作者:今纶
(资料图片)
我对新能源车是有好感的,确实够智能,够省燃油费,而且确实很适合在市内开着上下班,所以对所有黑新能源车的帖子都一笑而过。
不过,就数据安全而言,新能源车一直都没完全过坎,动不动就爆个大新闻,让人痛心疾首或者瑟瑟发抖。
2018年7月,网络安全公司UpGuard的安全研究员Vickery报告称,来自特斯拉、丰田、福特、通用、菲亚特克莱斯勒以及大众等100多家厂商的近4.7万件敏感文件、机密数据被发布到了网上。
受泄漏影响的100多家公司均有着一家共同服务器提供商,Vickery表示,他在这家公司的备份服务器上找到了这些数据,这些服务器没有密码保护,因而获知其位置的任何人都可以从中获取数据,甚至不需要“黑入”。这叫“裸奔”,这里面涉及燃油车厂商和新能源车厂商,这些都是海外车企。
还有国内车企,2022年12月,蔚来数据遭窃取,部分车主信息泄露,公司被勒索225万美元。蔚来表示,坚决不会向网络犯罪行为低头。
01
保密能力和数据要匹配
这不是蔚来第一次在网络安全方面出问题。2021年9月1日,蔚来风险管理部门收到相关投诉,投诉表明该公司的一位员工利用职位之便,使用公司内部服务器进行了以太坊挖矿,时间长达一年以上。
一位员工使用公司内部服务器“挖矿”,不是一天两天,而是365天,蔚来风险管理部门一直没发现。
要知道,“挖矿”这事儿占用CPU资源可能影响正常服务,还有就是明显耗电。但是风险管理部门面对数据异常,面对电费异常,完全没反应,直到接到投诉才知道,这实在是有点迟钝。
这员工要是不是“挖矿”,而是干点别的呢?想想就背部发冷。
风险管理人员应该如猎人一样,在公司的网络、数据、办公空间巡逻,寻找可能的异常,然后迅速主动解决问题,而不是被动解决问题。
这一次又是一样,黑客已经把门攻破了,把数据偷走了,把勒索信扔到蔚来脸上了,蔚来才反应过来。
当然,数据安全是个薄弱环节,非蔚来一家“独有”,多数新能源车厂家的数据安全工作做得也很一般,只不过这次运气好,躲过了黑客的飞刀而已。
怎么办?
我想办法肯定有,但需要各方配合。
从厂家这一端来说,数据安全工作要提升是肯定的,但提升到多高就够了,是个没有止境的事儿。应该说,斗法时刻都在进行。
所以,还有一个办法,那就是不要收集那么多数据,控制住自己不断向车主收集、索取数据的强迫症。
现在几乎所有的新能源车厂家都有一个毛病,无止境地向用户索取数据,美其名曰“为你好”,改善产品使用性能。不可否认,绝大部分数据确实被用到了正道上,但是只要有少部分被泄漏,事情就大了。
今年6月,德国柏林警方和政府刑事调查办公室负责人宣布,禁止特斯拉品牌的汽车进入他们的单位。并且,警察总部和州刑事警察局等部门,禁止购买特斯拉制造的汽车作为共用财产。原因是柏林警方获悉“特斯拉的所有车型都会对车辆环境进行永久性、不显眼的视频记录,并将这些记录导出”,这些记录“永久存储在特斯拉位于德国国外的荷兰服务器上”。
6月29日,起亚汽车发布了《360°全景功能关闭通知》公告。公告中起亚汽车表示,“根据国家个人信息保护及汽车数据安全管理相关法律法规的要求,自7月11日起,将关闭 360°全景功能。”
原因很简单,车企收集的数据非常多,远程信息处理日志数据(车速、刹车和加速系统、安全系统、电子制动器等信息)、车辆驾驶行为数据(装载及使用情况、包括里程、能耗、行驶时间、平均速度)、车载导航应用数据(导航目的地、导航实时数据、行驶轨迹、主动收藏的位置)、导航实时数据、行驶轨迹、导航设置数据以及车载娱乐系统资料等应有尽有。
搜完一合成一处理,车主完全没有隐私,万一泄漏,后果不堪设想。
更离谱的是,某款车的车主向媒体反映称,该车汽车车机更新时出现的“智能系统软件许可协议”,只给了同意选项,不同意协议甚至无法继续用车。
新能源车要数据要迭代,我完全理解,可是保密能力和索取的数据要匹配呀,你只索取数据,对数据安全没有完全保障,你要那么多数据干什么?等着被偷?
没错,数据足够了,你可以把车改得更好,你可以通过渠道推送更多商品给用户,可是这和车主所冒的风险相比,不值一提。
车,本质上是个运输工具,燃油车当然也是,如果某人开了一辆新能源车时刻要担心数据泄漏,这真的好吗?如果新能源车记录下他的容貌、声音、喜怒哀乐,这些数据在服务器被偷了,被人以几块钱的价格卖了,然后收到无数的推销电话,这合适吗?
02
车主有权选择不授权数据
当然,我不是说燃油车有多么好,历史潮流还是不可阻挡的。
燃油车时代,车保险快到期时,各大保险公司业务员一样每天打电话发短信骚扰你,传统车企的4S店早把信息卖光了。
诚然,国家目前对汽车数据内容、采集、管理、传输的涉密与脱敏的建规立法正在加速进行当中,未来会有改观。
但我想提一个更简单的解决方案,即把数据的委托权、处置权还给车主。什么意思?
管理部门、车企应该明确这样一个规则:车主的数据应该是车主负责。我不给你,你不能抢,也不能强迫我给你。
因此,正常的行业规则是:车主有权选择不授权任何数据给车企,但依然可以正常使用新能源车,就是少一点自适应和人工智能带来的舒适感而已。
什么意思?我们知道,车主授权新能源车收集、加工、使用自己的数据之后,本质上是一个车学习人的习惯、声音、指令的过程,用起来,感觉人车合一,因为车越来越了解人,因为数据在不断优化,讨车主喜欢。
这和某些短视频APP一样,你越喜欢看宠物,平台就越来越多给你推宠物短视频,这叫“大数据爱你”,大数据让你欲罢不能。
可是,如果我不希望车来揣测我的习惯,因为这样有一种被操纵感觉,很不爽,我应该有权拒绝所有的数据收集。
开新能源车如果能像开一台普通燃油车一样,只是不用油,用电而已,这样可不可以?理论上是可以的。
有些车主不希望自己的数据“裸奔”的,因为他们很珍惜自己的隐私,他们希望要一辆纯净版的新能源车,有几个厂家能做到?
既然,我不授权数据给车企,自然就不存在泄漏了。那么,为什么车企不肯这么干?
你看,数据安全的问题是可以从两个方向解决的:
第一,尽量不搜集,非必要不搜集,这是从车企的角度来说。
第二,授权给车主自选,车主可以完全不授权给车企任何数据,这是从车主的角度来说的。
在数据安全难以得到保障的前提下,车企不要太贪婪,不要做一头数据怪兽,什么数据都想“吃”,一点一点改进,一点一点夯实数据安全的围墙,这才是最实在的。
数据安全正在卡新能源车的脖子,必须想想办法了。