【全文】
软件定义汽车已经成为现实,搭载智能软件系统的智能网联汽车已在大街小巷随处可见。软件的功能决定汽车的功能,智能网联汽车生产者(以下简称“生产者”)通过汽车远程升级(以下简称“OTA”)技术可以对已经售出的智能网联汽车继续提高汽车性能、升级迭代自动辅助驾驶系统等车载软件,甚至可以直接修复汽车系统存在的安全隐患。
根据国家市场监督管理总局于2022年1月20日公布的数据显示:我国2021年企业报告OTA升级351次,涉及车辆3424万辆,较2020年同期分别上升了55%和307%,OTA升级主要涉及娱乐系统、整车系统和信息与数据系统三大主流系统,占比为涉及车辆的86%;在召回方面,2021年,OTA召回共有10起,涉及缺陷车辆292万辆。可见OTA技术已在汽车产品中广泛应用,但随之也出现了技术滥用、数据及网络安全等方面的问题,对智能网联汽车产业的健康发展带来新的挑战。
一、OTA简介
(一)概念
OTA英文全称是Over-The-Air,是指通过移动通信的空中接口实现对移动终端设备及SIM卡数据进行远程管理的技术。该技术在智能手机中的应用已经非常普及,手机制造商通常都会采用OTA的方式更新已售手机的软件系统,通过OTA技术可以修复手机软件中的Bug,增加手机的安全性、功能及服务内容。近年来,生产者将OTA技术应用于智能网联汽车,OTA已经成为智能网联汽车的一个必备功能。
(二)种类
OTA分为SOTA(Software Over-The-Air)和FOTA(Firmware Over-The-Air)。SOTA是应用软件远程升级,比如车内的车机娱乐系统、导航地图、人机交互系统等应用软件的升级。FOTA是固件软件远程升级,比如针对汽车ECU(电子控制单元,又称“行车电脑”)、VCU(电动汽车整车控制器)等电控单元进行升级,可以对汽车的动力输出、转向、悬架、车辆控制系统、电控管理系统等进行升级或修改,从而改善汽车某些驾驶性能。
其中,FOTA的应用也改变了汽车行业的商业模式,使汽车产品功能的“现货”交付模式进入到一个“期货”交付模式,也就是所谓的生产者对汽车硬件“预埋”在汽车之中,生产者在售出汽车之后可以对“预埋”硬件中的固件软件进行FOTA,激活或升级“预埋”硬件的功能。比如,部分生产者向消费者销售交付的汽车产品起初并不具有自动驾驶功能,但实际上已经在该车辆中“预埋”具有自动驾驶功能的硬件模块,生产者后续可以通过(免费或有偿)FOTA的方式对该“预埋”硬件进行激活或升级,使车辆具有自动驾驶功能。
(三)意义
1. OTA技术具有低成本、高效率的优势。比如,无OTA功能的传统汽车如存在系统缺陷,生产者召回车辆,用户需将汽车开到生产者指定4S店进行修复,这会增加生产者的人工成本和用户的时间成本。而智能网联汽车通过OTA就可以在线修复汽车系统缺陷,用户只需将车辆连入网络进行OTA升级即可,既便捷又可以降低生产者的召回成本。
2. OTA技术有利于生产者发展汽车增值服务。生产者通过OTA技术可以持续更新或增加汽车功能及服务内容,提高用户的用车体验,导入和迭代人机交互系统,开展在线销售不同汽车软件、提供多样化服务场景等增值服务。
二、OTA引发新问题
(一)侵害用户合法权益
近日有媒体报道部分生产者在未告知用户的情况下便对用户新能源汽车电池管理系统进行OTA升级,车辆在OTA升级后出现续航里程降低、动力电池容量减少、充电速度变慢等性能受到限制的问题。这不仅严重侵害用户的知情权,也减损了用户车辆性能,无法达到生产者在销售时宣称的原有车辆性能,损害用户的车辆财产权益。
(二)挑战产品生产一致性
我国现行汽车产品管理制度要求产品生产一致性,汽车产品出厂参数须符合国家相关标准,并且要求实际出厂的汽车产品性能参数应当与国家许可或认证的汽车准入型式保持一致。但是,在智能网联汽车出厂销售之后,生产者仍可以通过OTA技术多次修改汽车实际的安全、排放、能耗等技术参数,车辆的实际技术参数会发生变化,可能与国家许可或认证的汽车准入技术参数不一致。这将使汽车产品管理制度存在空转问题,对汽车产品生产一致性制度构成挑战。
(三)引发汽车数据、个人信息及网络安全问题
生产者通过OTA可以将汽车从一个状态升级到另一个状态,整个升级过程涉及云端服务器的安全、车端安全、车与云之间的通讯安全,也关系到生产者、汽车用户及汽车软件供应商等其他主体之间的网络通信、数据收集、传输等多个处理环节,在这个过程中如存在漏洞被黑客劫持网络、植入病毒软件、篡改数据、远程控制车辆、窃取个人信息等风险。
(四)逃避召回负面影响
汽车与用户人身安全息息相关,部分生产者在智能网联汽车系统功能不完善、验证不充分的情况下匆匆上市销售,并期望后续通过OTA的方式再对一些软件问题打补丁、升级修复。由于弥补产品缺陷与改进产品性能这两个行为很难划出清晰的界线,这就导致“汽车软件问题”是否属于“汽车质量问题”存在争议,也一度使OTA技术处于监管的灰色地带。
比如相关媒体报道,某品牌汽车通过OTA对车载系统升级时无法正常行驶直接“趴窝”在公路上引发汽车行业的广泛关注,其根本原因是汽车软件对车辆使用环境判断失误,生产者在人机交互系统设计上出现了安全漏洞。同时,部分生产者将一些汽车系统缺陷问题通过OTA以“升级”的名义进行秘密修复,并未依法主动履行汽车产品召回的程序,以此来规避因召回公告等法定程序给其汽车品牌形象带来的负面影响。
三、我国OTA监管制度现状
对于上述OTA引发的新问题,我国从市场准入、产品生产一致性、数据、个人信息与网络安全、召回管理等多方面制定监管制度,已初步形成一套管理体系。
(一)市场准入方面
工业和信息化部于2021年7月30日发布《关于加强智能网联汽车生产企业及产品准入管理的意见》规定,企业生产具有OTA功能的汽车产品,应当建立与汽车产品及升级活动相适应的管理能力,具有在线升级安全影响评估、测试验证、实施过程保障、信息记录等能力,确保车辆进行在线升级时处于安全状态,并向车辆用户告知在线升级的目的、内容、所需时长、注意事项、升级结果等信息。
(二)产品生产一致性方面
为保证产品生产一致性,上述《关于加强智能网联汽车生产企业及产品准入管理的意见》规定企业实施在线升级活动前,应当确保汽车产品符合国家法律法规、技术标准及技术规范等相关要求并向工业和信息化部备案,涉及安全、节能、环保、防盗等技术参数变更的应提前向工业和信息化部申报,保证汽车产品生产一致性。未经审批,不得通过在线等软件升级方式新增或更新汽车自动驾驶功能。
(三)数据、个人信息与网络安全方面
生产者对汽车进行OTA行为应当遵守《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络产品安全漏洞管理规定》《汽车数据安全管理若干规定(试行)》的相关规定,工业和信息部也另行发布了具体工作要求及规定。
工业和信息部于2021年6月8日发布《关于开展车联网身份认证和安全信任试点工作的通知》,国家将加快推进车联网网络安全保障能力建设,构建车联网身份认证和安全信任体系,推动商用密码应用,保障蜂窝车联网(C-V2X)通信安全,已经开展车联网身份认证和安全信任试点工作。
工业和信息部于2021年9月13日发布《关于开展汽车数据安全、网络安全等自查工作的通知》,对生产者组织开展汽车数据安全、网络安全、软件OTA升级和驾驶辅助功能情况自查工作。
并且,工业和信息部于2021年9月15日发布《关于加强车联网网络安全和数据安全工作的通知》,其中关于OTA规定,要求生产者要加强在线升级服务(OTA)安全和漏洞检测评估,建立在线升级服务软件包安全验证机制,采用安全可信的软件;开展在线升级软件包网络安全检测,及时发现产品安全漏洞;加强在线升级服务安全校验能力,采取身份认证、加密传输等技术措施,保障传输环境和执行环境的网络安全;加强在线升级服务全过程的网络安全监测和应急响应,定期评估网络安全状况,防范软件被伪造、篡改、损毁、泄露和病毒感染等网络安全风险。
(四)召回管理方面
国家市场监管总局办公厅于2020年11月23日发布《关于进一步加强汽车远程升级(OTA)技术召回监管的通知》规定,生产者采用OTA方式对已售车辆开展技术服务活动的,应按照《缺陷汽车产品召回管理条例》及《缺陷汽车产品召回管理条例实施办法》要求,向市场监管总局质量发展局备案。生产者采用OTA方式消除汽车产品缺陷、实施召回的,应按照上述召回条例及召回实施办法要求,制定召回计划,向市场监管总局质量发展局备案,依法履行召回主体责任。如OTA方式未能有效消除缺陷或造成新的缺陷,生产者应当再次采取召回措施。
该通知还规定生产者获知其生产、销售或进口的车辆或OTA实施过程中的车辆,在中国市场上发生被入侵、远程控制等安全事故时,应按照上述召回条例第十二条规定,立即组织调查分析,并向市场监管总局质量发展局报告调查分析结果。并且,消费者、零部件生产者、软件与系统或数据服务商等获知生产者采用OTA方式隐瞒车辆缺陷、规避召回责任的,可以直接向国家市场监管总局质量发展局报告。
国家市场监管总局质量发展局于2021年6月4日发布《关于汽车远程升级(OTA)技术召回备案的补充通知》规定,生产者备案采用OTA方式的技术服务活动或召回时,需提交《汽车远程升级(OTA)安全技术评估信息表》。
另外,国家市场监督管理总局、生态环境部于2021年7月1日实施《机动车排放召回管理规定》,其中第九条要求机动车生产者应当及时通过机动车排放召回信息系统报告与机动车排放有关的维修与远程升级等技术服务通报、公告等信息;并且规定该信息发生变化的,机动车生产者应当自变化之日起20个工作日内重新报告。
(五)国家标准方面
我国于2016年10月1日已经实施国家推荐标准《电动汽车远程服务与管理系统技术规范》(包括三部分内容:总则、车载终端、通信协议及数据格式)。国家推荐标准《电动汽车远程服务与管理系统信息安全技术要求及试验方法》也将于2022年5月1日实施。
另外,《汽车软件升级通用技术要求》作为我国首个OTA方面的强制性国家标准目前已完成草案编制工作,相信不久的将来就会实施。国家市场监督管理总局也于2022年1月20日表示:将积极推动车辆安全信息共享机制,加快《基于远程升级技术的汽车产品召回实施要求》等关键标准研制,推进智能网联汽车OTA大数据云平台和相应测试分析能力建设。
四、评析
我国已经从事先、事中、事后对OTA的监管作出框架性规定,但这只是基于我国传统汽车监管制度而对新出现的OTA法律新漏洞“打补丁”,但补丁的有效性还有待于实践进一步检验。传统汽车只是一种机械交通工具,没有搭载智能软件,在生产出厂之后一般不存在随时改变功能、性能的情况(车主对车辆进行改装的情况不在此讨论范围)。
而智能网联汽车作为新一代的数据处理平台,搭载多个传感器、控制器、执行器等装置,并融合现代通信与网络技术,具有与外界进行智能信息交换、共享,具备复杂环境感知、智能决策、协同控制等功能。其中,OTA作为智能网联汽车不断升级迭代的一种技术管道,可以使汽车不断更新功能与性能,这种升级直接影响到汽车产品质量本身的状态,更与车主或第三方人身财产安全密切相关,所以,生产者通过OTA技术对已售出汽车产品进行升级,也可被视为一种生产制造行为的延续,是生产者通过OTA技术不断塑造智能网联汽车的行为,智能网联汽车由此也具有一定的“成长性”。
在这种情况下,具有OTA功能的智能网联汽车集合了上述生产制造延续、数据安全、网络安全、个人信息等多个方面的问题,也彻底改变了国家对汽车产品监管的现有模式。比如,我国在监管传统汽车背景下制定的《缺陷汽车产品召回管理条例》,认为缺陷是指由于设计、制造、标识等原因导致的在同一批次、型号或者类别的汽车产品中普遍存在的不符合保障人身、财产安全的国家标准、行业标准的情形或者其他危及人身、财产安全的不合理的危险。
但是,智能网联汽车(包含生产者通过OTA技术升级的智能网联汽车)由于设计、制造、升级等原因导致车辆在网络安全、数据安全、个人信息保护方面,存在危及国家主权、国家安全、社会公共利益、个人合法权益的危险时,也应当认定该类汽车产品存在“缺陷”。这种“汽车软件问题”应当被认为是“汽车质量问题”。智能网联汽车集合的生产制造延续、数据安全、网络安全、个人信息等因素已经属于智能网联汽车产品质量的一部分,国家需要以“全生命周期的动态监管视角”完善智能网联汽车的管理制度。上述《缺陷汽车产品召回管理条例》的规定已不能完全适应智能网联汽车的健康发展。同理,在监管传统汽车背景下制定的其他汽车管理制度,国家也应当及时对其进行“OTA升级”。OTA技术我们既要用好,也要管好。