随着新一代能源技术、物联网技术、通讯技术和人工智能技术的发展,全球汽车行业开启了向“电动化、智能化、网联化、共享化”方向的转型。数据成为驱动智能网联汽车发展的重要因素,汽车数据安全的重要性日益凸显。近期《数据安全法》《个人信息保护法》先后发布,结合2016年通过的《网络安全法》和2020年通过的《网络安全审查办法》,国家在数据跨境传输安全方面的管理制度框架初步成型,而今年10月1日即将试行的《汽车数据安全管理若干规定(试行)》也为汽车数据出境做出了明确规制。在此背景下,CNCERT依托宏观数据,联合智联出行研究院(ICMA)对15类主流车型近期的数据出境情况进行分析,结果如下。

一、 车辆识别码等汽车数据大量出境

类似于身份证号是中国公民的唯一标识,车辆识别码是汽车的唯一标识。共发现我国境内车辆识别码通过网络出境超过100万次,按日统计情况如图 1所示,单日最大出境规模近8.3万次。

图 1 车辆识别码出境每日统计

结果显示,从7月某日开始,每隔7天会有一次数据大量出境的情况。经过深入分析发现主要为境内某汽车城数据中心向位于境外的某电子商务服务公司数据中心传送某品牌汽车数据,推测主要用于汽车销售。除去集中大量传输的5天之外,平均每天传输次数仍达到7000次左右,整体上汽车数据出境量大、频率高。

二、 汽车数据出境场景复杂多样

发现存在汽车数据出境行为的境内IP地址45,638个,覆盖境内全部31个省级行政区。不同应用场景下的IP地址数量和出境次数如图 2所示(图中“其他”包括CDN等情形)。

图 2 不同应用场景下IP地址数量和汽车数据出境次数

家庭宽带场景下的IP地址数量最多,达36,293个,但每个IP地址的汽车数据出境次数较少,推测主要为个人用户的境外访问行为;数据中心场景下的IP地址数量排在第二位,达5,838个,其汽车数据出境次数居于首位,达944,078次,但数据中心的责任主体难以溯源;企业专线IP地址有1,798个,排在第三位,每个IP地址的平均汽车数据出境次数达27次,仅次于数据中心,企业专线的IP地址一般由某一企业或组织机构独享。针对企业专线场景,共发现可识别单位共791个。如图 3所示,可识别单位类型涵盖汽车销售维修服务、汽车制造、物流及客运、政务、保险和产权交易等(图中“其他”包括科研机构、银行等情形)。整体来看汽车销售维修服务类企业占比超过50 %。

图 3 可识别责任主体类型分布

三、 汽车数据出境行为普遍存在

共分析15类品牌的汽车数据,其中有12类产生了出境行为,覆盖率达80 %,其中排名第一的品牌出境次数达413,435次,具体情况如图 4所示,整体来看,汽车数据出境并只不是某类汽车品牌的个别行为,而是涉及多类汽车品牌的普遍行为。

图 4 出境汽车数据所属的汽车品牌

四、 出境数据涉及个人信息和重要数据

分析发现,部分出境数据涉及了身份证号(行驶证号)、驾驶证档案编号、车牌号、手机号/固话、地址、经纬度等个人信息和地理位置信息,具体情况如表 1所示。其中,身份证号和经纬度数据出境均超过1万次。个人信息涉及到公民的个人隐私,地理位置信息涉及到汽车的行驶轨迹,它们与汽车数据结合可以还原驾驶人的身份和汽车信息,形成驾驶人画像,再结合经纬度即可形成活动轨迹。

表 1 个人信息和地理位置信息出境情况

五、 结语

CNCERT和ICMA基于宏观数据,从汽车数据出境次数、出境场景、出境品牌覆盖度、重要数据出境行为等四个方面,对我国目前的汽车数据出境的态势和特点进行了分析。CNCERT和ICMA将长期关注汽车数据出境安全问题,持续开展数据分析和态势通报工作。

声明:本文来自关键基础设施安全应急响应中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。