“数据安全是数字化发展的基石和底盘。互联网的快速发展给生活带来便捷,但便捷不等于安全,有时候风险也因此而来。”近日,全国政协委员、上海市信息安全行业协会会长谈剑锋表示,信息安全是一个系统性的问题,需要从技术、管理、个人安全意识等层面共同发力,尤其是加快数据安全管理制度细则的落地执行。
随着物联网技术和“新四化”的快速发展,智能网联汽车已经走进千家万户。谈剑锋认为,智能汽车具有智能化、网络化、平台化特征,能获取并处理大量的个人身份数据、地理环境数据、道路交通实时数据以及个人生活、娱乐、商务交互数据,就像苹果智能手机重新定义了手机产业链生态,智能汽车和平台已不仅仅是用以代步的交通工具,将可能成为类似于手机的移动智能交互终端、智能生活平台。
“中国网络发展过去是先应用再规范,‘摸着石头过河’,法律制度包括技术规范相对滞后,在车联网的时代要引以为鉴。”谈剑锋建议,由国家网信办牵头工信部,加快智能汽车数据安全管理制度细则的落地执行,严格约束数据采集的类型和范围。各类数据采集遵循合法合规和最小可用原则,数据存储未经审查不得出境,防止数据在开发和商业化应用中被过度滥用,有效保护个人隐私、商业秘密和国家机密。
新冠肺炎疫情发生以来,以“刷脸”为代表的生物识别技术加速普及,但潜在的安全性风险不容小觑。据介绍,脸纹、指纹、虹膜等生物识别数据具有唯一性和不可再生性,一旦泄露会造成不可逆的重大风险。
为此,谈剑锋在今年的提案中建议设立“国家数据银行”,对于敏感的生物识别、医疗健康档案等数据由国家统一采集和管控。相关数据通过人工智能技术和加密技术,进行分级、分类脱敏,然后返回给市场做增值应用,确保个人数据和行为信息相互分割脱离。
“数据被誉为新时代的石油,它的价值不可限量。从数据确权、数据加密、数据分级分类、数据溯源,到最后的数据销毁,全流程都应加大处罚和执法力度,进入更良性、更安全、更健康的发展阶段。”谈剑锋说。
在谈剑锋看来,智能汽车产业的发展现况和趋势,非常类似移动互联网产业的快速发展期,如果不能吸取过往教训,过度宽容,“先发展,再治理”,将可能带来严重的社会安全和国家安全问题,需要我们再次付出极大的代价和成本来进行弥补。
谈剑锋认为,以下问题亟待重视和优先解决:
一是软件定义汽车成为产业发展趋势,软件代码安全检测和监管,软件供应链管理亟需事先规范。假如传统汽车代码一亿行,那么智能汽车将可能达到五亿行。智能座舱软件,车载控制器软件,智能驾驶软件,动力底盘软件,新能源(电池、电机和电控)管控以及云平台、云服务软件,大量的软件牵涉较长的国际、国内供应链厂商,智能汽车量产后,还能通过空中下载技术(OTA)进行软件版本更新。如无法规范软件供应链安全管理,有效落实软件安全检测,尽可能减少软件漏洞和木马,对智能汽车功能安全、社会和国家安全都构成巨大风险。
二是智能汽车,尤其是高等级智能自动驾驶汽车,具有强大的数据采集能力,亟需加快落实相关数据采集、存储、处理、应用法律法规和标准。据统计,特斯拉可以采集覆盖车主个人信息、车辆环境信息、车辆行驶信息、车主手机信息等200多项信息,国内同类厂商也采集有170多项。这些信息一方面是用于自动驾驶分析决策,另一方面成为了智能汽车厂商进行商业创新和扩展的资源。但是,如此大量的信息,尤其如果是关键人群的个人信息、个人行为信息、车路协同获取的实时环境信息、敏感地理位置等信息,汇集到独立的商业化公司手里,甚至是国外公司手里,一旦被滥用或恶意使用,必将对社会安全乃至国家安全带来巨大风险。
建议尽快推进以下相关工作
一是建议由网信办牵头工信部,尽快完善和落实智能汽车软件供应链安全管理法律法规和标准,确保产业安全、健康稳定发展。从软件供应链着手,做好软件代码安全审核和规范,在符合国际规范的前提下,完善相关行业监管法规,要求代码透明,要求各类软件都要通过安全检测,尽可能减少软件漏洞和木马,确保产业安全、健康稳定发展。
二是建议由网信办牵头工信部,依照相关法律、法规要求,加快智能汽车数据安全管理制度细则的落地执行,确保社会公共安全和国家安全。加强数据采集类型和范围约束,尤其是针对采用单车智能技术,采集大量个人和环境信息的智能汽车,应要求其遵守国家法律、标准,采集的车主数据、环境数据和路网数据遵循合规和最小可用原则,不可过度采集;规范智能汽车各类数据存储符合国家法律,未审查不得出境,确保国家安全;鼓励区块链、可信多方计算等数据保护共享创新技术的应用,加强监督检查,防止车联网数据在开发和商业化应用中被过度滥用,有效保护个人隐私、商业秘密和国家机密,确保社会公共安全和国家安全。