汽车数据安全管理若干规定_汽车数据安全管理若干规定(试行)
希望我能够回答您有关汽车数据安全管理若干规定的问题。我将根据我的知识库和研究成果回答您的问题。
1.工信部:加强车联网网络安全和数据安全工作
2.汽车数据安全如何保障?
3.《智能网联汽车数据安全研究》:重点关注跨境数据流动问题等
4.汽车数据安全法规
工信部:加强车联网网络安全和数据安全工作
易车讯 日前,工业和信息化部发布《关于加强车联网网络安全和数据安全工作的通知》。各相关企业要采取管理和技术措施,按照车联网网络安全和数据安全相关标准要求,加强汽车、网络、平台、数据等安全保护,监测、防范、及时处置网络安全风险和威胁,确保数据处于有效保护和合法利用状态,保障车联网安全稳定运行。具体内容如下:加强智能网联汽车安全防护,进一步落实保障车辆网络安全和安全漏洞管理责任。加强车联网网络安全防护,保障车联网通信安全并开展车联网安全监测预警。同时,做好车联网安全应急处置以及车联网网络安全防护定级备案。
在加强车联网服务平台安全防护方面,首先要加强平台网络安全管理,并且做好在线升级服务(OTA)安全和漏洞检测评估,并强化应用程序安全管理。加强数据安全保护层面,一要加强数据分类分级管理,其次需提升数据安全技术保障能力。与此同时,车企需要规范数据开发利用和共享使用,并强化数据出境安全管理。
为建设健全安全的标准体系,需加快编制车联网网络安全和数据安全标准体系建设指南。各相关企业、社会团体应制定高于国家标准或行业标准相关技术要求的企业标准、团体标准。
汽车数据安全如何保障?
随着智能网联化、数字化发展,汽车数据安全和网络风险防范成为行业密切关注的难题。汽车传统的物理边界被打破,出现了大量的云上服务,比如车联网、自动驾驶技术、OTA等等,相应的,汽车产生的数据也越来越多。相关数据显示,一辆智能网联汽车每天大概会产生 10TB 的数据,这些数据包含驾驶人员的出行轨迹、驾乘习惯、车内语音图像等个人信息,也包含车辆实时收集到的地图数据等。
随着《个人信息保护法》、《汽车数据安全管理若干规定(试行)》的颁布实施,对数据的合规分类收集和使用提出了更为严格的要求。同时,也有汽车品牌近来遭受到网络黑客攻击,造成不小的损失和安全风险。如何平衡数据使用的合规与高效,并在全面上云的背景下构筑扎实的安全防线,成为整个行业密切关注的话题和迫切需要解决的难题。
此此背景下,腾讯智慧出行与汽车之心联合策划了「行者有云」系列沙龙第二期——《车企上云,如何构筑云上安全防线?》,聚焦汽车数据的合规使用和安全防范问题,加速车企构建在数据网络安全领域的竞争力。
本期沙龙邀请到上海帆一尚行科技有限公司网络安全总监、上汽腾讯网络安全联合实验室负责人陈宁,腾讯安全策略发展中心总经理吕一平,共同探讨车企数据安全防护建设和未来趋势发展并发表了独到精辟的见解。
以下为沙龙对话实录:
主持人:大家好!欢迎收看“行者有云”系列沙龙,本期我们讨论的话题是“车企数据上云,如何构筑云上安全防线”,我们将围绕数据安全和风险防御问题讨论。车企在系列新规背景下,将采用怎样的新手段、新模式来保证数据的合理开发利用,并有效防范潜在风险。非常有幸我们请到了两位嘉宾和我们一起分享讨论。一位是上海帆一尚行科技有限公司网络安全总监、上汽腾讯网络安全实验室联合负责人陈宁;另一位是腾讯安全策略发展中心总经理吕一平。
在智能化网联化大变革下,一辆汽车在使用过程中产生的数据越来越多,随着《个人信息保护法》和《汽车数据安全管理若干规定(试行)》颁布实施,企业在使用处理数据的时候,要遵守哪些行为准则?
陈宁:在《个网法》讲得比较细致针对《个人信息保护法》有8类处理原则,大概总结:
第一,对于用户个人信息数据的授权,信息处理,告诉用户要收集个人信息,个人隐私数据要进行处理。
第二,处理过程中要注意处理流程,要保护和保密。
第三,数据收集,要符合相关的规定。对于汽车来说,有《汽车数据安全管理若干规定(试行)》,定得比较明确,这和《个网法》有相互呼应的关系,上面有《数据安全法》,以此为由展开。
吕一平:还有一点,去年下半年国家集中出台了比如《个人隐私信息保护》,及《数据安全法》等法律法规。同时面向汽车行业,汽车行业本身属于关键信息基础设施行业,针对“关基”(关键信息基础)行业也有一些相应的针对基础安全和数据安全的要求。所以,这也是需要汽车行业各位同仁需要考虑的问题。
主持人:如果针对整个汽车数据来说,我们有什么样的分类界定?
陈宁:现在最关键的第一步是,汽车数据不可避免要收集。汽车联网以后,很多服务云化后,为了对汽车的一些服务以及汽车这状态甚至说自动驾驶,这天然需要搜集很多数据,所以说数据搜集是不可避免的。现在我们觉得对于汽车数据搜集,首先真正的明确怎样服务搜集数据,如果说要做自动驾驶相关的,那么最少应该搜集什么样的数据,尽可能的还是少搜。不要说不做分类,不做区分一概搜集上来后面处理,这是不合法不合情的,这是第一个按照服务的细分来分。第二,数据的共享和流动,这也是很重要的因素,现在很多服务在云上之后,不仅是主机厂要收集数据,很多合作伙伴,比如车上应用需要第三方的数据,我们要把数据给他,数据在流通的过程中以什么样的合法合规方式流通,以及我如何对它授权,如何对它约束,这要处理好。
最后,敏感数据的收集,现在汽车厂有大量的传感器、摄像头,对于用户的面部轮廓,关键设施和关键单位的识别、存储,是否要做相关的模糊化处理或透明处理,这也比较关键。
吕一平:我主要做补充,从汽车行业数据来讲,不仅要保护数据,要脱敏,尽量按照服务手续收集数据。基于很大的前提是,收集数据时要进行分类分型,针对不同的类型利用手段去保护数据。汽车行业有几大数据比较重要:
1、汽车研发过程中的车辆状态,这些数据传统一直做收集,这方面更多是车企自用,甚至从数据保护角度来讲是比较容易实现的,因为汽车公司内部流转数据。
2、和用户相关的隐私数据,国家有明确的法律法规要做到保护和保密。针对不同的使用场景我们应该如何给到数据,需要通过分类分级的方法做明确的界定,并有对应的使用要求和规则。
3、从技术进入到其他行业带来新的需求,比如传感器受地理位置数据,高清地图数据,这是相当敏感的数据领域,这会涉及到国家安全部分,车企需要非常关注这类问题。去年国家重点关注了一家海外车企这方面的问题,所以这也值得汽车行业重点关注的信息。
主持人:随着一系列的新规的出台,从车企角度来讲,在主动防范上有哪些变化?
陈宁:有很多,结合各方数据安全规定,首先,按照上位法《网安法》来讲车企相关车辆应用服务,肯定要通过等保测评。第二,通过等保,配套相关的网络安全或者数据安全,配套的防范措施和防范的管理体系建立起来。第三,提出明确要求,用户上车默认情况不收集数据。如果要收集数据要告诉用户,清晰地告诉用户要收集一些数据,且收集哪些数据。第四,在收集数据状态中让用户知道我们正在收集你的数据,用户有地方说不希望收集数据,屏蔽它。第五,尽量在车里将敏感的数据轮廓化和清晰化去掉,模糊化。尽量不要通过数据清楚地定义出一个人,这样方便处理。
再往后,数据共享方面,该企业一开始只做商业合作,后面可能有一些约束,同时很重要的是按照《数据安全法》和汽车相关规定,每年12月25日左右要上报数据安全报告。中国汽车品牌开始向海外发展,根据规定要求要对相关的监管部门进行报备,并且在企业数据安全方面写清楚,今年发生过几次数据向境外输出,以及经过相关评审,这些情况要说清楚。企业不仅仅是义务合规,还要满足国家战略需要。
主持人:在上述规定的使用数据和国家安全的前提下,数据如何反哺研发,开发相应的车联网服务?
陈宁:这挑战很大。
主持人:要实现两者的平衡?
陈宁:对,基于我服务的内容收集相关数据,这是做到平衡的关键。如果只是判断车的自动驾驶,只收一些和路况相关的信息,就不要收多余的信息,尽量精简收集内容,比如只是采集一些路边的图象,车内的信息就不要收。现在有汽车保险,主要是根据用户的驾驶习惯收集车辆数据,收集一般驾驶者的驾驶习惯就不要收集个人信息,这样才能合法合情,又能反哺到业务。
第二,做分析时,流通方面尽量做到应用和数据分开,举个典型的例子,现在自动驾驶数据的安全屋,可能确实采集了很多数据,经过合理处理之后放在数据模型箱里,我们做的事情是将计算模型放进去,用数据计算完之后最后拿出来是模型计算结果或者是模型存储的算法,而不是数据本身,这不合理。在模型足够成熟之后,这些数据可能销毁掉或者撤掉,这可以比较好达成平衡。这需要付出很多努力。
吕一平:我们在去年国家出台一系列数据安全相关规定时我们非常关注,因为互联网有大量数据,很多互联网业务都在线上。我们自己在推进数据安全保护方面做了很完整的展开,从产品的设计上,比如数据收集的最小化,包括用户知情角度,数据使用需要用户充分知悉并且充分授权,然后才能进行相应使用。
另外,应用和数据相应分离,腾讯在《数据安全法》出台前两三年已经做这方面的工作。特别是在不应该使用不合理数据提供下如何规避掉,我们在内部进行了工作。腾讯可以给汽车行业做一些交流和传递的工作,帮助行业更好地理解如何做数据安全建立。
主持人:对于外资或者合资车企来说,《个人信息保护法》和《汽车数据安全管理若干规定(试行)》相关规定对他们的影响是否更大?
陈宁:相对会大一点,但大体上差不多。首先是对于敏感信息的定义,对外资企业来说风险一样。另外,用户的存储、流动也是一样。对于外企挑战最大的是数据不能出境,最大变化是跨境的问题。由于《个人信息保护法》和数据安全定义上,外资也要跟随国家相关规定,可能要对自己做出规范。但大方向比较好,主要是促进问题。
主持人:腾讯和外资车企在这些领域是否有一些合作?
吕一平:其实外资车企面临,在中国市场如何满足国家合规性要求和规定,现在有一些海外业务在推进。不管欧洲还是美国地区,相应的个人信息隐私保护和合规,及数据使用的要求可能都有相应的要求。所以在欧洲和美国,中国企业属于外资,其实大家遇到的挑战一样。对于车企来讲,不管是合资还是外资品牌,都要考虑如何满足本地的个人隐私保护和数据安全合规使用的要求,这其实是基本需要做到的工作。
从腾讯角度来讲,腾讯在汽车行业定位一直是数字化助手的角色。我们不仅和合资和外资的车企,和上汽也在数据安全方面有很多交流,我们一起研究如何将数据安全保护的工作做好。相对来讲,这个领域比较新,比如网络安全、基础的安全建设方面,中国已经经历了几十年的发展和建设,但数据安全对大家来说是一个新课题。随着车企联网和相应技术不断落地的情况下,数据量会非常大,而且数据的集中度也不一定这么高。如何将数据安全保护工作做好是很有挑战的课题。先要从汽车数据的分类分级开始,以此作为基础再去延伸,根据不同级别和类别的数据进行相应保护措施,对应有技术的部分。
陈宁:关键是立法,以前没有明确上位法,2016年有上位法出来之后,车企必须要符合法律。
主持人:除了数据合规收集和处理,也不能忽略的是汽车智能度越高,面临潜在被攻击的风险也越来越高,我们也出现过车子被攻击的案例。这样的场景在汽车中,是真的能实现的吗?在车联网中真的会有这样的风险吗?
陈宁:汽车传统的物理边界被打破了,大量的云上服务,大家可以用手机跟车进行互动。汽车拥抱了数字化,但拥抱了数字化的福利和变革也拥抱了数字化的风险,最典型的是云上服务,比如远程车控、OTA等等,被不法分子利用之后,远程的车辆造成一些群体性的影响。另外,手机APP,手机上有蓝牙,APP设计或者接口不严谨,可能出现批量控制用户APP,可以随意开走任何一辆车。另外车联网在车上暴露大屏、智能驾驶舱等等,这些是数字化东西,数字化的东西多少有软件的问题会被人利用。1月份德国的小孩才19岁,利用了特斯拉的第三方的软件的漏洞同时控制不同国家的车辆。数字化是大量的软件大量的应用,人设计的东西总有一些问题。
主持人:吕总,之前设计的科恩实验室破解了特斯拉和宝马,反响很大,为什么做这样的实验?
吕一平:我们不是定义成“黑客”,我们定义为“白帽”,我们希望能改善各类产品和网络的安全性,为之努力的一群专业技术研究团队。当时为什么关注特斯拉和宝马?我们在2016年看到了比较大的趋势,汽车行业“四化”,对我们来讲比较关心是网联化和智能化,汽车联网了,汽车的自动驾驶的能力,这和数字化结合程度非常高,当享受数字化福利的时候,肯定会面临新技术引入带来的风险。
汽车行业本身对安全非常关注的行业,那个安全叫“safety”,当时汽车行业更多关注safety的部分,对security部分理解不那么强。Security能对safety造成的影响理解不是很充分,当时我们选了两个比较有代表性的车企,一是原生数字化,即网联、智能化、新能源化的特斯拉。另外是传统的从互联网非智能化到智能化的标杆,宝马在全球保有量非常高,我们做了相应的研究。的确发现了网络安全问题,不仅对虚拟世界造成影响,对实际的行驶安全、人身安全,放大一点是公共安全。作为一个负责任的团队,我们发现问题之后第一时间和特斯拉和宝马做了相应的沟通,并且在没有第三方参与情况下,全部将数据暴露给他们,他们修复之后一起联合对外做发声的工作,做发声的工作目的是帮助行业更好地理解,在未来数字化的时代安全有重要的影响,也是让它回归到汽车行业对security的关注。
主持人:现阶段网络安全技术处于什么样的水平?
吕一平:中国网络安全技术能力非常出色,我们可以代表国际领先水平。对汽车行业来讲,汽车进入到数字化时代才开始逐步关注网络安全部分,所以起步相对晚一些。但我们看到很明显的趋势,即国内的各大OEM都在积极地布局网络安全的专业能力和专业团队的建设,比如陈宁博士带领的上汽实验室,4年前成立起来有专职的安全的人员,也有专项的安全能力的建设,逐步形成了上汽进入比较相对安全网络体系,这是比较好的例子。国内其他OEM厂商也在实践同样的工作,专业团队和专业能力建设在不断地前进。
主持人:在已经有潜在风险存在的前提下,车企可以做哪些方案防御外部的攻击,尤其是来自恶意的攻击。
陈宁:我现在在上汽帆一尚行,现在的防御从云管边端一层层防下来,传统云驱动安全内容全部适用,不管从边界的应用防火墙、APS到里面的防护,再到探视感知,我们对车辆相关的服务做保护。通道方面,主要是从云端到车端的通讯链路用加密方法进行加密,确保我们链路不会被截断或者被中间人截取掉。同时对车之间相关传输的信息做加密,保证安全性和唯一性。
车上现在dirty端和clean端,前者是指暴露在外面,可以触手可及的大屏,这些最明显。在它投产之前不管做技术还是流程,设计方面从风险评估、安全设置、投产运营,对于产品的零件或者整车做一系列的测试研发,然后交付。交付之后有相关的防御措施,比如网关或者IDPS等等,通过它将车辆相关的模块或者相关的服务隔开,确保车辆在行使过程中,关键通信和关键指令不会被人恶意篡改。
主持人:具体什么情况会用到安全网关,对车企研发来讲是否刚需?
陈宁:随着智能网联化和电动化之后,网关已经是标准选配,相当于是一道防火墙,阻挡了相关请求。现在很难说硬件和软件哪一项技术更重要,随着零件集成度高了之后,对硬件芯片依赖层次更高,芯片越好,表示应用软件的复杂度或者功能会越好。当然,从网关模块的必要性来看不排除现在也有把网关做到相当重要的零部件,保证零件模块之间也有防火墙,这是所谓预控的思路。
主持人:随着我们对数据合规、安全要求越来越高,对车企来说是否意味着要更多投入?
陈宁:肯定要增加投入,因为国家立法,现在不是讲人情,而是讲法,肯定要增加投入。
吕一平:对,从我的角度来看,汽车行业是对安全关注度非常高的行业。在过去二三十年里,车企在功能安全方面和研发的投入和体系建设非常完备,功能安全成为了汽车质量管理体系很重要的关注点。随着这两年数字化带来网络安全风险和挑战,这方面还是需要加强和加大投入。我个人希望网络安全逐步进入到汽车质量管理体系,成为它的一部分。在网络安全方面的投入更加成为研发投入的必要。
陈宁:这种投入可能并不是额外的投入。
吕一平:没错。
陈宁:就像security和safety,security引发了safety的问题,所以这些投入不是凭空多出来的投入,而是为了保证车辆质量投入必要的研发资金,从行业发展来说,这方面的投入必不可少。
主持人:刚刚两位嘉宾的分享我们也意识到数据安全的重要性,从意识到重要性,到车企打造完善的网络安全体系我们大概要经历一个什么样过程?
陈宁:这个过程很漫长,需要时间积累。对大部分汽车企业来说数字化是相对新的东西,就我前面提到,数字化有很多新的东西,也有很多风险,需要消化。具体到车上,汽车厂特别关注数据安全,但是我觉得数据安全只是大的安全里的一个内容,想做好数据安全要打好很多所谓的低阶工作,比如云上安全、技术架构安全,很多相关的网络安全建设先跟上去,比如云上的边界防护、安全的监测、网络安全的漏洞或者网络安全响应的能力,这些都需要时间打磨。技术完全落地,这其实和汽车的有些概念不太完全一样,因为对汽车来说,比如汽车某一个功能可能做不好的情况下换一个零件,或者买一个方案测试下可以用。但网络安全本身和汽车所谓的功能安全有一点点不一样,它的边界相对模糊,没有绝对的安全,也没有绝对的攻不破的堡垒,这注定了需要很多时间去打磨和完善。现在汽车行业慢慢向网络安全转,很多功能要求是为了safety服务,但security也要慢慢理解safety的东西,对于主机厂来说,到底造成了什么样的影响,对safety来说是比较抽象的东西,那么需要具体化,比如影响到车辆驾驶有很多safety,如果影响了数据安全,可能和safety没有关系,而完全和security挂钩,所以融合需要时间。同时在技术方面也需要时间去匹配,比如腾讯等互联网企业、安全企业也需要时间更好地了解车辆技术,车辆技术天生需要注重安全,有些内容可以重合,比如个人隐私方面可以高度重合。
除了技术因素之外很重要的是人的因素,中国现在网络安全的每年高校输送毕业生大概是十来万,但去年缺口是非常大,人才缺口越来越大,涉及到汽车网络安全的人才缺口更大。所以我们需要时间找到这样的人,或者培养这样的团队,让他们适应到环境中,贡献自己,将更好的技术能力赋能上去。
同时,以前汽车卖出去之后,使命基本上结束了,除非维修或者维保,不再关注车辆本身。但是,电动化和网络化之后,车辆出去进入到一个新阶段,称之为车辆运营阶段。因为要关注车辆的自动驾驶的状态,关注用户驾驶习惯或者用户车辆的状态,这些数据和状态都需要专业的人,实时地提供所谓的监控或者服务或者异地响应,并不是买了一套工具,如果这么简单的话找腾讯买一套工具摆在这里就万事无忧了。但并不是如此,优秀的工具需要优秀的人才或者优秀的团队使用,成熟的团队人力因素很重要。
吕一平:刚才陈宁博士提到今天主要议题是如何做好数据安全底座,造坚固的城墙底座没有做好的话,数据安全基本上是做不好的事情,的确需要周期。国家在出台安全合规性要求越来越快,能给车企应对的时间非常紧张。所以在这个情况下,怎么样能快速地将能力建立起来很重要,但目前看到一个挑战是,对汽车行业来讲,在数字化投入部分,在网络安全投入只有2%到3%左右,而对于金融行业经历了二十年的IT能力建设,目前网络安全投入大概8%到10%。所以,投入加大可以加速能力建设。所以,我们非常建议汽车行业投入,要考虑到时间窗口并不太长,这是一个很大的挑战和风险。
第二,关于人才能力建设和人才梯队建设来看,我们看到这点,每年国家能够通过高校体制培养出来的人才和行业真正需求有很大的差距,而且当出现严重失衡的情况下;人才有更大溢价能力,看到信息安全专业水平不断地上来,这是供求关系失衡造成的问题。所以人才引入和培养是很大的过程,这是长周期的过程,但在市场上我们从外围观察,汽车行业传统的新生代的体系是否可以支撑数字化时代下的需求。这是很大的挑战,也是车企需要思考的问题,如何快速成为数字化公司,在数字化体系下对人才引入的政策更加灵活,人才薪酬待遇更加灵活,汽车行业在数字化时代所需要的新型人才和新型能力,这和投入相关,这个过程不会那么快。所以这需要汽车行业思考的重点。
陈宁:逐步发展的速度不能满足现在国家政策或者国家监管的要求了,因为从2016年“网安法”(《网络安全法》)发布之后,中间两
《智能网联汽车数据安全研究》:重点关注跨境数据流动问题等
监管亟待加强。国信证券分析师认为,当前政策层面对于网络安全的重视程度空前,数据已成为核心生产要素。当下,在智能汽车发展的同时安全问题依旧是第一位的,智能汽车的数据安全性是车联网发展道路上的重中之重。
规定
7月12日工信部等三部门印发了《网络产品安全漏洞管理规定》,《规定》提出,网络产品提供者应当确保其产品安全漏洞得到及时修补和合理发布;工信部网络安全威胁和漏洞信息共享平台同步向国家网络与信息安全信息通报中心、国家计算机网络应急技术处理协调中心通报相关漏洞信息。
汽车数据安全法规
易车讯 近日,“第11届中国汽车论坛”举办,国家工业信息安全发展研究中心副总工程师兼信息政策所所长黄鹏发表了演讲,主要是介绍了团队最新的研究成果——关于智能网联汽车数据安全的研究,提到将统筹产业创新发展与保障数据安全、尽快出台数据分类分级指南和管理细则、建立事前风险评估和事后应急响应机制、重点关注跨境数据流动问题等。以下为演讲实录:
国家工业信息安全发展研究中心副总工程师兼信息政策所所长黄鹏大家下午好,下面我代表中心汇报一下我们团队最新的研究成果——关于智能网联汽车数据安全的研究,这个研究比较初步,后续希望得到各位领导和专家的指点。今天我主要汇报五个方面,一是智能网联汽车的内涵和发展现状;二是智能网联汽车数据安全发展态势;三是车企对智能网联汽车数据安全的认识不断加深;四是网络安全企业在智能网联汽车数据安全市场 " 大有可为 ";五是政府积极统筹智能网联汽车产业发展与数据安全保护。
一、智能网联汽车的内涵及发展现状
智能网联汽车作为一个新兴的重要领域和场景,发展已势不可挡,而且主流国家和行业组织对于智能网联汽车,已经从系统、产品、装备、网络等角度都有一些重要布局。
研究认为,智能网联汽车不同于传统的汽车装备,至少有四个显著特点。
首先是互联互通,这是基本的特征。
二是软件定义。从原来的机械驱动发展为未来的数据驱动,这是非常重要的特点。大众在前几年就宣布投入35亿欧元打造自己的汽车操作系统,而特斯拉软件成本占整车成本的40%,而且S系列代码行数超过了4亿行。很多企业都谈及已经成立自己的软件科技企业,开发自己的操作系统和APP,适应软件定义汽车的大潮。未来智能网联汽车至少60%的价值来源于软件,所以未来的智能网联汽车是新型的信息技术终端。
三是无人驾驶。刚才朱教授深入的讲解了无人驾驶不同级别、不同场景的应用和风险。
四是绿色低碳。未来智能网联汽车以电动汽车为主,非常适合或者适应国家关于 " 双碳 " 相关的要求和布局。
另外,我们对智能网联汽车产业链也做了初步的分析,从上游的元器件、软件,到下游相应的内容、平台、数据以及关于出行、保险、租赁、维修等方面的服务商,整个产业链的打造和重塑也不断演进。我国已在产业链各个环节均有布局,但是核心系统部件仍较多依赖进口,最近在技术研发方面实现一些突破,但是在市场化量产方面还有一定差距。
二、智能网联汽车数据安全发展态势
智能网联汽车主要的特点是,数据成为驱动汽车发展的重要价值点,这种发展趋势对于车辆的安全和数据的安全都有新的要求和风险,所以要求一方面从车的全生命周期,另一方面从数据的全生命周期两个角度考虑智能网联汽车的安全问题。
基于这两个维度,我们发现未来智能网联汽车带来的数据安全风险还是很大、很突出的,至少涉及四个方面:
首先行业的数据安全意识有待提高,近期一系列相应事件的出现,在一定程度上会影响消费者对智能网联汽车安全的信心。
二是数据泄露风险巨大,威胁个人隐私安全。由于智能网联汽车为了更好的实现自动驾驶或者是使乘驾者有更好的体验,会收集相应的信息,在我们调研过程中获知,一辆智能网联汽车每天至少收集10TB的数据,不仅数量极大,而且涉及到驾乘人员的出行轨迹、习惯、语音、视频等等,一旦遭受侵害会泄露个人隐私。
三是网络安全漏洞多,威胁个人人身和财产安全。2020年全球相关恶意攻击超过280万余次,黑客通过网络攻击的手段可以控制车辆行驶,也可以利用软件的漏洞操控智能网联汽车,所以威胁和风险也是非常大。
四是可能会威胁国家安全。为了更好地实现车与路的互动和周围基础设施的互动,智能网联汽车也会收集周围的场景和重要地理信息的数据,如果精度达到一定程度的话,会影响或者威胁国家安全。
我们看到一些国家,尤其是发达国家和行业组织也纷纷出台了管理规范和举措。美国、欧盟、以及国际汽车制造协会,已经通过了一些原则性、战略性的规定,也包括一些比较细化、可操作的指南。
不同的智能网联汽车制造厂商,由于基因不同,对数据安全的认识或者保护能力也不一样。我们认为目前最主要的智能网联汽车制造商来源于三类企业:
第一类是传统车企,他们的发展模式是渐进式的,包括目前国产自主品牌的汽车,还有合资品牌的汽车,这类传统车企在推进相关的新技术开发和应用,以及数字化转型工作,但总体来讲,他们的意识和能力还在发展过程当中。
第二类是信息技术企业,像百度、阿里、腾讯、华为、滴滴、小米等信息技术企业,这类企业基于在信息技术领域强大的能力和生态,大力推广相应的技术系统、自动驾驶系统等,通过跨越式的方式进军智能网联汽车行业。
第三类是造车新势力。理想、蔚来、小鹏等在发展过程当中是激进式发展过程,他们对于数据安全的考虑和布局也有自身的特点。
全球知名的咨询机构Guidehouse对于现有智能网联汽车领域的竞争格局进行分析,发现目前的‘’领导者‘’中,四家企业基本上都是信息技术企业,在目前这个阶段,以信息技术为背景的企业进入智能网联汽车行业是具有一定优势的。
非常有意思的一点是,我们孰知的特斯拉被Guidehouse置于‘’跟随者‘’中,主要原因是该机构认为特斯拉自动驾驶能力和安全保障能力与其宣传的相比具有一定的差距。
这三类不同类型的智能网联汽车制造商对数据安全的认识和保护能力仍有一定的差异,尤其是传统车企和信息技术企业以及造车新势力在相应能力上的布局,包括组织架构的调整,适应新的安全需求方面的能力等,可能都有一定差异。但是我们发现这三类企业也在跨界融合,在相互借鉴。
三、车企对汽车数据安全的理解不断加深
我们调研了一部分车企,总结了他们对当前数据安全的理解和举措,车企也越来越重视重视数据安全问题,国内主流企业通过强化技术手段和管理机制,意在大幅提升数据安全的保障能力。
但是其实风险也是非常突出的:一是核心器件自主可控能力有待进一步提高,比如传感器、芯片、雷达天线等还属于智能网联汽车的 " 卡脖子 " 领域。二是企业管理责任缺失,很多车企往往在 " 黑盒 " 的状态下开展一些数据治理工作,使现有的保护机制和管理举措很困难,出现滞后问题。三是实际落地案例较少,缺少具体的指导性和实操性指南,很多企业都是在边界游走,探索的成本也非常高,所以后续有很多需要进一步明确的地方。
从建议的角度,我们建议车企从两个角度提升数据安全方面的能力。一是提升核心基础技术的安全可控能力,即涉及车辆本质上的安全。二是提升数据安全综合防护能力,利用新一代的信息技术,包括区块链技术、流量检测技术、国密技术等,提升综合防护的能力。
四、网络安全企业在智能网联汽车数据安全市场 " 大有可为 "
我国主流的网络安全企业都在积极布局智能网联汽车的新赛道,大多基于他们传统的产品,再根据智能网联汽车的新场景做一些适应性的调整和优化,包括在数据层面,从云、管、端各个角度等都提出了相应的解决方案,在检测和服务方面也推出了一些相应的网络安全产品。
我们调研了国内一家安全厂商——天融信,已经形成了覆盖车端网关、ECU、T-BOX、以及云端、APP端等全方位的渗透测试工具和服务。下一个案例来自百度,其自动驾驶安全的架构已经涵盖了整个数据安全的全生命周期。
可以说,智能网联汽车领域对于网络安全产业,或者网络安全企业来讲是一个巨大的市场,但是也存在着很多挑战,一是现有的网络安全产品和解决方案还不满足智能网联汽车的安全需求。二是安全解决方案的路径不太一样,有的网络安全企业侧重车端的安全,有的侧重云端的安全,虽然这些解决方案没有哪个更优质,但是也需要相互借鉴。三是安全产品的应用还存在成本、意识等问题。我们也提了两个建议,一是建议这些网络安全企业针对智能网联汽车不同的场景,开发针对性的相关的产品和解决方案,提高推广的力度。二是要探索适用智能网联汽车场景的网络安全保险方案,保险在汽车这个领域是非常常见的,但是数据安全的保险,或者网络安全的保险可以对车企、用户,以及产业链上的诸多信息技术服务企业提供一体化的保障。
五、政府积极统筹智能网联汽车产业发展与数据安全保护
首先在政策规划层面,政府已经出台了相关的标准指南,包括一些政策文件,加强对整个数据全生命周期的管控,并强调数据分类分级工作。
二是在法律法规层面,《网络安全法》《数据安全法》《个人信息保护法》(草案),以及网信办出台的的《汽车数据安全管理若干规定》(征求意见稿)已经体现了政府的一些针对性考虑,我们支持网信办和工信部等部门出台更加细化的管理条例和指南,从法律法规层面给予指引和指南,更好的指导整个产业的实践。
三是标准体系不断完善,包括顶层的体系性标准,以及专项的标准都在陆续出台和不断地修订完善。
四是试点应用加速落地,比如上海临港新片区跨境数据的试点,一些路测、风险评估以及风险管控相关试点的工作也都在推进过程当中。智能网联汽车本身是一个新生事物,又涉及到很复杂的系统,确实需要政府通过开展试点示范的工作,总结一些优秀的做法,进行后续的推广。
当然从政府推进产业发展和保障数据安全的角度也面临重要的挑战。一是整个法规体系、标准体系还是相对滞后于产业的发展速度。二是存在多头监管的问题,还需尽快细化一些行业性的管理要求。从数据安全监管的角度,国家网信部门是牵头部门,但是涉及到具体行业细则的出台,还需要行业主管部门,以及一些重要的行业协会去推动相关工作。三是实操性的举措还不够,数据安全监管和治理的一项基础性工作就是要做到数据分类分级,对于数据既要管,又不能管得太死,哪些要管,哪些需要高强手段的监管,哪些需要在市场上流动,一项非常基础的工作就是数据分类分级。
我们提的建议包括四个方面:一是统筹产业创新发展与保障数据安全。二是尽快出台数据分类分级指南和管理细则,在国内一些重要的行业领域,比如金融、工业互联网等领域,已经出台了相应的分类分级指南,智能网联汽车行业可以予以借鉴。三是建立事前风险评估和事后应急响应机制,比如国家级的专业技术机构可以探讨如何更好的提供服务和支持。四是重点关注跨境数据流动问题,目前国内对这个问题比较关注,国家网信部门也在密集调研和研究,希望后续在借鉴全球通用做法的同时,细化相应的数据流动规则。
以上就是我们目前这个报告的主要内容,在报告撰写过程当中,也得到了一些车企和网络安全企业的支持,后续我们也希望跟在座的企业和专家合作,使我们在智能网联汽车数据安全领域做得更加深入。
汽车数据安全法规国内首个汽车数据安全的监管法规昨天开始向社会征求意见,新规明确个人信息将“默认不收集”,数据出境需要经过严格评估。
新规定涉及的汽车数据涵盖收集存储、传输、删除等全过程,监管范围也涉及全产业链,中国汽车技术研究中心车联网信息安全标准法规工程师王海均介绍,车主、驾驶员、乘客和行人的个人信息都在保护范围里。
在网络安全法里对个人信息做了一些明确定义,比如身份证号、电话号码,虹膜、指纹,在车载大屏上登录的密钥,都算我们的个人信息。
个人信息保护的第一原则就是默认不收集,赛博汽车创始人、主编肖莹介绍:现在我们很多车是默认收集的状态,车主还不知道该怎么去关闭。这次法规要求每次驾驶之前默认为不收集个人信息,只有这个驾驶员同意授权,才能对于这一次驾驶行程中的数据进行收集。
肖莹说,车主的知情权被充分保障。相关企业要通过用户的手册以及车载显示面板来告知消费者,数据收集的类型,你的数据保存的期限是多长,以及消费者想把这些数据删除掉,他应该去进行什么样的操作?
除了个人信息,新规明确划定,涉及国家安全、汽车充电网、道路车流量、车外音视频等数据属于重要数据,知名汽车博主常岩介绍:所有的重要数据或个人信息是应该依法放在境内存储的,如果需要向境外提供的,经过国家网信部门专门的安全评估,批准之后才可以的。同时,数据即便放在境外,如果涉及到用户的投诉和侵犯用户权益的时候,车企是需要依法承担责任的。
国家网信办介绍,新规面向社会公开征求意见。对于国内汽车数据安全的第一个法规,特斯拉率先表态支持并响应。目前,L2级别智能网联汽车的市场渗透率达到15%,车辆数据监管有法可依,也将促进行业规范和技术进步。
今天关于“汽车数据安全管理若干规定”的讲解就到这里了。希望大家能够更深入地了解这个主题,并从我的回答中找到需要的信息。如果您有任何问题或需要进一步的信息,请随时告诉我。
声明:本站所有文章资源内容,如无特殊说明或标注,均为采集网络资源。如若本站内容侵犯了原著者的合法权益,可联系本站删除。
