不久前，年僅19歲的德國青年大衛(wèi)·哥倫布（David Colombo）成功入侵全球13個國家的25臺特斯拉汽車。哥倫布是從一個第三方軟件中找到了車輛軟件的漏洞，能夠讓黑客遠程控制車輛，并實施解鎖車門、控制車窗、啟動汽車、關(guān)閉安全系統(tǒng)等操作。此外，車輛的具體位置也可以被知曉，并可查看車主是否在車輛附近。導(dǎo)致該漏洞的原因是軟件服務(wù)商以不安全的方式存儲敏感數(shù)據(jù)，而這些數(shù)據(jù)又能夠?qū)⑵嚺c軟件連接。

此事件并非偶發(fā)，而是特斯拉智能汽車數(shù)次遭遇網(wǎng)絡(luò)入侵風(fēng)險中的尋常一例。但是，由于導(dǎo)致這次入侵的原因涉及敏感數(shù)據(jù)存儲方式存在的缺陷，因而引發(fā)了大眾對智能汽車數(shù)據(jù)安全風(fēng)險的關(guān)注，也加劇了對車聯(lián)網(wǎng)監(jiān)管不足的質(zhì)疑和擔憂。

車聯(lián)網(wǎng)主要由車內(nèi)網(wǎng)、車際網(wǎng)和車載移動互聯(lián)網(wǎng)這三個部分組成。它們按照約定的數(shù)據(jù)協(xié)議和數(shù)據(jù)交互標準，在車與網(wǎng)、車與車、車與路、車與人之間進行無線通訊和數(shù)據(jù)交換，從而實現(xiàn)智能化車輛控制和交通管理。在中國，車聯(lián)網(wǎng)是“十四五”期間大力發(fā)展的關(guān)鍵新型基礎(chǔ)設(shè)施之一，產(chǎn)業(yè)鏈涉及汽車、大數(shù)據(jù)、信息通信、云計算、人工智能等眾多領(lǐng)域，是國家經(jīng)濟實現(xiàn)數(shù)字化轉(zhuǎn)型升級，特別是發(fā)展產(chǎn)業(yè)互聯(lián)網(wǎng)的重點關(guān)切，并與未來城市智慧交通體系的構(gòu)建密切相關(guān)。

車聯(lián)網(wǎng)：新風(fēng)口呼喚監(jiān)管新舉措

2020年以來，中國密集制定“新基建”政策，車聯(lián)網(wǎng)發(fā)展因此迎來新風(fēng)口，各大汽車廠商紛紛積極布局。根據(jù)埃森哲咨詢公司的預(yù)測，中國2025年車聯(lián)網(wǎng)市場規(guī)模有望達到2162億美元，屆時幾乎所有新車都將具備聯(lián)網(wǎng)功能。5G、人工智能、云計算、大數(shù)據(jù)等新興技術(shù)在汽車上的部署應(yīng)用使得車輛逐漸成為可移動、可交互的巨量數(shù)據(jù)載體，并與云端、移動端和道路端的大量數(shù)字設(shè)備產(chǎn)生持續(xù)的數(shù)據(jù)交換，以此來為用戶提供安全、智能、節(jié)能、高效的綜合駕乘服務(wù)。

數(shù)據(jù)作為基本經(jīng)濟要素的價值來自于流動，車聯(lián)網(wǎng)產(chǎn)生的數(shù)據(jù)在中國汽車產(chǎn)業(yè)的升級發(fā)展過程中具有創(chuàng)造巨大經(jīng)濟價值的潛力。然而，隨著車聯(lián)網(wǎng)商用規(guī)模的不斷擴大，若不對相關(guān)數(shù)據(jù)的收集、傳輸和使用進行有效監(jiān)管與規(guī)制，任由數(shù)據(jù)無序流動，卻會形成很大的數(shù)據(jù)安全風(fēng)險，并對車輛使用者的個人信息和隱私保護構(gòu)成明顯威脅。

有鑒于此，今年4月初，國家工信部等五部門聯(lián)合印發(fā)了《關(guān)于進一步加強新能源汽車企業(yè)安全體系建設(shè)的指導(dǎo)意見》（以下簡稱“《意見》”）。其中第七部分專門就車聯(lián)網(wǎng)網(wǎng)絡(luò)安全，數(shù)據(jù)安全以及個人信息安全對企業(yè)提出了具體要求。針對車聯(lián)網(wǎng)數(shù)據(jù)，《意見》明確指出，企業(yè)必須切實履行數(shù)據(jù)安全保護義務(wù)，建立全流程數(shù)據(jù)安全管理制度，采取相應(yīng)的技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全。同時，企業(yè)還要按照法律、行政法規(guī)的有關(guān)規(guī)定進行數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開等處理活動，以及數(shù)據(jù)出境安全管理。對于涉及個人信息和隱私的數(shù)據(jù)，則要求企業(yè)要按照《個人信息保護法》等相關(guān)法規(guī)處理個人信息，并制定內(nèi)部管理和操作規(guī)程，對個人信息實行分類管理，并采取相應(yīng)的加密、去標識化等安全技術(shù)措施，防止未經(jīng)授權(quán)的訪問以及個人信息泄露、篡改及丟失。

車聯(lián)網(wǎng)：來自三個層面的數(shù)據(jù)安全挑戰(zhàn)

從以上表述可以看出，中國車聯(lián)網(wǎng)數(shù)據(jù)安全當前面臨的挑戰(zhàn)至少涉及到個人、產(chǎn)業(yè)和跨境這三個層面：

個人層面

為了確保智能汽車能實現(xiàn)不同場景和路況下的安全運行，實時做出準確交通決策，車聯(lián)網(wǎng)需要不間斷采集和傳輸聯(lián)網(wǎng)車輛的各種運轉(zhuǎn)數(shù)據(jù)和用戶信息。在此過程中，汽車制造商、服務(wù)提供商、網(wǎng)絡(luò)運營商等利益相關(guān)方都有可能接觸到車輛相關(guān)的各類數(shù)據(jù)，包括身份信息、聯(lián)系方式、家庭住址、銀行賬號等個人信息，以及車輛行駛時間和軌跡等駕駛動態(tài)信息，甚至還有車內(nèi)人員聲音、面部、指紋、體態(tài)等敏感生物信息。然而，中國當前對車聯(lián)網(wǎng)中和利益相關(guān)方可以采集數(shù)據(jù)的類型、范圍，以及數(shù)據(jù)使用、共享等管理要求和標準規(guī)范還不夠明確，這就容易造成車聯(lián)網(wǎng)相關(guān)個人數(shù)據(jù)在用戶不知情的情況下遭到過度采集、泄漏、篡改及竊取。同時，部分數(shù)據(jù)還會被用于以營銷推廣為目的的大數(shù)據(jù)分析、用戶畫像等，對個人隱私產(chǎn)生嚴重侵害。

產(chǎn)業(yè)層面

車聯(lián)網(wǎng)作為創(chuàng)新、融合、跨界的產(chǎn)業(yè)形態(tài)，產(chǎn)業(yè)鏈覆蓋面極廣。車輛和用戶數(shù)據(jù)的實時獲取對產(chǎn)業(yè)鏈各模塊的研發(fā)、營銷、業(yè)務(wù)運營、客戶服務(wù)等來說都至關(guān)重要，是推動智能汽車產(chǎn)業(yè)發(fā)展的核心生產(chǎn)要素。眼下，智能汽車及產(chǎn)業(yè)鏈上下游企業(yè)一方面掌握著大量汽車運行、車輛狀態(tài)、用戶行車軌跡等高價值數(shù)據(jù)，另一方面卻在數(shù)據(jù)存儲、加密、訪問、流轉(zhuǎn)和共享等方面缺少可依循的規(guī)范，相關(guān)權(quán)利、義務(wù)和責任也不夠明確。但凡移動終端、通信網(wǎng)絡(luò)、信息服務(wù)平臺中的任何一個環(huán)節(jié)防范不嚴，都會給網(wǎng)絡(luò)黑客攻擊以可乘之機，形成嚴重的數(shù)據(jù)安全威脅和路面交通風(fēng)險，進而影響整個產(chǎn)業(yè)的健康發(fā)展。

跨境層面

當前，全球智能汽車產(chǎn)業(yè)鏈呈現(xiàn)高度融合的趨勢。無論是合資品牌，還是進口汽車，其車聯(lián)網(wǎng)服務(wù)都可能由境外企業(yè)提供。車輛和用戶信息因此會需要傳輸?shù)絿猓@其中或含有影響國家安全的道路、環(huán)境、車流分布、人員出行等數(shù)據(jù)，以及涉及公民個人隱私的車內(nèi)影像、位置軌跡、駕駛行為、生物特征等。在缺少明確監(jiān)管的情況下，較易出現(xiàn)車聯(lián)網(wǎng)數(shù)據(jù)分級不當、數(shù)據(jù)處理活動欠規(guī)范、數(shù)據(jù)全生命周期安全保障能力不足等問題，將會妨礙國家安全和公共利益，危害公民個人隱私、財產(chǎn)甚至人身安全。

車聯(lián)網(wǎng)：化解數(shù)據(jù)安全風(fēng)險的三個治理要點

針對個人層面的車聯(lián)網(wǎng)數(shù)據(jù)安全風(fēng)險，加強立法保障和分級分類監(jiān)管是關(guān)鍵，但也需要掌握好保護與創(chuàng)新的平衡尺度。車聯(lián)網(wǎng)很大一部分數(shù)據(jù)來源于用戶在各類應(yīng)用場景下對智能汽車的使用。依據(jù)場景區(qū)分數(shù)據(jù)用途，明確哪些數(shù)據(jù)在何種情形下具有怎樣的敏感度，數(shù)據(jù)收集應(yīng)以何種方式和程度展開，進而執(zhí)行差異化的監(jiān)管措施，這樣做既能對個人數(shù)據(jù)加以適當保護，又有利于貫徹用戶知情同意、數(shù)據(jù)采集最小化等原則，同時也能避免“一刀切”，過度壓抑創(chuàng)新。與此同時，對車聯(lián)網(wǎng)個人數(shù)據(jù)的治理應(yīng)在已有的《個人信息保護法》、《數(shù)據(jù)安全法》等既有硬法框架下開展，形成車聯(lián)網(wǎng)領(lǐng)域的監(jiān)管細則，但也需同步融入行動指南、行業(yè)自律倡議等軟法規(guī)制，以形成協(xié)同治理機制。

在產(chǎn)業(yè)層面，當前化解車聯(lián)網(wǎng)數(shù)據(jù)安全風(fēng)險，促進產(chǎn)業(yè)健康發(fā)展的重點在于強化頂層設(shè)計，建立健全車聯(lián)網(wǎng)數(shù)據(jù)安全制度和標準體系。車聯(lián)網(wǎng)企業(yè)在智能汽車數(shù)據(jù)采集方面存在諸多不規(guī)范現(xiàn)象，一大主要原因在于產(chǎn)業(yè)發(fā)展初期相關(guān)標準的缺位。盡快建立一個涵蓋汽車數(shù)據(jù)安全管理、個人信息和重要數(shù)據(jù)保護、數(shù)據(jù)開放共享、數(shù)據(jù)安全評估等在內(nèi)的車聯(lián)網(wǎng)數(shù)據(jù)安全標準體系將能為企業(yè)的運營和商業(yè)活動劃定邊界，增加用戶數(shù)據(jù)利用的透明度，并促使企業(yè)依據(jù)標準加強技術(shù)治理，建立健全內(nèi)部安全管理機制與合規(guī)。

對于車聯(lián)網(wǎng)數(shù)據(jù)跨境傳輸的治理則需要注重在《網(wǎng)絡(luò)安全法》等法規(guī)明確的數(shù)據(jù)本地化存儲總體思路的前提下，進一步確定實施細則，探索能有效平衡安全、發(fā)展和開放利益的最佳實踐。需要注意的是，部分國際化程度較高的中國企業(yè)，在遵守數(shù)據(jù)本地化規(guī)定之外，確有通過多樣化數(shù)據(jù)流動機制來實現(xiàn)全球運營的需要。當前也有必要在確保安全的前提下，在部分行業(yè)和地區(qū)穩(wěn)妥開展數(shù)據(jù)出境管理試點，同步建立車聯(lián)網(wǎng)數(shù)據(jù)安全評估體系，并積極參與車聯(lián)網(wǎng)數(shù)據(jù)流動國際規(guī)則制定，爭取更多話語權(quán)。

物聯(lián)網(wǎng)的全面覆蓋是數(shù)字時代的必然趨勢。未來，萬物皆可數(shù)據(jù)化、互聯(lián)化，其中與基本民生和城市運行息息相關(guān)的交通出行將會是車聯(lián)網(wǎng)的天下。然而，如果無法化解暗流洶涌的數(shù)據(jù)安全風(fēng)險，大眾將不能真正享受到新興技術(shù)帶來的智慧交通紅利，車聯(lián)網(wǎng)產(chǎn)業(yè)的健康發(fā)展更是無從談起。政府、企業(yè)、用戶等利益相關(guān)方，都需要提高數(shù)據(jù)風(fēng)險意識和底線思維，協(xié)同構(gòu)建科學(xué)有效的車聯(lián)網(wǎng)數(shù)據(jù)治理體系。