燃油汽車在人類歷史上扮演過重要的角色，它促進了人類的移動能力，促進了資本主義的發展與現代化；汽車也強化了軍隊的戰鬥能力，無論是歐陸、北非戰場上曾出現的裝甲車大對決，還是位於北非的利比亞與查德於1980年代中期爆發的「豐田戰爭」，到運輸洲際彈道飛彈的16-18輪飛彈發射車等等，汽車強化了人類保證相互毀滅的能力。

最近，隨著自駕車與新能源車的發展，汽車產業達到一個新的境界，首先是降低了汽車產業的進入門檻，過去的燃油引擎仰賴精密的機械設計與加工技術，現在只需要強而有力的電動馬達，但也因為新能源是當今汽車產樂的顯學，國際地緣政治的焦點也從生產石油的海灣地區，部分地移轉到生產電池所需要的鋰礦（澳大利亞、智利、阿根廷、巴西、辛巴威）、鎳礦（印尼、菲律賓、法屬新克里多尼亞、澳大利亞、巴西）、鈷礦（剛果、澳大利亞、菲律賓、古巴、巴布亞新幾內亞、 馬達加斯加）與錳礦（南非、澳大利亞、加彭、迦納、巴西）等非中、美、俄、加的國家。然而，自動駕駛車引發的安全疑慮已經提升到國家安全問題的層次，隨著新冷戰的爆發，國人與政府官員實在沒有繼續裝聾作啞的理由。

電影「斷訊」中的現代啟示錄

去年熱映的電影「斷訊」（Leave the World Behind）所描繪的正是美國遭受網路攻擊的場景，這包括所有的網際網路與手機訊號皆被某一未指名的行動者所切斷了，飛機紛紛撞毀，船隻也因為失去了導航能力紛紛衝向岸邊。但影片中最引人驚駭的則是一輛又一輛Tesla電動車被網絡操控癱瘓了公路與橋樑與破壞了基礎建設，阻礙了人的流動與訊息的傳遞，在恐懼情緒蔓延的情況下，美國爆發內戰，甚至是核戰爭。

「斷訊」的夢魘不啻是現代啟示錄。根據國際汽車工程師協會（SAE）定義，自動駕駛分為六個等級，從Level 0到Level 5，從Level 2開始的部分自動駕駛就有感測器進行數據的收集和處理，以及雲端數據分析，像是福特的CoPilot360、Tesla的Autopilot以及MG的Pilot 2.0系統等等，都是Level 2的自駕系統。現在這些自駕系統所搜集的資料往哪裡傳輸成為各方人馬都好奇的問題。

來自瑞典的調查

瑞典汽車雜誌《我們的車主》（Vi Bilägare）與該國最富盛名的皇家理工學院（Kungliga Tekniska högskolan）資訊安全相關科系的大學生合作，以該雜誌持有的五台小客車為實驗對象，探究這些自駕系統的所上傳的資料往何處去。他們籌劃了稱之為中間人攻擊（Man-in-the-Middle，簡稱MITM）的網絡攻擊。他們發現，僅有Volvo V90因為沒有sim卡，所以沒有進行數據傳輸。Tesla Model 3搜集的數據輸往愛爾蘭，福斯集團旗下的Seat Leon輸往美國與義大利，日產的Qashqai將數據輸送到美國、德國、義大利與英國，被中國上海汽車收購的MG Marvel R（台灣的名稱為MG4 EV，目前因自製率問題停售中）則是將數據輸送到德國、愛爾蘭、法國與中國，是受調查的五台車輛中，唯一將數據傳輸到中國的車種。

根據歐盟於2016年頒訂的《通用資料保護規則》（General Data Protection Regulation, GDPR），將數據傳往中國、美國等非歐盟國家並不違法，相較於對資料嚴格管制的中國、俄羅斯、巴西與印度，歐盟對資料在地化（data localization）並未有強制性的要求，歐盟採取的方法是確保個人資料無論儲存在哪裡都能得到高標準的保護。GDPR第45條的「充分性決定」原則明定如果歐盟委員會判定某非歐盟國家確保了足夠的資料保護水平，個人資料可以傳輸至該國。目前歐盟認定符合「充分性決定」的國家包括：安道爾、阿根廷、加拿大（商業組織）、法羅群島、根西島、以色列、馬恩島、日本、澤西島、紐西蘭、韓國、瑞士、英國。值得注意的是，美國被排除在外，被歐盟界定為體系對手（systemic rival）的中國，也同樣被界定未能提供「足夠的資料保護水平」。

然而，當前自駕車傳輸資料現在並不被當成「個人資料」。確實，蒐集汽車內的駕駛與乘客相關資訊未必等同於個人資料，然而，汽車內的乘客一方面都屬於自然人，另一方面，每一輛車都有一個特別的數位編號，基於駕駛相關習慣，對車輛與車主，或是慣常的駕駛人與乘客進行配對是相當容易的。因此，任何從汽車發的資料都應該視為個人資料。就這方面來看，日產與福斯集團都將資料傳往美國這一個非屬於「充分性決定」國家已經存在詮釋空間，而直接將資料不間斷傳輸給位於中國的騰訊集團的MG汽車，不僅則直接觸動了歐盟、甚至北約敏感的神經，而不是是否不妥那麼簡單。雖然MG聲稱並未傳送GPS位置與電子郵件等個人數據，但根據中國全面網管的歷史，誰又能相信MG與上汽的說詞？稍一不慎，你我都將變成中國「網絡生命共同體」的一員，更糟的是，還在嚷嚷抱怨著台灣政府不讓MG在台繼續賣，罔顧大開中國來監視台灣內部動態之門的現實。

美國醞釀對中國自動駕駛車輛的禁令

美國《財星》（Fortune）雜誌報導稱，中國企業擁有的自動駕駛汽車僅在加州就行駛了180萬英里，收集了各種數據並發回其祖國。報導提到，如果真的發生這種情況，這些數據可能會被中國政府用於間諜活動，甚至是戰爭規劃。前任美國中央情報局、國防部官員，現為眾議員的斯洛特金女士（Elissa Slotkin, 民主黨，密西根州）於今年五月底宣布與美國商務部共同推動《聯網汽車國家安全審查法案》（Connected Vehicle National Security Review Act），她提出的立法旨在對中國或其他相關國家的公司製造的聯網汽車建立正式的國家安全審查。她說：「今天的車輛比以往任何時候都更加先進，配備了鏡頭、雷達和其他先進傳感器，並且能夠處理、傳輸和存儲從美國收集的數據。」「如果允許進入我們的市場，中國的聯網汽車將為中國政府提供有關美國的寶貴情報寶庫，包括收集有關我們的軍事基地、電網和交通系統等關鍵基礎設施的信息的潛力，甚至可以定位特定的地點。」

拜登政府即將在他任期的最後幾個月著手強化對中國製自動駕駛車及其相關軟體的管控，這表現在三個具體的政策方向：1.汽車業者要證明他們的連網或自動駕駛汽車軟體都不是由政府所謂的「外國關注實體」（foreign entity of concern）開發的；2.計劃阻止裝有先進的中國無線通訊模組的汽車進入美國高速公路；3.禁止中國開發的軟體安裝在任何具有Level 3或以上自動化等級的車輛上。Level 3可以說是自動駕駛系統分級的分水嶺，Level 2和Level 3最大的差別在於Level 2是由車主負開車的責任；Level 3則因為由汽車本身主導，所以由汽車廠來負責。去年九月，美國加州及內華達州供應可合法啟用符合Level 3 自動駕駛等級的賓士EQS車款。今年六月，中國工信部等四個中央部會批准包括蔚來、比亞迪、上汽等九家汽車品牌進行Level 3自動駕駛道路測試。一但美國立法通過相關禁令，配備中國軟體的智能車在美國恐怕是無緣上路了。

在台灣街頭奔馳的中國細胞？!

我們現在討論的不是如何防止駭客侵入汽車的資訊娛樂系統，而是關於這些車輛被用來監視駕駛人、行車周邊環境甚至控制汽車本身的可能性。目前台灣規範個人資料傳輸的法律包括《個人資料保護法》第21條與《通訊保障及監察法》，對自動駕駛車輛涉及的資料傳輸問題缺乏實際的規範，台灣社會對於中國製軟體問題在台氾濫的問題相對也較為忽視。

像是最近一年在台灣賣到翻的、由裕隆集團旗下子公司中華汽車代理，並在台灣組裝的MG台灣，技術來源即上海汽車公司。瑞典的調查已經證實MG汽車資料傳到上海騰訊的伺服器，我們有足夠的理由認為，在台灣搭載MG Pilot 2.0的各車型24小時全天候不間斷偵測台灣環境、搜集台灣個人與道路相關訊息，像是偵監談話中提到的敏感詞彙如賴清德、台獨、習近平，以及漢光演習、愛國者飛彈營區、各軍種總部、指揮部等地區周邊的道路動態。對中國而言，內部攻破的成本遠遠低於大部隊進逼灘頭與進行飽和轟炸。資訊安全是當前國家安全不可或缺的一環，政府由有必要調查台灣各大汽車廠牌所搭載的自動駕駛性系統軟體將這些搜集的資訊何處發送，加大力度整頓台灣自駕車輛資訊環境已是迫在眉睫。

※作者為政治評論人