在智能車裡“裸奔”:部分車企過度獲取用戶數據卻非常坦蕩
阿偉幾乎忘了,在一開始自己有選擇的權利。今年2月,阿偉買了一輛純電動車。剛上車時,一個熟悉又陌生的頁面出現在阿偉的眼前,上面寫著幾個小字:是否同意《隱私政策》。過去的提問者是電腦軟件、手機App,現在提問者變成了某個車企。
出品|虎嗅汽車組
作者|梓楠法師
阿偉所面臨的就像科幻電影《黑客帝國》中著名的“藥丸選擇”,如果選擇藍色藥丸,故事就此結束;如果吃下紅色藥丸,就可以開啟冒險、變成超人、找到女朋友順帶拯救世界。
對於阿偉來說,選擇同意,就意味著開啟智能車的全部先進功能;選擇拒絕,就意味著阿偉花30多萬買的車變成了傻瓜車,幾乎全部的智能功能都無法運行。這違背了阿偉買車的初衷。
和《黑客帝國》男主尼奧相比,阿偉的目的很單純,他只是想要一輛很酷,能看電影還能打遊戲的車。
阿偉時常面臨這樣的選擇,多數情況下他都會選擇同意。阿偉很少考慮選擇同意後需要付出的代價。他不想知道代價,因為會“影響心情”。阿偉也從不看《隱私政策》文件,因為“字太多不想看”。
阿偉不知道,自己每一次勾選同意,都意味著個人信息與隱私的流失。
選擇是不可逆的。從點擊同意的那一刻起,這輛車上所有的傳感器都開始運轉,為阿偉服務。在這個過程中,阿偉交出了自己的信息數據,獲得了更優質的服務。在阿偉看來,這是一筆不需要考慮的交易。
“我行得正坐得直,沒有什麼見不得人的。”他說。
3月的某一天,全球最大的智能汽車生產商特斯拉的CEO埃隆·馬斯克在Twitter上公開承認特斯拉通過車內攝像頭獲取車主在車內的活動圖像。
阿偉對此感到震驚。但他依舊選擇相信智能汽車企業不會用自己的數據做違法的事情,因為“我的數據不值錢”。
不過,出於某種莫名的擔憂,阿偉還是選擇抵抗一下。抵抗的手段是去某寶花5塊錢買一個蓋子,遮住車內攝像頭。在阿偉看來,對付高科技產品往往需要這樣原始且直接的手段。
但阿偉同樣忽略了很多問題。為了實現語音交互的功能,智能汽車上還裝了很多麥克風。這些麥克風分佈在車內的四周,可以通過音量判斷聲源、分析聲源的聲紋,甚至實現更多讓阿偉意想不到的功能。
就算遮住了攝像頭,但阿偉遮不住麥克風,他依舊無所遁形。
我們可以合理想像,未來的某一天,當阿偉在車上說想吃酸菜魚時,車內的屏幕和手機會同時開始推薦附近的飯店。阿偉會開始對語音助手說髒話。當隱私洩露以一種露骨的方式體現時,他才會長記性。
在過去,不少中年男人都會在下班後躲在車裡,這是屬於他們最後的安靜。但當這些中年男人開上智能汽車,他們就不再孤單,在後視鏡上的攝像頭、內置麥克風和中控台屏幕的背後,總有人陪著他們。
在物聯網盛行的年代,人人都是阿偉。
他們可以看見一切
“如果車主知道我們是怎麼做的,他們會受不了的,從技術能力來說,如果車主在車上做某些讓身心愉悅的事情,我們是可以看見的。”一位車聯網供應商內部人士對虎嗅表示。
對於過度獲取用戶數據這件事,部分車企的表現非常坦蕩。
今年3月13日,特斯拉CEO馬斯克在Twitter上公開承認特斯拉通過車載攝像頭獲取用戶車內圖像資料。而特斯拉獲取這部分數據的目的,是為了監測車輛在啟動自動駕駛功能時駕駛員是否全程關注道路情況。在馬斯克確認這一信息後,輿論對特斯拉的質疑開始爆發。
虎嗅針對車內攝像頭一事詢問特斯拉中國,特斯拉方面回應稱車內攝像頭在中國市場從未啟用,在北美有限測試用戶車輛上也僅為檢測駕駛員是否合理使用自動駕駛輔助系統所用,不存在任何違規收集用戶視聽數據情況。
不過,特斯拉不獲取車內圖像資料,不代表其他車企不獲取。虎嗅在查閱多個車企的隱私政策後發現,蔚來和小鵬都在協議中提到對用戶圖像信息的收集。
其中,小鵬表示收集用戶人臉信息主要是為了核對車主的身份。蔚來則表示,收集車內圖像資料的目的主要是實現駕駛員疲勞檢測、在車輛被盜時保存證據、行車記錄儀功能以及車禍時的安全保護。此外,蔚來也在協議中強調,車內攝像頭僅在前述有限場景下收集信息。
從協議的字面意思上看,小鵬和蔚來在用戶車內圖像資料的收集和處理上都保持了應有的克制。但在車聯網工程師張帥看來,人臉識別和疲勞檢測等功能的實現,都存在較大的隱私收集灰色地帶。
“從技術上看,做人臉識別需要攝像頭時刻保持運作狀態,如果攝像頭處於關閉狀態,是沒辦法在你露臉的時候比對人臉信息的。”車聯網工程師張帥說。而蔚來所提到的疲勞監測功能,從字面意思上就能理解,這個功能需要車內攝像頭全程開啟並獲取數據才能實現。
這意味著,有人臉識別和疲勞監測功能的車型,在技術是有能力獲取用戶在車內的全部圖像資料的。
用戶在車內的圖像資料,無疑是極度隱私的信息。除圖像外,聲音信息的獲取也存在較大爭議。目前部分智能汽車並沒有車內攝像頭,但語音交互功能幾乎是所有智能汽車主打的產品賣點,車企對聲音信息的獲取,涉及的人群更加廣泛。
虎嗅在查閱車企的隱私信息發現,多數車企的隱私協議對車內聲音信息獲取的描述都很簡短,但蔚來在其協議中對語音交互獲取數據的情況進行了詳細描述。
根據蔚來的表述,蔚來的Nomi語音對話系統將會收集車內人員與系統的對話信息。通過Nomi收集的相關原始音頻信息會通過語音識別系統被轉換為文字信息並通過本地或蔚來雲進行用戶意圖分析。該語音系統在處於開啟狀態時,才能通過固定指令喚醒,蔚來用戶可以選擇靜默模式以關閉Nomi的運行。
蔚來對Nomi的相關表述
蔚來對於語音信息的收集與處理,同樣保持了應有的克制。但在技術層面,用戶的個人隱私並非完全沒有隱患。
“支持語音交互的硬件設備都會持續收集聲音數據,因為語音助手只有一直打開才能在用戶說出喚醒詞時進行比對。”張帥說。而如何判斷車企是否違規獲取語音數據的標準就是,除語音交互以外的對話是否也被上傳至雲端。
這件事得到了一位車企語音交互工程師的驗證,“技術上可以做到全程監聽,實操上有沒有這樣做,只有高管知道”。
關於語音信息數據,另一個需要被強調的事實是,車企所獲取的語音交互信息是未脫敏的。這意味著,車企可以將一條具體的語音交互信息與真實的個人信息相匹配。
“我們獲取的語音信息都是’今天北京天氣怎麼樣’這種,沒有什麼隱私的東西,所以沒有脫敏的必要。”前述語音交互工程師對虎嗅表示。
從技術手段來看,在最敏感的車主視聽信息上,個人幾乎沒有“還手”之力。“用戶除非把聯網的硬件都拔掉,斷電,但乘用車的視聽數據傳感器幾乎是沒有硬件開關的,用戶只能選擇貼膠布把攝像頭遮住。”張帥說。
這意味著,智能車在聯網後,車主在車內的視聽信息都有可能被實時監測並傳輸至雲端。“車企獲得的將是一場立體環繞音效且高清的現場直播”。
據工信部此前發布的《智能網聯汽車技術路線圖2.0》指出,部分自動駕駛和有條件自動駕駛的智能網聯汽車滲透率將在2025年達到50%。按中國汽車市場每年2000萬輛的銷量計算,若車內視聽數據沒有得到應有的保護,將有數千萬人在車內“裸奔”。
值得注意的是,前述情況,還是在車企遵守其隱私政策的情況下產生。在聯網的狀態下,數據的操控者擁有造物主般的能力。“聯網的設備原則上是可以遠程控制設備的,我們就會在用戶不按時償還貸款的時候,遠程強行鎖車,也可以遠程開車窗、空調等。”張帥透露其所處公司對卡車等商用車的掌控能力。
此前,外媒就曾曝出特斯拉的系統被黑客通過無人機攻破,並打開了車門和後備箱。
然而,這只是數據隱私帶來危害的冰山一角。除視聽數據外,車企的隱私數據協議中所獲取的還包括了車輛行駛數據、定位數據、自動駕駛雷達所獲得的超精度地圖數據以及車主在主控屏幕上的幾乎所有操作記錄。
“如果需要,車企可以知道你每天聽什麼歌,最愛去什麼地方,在什麼地方停留多長時間,當獲取的數據達到一定程度,車機系統就可以對你的行為進行預測。”張帥說。
“目前有些車企自動駕駛的硬件、部分軟件功能都會找供應商來做,這樣車企就沒有數據的完全掌控權,供應商也會有盜取數據的空間。”一位車企內部人士透露稱。
而前述的所有狀況,都發生在車主點擊同意隱私政策的按鈕之後。有趣的是,在虎嗅查閱的隱私政策文件中,幾乎所有的車企都會強調在用戶“明確同意”的情況下收集數據,而明確同意的意思,就是用戶點擊同意隱私政策的行為。
請不要憤怒,因為這一切是你們默許的。一切隱私數據安全事件的源頭,都是用戶隱私協議。
變現
當我們討論隱私數據安全問題時,我們不應該關注企業是否會這樣做,而是企業是否有能力這樣做。現實情況是,我們幾乎只能將隱私數據的安全寄託於企業的自律能力。
企業獲取用戶數據的目的很明確,賺錢,持續地賺錢。這天然地將企業收集的數據分成兩類:1、能輕鬆賺錢的。2、要費點勁才能賺錢的。
一般情況下,企業收集的主要信息分為業務信息和行為信息兩大類。其中,業務信息可以理解為用戶的個人身份信息,如手機號、身份證號等。這部分是數據基本在用戶註冊或者登陸時就已發送至企業的後台。因需要長期使用,所以這部分數據是相對靜態的。用大數據工程師何曉龍的話說,這部分數據一經上傳,消失的可能性幾乎為零。
但目前這部分數據的洩露和濫用也是手機及汽車領域的重災區。如果用戶頻繁接到推銷電話,就意味著這部分數據已經被洩露。這種情況對大多數人來說已是常態。
為了了解車企的車機系統,本文作者曾下載安裝多個車企的App。在接下來的一天,作者就接到多個來自汽車經銷商的推銷電話。
本文作者查閱某車企的隱私協議後發現,根據相關協議,當用戶同意隱私協議後車企有權將用戶信息轉移給汽車銷售商等車企合作的第三方。
接下來是行為信息。手機端的行為信息包括網頁瀏覽記錄、地理位置信息、購物信息、搜索信息等。而在智能汽車端,這部分信息就包括車主的車機系統使用信息、車型行駛數據、地理位置信息、自動駕駛數據、車內語音交互信息等。
對於企業而言,這部分行為信息蘊涵巨大的商業價值。幾乎所有的大數據算法,都要依靠這些數據去運行,並不斷優化。
“有些做自動駕駛圖像分析的公司,除了硬件設備和算法之外,最值錢的就是圖像數據,你說他們能不渴望用戶的圖像數據嗎?”商用車車聯網工程師鄒成對虎嗅表示。這部分數據屬於“費點勁”才能賺錢的。
但用戶在車機系統上的操作數據和瀏覽數據,就屬於變現極為方便的數據。
正因為短視頻App在不斷獲取你的瀏覽記錄、頁面停留時長等信息,其核心的推薦算法才得以知道用戶最喜歡的內容。隨著數據獲取量的增加,算法依託大數據所描繪的用戶畫像也就越精準。這也是為什麼短視頻平台會越來越懂用戶。
毫無疑問,在“軟件定義汽車”成為行業共識的當下,同樣的事情也在汽車上發生。
“我們的用戶畫像就是,大部分初高中畢業的60後和70後,月收入在6000~15000之間,加班熬夜比互聯網更凶狠,凌晨跑車,連續工作時長超10小時。”鄒成對虎嗅透露了其公司通過數據描繪出的卡車司機用戶畫像。
鄒成表示,用戶的工作時長、加班情況、所處行業、家庭住址及公司信息等都可以通過後台精確獲取。此外,當前部分智能車支持人臉識別,通過人臉的數據與語音信息的匹配,就可以獲知用戶的年齡、性別等生物信息。車內的攝像頭通過實時監測也可獲知車內用戶的情緒信息。
除了精確的用戶畫像外,車企也需要通過車型的定位數據、雷達的數據和相機的圖像數據以不斷優化自動駕駛算法。而車內的語音交互功能也需要不斷地訓練,才會更懂車主的習慣與聲音。
在智能手機時代,用戶的部分行為數據會通過App緩存在手機上。但在智能汽車時代,智能汽車所收集的數據將是手機的數倍以上。智能汽車同樣有一塊智能屏幕,並且有比手機更精細的傳感器、攝像頭和雷達。比如特斯拉Model 3,光是服務於自動駕駛系統的攝像頭就有8個。
上汽集團董事長陳虹在今年兩會期間也曾表示,一輛自動駕駛測試車每天產生的數據量最高可達10TB。
在海量數據收集的情況下,為了提供更好的產品服務,車企有兩種選擇:提高車型的算力和數據存儲能力,將部分數據的處理留在本地,或者將絕大部分數據發送至車企的集中服務器或云服務商的服務器中。
目前的智能汽車上,兩種方案並行。這意味著更多的用戶數據被上傳至雲端。這無疑增加了用戶數據洩露及被濫用的可能。
“在數據運輸的過程中,技術高超的黑客可以隨時截留數據。而在技術層面來看,對於提供服務的雲儲存服務商而言,想要獲取企業委託儲存的數據也並非難事。”何曉龍對虎嗅表示。
但據一位車聯網公司內部人士透露,目前企業對原始數據庫權限的把控極度嚴格,僅有少部分高層管理者有權限查看原始數據。
這部分原始數據脫敏後,將被發送至上一級數據庫,然後再通過企業的業務分類分流成更高層級的數據庫。最後企業會將細分的數據拿到不同的場景跑算法。
在匿名完成後,各類傳感器所獲得的海量數據就會幫助企業進行用戶定位和畫像。雖然單一的用戶數據幾乎沒有價值,但當這個數據的數量達到一定規模後,產生的價值就無可限量。
而從隱私協議文件來看,部分車企已經想好這部分數據怎麼使用了。
長城汽車在其隱私政策中提到,在用戶許可的情況下,其會將用戶的部分數據分享給廣告、分析服務類的授權合作夥伴。長城汽車將向這部分合作夥伴提供脫敏的個人畫像,如“位於北京的25歲男性,喜歡軟件開發”。
基於這個趨勢,本文作者相信,在不久的將來,智能汽車車主就能在車上看到精準推送的廣告了。
效率與正義的平衡點
好消息是,前述的各種亂像不會持續很久。隨著監管環境的變化與用戶數據隱私意識的覺醒,智能汽車過度收集用戶數據並濫用的亂象將在未來一段時間內極大程度減少。
在用戶和行業人士的直覺中,監管與法律法規的製定在客觀情況下存在一定滯後性。但在智能汽車隱私數據安全領域,監管部門正在著力彌補這種滯後性。
此前的5月12日,國家互聯網信息辦公室與有關部門起草了《汽車數據安全管理若干規定(徵求意見稿)》(下文簡稱:徵求意見稿)。在本文作者看來,國家網信辦等監管部門在徵求意見稿中所體現的相關監管原則具有極高的前瞻性。徵求意見稿對部分數據的收集及儲存都作出了嚴格規定。
“該徵求意見稿明確和限制了車企可收集的用戶數據的範圍,此外徵求意見稿中的諸多條款也增強了用戶對其被收集信息的掌控力,將數據處置權讓渡給用戶。”一位律師對虎嗅表示。
網信辦徵求意見稿截圖
若徵求意見稿中的相關條款及精神在最終出台的規定中得以保留,將極大程度改變車企對用戶數據的收集、儲存及使用方式。
在數據收集端,該徵求意見稿強調,默認不收集原則,除非確有必要,否則每次駕駛時默認為不收集狀態,駕駛人的同意授權只對本次駕駛有效。此外,徵求意見稿也提出車內處理原則,除非確有必要,否則用戶數據不向車外提供。
“目前即使是在隱私數據條款上做得較好的車企也無法達到徵求意見稿的要求,這些車企會在敏感信息收集時做出提示,但其他頁面瀏覽信息等,在用戶同意後都是默認收取的,與徵求意見稿中’默認不收集’的精神相悖。”前述律師表示。
在保護用戶數據不被過度收集的情況下,徵求意見稿也規定車企必須告知用戶收集每種類型數據的觸發條件以及停止收集的方式。這一條款將帶給用戶更多的個人信息支配權。
值得注意的是,目前幾乎沒有智能車企的數據政策可以滿足這一條款的要求。在虎嗅查閱的多個車企隱私政策文件中,僅有蔚來、小鵬及特斯拉告知了用戶停止部分數據收集的方式,其他車企的隱私政策文件中並沒有相關的提示。
除前述條款外,徵求意見稿中的最小保存期限原則、數據用途的劃分也對車企提出極高的要求。這意味著,車企只有在保持數據收集時的限度原則、正當性及必要性的前提下,才能達到網信辦等部門的要求。
“如果車企嚴格按照網信辦的意見稿來執行,是會影響一部分用戶體驗,但總體來說數據安全是更重要的,我們的消費者現在對數據安全這塊不敏感,都是默認被收集。”乘聯會秘書長崔東樹在接受虎嗅採訪時表示。
前述律師表示:“這些條款將在短期內對車企造成劇烈影響,徵求意見稿中的每一個條款的執行對企業都意味著成本的增加,比如車企要修改算法,改變業務佈局甚至修改車型設計。”
但依據前述條款的原則,車企在保持數據收集正當性的前提下,依然保留了通過用戶數據優化產品及算法的空間,在效率與正義之間實現了相對平衡。
而在採訪時,特斯拉、小鵬等車企均對虎嗅表示將積極配合國家與監管部門。
“過度收集數據對企業來講是一種捷徑,短期內可以讓企業的產品力提升,但長此以往會影響企業的盈利模式,不利於企業長遠發展”,一位行業觀察人士對虎嗅表示,隨著外部環境的變化,在數據隱私領域肆意妄為的企業,最終將受到市場的懲罰。
(應受訪者要求,文中阿偉、張帥、鄒成、何曉龍均為化名)