■本报记者 武晓莉
智能汽车的飞速发展不仅带来了科技改变生活的革命,也带来了个人隐私是否安全的焦虑。根据业界专家解读,车内摄像头担负着保障驾驶安全和提升驾驶体验的使命,在一定程度上是必要的,那么,就只能从规则、技术、消费者权益保护等层面,对车内隐私的获取、传输、使用等进行规范。
车内使用的第三方APP是否可以调取车内视频?在预防车内摄像头数据泄露方面,可以用技术手段防范吗?如何提高智能汽车消费者的信心?针对消费者关心的诸多问题,《中国消费者报》记者进行了采访调查。
第三方APP可否强制调取车内视频
相较传统汽车,智能汽车其实是“软件定义汽车”的,车辆具备感知能力和网联能力,能够自我判断自身行驶的状态,并将其通过传感转换成数据。同时,“数字化的道路”将通过路侧单元(RSU)、摄像头等传感器将路况信息传输给车辆,为车辆提示最优路线。而“智慧通信”可融合感知、高精度定位、云计算技术,实现人、车、路之间的高效协同。若再配上沙发、彩电、冰箱,智能汽车完全可以成为用户另外一个生活空间。在这一生活空间内,会用到很多车载智能应用,这就牵扯到车内视频隐私安全的另一个问题,即车内使用的第三方APP是否可以调取车内视频?这也是广大智能汽车用户最关心的安全问题。
事实上,针对公众关注的车内隐私安全问题,监管部门也十分重视。2021年,国家网信办等部门联合发布《汽车数据安全管理若干规定(试行)》,明确提出汽车数据处理者在开展汽车数据处理活动中应坚持车内处理原则,除非确有必要不向车外提供;采取脱敏处理原则,尽可能进行匿名化、去标识化等处理等。
“不存在第三方强制调取。”来自车企的安全专家表示。APP上车安装前需要做一些车辆环境适配和安全验证工作,一般还要求APP厂商获取相关认证、资质以及通过第三方安全测试。也就是说,对车机APP在车机上的运行环境和APP本身安全都做了管控。在使用权限上,也给用户提供了知情同意以及是否允许APP调用摄像头和麦克风等传感设备的选择权。
专家认为,在这个问题上,有些公众以为车企对整车的控制力度非常大,汽车APP既然由整车厂家提供,车企便可以控制车内所有数据,实则不然。专家解释,根据国家网信办的相关规定,对车主信息的收集,目前汽车行业基本都已实现车内处理、脱敏处理等。“车企在云端是无法接触用户原始数据的。”
据了解,智能汽车车企采取用户账户隐私数据隔离措施,即车内摄像头采集的视频图像只保存在车主个人账户内,其他共同驾驶人无法查看。
可通过技术手段防范摄像头泄密
在预防车内摄像头数据泄露方面,有没有技术手段可以用来防范?这也是广大车主十分关心的问题。
“一般车内摄像头无法做到硬断电,一直处于工作状态,但对于视频数据传输则可以检测到。”上海机动车检测认证技术研究中心有限公司数据分析应用与安全测评实验室主任助理赵梓健说,摄像头流量通过IP地址、流量抓包等手段检测后,对于较大的流量包,可以怀疑其为视频传输。
据检测专家介绍,还有一种手段是在车机系统的应用状态栏上安装插件,用于显示系统CPU内存和网络调用量,在用量达到一定峰值时自动研判和报警。但不论是哪种方式,由于技术检测的难度大、成本高,都需要汽车企业的大力配合。比如数据如果不在检测周期内传输,可能导致检测结果不准确。
京汉华飞天信安科技有限公司总经理彭根认为,智能操作都是会留痕的,比如设备使用日志、通过什么方式向外传输、是否经过用户授权同意才传输出去等等,每个环节都有数据记录。
奇安信集团数据安全咨询部总经理楚赟说,应采取技术手段加强对车内视频图像的安全保护和访问控制。一是对车内视频图像进行严格的访问权限控制,包括用户访问、应用访问授权以及操作系统层面的权限控制,并对授权和访问记录进行留存;二是采取传输加密、本次缓存文件加密等确保车内视频图像的保护,防止未经授权的第三方获取或窃取视频数据;三是加强车内系统安全性,通过隔离及加密等技术手段保证视频数据不被回传或传输至第三方;四是对第三方应用厂商的数据安全能力进行约束和评估,确保视频数据不被第三方应用滥用或者泄漏。
中孚信息股份有限公司产品总监孙鹏科认为,可以在车辆上放一套电磁信号检测设备,从信号层面验证,从多个维度对日志进行对比。
引入第三方评测提升数据安全
以高合车内视频泄露为例,尽管车企发布声明称不存在回传数据,但是网络评论显示,网友对其声明的信任度不高。对车企来说,如何自证未从车内收集视频回传企业或向第三方传输?
“在较难自证时,企业应继续保持高度自律。”小米汽车数据安全工程师侯佳美认为,可通过加强对第三方应用的权限管控、账户数据隐私隔离等安全措施,主动保障用户的隐私。
某车企安全专家认为,在难以自证清白的情况下,车企应通过第三方来证明。而企业除须尊重用户隐私、加强自身安全能力外,也应以消费者可理解的方式解读、宣传自身在数据安全方面所做的工作,如隐私政策、数据处理流程等,通过各种宣传手段证明自身安全实力,增强用户信心。此外,由第三方评测机构定期开展评估活动,以评估结果证明车企合规情况。
CCIA汽车网络安全工作委员会秘书长张骁介绍,最近中国汽车工业协会公布了《关于汽车数据处理4项安全要求检测情况的通报(第一批)》(以下简称《通报》),可以促进规范汽车数据处理活动,保障用户合法权益,鼓励头部汽车制造商发挥标杆作用,推动形成全社会共同维护汽车数据安全和促进汽车行业发展的良好环境。
据张骁介绍,根据《汽车数据安全管理若干规定(试行)》、GB/T41871—2022《信息安全技术汽车数据处理安全要求》等有关规定,汽车数据安全方面有四项重点要求:车外人脸信息等匿名化处理、默认不收集座舱数据、座舱数据车内处理以及处理个人信息显著告知。
据了解,《通报》中公开了符合上述四项安全要求的6家企业76款车型,这在一定程度上可推动整个汽车行业在数据处理安全方面的提升,保护消费者在汽车座舱内的隐私,同时亦可增强消费者的消费信心。