隨著新一代能源技術、物聯網技術、通訊技術和人工智能技術的發展,全球汽車行業開啟了向“電動化、智能化、網聯化、共享化”方向的轉型。數據成為驅動智能網聯汽車發展的重要因素,汽車數據安全的重要性日益凸顯。近期《數據安全法》《個人信息保護法》先后發布,結合2016年通過的《網絡安全法》和2020年通過的《網絡安全審查辦法》,國家在數據跨境傳輸安全方面的管理制度框架初步成型,而今年10月試行的《汽車數據安全管理若干規定(試行)》也為汽車數據出境做出了明確規制。在此背景下,CNCERT依托宏觀數據,聯合智聯出行研究院(ICMA)對15類主流車型2021年8月至2021年11月的數據出境情況進行分析,結果如下。
一、 總體概述
根據宏觀數據,本次分析期間境內與境外汽車數據通聯7,327,654次,其中汽車數據出境2,621,348次,相比5月-8月增加145.3%。涉及車輛133,448個,其中國產車輛110,867 個,進口車輛22,581個。
汽車數據跨境通聯情況按日統計如圖 1所示。相比于入境的車輛數據,出境的車輛數據呈現出明顯的周期性,單日最大出境次數達178,159次(8月26日),推測存在境外組織機構定期收取大量境內車輛數據的情況。
圖 1 汽車數據跨境通聯情況按日統計
存在汽車數據出境行為的汽車品牌11個,占所分析品牌的73.3%。其中排名第一的品牌出境次數達1,682,676次,具體情況如圖 2所示,整體來看,汽車數據出境是涉及多類汽車品牌的普遍行為。
圖 2 各類品牌汽車數據出境次數
二、 境內情況分析
從車輛數據的出境情況來看,分析期間境內31個省級行政區均存在車輛數據出境行為,出境次數分布情況如圖 3所示,其中福建省、北京市、天津市、浙江省、廣東省、上海市等六地出境汽車數據的次數占總出境次數的95%。
圖 3 各行政區汽車數據出境次數分布情況
出境車輛數據的境內IP地址分布情況如圖 4所示,境內數據源主要位于廣東省(19.1%)、北京市(16.7%)、河北省(11.8%)、上海市(5.7%)、浙江省(5.7%)、福建省(5.1%)等行政區。
圖 4 境內IP地址分布情況
境內IP地址的應用場景如圖 5所示(圖中“其他”包括學校單位、移動網絡、組織機構、CDN等場景),出境場景以三種形式為主,分別是數據中心、家庭寬帶和企業專用,其余場景的IP地址數量和數據出境次數均較小。其中,數據中心場景下的IP地址數量和出境次數均最多,分別達5,319個和2,496,467次;家庭寬帶場景下的IP地址有4,472個,明顯多于企業專用的914個,但其每個IP地址的平均數據出境次數僅為9.5次,明顯少于企業專用的82次。
圖 5 不同應用場景下IP地址數量和數據出境次數
三、 境外情況分析
從境外接收境內車輛數據情況來看,分析期間境外共有146個國家或地區獲取境內車輛數據。獲取境內數據次數前十的國家或地區情況如圖 6所示,其中德國獲取境內汽車數據次數最多,占總次數的64.4%。
圖 6 獲取境內汽車數據次數前十的國家或地區
獲取數據的境外IP地址數量前十的國家和地區情況如圖 7所示,其中美國的IP地址數量最多,占到總量的53.2%;中國香港IP地址數量占總量13.6%,位于第二;德國雖然獲取境內數據次數最多,但其IP地址數量排在第三位,占總量的6.7%。
圖 7 IP地址數量前十的國家或地區
四、 傳輸數據分析
分析發現,部分汽車數據出境過程中同時涉及身份證號(行駛證號)(出境4800余次)、駕駛證檔案編號(出境6100余次)、車牌號(出境1萬余次)、手機號/固話(出境3700余次)、地址出境(1500余次)、經緯度(出境1.6萬余次)等個人信息和地理位置信息。
身份證號在《個人信息安全規范》(GB/T35273-2020)中被列為個人敏感信息,其出境行為的管理更為嚴格。分析期間,獲取境內身份證號次數前十的國家或地區如圖 8所示,其中美國是獲取境內數據次數最多的國家,占總量的34.1%。
圖 8 獲取身份證號前十的國家或地區
經緯度數據是一類地理位置信息,根據《汽車數據安全管理若干規定(試行)》,當涉及軍事管理區、國防科工單位以及縣級以上黨政機關等重要敏感區域時,被歸為重要數據,按照現行數據安全管理框架應控制出境。分析期間,獲取境內經緯度次數前十的國家或地區如圖 9所示,其中美國依然是獲取境內數據次數最多的國家,占總量的51.6%。
圖 9 獲取境內經緯度次數前十的國家或地區
五、 結語
CNCERT和ICMA基于宏觀數據,對8月至11月期間我國汽車數據出境的總體情況、境內和境外具體情況、傳輸數據等方面,對我國目前的汽車數據出境的態勢和特點進行了分析。CNCERT和ICMA將長期關注汽車數據出境安全問題,持續開展數據分析和態勢通報工作。
