國安通報非法測繪背後:智能駕駛涉及哪些敏感數據?企業如何確保合規安全?
智能汽車數據採集和出境問題再度引發社會關注。
10月16日,國家安全部微信公眾號發文稱,近年來,隨著國家安全機關加大對非法測繪活動的打擊力度,部分境外組織逐步轉向與國內企業開展所謂項目合作逃避監管,非法採集我國原始測繪數據,威脅我國家安全。國家安全機關工作發現,某境外企業A公司通過與我國具有測繪資質的B公司合作,以開展汽車智能駕駛研究為掩護,在我國內非法開展地理信息測繪活動。
公告一出,引發不少網民將事件關聯相關新能源車企、智駕企業以及圖商。隨後,極氪、特斯拉兩家車企,智駕企業Mobileye,以及圖商四維圖新緊急發佈聲明進行闢謠。
目前,汽車已經由傳統出行工具逐漸轉變為移動智能終端。搭載大量傳感器技術、5G通信技術、V2X以及人工智能技術,智能汽車正成為移動的數據採集器和數據庫。
近日,中國汽車工業協會常務副會長兼秘書長付炳鋒在第六屆數字中國建設峰會數字安全分論壇上表示,L4級自動駕駛汽車每日產生的數據是傳統汽車的5-10倍,而且根據相關機構預測,在2030年前後自動駕駛和輔助駕駛乘用車滲透率有望達到90%以上。他強調,汽車數據安全重要性愈發凸顯。
汽車行業大數據和人工智能應用企業高科數聚的數據生態與品牌戰略副總裁許璐在接受澎湃新聞記者採訪時談道,地圖測繪作為國家戰略性資源,其重要性不僅體現在國家安全層面,還與經濟發展和社會治理密切相關。在大數據時代背景下,數據安全已成為一個涵蓋個人隱私、商業秘密及國家安全等多方面因素的綜合性問題。
地圖測繪資質管理嚴格,業內人士:車輛「測繪」需要關注
前述公告提及,「該公司以汽車智能駕駛研究為由」進行地圖測繪。其實近年來,智能駕駛已經成為高精地圖的重要應用場景。
高精度地圖與車聯網技術緊密相連,通過激光雷達、攝像頭等傳感器收集的定位數據,結合車聯網的數據處理能力,不僅能夠構建和更新地圖,還能通過實時數據豐富地圖內容,提升地圖的準確性和實時性。
業內人士向澎湃新聞記者透露,高精度地圖絕對精度常在1米以內,橫向相對精度在理想狀況下可達釐米級,對於自動駕駛的精確定位至關重要。
我國對高精度地圖的採集有十分嚴格的資質管理,相關規定顯示,只有擁有甲級電子導航地圖測繪資質的企業才能進行數據採集和生產。
自然資源部網站顯示,自然資源部於2022年2月、3月、8月先後分三批公佈了最新的導航電子地圖製作甲級測繪資質複審換證的結果,共有19個單位通過資質複審。而複審前則共有31家單位,這一數字的縮小也直觀地表明當前政策縮緊的趨勢。
為何地圖測繪對於國家安全如此重要?根據我國法律規定,測繪地理信息的原始數據由於可能涉及軍事重地、要害部門等高精度測量信息,存在被境外用於標記我關鍵核心部位的風險隱患。為確保測繪過程中原始數據安全可控,《中華人民共和國測繪法》《中華人民共和國測繪成果管理條例》中有專門細化規定,要求測繪主體除必須擁有測繪資質外,還應嚴格落實數據保密管理的責任。
目前,市場上的主要參與者包括百度、四維圖新和高德,這幾家企業佔據了市場的大部分份額。
需要注意的是,有圖商負責人向澎湃新聞記者指出,因節約地圖授權使用成本等因素,目前不少車企宣稱採用不依靠高精地圖的無圖智駕方案。但車載攝像頭和激光雷達等傳感器對周圍道路環境建模也是「現場畫圖」,嚴格來看,同樣屬於「測繪」行為,相關數據安全問題值得關注。
車企跨境數據安全解決方案:本地化儲存
除了非法獲取測繪數據,該起違法事件還涉及一個重要方面,就是跨境數據傳輸。
公告提及,為儘可能直接獲取原始測繪數據,A公司越過項目轉包的層層節點,重點把控測繪數據的存儲、處理和流轉等環節。最後在A公司的操控指使下,B公司將測繪所得數據轉移出境。
許璐表示,就跨境數據流動監管來說,特別是對於涉及公民個人信息的內容,除非出於特定目的並得到當事人認可,否則原則上禁止將其轉移至境外;此外,像地質構造圖、交通網絡佈局圖這類看似無關緊要但實際上可能影響國家戰略利益的信息同樣需要受到嚴密管控。
近年來,為保障數據跨境安全、合規流動,國家網信辦等相關部門頻繁出台與數據跨境流動相關的政策法規。
2021年,中國接連頒布了《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》兩部法律;《數據出境安全評估辦法》正式實施;2024年3月22日,網信辦發佈《促進和規範數據跨境流動規定》,對現有數據跨境制度的實施和銜接作出了進一步明確。
從企業角度來看,奇安信集團法律合規中心負責人馬蘭此前曾表示,從近年來各國的司法實踐來看,數據安全合規已經從「形式合規」逐漸向「實質合規」邁進。未來合規需更加重視數據安全的結果,即關注數據有沒有泄露、有沒有竊取、有沒有被濫用或者違規出境等,再依靠簡單部署幾套產品就可以應付合規的時代已經一去不複返了。
數據的本地化儲存是目前車企普遍使用的數據安全保護方式。
作為第一家進入中國的外商獨資汽車製造商,特斯拉也曾因跨境數據傳輸問題引發不小爭議。而目前,特斯拉已經實現了數據的本地化存儲。
特斯拉方面表示,已於2021年成立特斯拉上海數據中心,實現數據本地化存儲。此外,特斯拉引入第三方權威機構對公司信息安全管理制度進行審核,並通過安全管理體系認證(ISO27001)。
4月28日,中國汽車工業協會公佈,按照企業自願送檢原則,從2023年11月起組織對汽車製造商2022-2023年新上市智能網聯汽車進行數據安全合規測試,針對汽車數據安全,從車外人臉信息等匿名化處理、預設不收集座艙數據等4個方面進行檢測。特斯拉旗下的model 3和model Y也出現在此次名單之中。
同樣,蓮花科技也建立了中國數據中心。蓮花方面表示,為滿足各地區和國家數據跨境及數據本地化存儲的合規要求,建立了全球數據中心架構佈局,在全球已建立或規劃五個數據中心,分別位於中國、德國、美國、新加坡和阿聯酋。
個人隱私、商業機密等數據同樣有潛在風險
作為一種可隨意移動的終端,智能網聯汽車的數據可謂包羅萬象,其重要數據主要包括三大類:車輛運行狀態數據、道路環境和人員數據、車內人員隱私數據。數據不僅僅作為企業研發而用,駕駛數據還關係到公共安全、國家安全,以及個人隱私保護等問題。
許璐向澎湃新聞記者表示,智能汽車數據安全保障的首要任務是保障數據在其整個生命週期內的完整性與機密性,即保證不被竊取。這要求採用先進的加密技術以及嚴格的訪問控制措施,防止任何未經授權的第三方獲取敏感信息。值得注意的是,隨著數據管理手段的不斷進步,內部人員成為潛在威脅源的可能性也在增加。因此,除了防範外部攻擊外,還需加強對內部員工的數據使用行為進行監控和規範。
針對消費者個人隱私保護,她表示,商業活動中,對消費者個人信息的收集與處理必須嚴格遵守相關法律法規,並獲得用戶的明確同意。具體來說,包括但不限於健康狀況、家庭成員構成、旅行記錄、購物歷史以及社交媒體互動情況等在內的私人資料均屬於高度敏感範疇。未經許可不得隨意公開或轉售此類信息給第三方機構。
對於車企來說,商業機密防護同樣不可忽視。許璐認為,當多個企業通過同一平台共享業務數據時,如何有效隔離彼此之間的核心資產顯得尤為重要。以汽車行業為例,各大製造商可能會將自身研發成果、市場表現等相關指標上傳至雲服務提供商處以便於分析比較。此時,該服務商有責任確保這些珍貴資源不會泄露給競爭對手或其他非授權用戶。
監管方面,當下,智能網聯汽車數據安全問題已經受到有關部門的高度重視。
近期,工信部組織製定的《汽車整車信息安全技術要求》《汽車軟件升級通用技術要求》和《智能網聯汽車自動駕駛數據記錄系統》三項強製性國家標準發佈,涉及外部連接安全、通信安全、軟件升級安全、數據安全等方面的技術要求和試驗方法,將於2026年1月1日起實施。
從技術角度來看,有業內技術人士向澎湃新聞記者介紹,數據脫敏目前已經成為實現智能網聯汽車數據安全的關鍵手段。
數據脫敏指的是通過採取有策略地修改或替換原始數據的方式,進而生成一個看似真實卻不含有敏感信息的數據副本,以便在非生產環境(像開發、測試以及分析等場景)中使用,例如對行人臉部、機動車號牌進行遮擋處理等。其核心要點在於,在降低數據敏感程度的同時,還能夠維持數據的業務價值與可用性。
該業內人士表示,通過對敏感數據進行處理,可以降低數據在各個環節被攻擊和竊取的風險。在智能汽車領域,車輛數據經過脫敏後,即使被非法獲取,也難以從中提取出有價值的敏感信息,進而可以保護用戶隱私和車輛安全。
