科技議題

首頁> 科技議題 - 政策動向> 當自動駕駛車遭到駭客攻擊,是誰的責任?
當自動駕駛車遭到駭客攻擊,是誰的責任? When Autonomous Vehicles Are Hacked, Who Is Liable?
Zev Winkelman, Maya Buenaventura, James M. Anderson, Nahom M. Beyene, Pavan Katkar, Gregory Cyril Baumann
2019/07
RAND Corporation
https://www.rand.org/pubs/research_reports/RR2654.html
無人操作的自動駕駛車(autonomous vehicles,簡稱自駕車) 的好處不難想像,包括讓不會開車的人容易移動、可能更安全的道路駕駛,時間能夠更有效率地分配,然而隱藏的風險卻有可能超出預期的優點。自駕車的安全性結合了一般車輛系統的安全與資訊安全,目前對於車輛的安全性已有明確的法規規範,但是對於自駕車的網路安全探討卻仍處於黎明期。雖然規劃自駕車時已將駕駛上的各種可能危機納入考量,然而尚未對於遭到駭客攻擊時產生的後果進行系統性分析。截至目前為止,已有數十億美元的企業與風險資金投入該領域的開發,光是美國便有163家公司投入此行列,因此在自駕車受到廣泛重視之際,該報告以提醒的立場來探討後續的責任歸屬,從駭客入侵自駕車的動機、攻擊的管道、可能造成的傷害、誰要為傷害負責到法律上面臨的責任,提醒決策者如何因應新興科技風險以及後續衍生的訴訟等問題。

由於目前的駕駛車輛也普遍擁有從實體車連結到電腦網路的虛實整合系統(cyber-physical system CPS),因此對於CPS的研究已經相當成熟,已有美國國家標準暨技術研究院的工作小組著手研擬CPS網路安全的架構,範圍更擴及使用物聯網的所有裝置,因此該報告也沿用此架構來剖析製造者的角色、自駕車擁有者以及生態系中其他角色(智慧基礎建設、維修、保險與法規等)在自駕車普及化之後的改變。自駕車可分為感測器、感測器∕制動器控制、無線電腦連線系統以及可以控制方向的導航與自動駕駛元件等四大部分,自駕車連結電子控制單元的方式有3種:車對車(V2V)、車對基礎建設(V2I)、車對各種聯網裝置(V2X),而駭客便可能從各種連結中伺機入侵。可能的入侵方式有3種:從軟體脆弱地方入侵、安裝惡意裝置、從生態系中的V2V或V2I的連線(如充電站)入侵。可能駭入的型式包括:癱瘓自駕車、非自主啟動服務(加速、煞車、控制方向盤等)、資料操控、資料竊取等。因此報告提出各功能及控制單元中遭到上述4種駭入型式,表列可能遭到的損害。

報告將網路威脅區分為不同等級:包括第1級駭客個人的網路攻擊、第2級個人或小群體進行的零星網路竊盜或犯罪、第3級為恐怖集團或犯罪組織進行孤狼式網路入侵與監控、第4級專業組織或軍事操作的網路間諜或破壞、第5級國家情報單位的網路衝突與戰爭。針對自駕車的網路攻擊以前3者居多,第1級的動機為搞破壞,如改變公路標誌;第2類主要動機為獲利或意識形態,可能有綁架勒索等行為;第3級的動機則為中斷或破壞任務系統,可能會滲入車隊或製造者的連結系統造成更大的損害。至於遭到攻擊的自駕車,被破壞的標的以及造成的損失很難估算,除了直接的損害如車體或人員傷亡或建設破壞等,還可能造成二次損害,例如載送有毒物資發生在飲水區的車輛事故,除了造成環境汙染還有人類健康上的疑慮。

為釐清自駕車網路安全的責任,首先從虛實整合系統中的利害關係人著手。報告將利害關係人分為12個群組:
一、創造者與製造者,包括車體的軟硬體製造與設計,以及服務商與雲端提供者,如Amazon Web Services及Microsoft Azure。
二、供應鏈的提供者,包括元件與智財提供者。
三、服務提供者,如顧問、包商、銀行、修車店、律師等。
四、從開發到服務周期的競爭者。
五、經銷商、零件或服務的售後服務建置商。
六、顧客與用戶。
七、擁有者,包括個人與公司。
八、操作者,包括個人與公司。
九、保險業者。
十、法規業者。
十一、政府。
十二、公眾。

依美國國家公路交通安全管理局(NHTSA)的架構將自駕車的利害關係人與責任分為4個時期,過去傳統車的1-3期分別擔負各時期的責任,但自駕車則將每一階段責任由啟始延伸到最後,包括:
一、開發與生產期(包括設計、工程與製造):責任利害關係人包括發明者與製造者、供應鏈的提供者、服務提供者如顧問及包商等,分別提供產品設計及營運模式以維持競爭力、機器對機器的連線安全、駕駛時識別密鑰及認證防護等。

二、市場提供期(租賃或買賣): 責任利害關係人包括經銷商及售後服務建置商、車輛的使用者與顧客、服務提供者如金融機構。隨著自駕車營運模式的多元化,各種隨選(on-demand)汽車服務應運而生,經銷商或租車商負責保護自駕車配送及使用者認證等服務,顧客必須尊遵守共享協議、認證監測與財務保護服務。隨選服務依車輛所有權可區分為:
(一)製造商所有:由使用者開車的有賓士系統的Car2Go及福特系統的GoDrive;另有司機開車或自駕的包括Maven及Kango。
(二)第3方擁有:由使用者開車的有ZipCar;另有司機開車或自駕的包括Lyft、Uber、Waymo。
(三)個人擁有:由使用者開車的是Turo:另有司機開車或自駕的包括代理駕駛等。

三、交通服務期(由擁有者或駕駛操作使用 ):責任利害關係人及責任分別包括擁有者與操作者負責維護網路安全及使用者資料安全,顧客及使用者負責監控不安全的應用軟體或行銷詐騙等,服務提供者(如維修服務者)則是負責維修設備的網路安全。

四、上市保護期(法規、保險及保固): 責任利害關係人及責任分別包括:服務提供者(如律師)負責網路攻擊來源及引起的訴訟,服務提供者(如保險員)負責車輛安全鑑定、使用者教育、保險期間的車輛使用監測、保險主體轉移等,政府與法規人員負責建立標準、制定規則、教育使用者、監測連網車輛的資料共享、訂定安全認證政策以及使用者訓練與證照政策等,公眾則負責遵守軟體設定更新。

五、社會反應期,公眾對各時期的回饋。
欲討論自駕車遭到網路攻擊時的法律責任,必須從駭客進入自駕車系統的管道及犯罪的方式來探討。除了一般的法規架構以外,可能適用的法律還包括電子通訊隱私法、電腦詐欺及濫用法案、數位千禧年著作權法、有線監聽法,甚至可能涉及美國愛國者法案。如果導致死亡的話,還可能有過失致死及謀殺罪。民事上也有可能加上民事侵權法中的意圖侵權。針對自駕車的法案包括:2016年美國交通部正式頒布的自動駕駛車聯邦政策(Federal Automated Vehicles Policy),其中規範了15個安全要點;2017年美國國家公路交通安全管理局更新了2016年的自動駕駛系統安全指引頒布 2.0版,提出新版的自動駕駛定義與分級表,但並不是法規或強制性標準,僅提供汽車產業、各州政府與其他相關單位參考之指引文件;2018年美國交通部再度更新自駕車政策文件至3.0版(Preparing for the Future of Transportation: Automated Vehicles 3.0),也僅作為自願性規範、優良操作、設計原則的參考,鼓勵業者自我認證而非強制執行。

實務上若要針對個人對於特定網路攻擊究責並加以逮捕,仍有一定難度,因此該報告針對民事訴訟的經濟損失原則加以探討。根據產品責任險的原則,對於這類犯罪的究責通常基於預見性及防範能力,對於可預見的危險而未能防範的責任也並非是絕對的,法庭還是會衡量被告對於保護免於傷害的能力加以量刑,且通常不追究第三者的責任。但是無論如何,對於可預見的犯罪而未能預先防範,仍須擔負疏忽的責任,而且要將社會成本納入考量倒是保險體系在自駕車被駭時能夠發揮較大的功能,特別是有許多戰爭除外的保險,如何在大規模的網路攻擊自駕車事故中將損傷減到最低,是值得商榷。

一旦事故發生,包括車輛製造商、軟體開發商、車輛經銷商、消費者及政府都可能有責任。最直接追究責任的應屬自駕車的製造商,但是這個規則很可能在未來被打破,因為自駕車製造商可能是規模相對小的新創公司,而軟體開發商的口袋相對深,且應該要負更多責任。同時自駕車的使用者也有責任,例如在軟體該更新時而未予以更新,導致被駭客入侵。而政府的責任在於提供安全的基礎建設,例如維持道路安全,或是在自駕車與道路其他設施連結時提供安全的連線。因此建議開發針對自駕車安全性及網路安全的衡量架構,同時更清楚瞭解自駕車被駭客攻擊時保險能夠承擔的範圍,或是設計商業或消費者政策來確定由誰來承擔相關成本,或由再保險公司來作為最後一道防線。報告最後提出勒索病毒(RansomWare)、軍事基地破壞、基礎建設被駭、企業資料被竊等4種假想情境來進行法規分析,可供深入研究。
張國鈞
檢視附件內容
英文