是汽车继主动安全、被动安全、功能安全之后的第四大安全问题。”奇安信集团副总裁孔德亮告诉记者,智能网联汽车面临的安全威胁主要来自云、管、端3个层面。近几年,相关的网络攻击屡见不鲜。

  在“云”的层面,数据泄露和挖矿攻击的问题尤其突出。2018年，大众、特斯拉、丰田、福特、通用等百余家汽车厂商机密文件被曝光,内容涉及车厂发展蓝图规划、制造细节、客户合同、工作计划,甚至员工的驾驶证和护照等隐私信息,共计15.7G,近5万个文件。

  在“管”即接入网的层面,大规模DDoS攻击和数据劫持篡改也非常频繁。不法分子可能利用漏洞进入车辆偷车,更有甚者会让黑客远程操控汽车部分设置,消耗电池。

  在终端方面,车辆被远程接入、功能失效等屡见不鲜。近期,黑客入侵特斯拉Model3的车内摄像头,将车内镜头拍摄画面放到视频网站上,可以清晰地看到驾驶员的面部特征,以及车内乘客的一举一动。

  “更严重的安全攻击有可能通过云端、手机端渗透到车机端,控制刹车、油门,危及汽车行驶安全,甚至会导致交通事故和人身安全问题。”德勤中国风险咨询网络安全服务合伙人张震说。

  对车企来说,网络安全、数据安全不可小觑。就在不久前,日本丰田汽车公司一零部件供应商受到“勒索软件”攻击,导致丰田一度暂停了日本国内14家工厂28条生产线的运营生产。“想象一下未来车联网场景下,如果一辆车被攻克,就可能导致整个公司被关闭。”张震说。

  如今,车企采集到的信息和数据有可能涉及国家安全。比如,具备自动驾驶(智能驾驶)功能的汽车携有激光雷达等感知设备,意味着车企采集的数据中不仅有车主信息,还包括城市交通、环境、建筑等高度敏感的信息。车辆数据、用户数据以及衍生出来的周边服务数据,的确能够产生价值,但也打开了风险的敞口。

  智能汽车安全管理迫在眉睫

  从全球来看,智能网联汽车尚处于发展初期,但相关数据安全已经成为国家和企业关注的焦点。

  一是智能汽车的增长速度超预期。全国政协副主席、中国科学技术协会主席万钢,在第八届中国电动汽车百人会论坛(2022)上透露,2021年,我国新能源乘用车基本实现网联功能全覆盖,头部企业陆续投放搭载车对外界的信息交换(V2X)技术的量产新车。L2级驾驶辅助系统新能源乘用车市场渗透率接近38%。

  《智能网联汽车技术路线图2.0》提出,到2025年,部分自动驾驶(PA)、有条件自动驾驶(CA)级智能网联汽车市场份额超50%,2030年超70%,蜂窝车联网(C-V2X)的新车装配率2025年达50%,2030年基本普及。这意味着,未来几年时间里,我国智能网联新车市场或迎来井喷。

  二是智能网联汽车以软件和数据传输为底层逻辑。未来,软件相关内容在车内占比将达到60%以上,每一个智能功能的实现和优化,都靠软件和数据的“狂奔”。

  按照产业共识,“聪明的车”+“智慧的路”是我国智能网联汽车发展的基本思路,意味着通过人、车、路、云、图、网的高效协同，实现智能汽车的自动驾驶功能提升。汽车电子电器架构和电子控制单元、车载操作系统和车载软件、车外接口/传感器和通信，以及车后台(云端)数据传输存储等迅猛发展,每一个“端”到“端”都意味着巨量的数据传输。

  三是车企安全技术存在缺口,消费者担忧个人信息泄露。近期，多位汽车界、科技界企业家纷纷建议强化智能网联汽车的全周期数据安全保护。

  “车联网网络攻击风险加剧,智能汽车安全保障能力尚存在较大缺失,尚未形成‘云管端’的车联网安全保障体系,安全技术缺口依然存在。”东风公司技术中心党委书记、主任谈民强说。

  智能网联汽车及其生态,如车辆运营平台、基础设施等,还涉及大量个人信息和重要数据,已有的责任界定和安全管理手段已经无法应对这些风险。

  消费者越来越重视隐私数据泄露问题。君迪(J.D.Power)近期发布的一份调查报告显示,智能汽车用户对个人信息、车内摄像头拍摄画面信息、个人生物特征数据和地理位置及路线信息最为敏感。对现阶段智能汽车厂商能否妥善保护个人敏感信息,消费者整体信心不足。与智能手机厂商相比,智能汽车厂商更少实施个人数据收集的告知措施,用户对智能汽车收集个人信息的知晓程度更低。

  汽车数据管理行业标准体系待建立

  如何在充分挖掘数据价值的同时保障数据安全?

  2021年8月,工业和信息化部发布《关于加强智能网联汽车生产企业及产品准入管理的意见》,要求加强汽车数据安全、网络安全、软件升级、功能安全和预期功能安全管理。2022年3月, 工业和信息化部印发《车联网网络安全和数据安全标准体系建设指南》,要求在法律法规基础上,加速形成我国汽车数据安全的标准体系。

  “很多汽车数据的处理者,包括车企已经开展了数据安全方面的组织建设、管理体系建设、技术体系建设等,逐步形成了企业的标准体系。”罗蕾说,但包括数据分类、分级在内的行业标准体系“缺失”,需要尽早补齐。在汽车10多年的生命周期里,如何处理个人敏感信息,堵住软件漏洞,实现数据信息安全共享,并合规地让汽车数据升值?这些实践都呼唤行业标准出台。

  金诚同达律师事务所律师蔡硕认为,我国在汽车数据管理板块的立法还处于初期。从趋势上看,应该朝着监管力度更强、覆盖维度更广、监管更精细精准的方向发展。未来既要囊括监管汽车的安全防护本身,还要监管车联网的网络安全、车联网服务平台的安全,从这3个维度分级分类管理。

  君迪(J.D.Power)中国区汽车产品数字化用户体验总监裴林表示,对汽车厂商来说,逐渐从制造企业转变为科技企业,需要建立完善的汽车数据安全管理规范和流程,在合规前提下收集必要的用户信息,充分保证用户对个人信息收集的知情权和控制权,并积极参与国家汽车数据安全管理法规的完善和标准的制定,增强用户信任感。