上海市信息安全行业协会名誉会长谈剑锋认为,智能汽车“人-车-路-云”的复杂链接形态,具有智能化、网络化、平台化特征,其依靠大量车载传感器和交互应用,能获取并处理大量的个人身份数据、地理环境数据、道路交通实时数据以及个人生活、娱乐、商务交互数据,智能汽车和平台已不仅仅是用以代步的交通工具,将可能成为类似于手机的移动智能交互终端、智能生活平台。
反思移动互联网的发展过程,手机应用软件(App)和平台快速发展,由于法律法规、制度标准制定和落实的相对滞后,尽管促进了数字化社会的发展,但手机系统和应用软件漏洞和木马泛滥,摄像头偷窥,麦克风偷录等问题频频发生;手机应用软件权限未加管理,随意索权带来了严重的侵犯个人隐私和网络欺诈等社会问题;移动互联网平台收集并汇聚庞大用户基本信息和行为信息,带来了数据滥用和产业垄断问题。
在谈剑锋看来,智能汽车产业的发展现况和趋势,非常类似移动互联网产业的快速发展期,如果不能吸取过往教训,过度宽容,“先发展,再治理”,将可能带来严重的社会安全和国家安全问题,需要我们再次付出极大的代价和成本来进行弥补。
从智能汽车目前发展情况来看,以下问题亟待重视和优先解决:
一是软件定义汽车成为产业发展趋势,软件代码安全检测和监管,软件供应链管理急需事先规范。传统汽车代码大概有1亿行,智能汽车将可能达到5亿行。智能座舱软件、车载控制器软件、智能驾驶软件、动力底盘软件、新能源(电池、电机和电控)管控以及云平台、云服务软件,大量的软件牵涉较长的国际、国内供应链厂商,智能汽车量产后,还能通过空中下载技术(OTA)进行软件版本更新。如无法规范软件供应链安全管理,有效落实软件安全检测,尽可能减少软件漏洞和木马,对智能汽车功能安全、社会和国家安全都存在巨大风险。
二是智能汽车尤其是高等级智能自动驾驶汽车具有强大的数据采集能力,亟须加快落实相关数据采集、存储、处理、应用法律法规和标准。据统计,特斯拉可以采集覆盖车主个人信息、车辆环境信息、车辆行驶信息、车主手机信息等200多项信息,国内同类厂商也采集有170多项。这些信息一方面是用于自动驾驶分析决策,另一方面成了智能汽车厂商进行商业创新和扩展的资源。但是,这么大量的信息,尤其如果是关键人群的个人信息、个人行为信息,车路协同获取的实时环境信息、敏感地理位置等信息,汇集到独立的商业化公司手里,一旦被滥用或恶意使用,必将对社会安全乃至国家安全带来巨大风险。
有鉴于此,谈剑锋建议尽快推进以下相关工作:
一是尽快完善和落实智能汽车软件供应链安全管理法律法规和标准,确保产业安全、健康稳定发展。从软件供应链着手,做好软件代码安全审核和规范,在符合国际规范的前提下,完善相关行业监管法规,要求代码透明,要求各类软件都要通过安全检测,尽可能减少软件漏洞和木马,确保产业安全、健康稳定发展。
二是加快智能汽车数据安全管理制度细则的落地执行,确保社会公共安全和国家安全。加强数据采集类型和范围约束,尤其是针对采用单车智能技术,采集大量个人和环境信息的智能汽车,应要求其遵守国家法律、标准,采集的车主数据、环境数据和路网数据遵循合规和最小可用原则,不可过度采集;规范智能汽车各类数据存储符合国家法律,未审查不得出境,确保国家安全;鼓励区块链、可信多方计算等数据保护共享创新技术的应用,加强监督检查,防止车联网数据在开发和商业化应用中被过度滥用,有效保护个人隐私、商业秘密和国家机密,确保社会公共安全和国家安全。(记者 张斯文)