自动驾驶汽车网络安全的法律规制
[摘 要]在人工智能时代,自动驾驶汽车的网络安全风险将逐步成为产业发展最核心的威胁。主要发达国家已经通过指南和法律法规来防范网络安全隐患。我国应该及时制定自动驾驶汽车网络安全技术标准,制定专门自动驾驶立法融合组织化措施保障网络安全,构筑数据安全的法律防线。
以自动驾驶、图像识别等新技术为代表的人工智能时代已经到来。汽车工业新技术的发展和深度学习技术的应用,推动自动驾驶汽车成为人工智能较早落地的范例。自动驾驶汽车囊括了毫米波雷达、高精度地图、车载传感器等核心部件,借助通信技术与网络技术,实现车与车之间、车与道路等基础设施之间、车辆与用户间、车辆与云端间的信息交互。自动驾驶车辆能根据周边复杂环境即时快速做出行驶决策。自动驾驶既促进人类生活的整体利益,也会给法律秩序带来挑战,由技术研发到产业的发展仍需法律制度的支撑。
不管在道路测试阶段还是未来投入商用,安全始终是自动驾驶汽车追求的首要价值目标。随着科技投入和研发的推进,自动驾驶汽车的技术安全风险将极大程度地降低,如谷歌旗下的Waymo自动驾驶汽车无人工干预的里程达到1.8万公里。但与此对应的网络安全风险急剧增高。技术的每一次进步会引发网络安全风险的全方位升级。在自动驾驶汽车发展的高级阶段,智能化和网联化将实现完全融合,车网融为一体。在自动驾驶汽车的设计、生产、使用和退出的全周期每个环节都会与网络安全发生千丝万缕的联系。自动驾驶汽车与网络、基础设施、车载设备等产生越多连接,就会出现更多被攻击的安全缺口。克莱斯勒汽车公司就曾因信息安全事件实施汽车召回,黑客可能利用安全漏洞侵入汽车系统实施不法行为。当前自动驾驶研发的主要国家的法律政策主要着眼技术安全和功能安全,对网络安全层面关注不足。自动驾驶汽车网络安全的法律规制尤为紧迫。
网络安全在自动驾驶汽车安全体系中占据重要地位。[1]当前自动驾驶汽车研发朝智能化和网联化两个方向发展,智能化技术路线是依靠车辆自身的车载传感器,汽车自主获取信息、作出决策,完成驾驶行为;网联化方案是通过通信技术连接,汽车通过与外部环境交互信息获得决策和控制车辆运行能力。但两种技术进路都离不开网络的掣肘。
自动驾驶汽车首先面临网络传输层面的安全威胁。汽车网络系统由使用平台、互联网、车载系统和终端等多个子系统组成,平台层还与其他应用服务商的子系统连接。庞大的参与主体使得网络安全的链条更为脆弱,网络风险激增。车与人、车、路、互联网等借助无线通信与其它车辆、交通专网、互联网等进行连接。互联网自身加密、认证、传输等方面存在的安全漏洞将被整个交互网络所承接。互联网应用平台除了防范病毒、进行访问控制外,还需防止用户存储到云端的驾驶数据丢失,被非法访问、篡改和盗窃。
自动驾驶汽车还要面对外部网络生态的安全威胁,包括计算机应用程序、道路基础设施和智能充电装置。在技术上能够通过反向分析挖掘未受保护的移动应用软件,直接获取远程服务提供商的接口、参数等核心信息,包括存放在应用程序中的密钥、重要控制接口等。未来自动驾驶汽车得以大规模应用后,势必要求政府对现有道路交通基础设施进行改造。不法分子对诸如电子公路等智能基础设施的攻击同样会导致系统的瘫痪。自动驾驶汽车移动终端车载系统与云端、基础设施、乘客、通讯软件交换庞大的信息,还需存储大量的数据,亦会引发数据安全的新问题。此外,自动驾驶技术未来将大规模运用在电动汽车上,充电桩中存储的用户数据信息可能遭到截获、被动攻击、恶意篡改等威胁。这些辅助网络设施都会成为网络安全风险点。
自动驾驶技术将会增加人类福祉,有效降低人为因素引发的交通事故,减轻人身财产损失;给年老者和残疾人提供出行便利;为人们提供更舒适的生活方式。但不受法律限制,未经充分风险沟通的新技术同样也会带来意外的风险和威胁。自动驾驶汽车产业因其与互联网深度融合,与国家安全紧密关联。在互联网时代,没有网络安全就没有国家安全。从中短期看,现有汽车给国家安全和公共秩序的挑战会降低,但自动驾驶汽车网络安全的疏漏则会给国家安全带来巨大灾难。2016年法国尼斯卡车撞人致84人死亡的恐怖事件就发出警示,如果自动驾驶汽车被劫持,极有可能成为发动袭击的有力武器。自动驾驶技术有助最大程度降低人为干扰因素,能以更高概率实施袭击,形成对国家安全的威胁。现实中“白帽黑客”就曾多次成功远程控制汽车。
自动驾驶汽车收集大量数据,包括用户身份信息、驾驶数据、道路、地理环境、公共建筑等大量数据被存储在设计者和使用者服务平台或云平台。这些信息存在被非法利用的可能。未来自动驾驶汽车将在全球范围内流动,如其他国家开发的自动驾驶汽车在我国境内运营,其网络服务及后台服务不可避免地由国外通信和自动驾驶技术开发企业提供。车辆自身的通信及车联网数据若传送到境外,极有可能泄露敏感信息,危害国家安全。目前在我国汽车产业布局中合资企业占据一定比例,未来生产自动驾驶汽车不可避免存在国内和国外网络服务的分工,境内平台与境外平台是否互联并传输共享数据也是国家安全的重点议题。
自动驾驶汽车行业已成为主要发达国家重点扶持的新兴产业。习总书记指出要建设科技强国必须坚持科技创新和制度创新“双轮驱动”。一国看待新技术的态度决定了新兴产业的发展前景。科技之争更是制度之争,前沿技术的研发和应用需要宽松的政策和法律环境支撑。当前欧美发达国家在自动驾驶汽车政策法规层面展开竞争,吸引更多技术实体参与研发。我国也有必要调整政策,以刺激和推动产业发展。
新兴产业总是面临风险和机遇,政策和法律规制取向要在创新和责任承担间寻求妥善平衡。部分国家的法律规定,在道路测试阶段发生的损害主要由系统设计商和车企承担赔偿责任。在人工智能时代,自动驾驶汽车投入商用后,一旦发生网络安全事件,损害波及范围、深度、破坏性更大。若在制度设计中规定企业承担巨大的赔偿责任,则可能阻碍其创新发展,进而导致一国新兴产业的萎缩。划定科学合理的网络安全标准,厘定企业的安全责任,使其获得一定程度的责任豁免,才能促进产业良性发展。作为产品的自动驾驶汽车是否满足网络安全标准也将成为消费者选择的重要理由。自动驾驶研发企业、产业联盟和行业组织已经开始探索统一的网络安全标准。为保持我国自动驾驶汽车产业在未来激烈的国际竞争中的优势,也必须尽快制定自动驾驶汽车网络安全法律政策。
数据安全是网络安全的重要组成部分。未来自动驾驶汽车被定义为“轮式机器人”,其本身需要大量的精确数据支撑和运转。要完善出行方式,应对更复杂的出行情形,自动驾驶系统必须尽可能多地采集道路和用户信息来完成运算,模拟可能发生的情形,快速予以回应。
在出行过程中,人本身与车辆、网络、车载系统等发生交互,会产生大量用户数据包括使用时间、精确定位、偏好、通信信息等。这些海量数据蕴含商业营销价值,存在着被不法分子利用的可能。自动驾驶汽车中哪些数据可被采集、数据如何利用等关键问题还需要法律来规范。自动驾驶系统对用户数据过度采集和使用还存在侵犯用户隐私的风险。目前我国没有立法明确自动驾驶汽车获取的数据权属,有必要对数据安全作出规范。
自动驾驶汽车作为新技术必须监管先行,当前主要发达国家发布指南和法律法规进行相应规范,针对网络安全采取了效力不同的规制模式,凸显不同安全立场。 [2]以谷歌公司为代表的美国科技企业专注于开发较高级别的自动驾驶汽车,面对更加严峻的网络安全威胁,开放和超前的政策和法律监管为行业主体划定了义务和责任。以传统车企为代表,德国等欧洲国家致力于研发低级别的自动辅助驾驶汽车,认为自动驾驶汽车带来的挑战可以在传统法律制度内解决。欧盟倾向于制定宽松的原则、指南和最佳实践,为产业提供引导,由产业联盟通过行业技术措施来规范。对新兴技术采取何种规制模式需要从本国产业发展情况、全球竞争格局、已有制度环境来考虑。总体来说,全球范围内各国自动驾驶汽车网络安全策略逐步从“软法”走向“硬法”,由行业规制走向政府指导。
自动驾驶技术从设计、研发、生产、使用全过程都涉及网络安全难题。随着技术的进步,网络安全风险不是传导式,而是倍增式发展,必须遵循全过程监管的模式。目前英国、美国和欧盟发布的网络安全指南和最佳实践中指出了这一基本原则。英国运输部与国家基础设施保护中心共同制定的《联网和自动驾驶汽车网络安全关键原则》中规定:供应环节对安全风险进行恰当地合比例地评估与管理;通过产品售后服务、处理应急事件来保证系统在全周期的安全性;所有组织包括分包商、供应商和潜在第三方在内应共同提升系统的安全性;在整个生命周期管理所有软件的安全性。借此通过组织系统、责任划分的方式管理全过程的网络安全风险。2016年10月美国发布的《现代汽车信息安全最佳实践》也要求在开发阶段考虑网络安全,遵循产品开发流程,避免设计系统存在不合理的安全风险,构建特定的流程,明确考虑汽车整个生命周期的隐私和网络安全风险。全过程监管原则更体现在具体风险规避制度中。
当前自动驾驶汽车网络安全在规制主体上更着眼于开发公司内部的自我规制。通过企业内部组织化措施来防范风险扩散。包括欧盟在安全指南中要求自动驾驶汽车的设计者、生产者和使用者在企业内部建立专门的网络安全专家团队和信息安全管理系统,以此评估网络威胁类型和可能的案例。美国《汽车安全最佳实践》提出在企业内部建立如下组织制度:信息共享制度,分享与网络安全风险、事件有关的信息,尽可能实时展开合作;隐患报告制度,建立自身的隐患报告披露制度或采用在其他行业使用的制度;事故响应程序,建立文件处理流程,以响应事故、隐患和检测到的漏洞,订立组织内部各负责部门的角色和责任,明确内部及外部协调要求;自我审计,记录与网络安全流程相关的细节;风险评估,开发并使用基于风险的方法,以评估整个供应链的隐患;渗透测试和文件记录,进行网络安全测试,保留测试产生的所有文件;自我审查,建立内部审查与记录网络安全相关活动的程序 。英国运输部与国家基础设施保护中心共同制定了《联网和自动驾驶汽车网络安全关键原则》,主要内容是:由董事会级别负责系统安全的建立、管理及提升这些措施着眼全过程的安全制度设计,为企业开展研发活动提供了较好参照。这些组织化措施能最大程度在自动驾驶汽车中及早发现、处置和提升网络安全风险。
作为新技术的自动驾驶汽车本身旨在解决技术难题,技术化措施的升级无疑是最为有效的防范方法。英国要求各供应环节对安全风险进行恰当地合比例地评估与管理;通过产品售后服务、处理应急事件来保证系统在全周期的安全性;系统采用深度防御设计;在整个生命周期管理所有软件的安全性;数据存储和传输是安全的、可控制的;系统能够抵御攻击,能在防护措施或传感器故障时做出适当响应。欧盟《智能汽车网络安全和适应力》研究报告提出的技术措施要求包括:如果发生网络安全事件,对安全事件必须进行记录,同时用户需要被告知安全事件,以获得充分的风险信息。提供端要降低网络受到攻击的风险,及时发现和防范标准安全措施的隐患或局限性,将拒绝服务视作对通讯基础设施的日常威胁。依靠密码学专家设计安全管理秘钥,鼓励使用安全性高的密码,使用多重用户认证方式。实施透明措施,科学设计系统。明确进入系统控制权限,实施进入控制措施以区分不同用户和应用的优先权,使进入和修改可追溯。采取匿名的、不可链接措施保护个人数据,当车辆发生所有权转移时能确保用户数据被安全删除等 。美国众议院通过了《确保车辆演化的未来部署和研究安全法案》以法案的形式要求维护网络安全:检测和应对网络攻击、未授权入侵、错误、虚假信息或车辆控制指令的实践策略;识别、评估和减轻来自网络攻击或未授权的入侵,包括错误、虚假和恶意的车辆控制指令的合理可预测威胁的过程;为减轻高度自动化车辆或半自动化车辆面临的危险而采取预防性措施,包括事件应对计划、入侵检测和预防系统。
当前我国自动驾驶汽车产业处于快速追赶阶段,部分企业发展速度较快,处于领先地位。整体来看,大部分自动驾驶汽车还处于研发阶段,完整的产业链尚未形成,自动驾驶汽车投入大范围商用还有距离,通过行业自治保障网络安全还有较长路程。新兴技术必须先行立法,虽然我国已在国家和地方层面上出台规范性文件对无人驾驶汽车道路测试等作出规定,但国家和地方规定都着重强调车辆功能安全,较少涉及到网络安全。在世界各国网络安全走向硬法规制的情形下,我国有必要尽早对网络安全立法,持续保证法律制度的竞争优势。
在成熟法规出台前,技术标准先行能提高规制效益。实际上,我国已经尝试制定自动驾驶汽车网络安全相关的行业标准。2017年2月,我国车载信息服务产业应用联盟发布《车联网网络安全防护指南细则(征求意见稿)》。车载信息服务产业应用联盟是国家标准化管理委员会团体标准试点单位,指南细则属于团体标准范畴。该细则以建立车联网一体化的防护体系为核心,从安全软件选择与管理、配置与补丁管理、边界安全防护、物理与环境安全防护、身份认证、远程访问安全、安全监测与应急预案演练、资产数据安全、供应链管理、落实责任等作出规定来夯实网络安全基础。这一指南细则尚未正式出台,具有重要参考意义,但规定较为宽泛,可操作性不强。纵观各国自动驾驶汽车网络安全规制实践,政府在网络安全政策和标准制定方面发挥了主导作用。我国民众对自动驾驶技术接纳程度较高,自动驾驶汽车产业发展迅速,急需最低限度的网络安全技术标准来指引行业发展。企业可在主管部门出台的强制标准基础之上制定更为严格的网络安全机制和流程。
有针对性的技术措施是防范网络攻击的重要手段,自动驾驶技术发展越成熟,网络安全越有保障。随着自动驾驶汽车技术的发展,与其相关的基础设施都将成为重要安全主体。《中华人民共和国网络安全法》也为技术标准提供了法律依据。第十条要求“建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。”我国出台的强制技术措施需要包括完整地记录所发生的网络安全事件,能够为后续破解安全难题提供数据支持和改进的基础。自动驾驶系统开发者要实施透明措施,基于合理和成比例的理由设计和开发安全系统。自动驾驶汽车设计者、使用者在进入系统时应尽量提高密码使用级别,设置多重认证方式以增加系统的破解难度,提高抵御风险的能力。英美等国规定高级别人员才能进入系统,我国的自动驾驶系统设计时也应清晰界定进入系统的控制权限,针对不同的人员授予不同的权限,最大程度地降低人为风险。自动驾驶汽车不可避免地要采集大量数据。采取匿名的、不可链接、可安全删除的措施保护用户的数据十分必要,防止数据被非法获得或窃取,保护用户的知情同意权。
专门立法需要明确规定自动驾驶汽车强制网络安全认证,将网络安全纳入汽车安全的指标体系,网络安全成为产品准入标准。如果自动驾驶车辆没有通过网络安全验证,则无法上路行驶。同时立法还需要规定由专门人员进行自动驾驶汽车网络安全评估,以保障这一准入标准的有效落实。
我国没有专门的法律规范自动驾驶汽车网络安全。[3]2017年12月我国发布的《国家车联网产业标准体系建设指南(智能网联汽车)》明确指出网络安全标准必须能够保证车辆的安全性和可靠性。 指南中没有针对自动驾驶汽车网络安全的专门条款,无法为企业和公众提供行为预测和指引。
自动驾驶汽车涉及的议题包括道路测试的条件,现有规范性文件尚未回应开放道路测试难题,《道路交通安全法》中没有相关条文规范这一问题。自动驾驶汽车系统算法无法对极端情况作出编程处理。现阶段自动驾驶汽车也不符合《道路交通安全法》中车辆生产和销售的许可条件。[4]自动驾驶汽车致人损害的责任划分和保险制度还需要法律填补。要一揽子解决这些难题,势必要突破现有法律框架,这会耗费较高的立法成本和时间成本。出台自动驾驶汽车的专门立法更契合实际,符合效率和安定性原则。
自动驾驶汽车网络安全立法要组建网络安全专家团队,这是自动驾驶汽车网络安全规制的有效组织措施,也是新兴科技企业必须承担的主体责任。当前自动驾驶汽车研发公司较少设立专门的网络安全团队,这也与其缺乏对网络安全的重要性认知相关。立法还应要求企业建立自动驾驶汽车高级别网络安全机构,确定安全责任制度和安全责任人。安全人员具备较高的知识水平和应变能力,同时控制进入网络的权限,防范人为破坏的风险,有效将安全风险降到最低。网络安全还需要依赖大量的事故信息矫正错误,建立充分的事故报告和信息分享制度。网络安全事件的发生往往从系统漏洞开始,任何微小的安全隐患必须被报告,被用户所知晓以提高安全意识。自动驾驶汽车同样也需“事后学习”,通过分析事故数据,自动驾驶车的“智能”能进一步提高,在短时间内处理信息的速度和准确性提升,应对网络攻击的能力更强。自动驾驶汽车立法需明确规定自动驾驶汽车生产者、使用平台建立强制网络安全事故记录制度,建立安全事故报告,并向用户分享事故信息,提高用户风险预防意识。
自动驾驶汽车的网络安全还与数据安全高度相关。不论是高级别自动驾驶还是自动辅助驾驶技术,车辆的运行需要大量数据作支撑,同时也会产生海量数据,获知车辆用户的一般信息和驾驶信息,如地理信息、汽车行驶速度、耗时、目标定位。私营和公共部门都可能利用用户数据实现其特定目的。比如根据算法通过分析用户驾驶行为,包括通过消费记录分析用户的经济状况,部分数据也可以用来帮助发现安全异常行为,用来监测和限制黑客的行动。数据一旦被非法盗取、篡改或被非法利用,就会威胁网络安全。
自动驾驶汽车的开发者、应用者都必须遵守法律规定。我国《网络安全法》关注网络空间数据的保护,要求网络运营者采取数据分类、重要数据备份和加密等措施;防止网络数据泄露或者被窃取、篡改;关键信息基础设施运营者采取数据容灾备份并在境内进行存储。数据信息过于庞大,不是所有信息都是法律规制的对象,必然只有经过选择的数据才能纳入监管。我国《数据安全法》已经提上立法的日程,其与《网络安全法》各有侧重,将对国家安全、经济发展,以及社会公共利益密切相关的重要数据作为调整对象,共同维护数据的安全和可控。参考美国“受控非秘信息”(Controlled Unclassified Information)制度,其通过严密的登记制度,详细列出了18个门类作为保护对象。①我国《数据安全法》在借鉴域外立法时要未雨绸缪将自动驾驶汽车运行过程中产生的关键驾驶数据纳入“重要数据”的分类,将其纳入规制。被列入立法规划的《个人信息保护法》也要保护自动驾驶汽车用户的个人信息,通过设置用户知情同意权保护数据安全。当自动驾驶系统收集、存储、使用用户的基本个人信息,如身份信息、行车路线、车牌号等,系统必须明确清晰地告知用户。用户决定是否允许系统收集,但用户同意与否不影响自动驾驶汽车的正常使用。无论基于何种目的使用用户数据,自动驾驶系统设计商或车辆生产商都必须取得用户的同意。《网络安全法》、《数据安全法》和《个人信息保护法》将构成严密的数据安全法律体系。
[1]黎宇科.国外智能网联汽车发展现状及启示[J].汽车工业研究,2016(1).
[2]李磊.论中国自动驾驶汽车监管制度的确立[J].北京理工大学学报,2018(3).
[3]陈晓林.无人驾驶汽车对现行法律的挑战及应对[J].理论学刊,2016(1).
[4]张玉洁.论无人驾驶汽车的行政法规制[J].行政法学研究,2018(1).