该不该禁止“汽车骇客研究”议题,正在美国众议院掀起一股风波。有人认为国会应该鼓励安全研究,而非阻碍其发展;但也有游说团体认为汽车安全系统研究会招致骇客入侵,造成难以承担的后果。不过,如此大动作的讨论,引来一些人对于立法背后动机的臆测。
于 10 月 21 日时,美国众议院激烈的辩论是否要将“汽车骇客研究(car hacking research)”列为非法行为的法案,如果再没有相关单位授权研究的情形下,违法的人将面临美金 10 万元(约新台币 300 万元)的罚款。在法案草稿明文规定限制汽车制造商收集用户数据,但却遭到拥护车商的议员代表反对。在提案书上,对于“汽车骇客”的解释是:
“在无授权之下,任何人都不得透过无线或有线方式接近电子控制部件(electronic control unit)、关键系统或其他能提供车商驾驶数据的系统,这样的行径应该被列为非法行为。”
不过,从这段摘自法案内文来看,“无授权”这三个字看起来格外模糊不清,很容易让人对“授权”的概念产生误解。电子前线基金会(Electronic Frontier Foundation;EFF)数次指出,这项条文已经包括在电脑诈欺与滥用法(computer fraud and abuse act)里,但美国巡回上诉法院过去遇到三起因为“无授权”三字而无法定案的事件。到底是拥有汽车的驾驶有权利授权还是开发计算机程序的汽车制造商呢?为了让读者更了解这项充满争议的法规,《SOFTPEDIA》提出正、反看法,来让读者能更清楚法条背后的权力、利益运作。
从福斯软件作假案例,禁止安全研究正确吗?
首先,假设你是一位汽车安全专家,你从某公司买了一台最新款、装配许多电脑辅助功能的汽车,你可透过智能手机控制汽车。身为一位汽车安全专家,你在使用过程中发现到一些问题,可能会导致驾驶发生危险,所以你凭著直觉骇进汽车的电脑系统里,验证了你的看法。你兴致冲冲的将这些数据资料回报给汽车厂商,但收到美金 10 万元的罚款,而某车商却完全没受到公平交易委员会的调查。你可能会很后悔自己没看到法案里的这行字:“在情况 30165 (a)下,制造商不受制于民事诉讼。”在法案里,还有很多条是汽车制造商的避风港,让他们免于责任。
第二,在今年八月有三位安全研究人员发现一台高档车的免钥匙进入系统功能有错误。然而,福斯(Volkswagen)却选择对三名研究人员提告而非处理安全疏漏,只希望能这份报告能被隐埋。除了福斯汽车外,也有许多知名汽车卷入汽车系统纠纷。对于消费者而言,我们应该要意识到没有任何一台有着轮子的电脑系统是能躲过骇客,比起只会游说政府修订有利于车商的法条,勇敢面对系统疏漏的车商才会真正赢得消费者的青睐与信任。
第三,根据提案书,如果汽车制造商所推出的车款有着三项安全功能,就可以通过节约燃料与废气排放规范。像是,左转指示、自动道路驾驶系统和人工智能刹车控制等安全功能。此外,有传闻指出,除了之前被爆出利用软件作弊的福斯外,其他汽车制造商正在使用相似的燃料排放欺骗系统。但在提案书却提供合理理由让汽车制造商逃避相关规范。
最后,这项提案书仍有值得被赞扬的地方。未来法规将会更加严格管制车商如何收集驾驶的数据并让过程更加透明化。如果车商不遵守这项新规定,会被重罚美金 100 万至 80 万元。此外,美国国家公路交通安全局(National Highway Traffic Safety Administration)会有更多权利管理、促销回收车辆且成立自动网络安全委员会(Automotive Cybersecurity Council)来管理智慧汽车的网络安全。
然而,美国媒体时常只会将法案的优点放置头条、大力鼓吹其带来的好处,却忘记阳光背后的阴影,让恶劣的厂商透过不同的游说团体向政府提出利己的法规,在大众不知情的情况下通过法案。
- US Government Preparing Bill to Make Car Hacking Research Illegal
- Congress Introduces Provision That Could Make Vehicle Security Research Illegal
(首图来源:Flickr/Rusty Clark CC BY 2.0)