盘古团队成立于2014年,在移动应用、移动操作系统、移动智能设备领域开展大量的漏洞研究以及程序自动化分析工作,近年来围绕App相关的个人信息保护、数据安全工作也做了许多的研究工作,有着丰富的技术积累。2022年8月25日,由盖世汽车主办的2022中国汽车信息安全与功能安全大会中,赵帅围绕智能网联汽车中与个人信息相关的场景,结合以往积累的检测技术,进行了技术应用和用户信息收集合规化等层面的分享。
当前,智能网联汽车在个人信息保护合规方面的压力与日俱增。过度索权、过度收集用户个人信息等问题在车端App中普遍存在,在车机端的信息收集使用过程中,也同样存在着许多问题。赵帅表示,隐私合规是一个逐步完善的过程,需要多方技术的持续投入。针对车端第三方应用的检测,可结合现有的手机端App检测技术,根据不同场景进行进一步拓展。
赵帅 奇安信 盘古隐私安全业务部总经理
以下为演讲内容整理:
今天我给大家带来的分享内容主要围绕智能网联汽车中与个人信息相关的场景,我们结合以往积累的检测技术,在这里进行技术应用层面的探索。
智能网联汽车信息安全合规迫在眉睫
先来看背景。目前有80多个国家和地区颁布了个人信息保护相关的法律法规要求,包括GTPR要求、CCPA要求等。在国际社会对于个人信息保护与法规出台越来越紧密的情况下,中国特别是自2018年之后,各种法律法规中与个人信息保护、数据安全相关的内容在不断地出台。
可以看到目前在立法、规定、标准上的内容非常多,其中也包含了一些跟智能网联汽车相关的内容,比如《汽车数据安全管理若干规定(试行)》、关于车联网信息服务、用户信息保护要求等一系列的标准。今年上半年工信部出台了《关于印发车联网网络安全和数据安全体系标准建设指南通知》,在未来的几年加紧出台相关的标准文件、关于车联网的数据采集建设指南等。这些标准和规定出台之后,过去两年无论是中央监管如工信部、网信办,还是地方监管如属地通管局、网信办都会有相关的专项治理行动,围绕着移动APP、移动设备违规收集使用个人信息方面做了很多通报案例,这些案例大多围绕着大家经常用到的头部应用开展。其中的问题也比较集中,例如过度索权、过度收集个人信息等问题在智能网联汽车中,尤其是车主App中普遍存在。
在智能网联汽车的联网环境中,有非常多与个人信息收集使用处理相关的场景,比如车端App可能会存在注册登陆、车况查询、车辆定位具体的功能,这时往往会用到车主或设备商的信息;在服务端会有信息的存储、流转处理过程,车载系统上安装的第三方App会连接第三方网站,在服务的过程中会收集用户使用的偏好去做个性化推送;在车机的中控设备上,还会有车主信息、车内信息、车外信息等收集场景。
无论是出于外界还是内在的因素,智能网联汽车在个人信息保护合规方面的压力都在不断增大。法律法规在不断地出台,各种要求不断完善,执法的强度也在不断提高,我们也能看到某出行公司因个人信息保护不到位以及数据安全的问题被顶格处罚的案例。同时数据泄露的事件会造成严重不良影响,甚至滋生电信诈骗事件。内部安全事件频发,用户投诉举报、业务上的损失都会给大家带来不小的压力。由于合规的成本一直比较高,当要求越来越多,合规的工作该怎么做,各个行业都在不断地探索适合自身的最佳实践。
评论区域