肥了不肖車商還是造福消費者?關於美國汽車駭客研究法的爭議

作者 | 發布日期 2015 年 10 月 24 日 0:00 | 分類 汽車科技 , 自動化 , 資訊安全 follow us in feedly
6319135272_df1c397b62_z

該不該禁止「汽車駭客研究」議題,正在美國眾議院掀起一股風波。有人認為國會應該鼓勵安全研究,而非阻礙其發展;但也有遊說團體認為汽車安全系統研究會招致駭客入侵,造成難以承擔的後果。不過,如此大動作的討論,引來一些人對於立法背後動機的臆測。




於 10 月 21 日時,美國眾議院激烈的辯論是否要將「汽車駭客研究(car hacking research)」列為非法行為的法案,如果再沒有相關單位授權研究的情形下,違法的人將面臨美金 10 萬元(約新台幣 300 萬元)的罰款。在法案草稿明文規定限制汽車製造商收集用戶數據,但卻遭到擁護車商的議員代表反對。在提案書上,對於「汽車駭客」的解釋是:

「在無授權之下,任何人都不得透過無線或有線方式接近電子控制部件(electronic control unit)、關鍵系統或其他能提供車商駕駛數據的系統,這樣的行徑應該被列為非法行為。」

不過,從這段摘自法案內文來看,「無授權」這三個字看起來格外模糊不清,很容易讓人對「授權」的概念產生誤解。電子前線基金會(Electronic Frontier Foundation;EFF)數次指出,這項條文已經包括在電腦詐欺與濫用法(computer fraud and abuse act)裡,但美國巡迴上訴法院過去遇到三起因為「無授權」三字而無法定案的事件。到底是擁有汽車的駕駛有權利授權還是開發電腦程式的汽車製造商呢?為了讓讀者更了解這項充滿爭議的法規,《SOFTPEDIA》提出正、反看法,來讓讀者能更清楚法條背後的權力、利益運作。

 

從福斯軟體作假案例,禁止安全研究正確嗎?

首先,假設你是一位汽車安全專家,你從某公司買了一台最新款、裝配許多電腦輔助功能的汽車,你可透過智慧型手機控制汽車。身為一位汽車安全專家,你在使用過程中發現到一些問題,可能會導致駕駛發生危險,所以你憑著直覺駭進汽車的電腦系統裡,驗證了你的看法。你興致沖沖的將這些數據資料回報給汽車廠商,但收到美金 10 萬元的罰款,而某車商卻完全沒受到公平交易委員會的調查。你可能會很後悔自己沒看到法案裡的這行字:「在情況 30165 (a)下,製造商不受制於民事訴訟。」在法案裡,還有很多條是汽車製造商的避風港,讓他們免於責任。

第二,在今年八月有三位安全研究人員發現一台高檔車的免鑰匙進入系統功能有錯誤。然而,福斯(Volkswagen)卻選擇對三名研究人員提告而非處理安全疏漏,只希望能這份報告能被隱埋。除了福斯汽車外,也有許多知名汽車捲入汽車系統糾紛。對於消費者而言,我們應該要意識到沒有任何一台有著輪子的電腦系統是能躲過駭客,比起只會遊說政府修訂有利於車商的法條,勇敢面對系統疏漏的車商才會真正贏得消費者的青睞與信任。

第三,根據提案書,如果汽車製造商所推出的車款有著三項安全功能,就可以通過節約燃料與廢氣排放規範。像是,左轉指示、自動道路駕駛系統和人工智慧煞車控制等安全功能。此外,有傳聞指出,除了之前被爆出利用軟體作弊的福斯外,其他汽車製造商正在使用相似的燃料排放欺騙系統。但在提案書卻提供合理理由讓汽車製造商逃避相關規範。

最後,這項提案書仍有值得被讚揚的地方。未來法規將會更加嚴格管制車商如何收集駕駛的數據並讓過程更加透明化。如果車商不遵守這項新規定,會被重罰美金 100 萬至 80 萬元。此外,美國國家公路交通安全局(National Highway Traffic Safety Administration)會有更多權利管理、促銷回收車輛且成立自動網路安全委員會(Automotive Cybersecurity Council)來管理智慧汽車的網路安全。

然而,美國媒體時常只會將法案的優點放置頭條、大力鼓吹其帶來的好處,卻忘記陽光背後的陰影,讓惡劣的廠商透過不同的遊說團體向政府提出利己的法規,在大眾不知情的情況下通過法案。

(首圖來源:Flickr/Rusty Clark CC BY 2.0) 

發表迴響