随着新一代能源技术、物联网技术、通讯技术和人工智能技术的发展,全球汽车行业开启了向“电动化、智能化、网联化、共享化”方向的转型。数据成为驱动智能网联汽车发展的重要因素,汽车数据安全的重要性日益凸显。近期《数据安全法》《个人信息保护法》先后发布,结合2016年通过的《网络安全法》和2020年通过的《网络安全审查办法》,国家在数据跨境传输安全方面的管理制度框架初步成型,而今年10月试行的《汽车数据安全管理若干规定(试行)》也为汽车数据出境做出了明确规制。
在此背景下,CNCERT依托宏观数据,联合智联出行研究院(ICMA)对15类主流车型2021年8月至2021年11月的数据出境情况进行分析,结果如下。
根据宏观数据,本次分析期间境内与境外汽车数据通联7,327,654次,其中汽车数据出境2,621,348次,相比5月-8月增加145.3%。涉及车辆133,448个,其中国产车辆110,867 个,进口车辆22,581个。
汽车数据跨境通联情况按日统计如图 1所示。相比于入境的车辆数据,出境的车辆数据呈现出明显的周期性,单日最大出境次数达178,159次(8月26日),推测存在境外组织机构定期收取大量境内车辆数据的情况。
存在汽车数据出境行为的汽车品牌11个,占所分析品牌的73.3%。其中排名第一的品牌出境次数达1,682,676次,具体情况如图 2所示,整体来看,汽车数据出境是涉及多类汽车品牌的普遍行为。
从车辆数据的出境情况来看,分析期间境内31个省级行政区均存在车辆数据出境行为,出境次数分布情况如图 3所示,其中福建省、北京市、天津市、浙江省、广东省、上海市等六地出境汽车数据的次数占总出境次数的95%。
出境车辆数据的境内IP地址分布情况如图 4所示,境内数据源主要位于广东省(19.1%)、北京市(16.7%)、河北省(11.8%)、上海市(5.7%)、浙江省(5.7%)、福建省(5.1%)等行政区。
境内IP地址的应用场景如图 5所示(图中“其他”包括学校单位、移动网络、组织机构、CDN等场景),出境场景以三种形式为主,分别是数据中心、家庭宽带和企业专用,其余场景的IP地址数量和数据出境次数均较小。其中,数据中心场景下的IP地址数量和出境次数均最多,分别达5,319个和2,496,467次;家庭宽带场景下的IP地址有4,472个,明显多于企业专用的914个,但其每个IP地址的平均数据出境次数仅为9.5次,明显少于企业专用的82次。
从境外接收境内车辆数据情况来看,分析期间境外共有146个国家或地区获取境内车辆数据。获取境内数据次数前十的国家或地区情况如图 6所示,其中德国获取境内汽车数据次数最多,占总次数的64.4%。
获取数据的境外IP地址数量前十的国家和地区情况如图 7所示,其中美国的IP地址数量最多,占到总量的53.2%;中国香港IP地址数量占总量13.6%,位于第二;德国虽然获取境内数据次数最多,但其IP地址数量排在第三位,占总量的6.7%。
分析发现,部分汽车数据出境过程中同时涉及身份证号(行驶证号)(出境4800余次)、驾驶证档案编号(出境6100余次)、车牌号(出境1万余次)、手机号/固话(出境3700余次)、地址出境(1500余次)、经纬度(出境1.6万余次)等个人信息和地理位置信息。
身份证号在《个人信息安全规范》(GB/T35273-2020)中被列为个人敏感信息,其出境行为的管理更为严格。分析期间,获取境内身份证号次数前十的国家或地区如图 8所示,其中美国是获取境内数据次数最多的国家,占总量的34.1%。
经纬度数据是一类地理位置信息,根据《汽车数据安全管理若干规定(试行)》,当涉及军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域时,被归为重要数据,按照现行数据安全管理框架应控制出境。分析期间,获取境内经纬度次数前十的国家或地区如图 9所示,其中美国依然是获取境内数据次数最多的国家,占总量的51.6%。
CNCERT和ICMA基于宏观数据,对8月至11月期间我国汽车数据出境的总体情况、境内和境外具体情况、传输数据等方面,对我国目前的汽车数据出境的态势和特点进行了分析。CNCERT和ICMA将长期关注汽车数据出境安全问题,持续开展数据分析和态势通报工作。