返回首頁

權威專家解讀汽車數據安全:泄露和濫用是目前主要風險點,建議加強第三方監管

孫桐桐每日經濟新聞

  智能汽車時代,汽車數據安全已成為社會廣泛關注的焦點話題。

  日前,國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、公安部、交通運輸部聯合發布《汽車數據安全管理若干規定(試行)》(以下簡稱《規定》),自2021年10月1日起施行。國家互聯網信息辦公室相關負責人表示,出臺《規定》旨在規范汽車數據處理活動,保護個人、組織的合法權益,維護國家安全和社會公共利益,促進汽車數據合理開發利用。

  事實上,今年以來,一系列汽車數據安全、智能網聯汽車管理規定相繼出臺。政策密集發布背后有何緣由?《規定》有哪些細節和亮點值得關注?當前,汽車行業及全產業鏈,存在哪些威脅數據安全的風險點?車企、供應商、行業協會等各類主體應該如何切實保障汽車數據安全?

  為了解答上述問題,《每日經濟新聞》(以下稱NBD)記者近日對中國汽車工業協會秘書長助理兼技術部部長王耀、武漢理工大學汽車學院副教授楊勝兵,以及嵐圖汽車、智己汽車、威馬汽車等車企相關負責人分別進行了專訪。

  告別“千企千面”,汽車數據安全要有法可依、有章可循

  NBD:此次五部門發布的《規定》有哪些亮點值得關注?

  王耀:第一,使用對象覆蓋汽車全產業鏈!兑幎ā分兴Q的汽車數據包括汽車設計、生產、銷售、使用、運維等過程中的涉及個人信息數據和重要數據。

  第二,明確了受保護的信息范圍!兑幎ā访鞔_了重要數據的范圍,包括地理信息、車流量信息、汽車充電網運行數據等六大類。同時,也對汽車數據處理、個人信息等概念做出明確定義,例如,汽車數據處理,包括汽車數據的收集、存儲、使用、加工、傳輸、提供、公開等,涉及汽車數據處理的全生命周期。

  第三,明確了處理個人信息和重要數據的原則!兑幎ā芬笤陂_展汽車數據處理活動中堅持“車內處理”“脫敏處理”等原則,減少對汽車數據的無序收集和違規濫用,鼓勵汽車數據依法合理有效利用,促進汽車行業健康有序發展。

  第四,明確了個人信息與重要數據跨境傳輸的相關要求!兑幎ā分赋,重要數據應當依法在境內存儲,因業務需要確需向境外提供的,應當通過國家網信部門會同國務院有關部門組織的安全評估。

  楊勝兵:智能網聯汽車全產業鏈有關方有法律依據可尋;智能網聯汽車全產業鏈信息數據安全有遵循依據,而不是“千企千面”;智能網聯汽車在技術層面的數據處理的同時,也要讓老百姓明明白白消費、安安全全使用。

  NBD:今年以來,汽車數據安全、智能網聯相關管理規定接連出臺,例如《智能網聯汽車道路測試與示范應用管理規范(試行)》、《關于加強智能網聯汽車生產企業及產品準入管理的意見》等,這些政策相繼出臺有哪些背景,反應出當前汽車產業怎樣的問題?

  王耀:發改委于2020年2月聯合多部門公共發布了《智能汽車創新發展戰略》,其中明確提出智能汽車是全球汽車產業發展的戰略方向,對我國具有重要戰略意義,其中,推動智能汽車創新發展的主要任務就包含構建系統完善的智能汽車法規標準體系。

  作為智能交通工具,智能網聯汽車跨行業融合了多種先進技術,相關技術持續迭代,相關汽車產品基本特征不斷變化。面對市場中不同等級汽車駕駛自動化產品,消費者應如何正確駕駛智能駕駛汽車以保障人身安全及交通安全,政府應如何有效監管智能網聯汽車以保障汽車產業健康發展成為汽車產業當前面臨的挑戰。

  同時,智能網聯汽車的技術發展需要海量的數據作為支撐,數據收集及處理過程中相關的個人隱私保護和數據安全使用等問題也受到社會的重點關注。為此,國家今年發布了《汽車數據安全管理若干規定》等法規,使企業在研發智能網聯汽車時,針對數據安全做到有法可依、有章可循。

  數據泄露和濫用,成為汽車數據處理的主要風險點

  NBD:按照《規定》,汽車制造商、零部件和軟件供應商、經銷商、維修機構以及出行服務企業等均屬于汽車數據處理者,從當前實際情況來看,在上述多個環節中,汽車數據安全存在哪些風險和不規范的地方?

  王耀:互聯網通信技術推動了汽車產業的發展,使汽車成為了網聯化的智能終端。在未來智能網聯汽車產業生態中,高精地圖的繪制,自動駕駛軟件算法的開發,駕駛行為的監測,自動駕駛車輛的監控都需要依靠海量多類型的數據作為支撐。

  未來智能網聯汽車產業鏈各環節之間必然會通過自采或數據交互等方式來獲取相關各類數據,如何構建智能網聯汽車產業數據安全監管體系,以保障數據交互過程中的產業安全,如何建設安全、健康、可持續發展的汽車產業數據生態將是汽車產業必須解決的重要課題。

  數據處理過程中的風險點主要包括數據泄露和濫用等,其影響主要有以下三方面:

  第一,對行車安全的影響。網聯化增加了車輛網絡安全風險威脅,使黑客有機會攻入車輛,甚至可以通過篡改數據獲得控制車輛的控制權,給行車安全帶來危險。

  第二,用戶隱私安全的泄露風險。智能網聯汽車上裝載的傳感器會持續獲取車上用戶乃至車外的行人的相關信息,涉及到用戶隱私侵犯問題。

  第三,對國家安全的影響。智能網聯汽車上大量的視覺傳感器、毫米波雷達、激光雷達傳感器在行駛的過程中會不斷地掃描路面和周圍的交通環境,獲取大量地理信息,這些信息一旦泄露將會對國家安全造成威脅。

  楊勝兵:從當前實際情況來看,在上述多個環節中,汽車數據處理既是信息源泉、技術手段,又是各家的技術訣竅、私有領地,各環節中,汽車數據處理安全有可能是“裸奔”狀態、放任自由。各環節中,汽車數據一旦疏于監管,將會給國家安全、公眾利益、個人隱私等造成不可挽回的損失。

  NBD:該《規定》是否更側重于對智能網聯汽車數據的管理?對智能汽車數據安全起到了怎樣的作用?還有哪些方面亟待完善?

  王耀:《規定》面向的范圍是所有汽車,只是相對于傳統汽車,智能網聯汽車的數據應用場景更加廣泛。針對目前實際生產、生活中暴露出的汽車數據安全問題和風險隱患,《規定》明確了汽車數據處理者的責任和義務,規范汽車數據處理活動,有利于促進汽車數據依法合理有效利用和汽車行業健康有序發展。

  《規定》對數據的收集、處理提出了明確要求,但在對一系列汽車數據相關活動要求的檢測與測試方面,還需要完善細化相關評估指南,保證《規定》的執行效果。

  第三方介入監管,能有效保障數據安全

  NBD:關于汽車數據處理,包括汽車數據的收集、存儲、使用、加工、傳輸、提供、公開等,當前是否有完善的監管體系和方法?如何有效保證各企業在實際操作時的數據安全?

  王耀:目前,政府仍在逐步完善汽車數據監管體系和方法,未來相關政府監管部門將在《網聯安全法》、《數據安全法》、《個人信息保護法》等上位法的框架下,進一步推動完善《智能網聯汽車生產企業及產品準入管理指南》、《汽車數據安全管理若干規定》等規則制度的相關實施細則,明確企業的數據安全保護責任,推動企業進一步加大對數據安全的投入,完善汽車數據安全保護體系,提升數據安全能力和水平。

  行業協會應積極組織宣傳溝通活動,有效傳達溝通相關信息,征集行業意見,反饋給有關部門,推動形成良性溝通機制。中汽協在今年初圍繞“汽車產業數據安全環境建設”組織了多次交流會議,通過廣泛聽取行業意見,目前已形成“汽車數據安全行業自律行為規范”。

  楊勝兵:汽車數據處理相關各環節都應該有規矩可循、有安全保障、有相關監督方、有可執行的具體手段。除規章制度外,數據全環節的加密、個人特征等隱私數據的權限和傳遞的路徑、公有數據的收集、使用、存檔等要在國家法律法規的監控之下。

  NBD:為了更好地保障數據安全,是否需要政府或協會等第三方層面的介入?例如提供存儲平臺等手段?

  王耀:政府依法進行數據安全監管是保障數據安全的有效手段,但是汽車數據的種類多、體量大,傳統的中心化數據治理模式不太適用。為有效解決行業痛點問題,中汽協已聯合整車企業、零部件供應商、第三方檢測機構、科技公司等相關單位,基于區塊鏈技術,構建了汽車大數據區塊鏈平臺,平臺能夠實現對數據行為的追溯,同時引入了數據抽樣檢查機制,可實現全生命周期汽車數據監管體系的建立。目前,平臺的可信存證業務已向全行業免費開放。

  同時,中汽協已聯合國家工業信息安全發展研究中心等單位共同開展《智能網聯汽車數據安全評估指南》的制定工作,旨在大力推動智能網聯汽車產業發展的同時,有效規范數據的合規使用,推動智能網聯汽車數據安全評估工作,進一步規范汽車產業相關企業數據處理行為,營造良好產業生態環境。

  楊勝兵:為了更好地保障數據安全,政府或協會等第三方層面的介入很有必要。在行業發展過程中,及早規范、及時發現、及時調整、事后補救等很有必要,應該通過國家汽車行業的有關監控平臺、企業監控平臺、企業數據安全使用報告、公眾媒介等手段來實施。

  嚴守基礎紅線,車企加速建立健全數據安全體系

  NBD:保障汽車數據安全,汽車制造商及相關供應鏈企業采取了哪些措施?

  嵐圖汽車:目前,嵐圖汽車也依據國家法律、行業標準持續建設數據安全體系,成立了數據安全組織并明確人員責任,制定了數據安全管理制度。

  在安全技術方面,第一,在數據存儲服務器上部署了HIDS、殺毒等軟件保護主機安全,自建容災系統保證數據可用性和業務連續性,部分涉及個人敏感信息的系統對敏感數據實施了數據脫敏處理;第二,使用專用APN通道傳輸數據實現數據網絡的隔離,并自建PKI設施對數據傳輸進行加密、完整性驗證;第三,在網絡邊界處部署防火墻、態勢感知、IPS、WAF等設備監控阻斷網絡攻擊;第四,使用證書、加密、代碼混淆等技術保護客戶端數據。

  作為一個全新的品牌,嵐圖汽車的數據安全體系還在不斷完善中,未來,嵐圖汽車計劃建設數據安全水平檢查體系、數據安全審計系統、以及數據安全中心等。

  智己汽車:我們清晰知道數據是具有兩面性的。為了保護消費者的隱私,我們承諾決不采用Face ID的技術,只需抽取用戶眉毛、眼皮等面部核心信息。所以哪怕黑客來反向攻擊,也不能在系統中找到一張完整的“face(臉)”。

  同時,我們建立了由客戶隱私方面的專家成立的數據隱私保護委員會,在很多新功能開發過程中,一些可能會觸犯到消費者隱私的功能都會由他們來決策評估。此外,我們采用一些先進的技術,比如說零知識證明、差分隱私、數據庫防火墻等來保障數據安全。

  威馬汽車:對車企來說,廣大用戶貢獻的數據確實是最寶貴資產之一,因此我們對于數據安全方面也非常重視。一直以來,威馬汽車十分重視車輛網絡安全的構建,從車端、云端、通信端和工業互聯網端四方面,自主設立了一套金融級別的安全防護策略,并且實現實時動態更新,提升安全等級,在這樣的防御體系下,沒有誰能夠擅自獲取或者泄露用戶數據。

  某車聯網企業:數據安全一直是我們所有工作的基礎紅線。數據的分類分級、數據在多網之間的安全計算、數據存儲和計算環境的安全等級保護等,都是數據安全團隊的核心工作,保證所有正常的技術工作、項目開發工作和產品上線后的運營工作中的數據安全。

  《規定》推出之后,我們按照國家的要求,對現在的數安體系進行了檢查,也組織產品設計團隊進行集體學習,領會國家監管部門的立法方向和用戶的法定權力的保障原則。同時,對重點客戶進行知識輸出,保證和客戶在關鍵產品設計、數據計算架構等方面對法規的理解一致。

中證網聲明:凡本網注明“來源:中國證券報·中證網”的所有作品,版權均屬于中國證券報、中證網。中國證券報·中證網與作品作者聯合聲明,任何組織未經中國證券報、中證網以及作者書面授權不得轉載、摘編或利用其它方式使用上述作品。凡本網注明來源非中國證券報·中證網的作品,均轉載自其它媒體,轉載目的在于更好服務讀者、傳遞信息之需,并不代表本網贊同其觀點,本網亦不對其真實性負責,持異議者應與原出處單位主張權利。