近期,我国自动驾驶企业的国际化步伐显著加快,伴随而来的是汽车数据出境问题日益凸显其重要性。为应对这一挑战,工业和信息化部联合其他七个相关部门,共同发布了《汽车数据出境安全指引(2025版)(征求意见稿)》,旨在广泛征求社会各界意见。
该《指引》详细列出了需进行数据出境安全评估的多种情形,其中驾驶自动化场景成为关键一环。针对具体的应用场景,《指引》进一步细化了需申报安全评估的重要数据类型及其判定标准,为自动驾驶企业提供了明确的指导。
自动驾驶企业的核心数据主要包括车辆运行状态数据、道路及人员环境数据,以及车内人员的隐私数据。除了依靠政策标准的约束,企业还需构建全面的数据安全管理体系,并利用技术手段实现全链条的监控与管理。例如,建立数据跨境流动风险预警机制,以便及时发现并评估潜在风险。
根据《指引》的定义,汽车数据处理者涵盖了汽车制造商、零部件和软件供应商、电信运营商、自动驾驶服务商等多个相关方。无论是将境内收集和产生的汽车数据传输至境外,还是允许境外机构或个人访问这些数据,都被视为数据出境行为。
《指引》明确指出,当汽车数据处理者向境外提供重要数据,或累计向境外传输超过一定规模的个人信息时,需申报数据出境安全评估。这些重要数据涵盖了从研发设计到驾驶自动化场景中的各类关键信息,如算法训练数据和驾驶员决策数据集等。
随着自动驾驶技术的快速发展,我国多家企业纷纷加速海外市场布局。例如,百度旗下的萝卜快跑已在全球15座城市展开业务,部署了超过1000辆无人车,并在迪拜进行实地测试。小鹏汽车也表示将加快步伐,将自动驾驶技术引入香港市场。然而,智能网联汽车在运营过程中涉及的大量数据,一旦管理不善或被恶意利用,将带来严重的安全风险。
据研究机构Upstream发布的报告,全球汽车行业在过去五年中因网络攻击遭受的损失超过5000亿美元,其中近70%的威胁来自远程网络攻击。智能网联汽车装备的大量传感器,虽然提升了汽车的智能化水平,但也增加了数据泄露的风险。一辆自动驾驶测试车辆每天产生的数据量可高达10TB,是传统燃油车的数倍之多。
德勤中国科技与转型网络安全合伙人肖腾飞指出,智能网联汽车的重要数据一旦泄露,不仅会对企业声誉造成损害,还会严重侵犯消费者权益。因此,相关企业必须建立完善的数据安全管理制度,加强数据治理。
针对自动驾驶领域的数据安全风险,多位数据安全和网络安全领域的专家建议,应进一步完善政策标准,并增强技术监测手段。绿盟科技集团首席创新官刘文懋建议,应出台强制性国家标准,以督促相关企业落实信息安全要求,并研发部署车辆内部的安全监测产品。
盛邦安全董事长权小文强调,除了政策标准的约束外,企业还需通过技术手段实现全链条的数据安全管控,如采用隐私计算和联邦学习等技术进行数据脱敏。同时,中国政法大学教授郑飞指出,自动驾驶企业在出海过程中,必须了解和遵守各国的跨境数据安全规定,并创新技术手段,如本地化存储、数据脱敏与匿名化处理等,以确保数据在生命周期各环节的安全性。
文远知行创始人兼CEO韩旭表示,随着公司全球化业务的推进,已经在数据安全合规方面投入了大量时间和资源,并将继续加强相关工作,以确保自动驾驶技术的安全应用。
