文/高榮偉

目前，汽車的數(shù)據(jù)安全問題已經(jīng)受到國內(nèi)外的廣泛關(guān)注。在汽車數(shù)據(jù)化和網(wǎng)絡(luò)化的前提下，對汽車進(jìn)行全方位的數(shù)據(jù)安全檢測，提前發(fā)現(xiàn)隱患，避免相關(guān)風(fēng)險(xiǎn)，已成為汽車信息安全領(lǐng)域的迫切需求。世界各國都非常重視汽車數(shù)據(jù)安全管理，德國、英國、法國等國家先后發(fā)布了相關(guān)安全指南。

德國：最早探索汽車數(shù)據(jù)法律保護(hù)

在世界范圍內(nèi)，德國一直是數(shù)據(jù)保護(hù)方面的“模范生”。德國最早通過明確立法對數(shù)據(jù)進(jìn)行嚴(yán)格保護(hù)，最先探索了數(shù)據(jù)法律保護(hù)的規(guī)則框架?，F(xiàn)行的《德國聯(lián)邦數(shù)據(jù)保護(hù)法》（BDSG）修改于2009年且延用至今。

2016年1月26日，德國聯(lián)邦和州政府的獨(dú)立數(shù)據(jù)保護(hù)機(jī)構(gòu)和德國汽車工業(yè)協(xié)會發(fā)布聯(lián)合聲明，將車聯(lián)網(wǎng)數(shù)據(jù)處理納入《德國聯(lián)邦數(shù)據(jù)保護(hù)法》《德國電信法》《德國社會保險(xiǎn)法》的范疇，強(qiáng)調(diào)了車主的數(shù)據(jù)主權(quán)，明確了制造商“設(shè)計(jì)隱私”的法律責(zé)任。德國法律規(guī)定，在車輛使用過程中產(chǎn)生的數(shù)據(jù)，如果與車輛識別號碼或車牌有聯(lián)系，則被視為《德國聯(lián)邦數(shù)據(jù)保護(hù)法》意義上的個(gè)人數(shù)據(jù)。

《德國聯(lián)邦數(shù)據(jù)保護(hù)法》第42條規(guī)定：（1）在未經(jīng)授權(quán)的情況下，以營利的方式故意將許多人的非開放個(gè)人數(shù)據(jù)傳輸給第三方或者通過其他方式使其公開，處3年以下刑罰或罰金。（2）在未經(jīng)授權(quán)的情況下，為了獲取報(bào)酬，或者為他人謀取利益，或者為了給他人造成損失，處理未開放的個(gè)人數(shù)據(jù)，或者騙取未開放的個(gè)人數(shù)據(jù)，處2年以下刑罰或者罰金。

除了以上法律，《德國刑法典》對一般數(shù)據(jù)的刑法保護(hù)設(shè)置了以下幾項(xiàng)罪名：第一，第202a條窺探數(shù)據(jù)罪。該條規(guī)定，未經(jīng)授權(quán)突破訪問安全措施，為自己或他人獲取數(shù)據(jù)訪問路徑，且對無權(quán)訪問行為進(jìn)行了特別安全防護(hù)，處3年以下刑罰或罰金。第二，第202b條截獲數(shù)據(jù)罪。該條規(guī)定，未經(jīng)授權(quán)利用技術(shù)手段，為自己或他人，從不公開的數(shù)據(jù)傳輸或處理裝置中，獲取自己無權(quán)支配的數(shù)據(jù)，處2年以下刑罰或罰金。第三，第202c條窺探和截獲數(shù)據(jù)的預(yù)備罪。該條規(guī)定，為實(shí)施第202a和第202b規(guī)定的犯罪進(jìn)行預(yù)備，處2年以下刑罰或罰金。第四，第303a條數(shù)據(jù)變更罪。該條規(guī)定，非法對數(shù)據(jù)進(jìn)行刪除、限制訪問，使其不可用或者變更，處2年以下刑罰或罰金。

英國積極推動(dòng)汽車自動(dòng)駕駛的發(fā)展。英國汽車制造商與經(jīng)銷商協(xié)會發(fā)布的一份報(bào)告顯示，預(yù)計(jì)到2030年，自動(dòng)駕駛對英國經(jīng)濟(jì)的貢獻(xiàn)將達(dá)每年620億英鎊，還可避免超過4.7萬起交通事故。

德國是首個(gè)給自動(dòng)駕駛立法的國家。2021年7月27日，德國聯(lián)邦議會通過《自動(dòng)駕駛法》。該法明確列舉了汽車保有人有義務(wù)存儲的13類數(shù)據(jù)，包含個(gè)人數(shù)據(jù)（如車輛識別號、位置數(shù)據(jù)等）和非個(gè)人數(shù)據(jù)（如車輛使用次數(shù)、自動(dòng)駕駛功能的啟停、車速等）。該法還規(guī)定，聯(lián)邦汽車運(yùn)輸局有權(quán)在一定范圍內(nèi)，向汽車保有人收集、保存和使用前述數(shù)據(jù)以及獲取技術(shù)監(jiān)督員的姓名和專業(yè)資格證明。

英國：重視自動(dòng)駕駛汽車網(wǎng)絡(luò)安全的數(shù)據(jù)保護(hù)

英國作為傳統(tǒng)科技強(qiáng)國，積極推動(dòng)汽車自動(dòng)駕駛的發(fā)展。英國汽車制造商與經(jīng)銷商協(xié)會發(fā)布的一份報(bào)告顯示，預(yù)計(jì)到2030年，自動(dòng)駕駛對英國經(jīng)濟(jì)的貢獻(xiàn)將達(dá)每年620億英鎊，創(chuàng)造超過42萬個(gè)就業(yè)崗位，還可避免超過4.7萬起交通事故。

英國非常重視自動(dòng)駕駛汽車網(wǎng)絡(luò)安全的數(shù)據(jù)保護(hù)。英國交通部官員卡蘭南勛爵表示：“隨著自動(dòng)駕駛時(shí)代的到來，車聯(lián)網(wǎng)等技術(shù)出現(xiàn)在我們的生活中，我們應(yīng)該建立相應(yīng)的保護(hù)措施。”

2017年，英國政府出臺了一套新的網(wǎng)絡(luò)安全準(zhǔn)則——《車聯(lián)網(wǎng)和自動(dòng)駕駛汽車網(wǎng)絡(luò)安全準(zhǔn)則》，共8項(xiàng)內(nèi)容，其中第三項(xiàng)指出，確保系統(tǒng)能夠支持原始、唯一、可識別的數(shù)據(jù)的取證和恢復(fù)。第五項(xiàng)指出，在系統(tǒng)邊界進(jìn)行安全防護(hù)，包括訪問權(quán)限最小化原則、數(shù)據(jù)單向傳輸控制、全磁盤加密和共享數(shù)據(jù)存儲最小化。第七項(xiàng)規(guī)定，保證數(shù)據(jù)存儲和傳輸是安全的與可被控制的。自動(dòng)駕駛汽車的數(shù)據(jù)應(yīng)該經(jīng)過加密處理，以降低網(wǎng)絡(luò)攻擊的可能性。其一，數(shù)據(jù)在存儲和傳輸時(shí)必須足夠安全（保證機(jī)密性和完整性），以便只有預(yù)期的接收者接收或訪問它；其二，用戶個(gè)人數(shù)據(jù)進(jìn)行適當(dāng)管理，在數(shù)據(jù)發(fā)送到其他系統(tǒng)前進(jìn)行殺毒；其三，用戶可以刪除系統(tǒng)和關(guān)聯(lián)系統(tǒng)上的敏感數(shù)據(jù)。為此，政府敦促汽車制造商利用現(xiàn)有技術(shù)降低攻擊者滲透汽車軟件的可能性。

2018年，英國多家汽車制造商聯(lián)合科研機(jī)構(gòu)與交通部共同制定了一套自動(dòng)駕駛和聯(lián)網(wǎng)汽車的網(wǎng)絡(luò)安全指南，以確保未來智能汽車不會被黑客與不法分子所操縱，以便保護(hù)汽車安全存儲和管理用戶的數(shù)據(jù)。文件規(guī)定，自動(dòng)駕駛汽車和互聯(lián)車輛的傳感器必須能夠抵抗黑客干擾。如果自動(dòng)駕駛汽車發(fā)生故障，也必須有故障安全系統(tǒng)來保護(hù)路人和乘客。

時(shí)任英國交通部部長諾曼在評論新標(biāo)準(zhǔn)時(shí)說：“隨著車輛變得更加智能，未來汽車行業(yè)的機(jī)遇將增多，但是這也帶來了數(shù)據(jù)竊取和黑客攻擊的風(fēng)險(xiǎn)?！敝Z曼補(bǔ)充說，新標(biāo)準(zhǔn)“應(yīng)有助于該行業(yè)更好地應(yīng)對挑戰(zhàn)，并保持英國處在自動(dòng)駕駛技術(shù)發(fā)展的前沿”。

法國：監(jiān)管機(jī)構(gòu)執(zhí)法時(shí)應(yīng)考慮多種因素

據(jù)報(bào)道，2019年7月，法國數(shù)據(jù)保護(hù)局（CNIL）向一家為個(gè)人提供汽車保險(xiǎn)服務(wù)的公司開出了18萬歐元的罰單，其理由是該公司未保護(hù)好其網(wǎng)站用戶的個(gè)人數(shù)據(jù)。據(jù)了解，該監(jiān)管機(jī)構(gòu)開出上述巨額罰單主要是基于《通用數(shù)據(jù)保護(hù)條例》（GDPR）之規(guī)定。該條例第83條規(guī)定，在個(gè)案中決定是否給予行政罰款及罰款數(shù)額時(shí)，應(yīng)當(dāng)考慮以下因素：侵權(quán)的性質(zhì)、嚴(yán)重程度和持續(xù)時(shí)間，受影響之?dāng)?shù)據(jù)主體的數(shù)量及其所遭受的損害程度；受侵權(quán)影響的個(gè)人數(shù)據(jù)類別；違法行為基于故意或過失；違法行為涉及的個(gè)人數(shù)據(jù)種類；其他適用于個(gè)案的加重或減輕情節(jié)，如獲利；數(shù)據(jù)控制者或數(shù)據(jù)處理者為減輕數(shù)據(jù)主體所遭受的損害而采取的相關(guān)行動(dòng)；與監(jiān)管機(jī)構(gòu)的配合程度等。

各國先后發(fā)布了相關(guān)安全指南

在上述案例中，起初汽車保險(xiǎn)公司的一名客戶發(fā)現(xiàn)，居然能夠通過自己的賬戶訪問其他客戶的個(gè)人數(shù)據(jù)（包括駕駛證復(fù)印件、汽車相關(guān)文件以及銀行信息等），因而向法國數(shù)據(jù)保護(hù)局進(jìn)行了投訴。隨后，法國數(shù)據(jù)保護(hù)局便展開了調(diào)查。調(diào)查發(fā)現(xiàn)人們只要在搜索引擎里輸入客戶的姓名或在該保險(xiǎn)公司網(wǎng)站上填寫相關(guān)數(shù)字就可直接獲取客戶的數(shù)據(jù)。為此，法國數(shù)據(jù)保護(hù)局要求該公司針對這種情形采取補(bǔ)救措施，之后，法國數(shù)據(jù)保護(hù)局對該保險(xiǎn)公司的補(bǔ)救措施進(jìn)行了檢查。

經(jīng)檢查，法國數(shù)據(jù)保護(hù)局發(fā)現(xiàn)，盡管保險(xiǎn)公司采取了一些措施，但仍不足以阻止個(gè)人數(shù)據(jù)的泄露，而且用戶的登錄密碼設(shè)置也不符合安全性要求……檢查人員指出，“該保險(xiǎn)公司本應(yīng)該確保每一個(gè)訪問這些文件的人都獲得授權(quán)，但顯而易見，他們沒有做到”。有鑒于此，法國數(shù)據(jù)保護(hù)局向該公司開出了上述罰單。