最新研究报告显示,随着智能网联技术的发展,汽车智能化正在加速“进化”,成为继手机之后的又一“移动智能终端”。数据安全将成为车企智能化竞争新“分水岭”。
J.D. Power(君迪)9日发布的“2022中国消费者智能网联汽车数据安全和个人隐私意识与顾虑调查”报告称,与汽车智能化相伴的,是汽车每天产生的海量用户数据。当下,越来越多的企业在后台收集并使用这些数据,以进行产品的改良和体验的优化等。而随着大量的数据被收集、共享和使用,这也对个人隐私带来某种潜在的风险。
调查报告显示,综合来看,高度介意个人敏感信息被智能网联汽车收集、使用和共享的受访者比例高达77.4%。其中,智能汽车用户对个人信息、车内摄像头拍摄画面信息、个人生物特征数据和地理位置及路线信息最为敏感。
而当被问及“在什么情况下你可能愿意考虑共享个人敏感信息”时,大部分的用户选择了与行车安全和路线规划相关的场景。其中排名前五的场景为:为了及时获得碰撞提醒和紧急救援,保证行车安全(73.7%);为了避开拥堵道路,精准规划行车路线(53.5%);为了查明车辆故障(41.7%);为了调查事故原因(38.1%);为了查询附近商店、加油站/充电站、停车场等信息(36.8%)。
根据相关机构预测,2020年中国智能网联汽车渗透率为15%左右,而2025年其市场渗透率有望超过75%,高于全球市场平均水平。在未来几年的时间里,中国的智能网联新车市场将迎来井喷。
调查报告发现,超过九成(94.6%)受访消费者会有倾向性地选择注重数据安全和保护个人敏感信息的汽车品牌。其中,54.6%的消费者表示“一定会”购买数据安全保障能力强的汽车品牌。
报告指出,随着社会对智能网联汽车关注度的提升,数据安全正成为影响消费者购车决策的重要因子,并成为车企智能化竞争的“分水岭”。这意味着,未来数据安全将成为车企核心竞争力。
汽车数据从何而来?
采集、存储、上传车辆数据是新能源汽车的最基础要求,在技术层面上早已不存在障碍。
2016年11月,工信部发布《关于进一步做好新能源汽车推广应用安全监管工作的通知》(下称《通知》),要求车企必须建立监测平台,并接入地方和国家两级监测平台;从2017年1月1日起对新生产的新能源汽车安装车载终端,实时监测车辆的运行状态、电池状态、故障预警等。
为此,工信部组织制定了《电动汽车远程服务与管理系统技术规范》(下称《技术规范》),对车载终端等制定了相应的技术标准和要求,提交符合该国标要求的检测报告成为新能源车型进入工信部目录的必要条件之一。
《技术规范》对车载终端的数据存储和采集的间隔时间、存储介质的容量、断电保护等方面提出明确标准。此外,对于详细数据的采集范围,《技术规范》也有明确界定,包括车辆状态、充电状态、运行模式、车速、加速踏板行程值、制动踏板状态等共计13项。
不过,随着新能源汽车向智能化和网联化发展,以高级驾驶辅助系统(ADAS)为代表的电子辅助驾驶发展迅猛。在此背景下,《技术规范》中要求收集的数据主要适用于动力电池起火事故的调查,并不适用于辅助驾驶或自动驾驶车辆事故原因的分析。
针对新能源汽车智能网联化的发展趋势,工信部等三部门在2018年4月印发了《智能网联汽车道路测试管理规范(试行)》,对智能网联汽车的数据记录提出了更高的要求,比如须自动记录和存储环境感知与响应状态、车辆外部360度视频监控情况等信息在车辆事故或失效状态发生前至少90秒的数据,且存储时间不少于3年。
数据价值何在?
华为发布其自动驾驶云服务“八爪鱼”时,显示了其用于第三方自动驾驶算法验证的仿真场景。视频中,华为“八爪鱼”仿真的武汉光谷广场环形道路上车辆如梭,不仅电动自行车、行人的行动轨迹清晰可见,还有汇车、变道、“加塞”等场景。
场景仿真的基础正是车载传感器产生的环境感知数据,而这只是汽车行驶数据落地应用的缩影。
理想汽车董事长李想就ADAS和刹车失灵类似的问题提出建议,包括带有ADAS的车型必须标配行车记录仪,记录时的画面必须同步显示ADAS是否运行,以及ADAS状态下油门、刹车、转向等对应的基础工作状态。李想表示,上述功能没有任何技术上的难度,但是提供了相对重要的证据,减少“车主取证难、厂商被冤枉”的概率。
配备了ADAS系统的新能源汽车包含传感、决策和执行三个层面的软硬件。其中,传感系统包括雷达、摄像头、V2X等;决策系统主要是自动驾驶算法;执行系统则包括电子稳定系统、电动助力转向和自动变速器等。简单来说,仅ADAS产生的数据就包含了车辆行驶过程中“看”“想”“做”三个层面的数据。
事实上,只要是涉足自动驾驶领域的公司,都在通过多种渠道收集车辆的真实行驶数据。
滴滴CTO兼自动驾驶CEO张博曾介绍,滴滴自主研发的“桔视”车载摄像设备,覆盖了滴滴50%以上的网约车订单和300多个城市。“桔视”设备收集的长尾场景数据,将帮助滴滴搭建更丰富的仿真测试场景库,推动自动驾驶算法不断迭代进化,加速自动驾驶应用部署。
特斯拉辅助驾驶系统Autopilot问世之初,实现了自动巡航、自动转向、辅助变道、自动泊车等功能,并不断迭代更新,新增了自动辅助导航驾驶等。在此基础上,2019年特斯拉推出面向用户收取订阅费用的FSD(Full Self-driving),并通过OTA不断更新,使其具备了智能召唤、红绿灯识别、标志识别等功能。推动特斯拉辅助驾驶技术不断更新的,是全球范围内特斯拉车主带来的近乎于零成本的海量行驶数据。截至去年4月,特斯拉公布的累计上路行驶里程已达48亿公里。
但是,免费攫取用户行驶数据的价值,在行业内并非没有反对之声。
智己汽车联席CEO刘涛在接受采访时表示,用户数据很重要,它将驱动企业慢慢向前,成为迭代服务体验的核心驱动力。为此,智己汽车划出4.9%的股权收益以回馈用户的数据贡献。“就拿智能驾驶来讲,需要不断迭代升级,而这就需要不断有用户数据的积累。沿着智能时代的逻辑,如果继续免费使用用户数据,就是选择与时代为敌。”
车企从哪里发力?
智能汽车每天收集到的数据非常庞大,除驾驶员的个人信息数据之外,更重要的一点是,智能网联汽车的传感器能够实时收集到高精度地图数据,这涉及到很多敏感的地理位置信息。因此,车企想要合法合规使用数据,首先需要对这些数据进行分类。
汽车行业主要有 3 大类数据比较重要:
汽车研发过程中车辆状态的相关数据,这一类数据一直被车企所收集,并留作自用。与用户相关的隐私数据,当前国家有明确的法律法规要求车企对这类数据进行保护,并对不同的使用场景,对数据要进行明确的分类分级,并依据法规使用用户隐私相关数据。敏感数据的使用,比如传感器收集到的地理位置数据、高精度地图数据,这一块主要涉到国家安全部分,是车企需要非常关注的点。数据分类分级之后,则是数据的合规使用问题。
对此,上汽腾讯网络安全实验室联合负责人陈宁根据目前的相关法规,总结了 5 方面举措:
在使用数据前,车企的相关车辆应用服务必须要通过等保测评,并建立起相关的网络安全或数据安全的配套防护措施和防范的管理体系。当前法规明确要求,默认车企不得收集用户上车数据,如果需要收集,则必须告知用户,以及需要收集的数据信息。在收集数据状态中,让用户知道正在收集其数据,如果有些信息用户不希望被收集,则需要允许用户进行屏蔽。
车企要尽量将车内敏感数据模糊化处理,防止通过数据清晰定义用户的情况出现。在数据流通和共享上,按照数据安全法和汽车数据安全法相关规定,车企每年 12 月份要上报数据安全报告。同时,汽车在向海外发展的过程中,如果数据要向境外输出,则需要经过相关评审。建立数据的分级分类,并合法合规使用,仅仅是建立数据安全防护的基础。在分级分类防护数据之后,更为重要的是,车企要建立针对网络安全问题的应对和响应机制,以及相对应的处理技术能力。
此前,传统的汽车产业中,如果汽车出现了某些安全问题,车企一般都会通过召回的方式解决这些问题,但召回的周期很长,很难适应网络安全问题的节奏变化。
陈宁表示:“如果车企能够建立起针对网络安全问题的 48 小时之内的安全补丁或修复能力,这将是未来车企很大的竞争力。”
加大研发投入车企要加速建立网络安全防护体系
不过,现阶段车企针对汽车数据网络安全防护仍处于探索初期,其想要逐渐构建自己的安全防护网络体系,将是一个相当漫长的过程。
一方面,数据安全仅仅是车企网络安全建设中一部分内容,想要做好数据安全,车企还要打好很多地基工作。如云上安全,技术架构安全等,还包括很多相关网络安全建设,如云上的边界防护、安全监测、网络安全的漏洞或者网络安全响应的能力等。另一方面,人才问题也是影响汽车网络安全建设进程的一个重要因素。陈宁表示,在网络安全领域,中国高校每年输送的毕业生大概是 10 万人左右,但自去年开始,出现非常大的缺口,未来的趋势也是缺口逐渐变大,相对应的,涉及到汽车网络安全的人才缺口,将会更大。
虽然汽车数据网络安全建设是一个长周期的持续投入,但在当前各项法规要求的倒逼下,车企也应该逐渐加快自身在网络安全防护体系的建设。
从车企本身汽车网络安全建设进程来说,陈宁以上汽为例,阐述了上汽的汽车产品从研发,到生产,再到交付以及交付之后的相关防御措施。在汽车投产之前,对于产品的零件或者整车,会在技术和流程上,从安全设计、渗透测试、投产运营等方面做一系列的测试研发。针对车内安全网络防护,上汽现阶段所建立的防御体系主要是从云管边端逐层防护,同时,传统云驱动安全内容也适用于当下。
通道方面,则主要是从云端到车端的通讯链路,用加密方法进行加密,确保上汽的链路不会被截断或者被中间人截取掉。同时,上汽也对车与车之间进行传输的信息给予加密保护,保证数据的安全性和唯一性。在车辆交付之后,上汽也会建立相关的防御措施,比如网关或者 IDPS 等,通过它将车辆相关的模块或者相关的服务隔开,确保车辆在行驶过程中关键通信和关键指令不会被人恶意篡改掉。
除了车企本身的自我网络安全防护体系建设外,车企也会寻求外部网络安全公司的合作。其中,腾讯一直是将自己定位为汽车行业助手的角色,助力汽车行业在安全方面形成自身的能力。
腾讯在与车企的合作过程中,主要为车企提供 4 方面的能力,帮助车企构建数据网络安全:
腾讯云助力车企云上安全,帮助车企在云服务端构建安全防护体系,形成有效的安全防护能力。
针对车端存在的 security 和 safety 风险问题,腾讯具备研发和测试等合规的品牌和工具,助力车企在这方面的能力建设。在数字化营销场景下可能存在的“黑产”问题,腾讯可以提供相对应的解决方案,保证车企在营销过程中更好的触达用户,大大降低”黑产”薅羊毛的机率。而腾讯能够通过自身能力帮助车企对数据进行分类分级,界定清楚各类数据的重要性,并在此基础上助力车企构建数据安全保护方案。
在实际的合作案例中,此前腾讯已经与上汽组建了联合实验室,上汽在设计了相关防御测试后,需要建立自己的验证和测试体系。而腾讯则参与到了上汽部分车辆中智能座舱的设计和规划工作,在设计和研发早期,基于安全防护方面的能力,助力上汽产品的研发。
前文也有所言,在数字化网络安全防护方面,汽车行业还是“新兵”,车企虽然逐渐在加强对这方面的重视,但目前仍是处于早期投入阶段。吕一平表示,在金融行业,一般在网络安全方面的研发投入可能是在 6%-8% 之间,而当前汽车行业的投入则普遍在 2% 左右。
事实上,从法规密集发布情况来看,网络安全给汽车行业做响应时间并不多了。如果车企不能够加快节奏,逐渐提高在该领域的研发投入,极有可能面临着极大的风险,一旦出现大规模的网络安全事件,则将是对整个行业的重大打击。
