智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全管理面臨八大難題，未來有近千億市場規(guī)模

如今，在路面上行駛的車輛中，具備L2級及以上輔助駕駛功能的汽車越來越多，據(jù)相關(guān)統(tǒng)計，中國L2級及以上輔助駕駛乘用車的滲透率現(xiàn)已超過40%。

智能網(wǎng)聯(lián)汽車的一個重要特征就是具備了“自我進化”的能力，數(shù)據(jù)驅(qū)動汽車功能進化、服務創(chuàng)新，軟件保障數(shù)據(jù)采集、處理。在“數(shù)據(jù)決定體驗，軟件定義汽車”的趨勢下，智能網(wǎng)聯(lián)汽車的數(shù)據(jù)體量正快速躍升，每日產(chǎn)生的數(shù)據(jù)量達到 TB級，隨之而來的“云一管一端”安全風險及其影響范圍呈擴大態(tài)勢。

過去5年，全球汽車行業(yè)因網(wǎng)絡攻擊造成的損失超5000億美元，安全風險主要來自“云-管-端”三方面。其中，云端潛在的不安全接口、未授權(quán)訪問、系統(tǒng)漏洞等安全隱患可能會導致敏感信息泄露；數(shù)據(jù)傳輸也存在內(nèi)外部雙重風險，車內(nèi)面臨 CAN報文被篡改和偽造、通信總線阻塞導致無法及時反饋風險等安全問題，車外通信網(wǎng)絡傳輸時的通信鏈路面臨竊取或攻擊；伴隨車端軟件代碼數(shù)量增加，安全漏洞風險日益擴大。

據(jù)Upstream Security公司統(tǒng)計，2011-2021年全球共發(fā)生900 余起針對智能汽車的攻擊，其中87.7%威脅到車輛數(shù)據(jù)。近年，我國也頻頻發(fā)生汽車數(shù)據(jù)安全事件。隨著汽車智能化、網(wǎng)聯(lián)化的深入和應用場景不斷豐富，智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全問題影響呈擴大態(tài)勢，一旦遭到攻擊、竊取、濫用，會給國家安全、交通安全和個人隱私安全造成重大影響。數(shù)據(jù)安全成為繼功能安全、預期功能安全、網(wǎng)絡安全之后的第四大安全監(jiān)管重點。

從重要性方面來看，智能網(wǎng)聯(lián)汽車數(shù)據(jù)是交通安全的重要外延，更是國家安全的重要防線，還與個人隱私保護密切相關(guān)。

單就個人隱私方面，車內(nèi)的座艙攝像頭、麥克風等傳感器設備會集成大量個人特征精確的生物識別數(shù)據(jù)，還涉及用戶登錄信息和應用服務數(shù)據(jù)等，這類數(shù)據(jù)遭到泄露、非法共享，極易造成監(jiān)聽和身份盜竊等風險，從而影響個人的人身、財產(chǎn)安全。車外的遠視和環(huán)視攝像頭也在持續(xù)獲取周圍行人、車牌等信息，也和個人隱私安全息息相關(guān)。

數(shù)據(jù)安全已經(jīng)成為用戶購車時考慮的重要因素之一。近期《廣州日報》發(fā)起的一項針對智能車的調(diào)研顯示，除了品牌、外觀、價格、續(xù)航因素，43%的用戶已將系統(tǒng)安全性/數(shù)據(jù)隱私納為購車的首要考慮因素。

因此，完善的智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全監(jiān)管體系與政策體系是發(fā)揮我國海量汽車數(shù)據(jù)規(guī)模優(yōu)勢、激活數(shù)據(jù)要素潛能的重要基礎，有助于推動汽車數(shù)據(jù)安全合規(guī)地流通與使用，以充分發(fā)揮數(shù)據(jù)對自動駕駛、智能座艙等技術(shù)發(fā)展的促進作用，引導互聯(lián)網(wǎng)科技、金融保險等不同行業(yè)的企業(yè)利用數(shù)據(jù)開發(fā)更多賦能智能網(wǎng)聯(lián)汽車發(fā)展的產(chǎn)品及服務，加快我國智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)發(fā)展進程。

面臨八大難題

從從監(jiān)管和產(chǎn)業(yè)兩個層面來看，我國智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全管理面臨八大問題。

1.數(shù)據(jù)安全管理與汽車監(jiān)管體系融合問題。

當前我國汽車監(jiān)管主要關(guān)注生產(chǎn)準入、強制認證等事前管理，而數(shù)據(jù)管理更注重從采集到銷毀的全生命周期安全。在數(shù)據(jù)安全管理與汽車監(jiān)管體系融合的過程中，存在管理思維從“硬件為主”向“軟硬結(jié)合”轉(zhuǎn)變難、部門間監(jiān)管業(yè)務重疊交叉且缺乏有效協(xié)同等問題。需要明確現(xiàn)階段汽車數(shù)據(jù)安全管理應遵循的基本原則，明晰部門間各自具體的責任劃分和任務分工，并建立部門協(xié)同工作機制，提升汽車數(shù)據(jù)管理效能。

2.國內(nèi)外法規(guī)、標準差異帶來的雙重合規(guī)問題。

近年來，全球主流國家紛紛出臺數(shù)據(jù)安全、隱私保護法律法規(guī)，各國數(shù)據(jù)安全、隱私保護的監(jiān)管側(cè)重點不同且評估標準不統(tǒng)一。我國汽車企業(yè)在加強國際市場戰(zhàn)略部署的過程中，同一類型的產(chǎn)品因需要出口到不同的國家和地區(qū)，會面臨國外法長臂管轄和國內(nèi)法域外適用帶來的雙重合規(guī)問題，落地難度較大。我國數(shù)據(jù)安全管理要與國際接軌，應積極培育全球合作生態(tài)，夯實數(shù)據(jù)標準互認基礎，建立數(shù)據(jù)信任對等機制，為我國汽車產(chǎn)業(yè)國際發(fā)展奠定基礎。

3.汽車測繪地理信息使用管理問題。

伴隨著汽車智能化發(fā)展，測繪地理信息在智能網(wǎng)聯(lián)汽車中的應用范圍逐步擴大，高精度地圖繪制以及自動駕駛技術(shù)環(huán)境感知、行為決策、姿態(tài)控制和算法升級等高度依賴影像數(shù)據(jù)、衛(wèi)星導航定位、慣性導航、激光雷達點云數(shù)據(jù)等地理信息數(shù)據(jù)。但汽車采集和使用的測繪地理信息很容易涉密涉敏，一旦泄露將影響國家安全。當前汽車行業(yè)應用測繪地理信息仍面臨缺乏細化指導、審圖效率低、缺乏協(xié)同管理導致資源浪費等問題，需要出臺汽車領(lǐng)域測繪地理信息合規(guī)指南，提升審圖效率，并引導多方合作，推動測繪地理信息在汽車行業(yè)的應用。

4.汽車數(shù)據(jù)安全標準體系建設問題。

工業(yè)和信息化部發(fā)布的《車聯(lián)網(wǎng)網(wǎng)絡安全和數(shù)據(jù)安全標準體系建設指南》為車聯(lián)網(wǎng)網(wǎng)絡和數(shù)據(jù)安全提供了標準框架，但接近87%的標準還處于未發(fā)布狀態(tài)，且汽車數(shù)據(jù)異常行為監(jiān)測、數(shù)據(jù)處理和技術(shù)要求等多項數(shù)據(jù)安全標準仍處空白狀態(tài)，很難為產(chǎn)業(yè)網(wǎng)絡、數(shù)據(jù)安全落地提供操作性指引。需在滿足產(chǎn)業(yè)長遠發(fā)展需求的前提下，堅持“急用先行”原則，推動行業(yè)標準和團體標準的研制，并為國家標準的制定提供參考。后續(xù)標準落地應以汽車企業(yè)為突破口，帶動上下游企業(yè)標準對接和配套。

5.汽車數(shù)據(jù)分類分級問題。

我國的汽車數(shù)據(jù)分類分級工作已取得一定進展，出臺了一系列標準及規(guī)范文件，對汽車數(shù)據(jù)特點、產(chǎn)生流程、分類分級方法、防護手段及對策等方面均有所覆蓋。但現(xiàn)階段各類標準規(guī)范的編制思路和框架不統(tǒng)一，且普遍存在前瞻性不足、欠缺動態(tài)發(fā)展空間、對部分數(shù)據(jù)界定不夠清晰具體、安全防護措施與實際監(jiān)管脫節(jié)等問題。需要明確汽車數(shù)據(jù)分類分級思路及原則，制定協(xié)調(diào)一致的汽車數(shù)據(jù)分類分級規(guī)范指南，促進國家標準體系的建立。

6.汽車數(shù)據(jù)權(quán)責劃分問題。

汽車數(shù)據(jù)在產(chǎn)生、采集、傳輸、存儲過程中涉及產(chǎn)業(yè)鏈多方主體，上下游企業(yè)均需獲取汽車數(shù)據(jù)用來迭代自身技術(shù)、優(yōu)化產(chǎn)品性能。傳統(tǒng)法律框架無法支撐汽車數(shù)據(jù)權(quán)責認定，落實和追蹤汽車數(shù)據(jù)權(quán)責配套的技術(shù)和機制不健全。當前汽車數(shù)據(jù)相關(guān)應用和管理實踐還處于初級階段，需要從法律層面明確汽車數(shù)據(jù)所有權(quán)，圍繞不同數(shù)據(jù)處理的場景和環(huán)節(jié)，細化汽車數(shù)據(jù)管理各方主體責任，確立產(chǎn)業(yè)鏈上下游企業(yè)聯(lián)動權(quán)責關(guān)系。

7.數(shù)據(jù)安全防護技術(shù)上車問題。

智能網(wǎng)聯(lián)汽車具有高速移動和空間受限的特點，受攻擊面更廣，攻擊點更多，安全防護難度更大?；ヂ?lián)網(wǎng)安全防護技術(shù)已發(fā)展得比較成熟，部分領(lǐng)先技術(shù)已開始引入車端，但更多是單點防護，車端計算資源有限、加密算法不適配、車內(nèi)通信缺乏安全機制以及車輛外部接口眾多等制約著全方位數(shù)據(jù)安全防護體系的建立。應加快汽車安全防護技術(shù)標準制定與更新，加強公共服務平臺建設，強化汽車數(shù)據(jù)安全監(jiān)測評估服務，推動底層安全技術(shù)發(fā)展，以提升汽車整體安全防護水平。

8.企業(yè)建設汽車數(shù)據(jù)安全管理體系問題。

目前汽車產(chǎn)業(yè)鏈各方主體數(shù)據(jù)安全管理體系建設程度參差不齊，部分企業(yè)數(shù)據(jù)安全管理體系還流于形式且彼此獨立，部分零部件供應商甚至未配齊數(shù)據(jù)安全團隊。造成這一現(xiàn)象的原因有多個方面，包括法規(guī)具體條款要求不明確、標準和指南等實施文件缺失、汽車產(chǎn)業(yè)鏈缺乏對軟件及數(shù)據(jù)的管理經(jīng)驗、企業(yè)內(nèi)各部門協(xié)調(diào)難度大等。需要進一步補充、細化數(shù)據(jù)安全管理監(jiān)管要求，加快制定數(shù)據(jù)安全管理體系建設指導細則及相關(guān)標準，為企業(yè)提供切實可行的實施路徑。

新書給出建議

智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全管理涉及行業(yè)生態(tài)體系的各個環(huán)節(jié)，為充分發(fā)揮數(shù)據(jù)安全管理效能，需要充分調(diào)動行業(yè)整體的責任意識，聯(lián)合構(gòu)建汽車生態(tài)體系協(xié)同推進的數(shù)據(jù)安全管理工作體系。協(xié)同政府、行業(yè)組織、上下游企業(yè)共同參與，發(fā)揮各自的作用，進一步完善監(jiān)管體系、明確政策法規(guī)、協(xié)調(diào)機構(gòu)配合、指導企業(yè)實踐，形成“政府指導、行業(yè)協(xié)同、企業(yè)踐行”的全面協(xié)同治理模式。

中國電動汽車百人會聯(lián)合中國信息化百人會、中國汽車工程研究院股份有限公司，在對比美歐日等國家和地區(qū)數(shù)據(jù)安全政策、法規(guī)監(jiān)管體系的前提下，通過共同研究課題“智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全監(jiān)管體系與政策體系”，從監(jiān)管和產(chǎn)業(yè)兩個層面，針對以上八大難題，給出了一系列建議。

據(jù)該項研究成果，隨著整個汽車行業(yè)數(shù)據(jù)安全的有序推進，數(shù)據(jù)安全市場規(guī)模開始擴大。預計2023年，智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全市場規(guī)模將超過370億元，2025年將達到735億元，市場規(guī)模將不斷擴大（詳見百人會近期發(fā)布的2023汽車數(shù)據(jù)安全年度報告）。

目前，這一系列研究成果已經(jīng)整理編輯成為《數(shù)據(jù)安全時代——智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全監(jiān)管與政策體系》一書，對外公開出版發(fā)行。

全書分為總括篇、監(jiān)管篇、產(chǎn)業(yè)篇，主要內(nèi)容有汽車數(shù)據(jù)安全管理的新需求與新階段；汽車數(shù)據(jù)監(jiān)管體系；跨境合規(guī)、測繪數(shù)據(jù)、數(shù)據(jù)確權(quán)、分類分級等法規(guī)標準建設進展；汽車數(shù)據(jù)安全技術(shù)發(fā)展與企業(yè)管理情況等。

本書適合智能網(wǎng)聯(lián)汽車相關(guān)政府管理部門工作人員，整車企業(yè)、零部件企業(yè)及安全企業(yè)等相關(guān)工作人員，以及對汽車數(shù)據(jù)安全相關(guān)知識的廣大消費者閱讀。

文/陳重山