我的隐私在车里“裸奔”
原创2021-07-21 07:30

我的隐私在车里“裸奔”

出品|虎嗅汽车组
作者|梓楠法师

头图|视觉中国


阿伟几乎忘了,在一开始自己有选择的权利。

 

今年2月,阿伟买了一辆纯电动车。刚上车时,一个熟悉又陌生的页面出现在阿伟的眼前,上面写着几个小字:是否同意《隐私政策》。

 

过去的提问者是电脑软件、手机App,现在提问者变成了某个车企。

 

阿伟所面临的就像科幻电影《黑客帝国》中著名的“药丸选择”,如果选择蓝色药丸,故事就此结束;如果吃下红色药丸,就可以开启冒险、变成超人、找到女朋友顺带拯救世界。

 

对于阿伟来说,选择同意,就意味着开启智能车的全部先进功能;选择拒绝,就意味着阿伟花30多万买的车变成了傻瓜车,几乎全部的智能功能都无法运行。这违背了阿伟买车的初衷。

 

和《黑客帝国》男主尼奥相比,阿伟的目的很单纯,他只是想要一辆很酷,能看电影还能打游戏的车。

 

阿伟时常面临这样的选择,多数情况下他都会选择同意。阿伟很少考虑选择同意后需要付出的代价。他不想知道代价,因为会“影响心情”。阿伟也从不看《隐私政策》文件,因为“字太多不想看”。

 

阿伟不知道,自己每一次勾选同意,都意味着个人信息与隐私的流失。

 

选择是不可逆的。从点击同意的那一刻起,这辆车上所有的传感器都开始运转,为阿伟服务。在这个过程中,阿伟交出了自己的信息数据,获得了更优质的服务。在阿伟看来,这是一笔不需要考虑的交易。

 

“我行得正坐得直,没有什么见不得人的。”他说。

 

3月的某一天,全球最大的智能汽车生产商特斯拉的CEO埃隆·马斯克在推特上公开承认特斯拉通过车内摄像头获取车主在车内的活动图像。

 

阿伟对此感到震惊。但他依旧选择相信智能汽车企业不会用自己的数据做违法的事情,因为“我的数据不值钱”。

 

不过,出于某种莫名的担忧,阿伟还是选择抵抗一下。抵抗的手段是去某宝花5块钱买一个盖子,遮住车内摄像头。在阿伟看来,对付高科技产品往往需要这样原始且直接的手段。

 

 

但阿伟同样忽略了很多问题。为了实现语音交互的功能,智能汽车上还装了很多麦克风。这些麦克风分布在车内的四周,可以通过音量判断声源、分析声源的声纹,甚至实现更多让阿伟意想不到的功能。

 

就算遮住了摄像头,但阿伟遮不住麦克风,他依旧无所遁形。

 

我们可以合理想象,未来的某一天,当阿伟在车上说想吃酸菜鱼时,车内的屏幕和手机会同时开始推荐附近的饭店。阿伟会开始对语音助手说脏话。当隐私泄露以一种露骨的方式体现时,他才会长记性。

 

在过去,不少中年男人都会在下班后躲在车里,这是属于他们最后的安静。但当这些中年男人开上智能汽车,他们就不再孤单,在后视镜上的摄像头、内置麦克风和中控台屏幕的背后,总有人陪着他们。

 

在物联网盛行的年代,人人都是阿伟。

 

他们可以看见一切

 

“如果车主知道我们是怎么做的,他们会受不了的,从技术能力来说,如果车主在车上做某些让身心愉悦的事情,我们是可以看见的。”一位车联网供应商内部人士对虎嗅表示。

 

对于过度获取用户数据这件事,部分车企的表现非常坦荡。

 

今年3月13日,特斯拉CEO马斯克在推特上公开承认特斯拉通过车载摄像头获取用户车内图像资料。而特斯拉获取这部分数据的目的,是为了监测车辆在启动自动驾驶功能时驾驶员是否全程关注道路情况。在马斯克确认这一信息后,舆论对特斯拉的质疑开始爆发。

 

 

虎嗅针对车内摄像头一事询问特斯拉中国,特斯拉方面回应称车内摄像头在中国市场从未启用,在北美有限测试用户车辆上也仅为检测驾驶员是否合理使用自动驾驶辅助系统所用,不存在任何违规收集用户视听数据情况。

 

不过,特斯拉不获取车内图像资料,不代表其他车企不获取。虎嗅在查阅多个车企的隐私政策后发现,蔚来和小鹏都在协议中提到对用户图像信息的收集。

 

其中,小鹏表示收集用户人脸信息主要是为了核对车主的身份。蔚来则表示,收集车内图像资料的目的主要是实现驾驶员疲劳检测、在车辆被盗时保存证据、行车记录仪功能以及车祸时的安全保护。此外,蔚来也在协议中强调,车内摄像头仅在前述有限场景下收集信息。

 

从协议的字面意思上看,小鹏和蔚来在用户车内图像资料的收集和处理上都保持了应有的克制。但在车联网工程师张帅看来,人脸识别和疲劳检测等功能的实现,都存在较大的隐私收集灰色地带。

 

“从技术上看,做人脸识别需要摄像头时刻保持运作状态,如果摄像头处于关闭状态,是没办法在你露脸的时候比对人脸信息的。”车联网工程师张帅说。而蔚来所提到的疲劳监测功能,从字面意思上就能理解,这个功能需要车内摄像头全程开启并获取数据才能实现。

 

这意味着,有人脸识别和疲劳监测功能的车型,在技术是有能力获取用户在车内的全部图像资料的。


特斯拉Model 3的车内摄像头

 

用户在车内的图像资料,无疑是极度隐私的信息。除图像外,声音信息的获取也存在较大争议。目前部分智能汽车并没有车内摄像头,但语音交互功能几乎是所有智能汽车主打的产品卖点,车企对声音信息的获取,涉及的人群更加广泛。

 

虎嗅在查阅车企的隐私信息发现,多数车企的隐私协议对车内声音信息获取的描述都很简短,但蔚来在其协议中对语音交互获取数据的情况进行了详细描述。

 

根据蔚来的表述,蔚来的Nomi语音对话系统将会收集车内人员与系统的对话信息。通过Nomi收集的相关原始音频信息会通过语音识别系统被转换为文字信息并通过本地或蔚来云进行用户意图分析。该语音系统在处于开启状态时,才能通过固定指令唤醒,蔚来用户可以选择静默模式以关闭Nomi的运行。

 

蔚来对Nomi的相关表述

 

蔚来对于语音信息的收集与处理,同样保持了应有的克制。但在技术层面,用户的个人隐私并非完全没有隐患。

 

“支持语音交互的硬件设备都会持续收集声音数据,因为语音助手只有一直打开才能在用户说出唤醒词时进行比对。”张帅说。而如何判断车企是否违规获取语音数据的标准就是,除语音交互以外的对话是否也被上传至云端。

 

这件事得到了一位车企语音交互工程师的验证,“技术上可以做到全程监听,实操上有没有这样做,只有高管知道”。

 

关于语音信息数据,另一个需要被强调的事实是,车企所获取的语音交互信息是未脱敏的。这意味着,车企可以将一条具体的语音交互信息与真实的个人信息相匹配。

 

“我们获取的语音信息都是'今天北京天气怎么样'这种,没有什么隐私的东西,所以没有脱敏的必要。”前述语音交互工程师对虎嗅表示。

 

从技术手段来看,在最敏感的车主视听信息上,个人几乎没有“还手”之力。“用户除非把联网的硬件都拔掉,断电,但乘用车的视听数据传感器几乎是没有硬件开关的,用户只能选择贴胶布把摄像头遮住。”张帅说。

 

这意味着,智能车在联网后,车主在车内的视听信息都有可能被实时监测并传输至云端。“车企获得的将是一场立体环绕音效且高清的现场直播”。

 

据工信部此前发布的《智能网联汽车技术路线图2.0》指出,部分自动驾驶和有条件自动驾驶的智能网联汽车渗透率将在2025年达到50%。按中国汽车市场每年2000万辆的销量计算,若车内视听数据没有得到应有的保护,将有数千万人在车内“裸奔”。

 

值得注意的是,前述情况,还是在车企遵守其隐私政策的情况下产生。在联网的状态下,数据的操控者拥有造物主般的能力。“联网的设备原则上是可以远程控制设备的,我们就会在用户不按时偿还贷款的时候,远程强行锁车,也可以远程开车窗、空调等。”张帅透露其所处公司对卡车等商用车的掌控能力。

 

此前,外媒就曾曝出特斯拉的系统被黑客通过无人机攻破,并打开了车门和后备箱。

 

然而,这只是数据隐私带来危害的冰山一角。除视听数据外,车企的隐私数据协议中所获取的还包括了车辆行驶数据、定位数据、自动驾驶雷达所获得的超精度地图数据以及车主在主控屏幕上的几乎所有操作记录。

 

“如果需要,车企可以知道你每天听什么歌,最爱去什么地方,在什么地方停留多长时间,当获取的数据达到一定程度,车机系统就可以对你的行为进行预测。”张帅说。

 

“目前有些车企自动驾驶的硬件、部分软件功能都会找供应商来做,这样车企就没有数据的完全掌控权,供应商也会有盗取数据的空间。”一位车企内部人士透露称。

 

而前述的所有状况,都发生在车主点击同意隐私政策的按钮之后。有趣的是,在虎嗅查阅的隐私政策文件中,几乎所有的车企都会强调在用户“明确同意”的情况下收集数据,而明确同意的意思,就是用户点击同意隐私政策的行为。

 


请不要愤怒,因为这一切是你们默许的。一切隐私数据安全事件的源头,都是用户隐私协议。

 

变现

 

当我们讨论隐私数据安全问题时,我们不应该关注企业是否会这样做,而是企业是否有能力这样做。现实情况是,我们几乎只能将隐私数据的安全寄托于企业的自律能力。

 

企业获取用户数据的目的很明确,赚钱,持续地赚钱。这天然地将企业收集的数据分成两类:1、能轻松赚钱的。2、要费点劲才能赚钱的。

 

一般情况下,企业收集的主要信息分为业务信息和行为信息两大类。其中,业务信息可以理解为用户的个人身份信息,如手机号、身份证号等。这部分是数据基本在用户注册或者登陆时就已发送至企业的后台。因需要长期使用,所以这部分数据是相对静态的。用大数据工程师何晓龙的话说,这部分数据一经上传,消失的可能性几乎为零。

 

但目前这部分数据的泄露和滥用也是手机及汽车领域的重灾区。如果用户频繁接到推销电话,就意味着这部分数据已经被泄露。这种情况对大多数人来说已是常态。

 

为了了解车企的车机系统,本文作者曾下载安装多个车企的App。在接下来的一天,作者就接到多个来自汽车经销商的推销电话。

 

本文作者查阅某车企的隐私协议后发现,根据相关协议,当用户同意隐私协议后车企有权将用户信息转移给汽车销售商等车企合作的第三方。



接下来是行为信息。手机端的行为信息包括网页浏览记录、地理位置信息、购物信息、搜索信息等。而在智能汽车端,这部分信息就包括车主的车机系统使用信息、车型行驶数据、地理位置信息、自动驾驶数据、车内语音交互信息等。

 

对于企业而言,这部分行为信息蕴涵巨大的商业价值。几乎所有的大数据算法,都要依靠这些数据去运行,并不断优化。

 

“有些做自动驾驶图像分析的公司,除了硬件设备和算法之外,最值钱的就是图像数据,你说他们能不渴望用户的图像数据吗?”商用车车联网工程师邹成对虎嗅表示。这部分数据属于“费点劲”才能赚钱的。

 

但用户在车机系统上的操作数据和浏览数据,就属于变现极为方便的数据。

 

正因为短视频App在不断获取你的浏览记录、页面停留时长等信息,其核心的推荐算法才得以知道用户最喜欢的内容。随着数据获取量的增加,算法依托大数据所描绘的用户画像也就越精准。这也是为什么短视频平台会越来越懂用户。

 

毫无疑问,在“软件定义汽车”成为行业共识的当下,同样的事情也在汽车上发生。

 

“我们的用户画像就是,大部分初高中毕业的60后和70后,月收入在6000~15000之间,加班熬夜比互联网更凶狠,凌晨跑车,连续工作时长超10小时。”邹成对虎嗅透露了其公司通过数据描绘出的卡车司机用户画像。

 

邹成表示,用户的工作时长、加班情况、所处行业、家庭住址及公司信息等都可以通过后台精确获取。此外,当前部分智能车支持人脸识别,通过人脸的数据与语音信息的匹配,就可以获知用户的年龄、性别等生物信息。车内的摄像头通过实时监测也可获知车内用户的情绪信息。

 

除了精确的用户画像外,车企也需要通过车型的定位数据、雷达的数据和相机的图像数据以不断优化自动驾驶算法。而车内的语音交互功能也需要不断地训练,才会更懂车主的习惯与声音。

 

在智能手机时代,用户的部分行为数据会通过App缓存在手机上。但在智能汽车时代,智能汽车所收集的数据将是手机的数倍以上。智能汽车同样有一块智能屏幕,并且有比手机更精细的传感器、摄像头和雷达。比如特斯拉Model 3,光是服务于自动驾驶系统的摄像头就有8个。

 

上汽集团董事长陈虹在今年两会期间也曾表示,一辆自动驾驶测试车每天产生的数据量最高可达10TB。

 

在海量数据收集的情况下,为了提供更好的产品服务,车企有两种选择:提高车型的算力和数据存储能力,将部分数据的处理留在本地,或者将绝大部分数据发送至车企的集中服务器或云服务商的服务器中。

 

目前的智能汽车上,两种方案并行。这意味着更多的用户数据被上传至云端。这无疑增加了用户数据泄露及被滥用的可能。

 

“在数据运输的过程中,技术高超的黑客可以随时截留数据。而在技术层面来看,对于提供服务的云储存服务商而言,想要获取企业委托储存的数据也并非难事。”何晓龙对虎嗅表示。

 

但据一位车联网公司内部人士透露,目前企业对原始数据库权限的把控极度严格,仅有少部分高层管理者有权限查看原始数据。

 

这部分原始数据脱敏后,将被发送至上一级数据库,然后再通过企业的业务分类分流成更高层级的数据库。最后企业会将细分的数据拿到不同的场景跑算法。

 

在匿名完成后,各类传感器所获得的海量数据就会帮助企业进行用户定位和画像。虽然单一的用户数据几乎没有价值,但当这个数据的数量达到一定规模后,产生的价值就无可限量。

 

而从隐私协议文件来看,部分车企已经想好这部分数据怎么使用了。

 

长城汽车在其隐私政策中提到,在用户许可的情况下,其会将用户的部分数据分享给广告、分析服务类的授权合作伙伴。长城汽车将向这部分合作伙伴提供脱敏的个人画像,如“位于北京的25岁男性,喜欢软件开发”。

 

基于这个趋势,本文作者相信,在不久的将来,智能汽车车主就能在车上看到精准推送的广告了。

 

效率与正义的平衡点

 

好消息是,前述的各种乱象不会持续很久。随着监管环境的变化与用户数据隐私意识的觉醒,智能汽车过度收集用户数据并滥用的乱象将在未来一段时间内极大程度减少。

 

在用户和行业人士的直觉中,监管与法律法规的制定在客观情况下存在一定滞后性。但在智能汽车隐私数据安全领域,监管部门正在着力弥补这种滞后性。

 

此前的5月12日,国家互联网信息办公室与有关部门起草了《汽车数据安全管理若干规定(征求意见稿)》(下文简称:征求意见稿)。在本文作者看来,国家网信办等监管部门在征求意见稿中所体现的相关监管原则具有极高的前瞻性。征求意见稿对部分数据的收集及储存都作出了严格规定。

 

“该征求意见稿明确和限制了车企可收集的用户数据的范围,此外征求意见稿中的诸多条款也增强了用户对其被收集信息的掌控力,将数据处置权让渡给用户。”一位律师对虎嗅表示。

 

网信办征求意见稿截图


若征求意见稿中的相关条款及精神在最终出台的规定中得以保留,将极大程度改变车企对用户数据的收集、储存及使用方式。

 

在数据收集端,该征求意见稿强调,默认不收集原则,除非确有必要,否则每次驾驶时默认为不收集状态,驾驶人的同意授权只对本次驾驶有效。此外,征求意见稿也提出车内处理原则,除非确有必要,否则用户数据不向车外提供。

 

“目前即使是在隐私数据条款上做得较好的车企也无法达到征求意见稿的要求,这些车企会在敏感信息收集时做出提示,但其他页面浏览信息等,在用户同意后都是默认收取的,与征求意见稿中'默认不收集'的精神相悖。”前述律师表示。

 

在保护用户数据不被过度收集的情况下,征求意见稿也规定车企必须告知用户收集每种类型数据的触发条件以及停止收集的方式。这一条款将带给用户更多的个人信息支配权。

 

值得注意的是,目前几乎没有智能车企的数据政策可以满足这一条款的要求。在虎嗅查阅的多个车企隐私政策文件中,仅有蔚来、小鹏及特斯拉告知了用户停止部分数据收集的方式,其他车企的隐私政策文件中并没有相关的提示。

 

除前述条款外,征求意见稿中的最小保存期限原则、数据用途的划分也对车企提出极高的要求。这意味着,车企只有在保持数据收集时的限度原则、正当性及必要性的前提下,才能达到网信办等部门的要求。

 

“如果车企严格按照网信办的意见稿来执行,是会影响一部分用户体验,但总体来说数据安全是更重要的,我们的消费者现在对数据安全这块不敏感,都是默认被收集。”乘联会秘书长崔东树在接受虎嗅采访时表示。

 

前述律师表示:“这些条款将在短期内对车企造成剧烈影响,征求意见稿中的每一个条款的执行对企业都意味着成本的增加,比如车企要修改算法,改变业务布局甚至修改车型设计。”

 

但依据前述条款的原则,车企在保持数据收集正当性的前提下,依然保留了通过用户数据优化产品及算法的空间,在效率与正义之间实现了相对平衡。

 

而在采访时,特斯拉、小鹏等车企均对虎嗅表示将积极配合国家与监管部门。

 

“过度收集数据对企业来讲是一种捷径,短期内可以让企业的产品力提升,但长此以往会影响企业的盈利模式,不利于企业长远发展”,一位行业观察人士对虎嗅表示,随着外部环境的变化,在数据隐私领域肆意妄为的企业,最终将受到市场的惩罚。


(应受访者要求,文中阿伟、张帅、邹成、何晓龙均为化名)

本内容为作者独立观点,不代表虎嗅立场。未经允许不得转载,授权事宜请联系hezuo@huxiu.com
如对本稿件有异议或投诉,请联系tougao@huxiu.com
正在改变与想要改变世界的人,都在 虎嗅APP
赞赏
关闭赞赏 开启赞赏

支持一下   修改

确定