智能網聯汽車數據安全管理面臨八大難題，未來有近千億市場規(guī)模

如今，在路面上行駛的車輛中，具備L2級及以上輔助駕駛功能的汽車越來越多，據相關統(tǒng)計，中國L2級及以上輔助駕駛乘用車的滲透率現已超過40%。

智能網聯汽車的一個重要特征就是具備了“自我進化”的能力，數據驅動汽車功能進化、服務創(chuàng)新，軟件保障數據采集、處理。在“數據決定體驗，軟件定義汽車”的趨勢下，智能網聯汽車的數據體量正快速躍升，每日產生的數據量達到 TB級，隨之而來的“云一管一端”安全風險及其影響范圍呈擴大態(tài)勢。

過去5年，全球汽車行業(yè)因網絡攻擊造成的損失超5000億美元，安全風險主要來自“云-管-端”三方面。其中，云端潛在的不安全接口、未授權訪問、系統(tǒng)漏洞等安全隱患可能會導致敏感信息泄露；數據傳輸也存在內外部雙重風險，車內面臨 CAN報文被篡改和偽造、通信總線阻塞導致無法及時反饋風險等安全問題，車外通信網絡傳輸時的通信鏈路面臨竊取或攻擊；伴隨車端軟件代碼數量增加，安全漏洞風險日益擴大。

據Upstream Security公司統(tǒng)計，2011-2021年全球共發(fā)生900 余起針對智能汽車的攻擊，其中87.7%威脅到車輛數據。近年，我國也頻頻發(fā)生汽車數據安全事件。隨著汽車智能化、網聯化的深入和應用場景不斷豐富，智能網聯汽車數據安全問題影響呈擴大態(tài)勢，一旦遭到攻擊、竊取、濫用，會給國家安全、交通安全和個人隱私安全造成重大影響。數據安全成為繼功能安全、預期功能安全、網絡安全之后的第四大安全監(jiān)管重點。

從重要性方面來看，智能網聯汽車數據是交通安全的重要外延，更是國家安全的重要防線，還與個人隱私保護密切相關。

單就個人隱私方面，車內的座艙攝像頭、麥克風等傳感器設備會集成大量個人特征精確的生物識別數據，還涉及用戶登錄信息和應用服務數據等，這類數據遭到泄露、非法共享，極易造成監(jiān)聽和身份盜竊等風險，從而影響個人的人身、財產安全。車外的遠視和環(huán)視攝像頭也在持續(xù)獲取周圍行人、車牌等信息，也和個人隱私安全息息相關。

數據安全已經成為用戶購車時考慮的重要因素之一。近期《廣州日報》發(fā)起的一項針對智能車的調研顯示，除了品牌、外觀、價格、續(xù)航因素，43%的用戶已將系統(tǒng)安全性/數據隱私納為購車的首要考慮因素。

因此，完善的智能網聯汽車數據安全監(jiān)管體系與政策體系是發(fā)揮我國海量汽車數據規(guī)模優(yōu)勢、激活數據要素潛能的重要基礎，有助于推動汽車數據安全合規(guī)地流通與使用，以充分發(fā)揮數據對自動駕駛、智能座艙等技術發(fā)展的促進作用，引導互聯網科技、金融保險等不同行業(yè)的企業(yè)利用數據開發(fā)更多賦能智能網聯汽車發(fā)展的產品及服務，加快我國智能網聯汽車產業(yè)發(fā)展進程。

面臨八大難題

從從監(jiān)管和產業(yè)兩個層面來看，我國智能網聯汽車數據安全管理面臨八大問題。

1.數據安全管理與汽車監(jiān)管體系融合問題。

當前我國汽車監(jiān)管主要關注生產準入、強制認證等事前管理，而數據管理更注重從采集到銷毀的全生命周期安全。在數據安全管理與汽車監(jiān)管體系融合的過程中，存在管理思維從“硬件為主”向“軟硬結合”轉變難、部門間監(jiān)管業(yè)務重疊交叉且缺乏有效協(xié)同等問題。需要明確現階段汽車數據安全管理應遵循的基本原則，明晰部門間各自具體的責任劃分和任務分工，并建立部門協(xié)同工作機制，提升汽車數據管理效能。

2.國內外法規(guī)、標準差異帶來的雙重合規(guī)問題。

近年來，全球主流國家紛紛出臺數據安全、隱私保護法律法規(guī)，各國數據安全、隱私保護的監(jiān)管側重點不同且評估標準不統(tǒng)一。我國汽車企業(yè)在加強國際市場戰(zhàn)略部署的過程中，同一類型的產品因需要出口到不同的國家和地區(qū)，會面臨國外法長臂管轄和國內法域外適用帶來的雙重合規(guī)問題，落地難度較大。我國數據安全管理要與國際接軌，應積極培育全球合作生態(tài)，夯實數據標準互認基礎，建立數據信任對等機制，為我國汽車產業(yè)國際發(fā)展奠定基礎。

3.汽車測繪地理信息使用管理問題。

伴隨著汽車智能化發(fā)展，測繪地理信息在智能網聯汽車中的應用范圍逐步擴大，高精度地圖繪制以及自動駕駛技術環(huán)境感知、行為決策、姿態(tài)控制和算法升級等高度依賴影像數據、衛(wèi)星導航定位、慣性導航、激光雷達點云數據等地理信息數據。但汽車采集和使用的測繪地理信息很容易涉密涉敏，一旦泄露將影響國家安全。當前汽車行業(yè)應用測繪地理信息仍面臨缺乏細化指導、審圖效率低、缺乏協(xié)同管理導致資源浪費等問題，需要出臺汽車領域測繪地理信息合規(guī)指南，提升審圖效率，并引導多方合作，推動測繪地理信息在汽車行業(yè)的應用。

4.汽車數據安全標準體系建設問題。

工業(yè)和信息化部發(fā)布的《車聯網網絡安全和數據安全標準體系建設指南》為車聯網網絡和數據安全提供了標準框架，但接近87%的標準還處于未發(fā)布狀態(tài)，且汽車數據異常行為監(jiān)測、數據處理和技術要求等多項數據安全標準仍處空白狀態(tài)，很難為產業(yè)網絡、數據安全落地提供操作性指引。需在滿足產業(yè)長遠發(fā)展需求的前提下，堅持“急用先行”原則，推動行業(yè)標準和團體標準的研制，并為國家標準的制定提供參考。后續(xù)標準落地應以汽車企業(yè)為突破口，帶動上下游企業(yè)標準對接和配套。

5.汽車數據分類分級問題。

我國的汽車數據分類分級工作已取得一定進展，出臺了一系列標準及規(guī)范文件，對汽車數據特點、產生流程、分類分級方法、防護手段及對策等方面均有所覆蓋。但現階段各類標準規(guī)范的編制思路和框架不統(tǒng)一，且普遍存在前瞻性不足、欠缺動態(tài)發(fā)展空間、對部分數據界定不夠清晰具體、安全防護措施與實際監(jiān)管脫節(jié)等問題。需要明確汽車數據分類分級思路及原則，制定協(xié)調一致的汽車數據分類分級規(guī)范指南，促進國家標準體系的建立。

6.汽車數據權責劃分問題。

汽車數據在產生、采集、傳輸、存儲過程中涉及產業(yè)鏈多方主體，上下游企業(yè)均需獲取汽車數據用來迭代自身技術、優(yōu)化產品性能。傳統(tǒng)法律框架無法支撐汽車數據權責認定，落實和追蹤汽車數據權責配套的技術和機制不健全。當前汽車數據相關應用和管理實踐還處于初級階段，需要從法律層面明確汽車數據所有權，圍繞不同數據處理的場景和環(huán)節(jié)，細化汽車數據管理各方主體責任，確立產業(yè)鏈上下游企業(yè)聯動權責關系。

7.數據安全防護技術上車問題。

智能網聯汽車具有高速移動和空間受限的特點，受攻擊面更廣，攻擊點更多，安全防護難度更大?；ヂ摼W安全防護技術已發(fā)展得比較成熟，部分領先技術已開始引入車端，但更多是單點防護，車端計算資源有限、加密算法不適配、車內通信缺乏安全機制以及車輛外部接口眾多等制約著全方位數據安全防護體系的建立。應加快汽車安全防護技術標準制定與更新，加強公共服務平臺建設，強化汽車數據安全監(jiān)測評估服務，推動底層安全技術發(fā)展，以提升汽車整體安全防護水平。

8.企業(yè)建設汽車數據安全管理體系問題。

目前汽車產業(yè)鏈各方主體數據安全管理體系建設程度參差不齊，部分企業(yè)數據安全管理體系還流于形式且彼此獨立，部分零部件供應商甚至未配齊數據安全團隊。造成這一現象的原因有多個方面，包括法規(guī)具體條款要求不明確、標準和指南等實施文件缺失、汽車產業(yè)鏈缺乏對軟件及數據的管理經驗、企業(yè)內各部門協(xié)調難度大等。需要進一步補充、細化數據安全管理監(jiān)管要求，加快制定數據安全管理體系建設指導細則及相關標準，為企業(yè)提供切實可行的實施路徑。

新書給出建議

智能網聯汽車數據安全管理涉及行業(yè)生態(tài)體系的各個環(huán)節(jié)，為充分發(fā)揮數據安全管理效能，需要充分調動行業(yè)整體的責任意識，聯合構建汽車生態(tài)體系協(xié)同推進的數據安全管理工作體系。協(xié)同政府、行業(yè)組織、上下游企業(yè)共同參與，發(fā)揮各自的作用，進一步完善監(jiān)管體系、明確政策法規(guī)、協(xié)調機構配合、指導企業(yè)實踐，形成“政府指導、行業(yè)協(xié)同、企業(yè)踐行”的全面協(xié)同治理模式。

中國電動汽車百人會聯合中國信息化百人會、中國汽車工程研究院股份有限公司，在對比美歐日等國家和地區(qū)數據安全政策、法規(guī)監(jiān)管體系的前提下，通過共同研究課題“智能網聯汽車數據安全監(jiān)管體系與政策體系”，從監(jiān)管和產業(yè)兩個層面，針對以上八大難題，給出了一系列建議。

據該項研究成果，隨著整個汽車行業(yè)數據安全的有序推進，數據安全市場規(guī)模開始擴大。預計2023年，智能網聯汽車數據安全市場規(guī)模將超過370億元，2025年將達到735億元，市場規(guī)模將不斷擴大（詳見百人會近期發(fā)布的2023汽車數據安全年度報告）。

目前，這一系列研究成果已經整理編輯成為《數據安全時代——智能網聯汽車數據安全監(jiān)管與政策體系》一書，對外公開出版發(fā)行。

全書分為總括篇、監(jiān)管篇、產業(yè)篇，主要內容有汽車數據安全管理的新需求與新階段；汽車數據監(jiān)管體系；跨境合規(guī)、測繪數據、數據確權、分類分級等法規(guī)標準建設進展；汽車數據安全技術發(fā)展與企業(yè)管理情況等。

本書適合智能網聯汽車相關政府管理部門工作人員，整車企業(yè)、零部件企業(yè)及安全企業(yè)等相關工作人員，以及對汽車數據安全相關知識的廣大消費者閱讀。

文/陳重山