汽車數據安全新規滿月 產業鏈公司忙于合縱連橫

《數據安全法》出臺后，汽車行業的數據安全規定率先落地。由國家互聯網信息辦公室、國家發展改革委、工業和信息化部、公安部、交通運輸部發布的《汽車數據安全管理若干規定（試行）》（下稱《規定》）10月1日起正式施行。如今，《規定》施行滿月，作為汽車數據安全管理的主體，包括汽車制造商、信息服務商、安全廠商在內的產業鏈上下游公司已成聯動之勢，相關投入力度進一步加大。

　推進汽車數據安全合規

隨著網絡與信息安全建設的提速，車聯網數據安全愈發受到關注。

今年4月，全國信息安全標準化技術委員會發布《信息安全技術網聯汽車采集數據的安全要求（草案）》。6月，工業和信息化部發布《車聯網（智能網聯汽車）網絡安全標準體系建設指南》并公開征求意見。8月12日，工業和信息化部發布《關于加強智能網聯汽車生產企業及產品準入管理的意見》。8月16日，《規定》出臺，并于10月1日正式實施。10月8日，全國信息安全標準化技術委員會發布《汽車采集數據處理安全指南》（TC260-001），對汽車采集數據進行傳輸、存儲和出境等活動進行規范。

在全國信息安全標準化技術委員會秘書長，中國電子技術標準化研究院黨委書記楊建軍看來，開展汽車數據處理活動的組織，包括汽車制造商、零部件和軟件供應商、經銷商、維修機構及出行服務企業等，無論是單獨處理、協同處理，都應嚴格遵守法律法規。

不同于個人移動終端，汽車運轉產生的數據量非常大，未來一輛車產生的數據都將以“G”甚至“T”為單位。但是，如此龐大的數據應如何進行合理開發利用？行業認知和探索仍處于起步階段。

在今年6月的一起信息安全事件中，約330萬部汽車的車主和潛在客戶的個人信息遭泄露，具體信息包括姓名、地址、手機號碼、郵件，以及部分駕照號碼、車牌號碼、貸款號碼等。工業和信息化部在一項調研中發現，85%的關鍵汽車部件存在安全漏洞，近六成企業缺乏自動化網絡安全檢測響應能力。

“此前，車聯網安全還處于行業教育階段，更多是事件驅動，只有發現漏洞或發生安全事故時，相關方才會采取行動。《規定》的施行，讓行業轉變為合規驅動。”騰訊安全車聯網安全專家張康表示，今年是車聯網安全元年，汽車安全已不是“大廠”才關注的問題，各類車企出于合規的需求，已開始成立信息安全相關部門。

《規定》還落實了年度報告制度，汽車數據處理者應按時主動報送年度汽車數據安全管理情況，這意味著監管力度更強，向系統化管理邁出重要一步。

　產業鏈上下游聯動

隨著車聯網安全建設的推進和《規定》的施行，產業鏈上下游企業又有哪些新動向？

今年4月，上汽集團和騰訊宣布共建網絡安全聯合實驗室。雙方將打造網絡安全產品，建立覆蓋智能網聯汽車全生命周期的網絡安全運營體系。2020年5月，威馬汽車EX5-Z正式上市，騰訊安全科恩實驗室與其在系統安全、網絡通信安全、權限管理安全、密碼學應用安全等九大安全領域進行合作及開發，特別是對用戶最常用的遠程控制及藍牙鑰匙功能進行優化和提升。

上汽集團赤霄網絡空間信息安全實驗室負責人陳寧坦言，目前，車廠正不斷加大數據安全方面的投入。上汽集團成立了分級安全管理體系，包含對智能網聯汽車的要求，如總體安全管理要求、測試要求、運營要求、風險評估方法等。技術團隊建設方面，建立了云端縱深防御的體系，從接入層、運營層、主機層、數據層到物理層，形成了每層對應的防護體系，確保云上應用尤其是汽車相關應用的安全可靠。檢測方面，基于全生命周期管理流程，建立相關的技術平臺，如應急響應中心平臺，覆蓋了上汽大概100家下屬企業的相關網站、應用的安全監測，每天自動化執行掃描，發現漏洞。同時，結合車輛工具化檢測，重點關注車輛安全運營及售后市場應用的安全問題。

在2021國家網絡安全宣傳周汽車數據安全論壇上，廣汽研究院智能網聯中心網聯技術部專業總師黃敬透露：“通過在信息安全方面加大投入，我們的安全體系覆蓋了車端、云端、通信管道及移動端。我們不僅建立了汽車安全運營平臺，還形成了信息安全應對體系。”

華為智能汽車解決方案BU標準總監高永強表示，公司在2019年成立了智能汽車解決方案BU，提供智能網聯、智能座艙、智能駕駛、智能車控、智能電動及數據平臺等解決方案和產品。公司還借助ICT系統建立網絡安全治理體系，從戰略、治理和管控、流程和人力資源等九方面保障智能汽車網絡安全。

造車“新勢力”小鵬汽車，也與綠盟科技在車聯網領域的網絡安全產品及解決方案方面多有交流。

針對汽車數據安全保護體系建設，政府仍在逐步補齊和完善汽車數據監管體系和方法，在《數據安全法》《個人信息保護法》的框架下，進一步推動完善相關實施細則，明確企業的數據安全保護責任。

騰訊安全數據安全專家劉海洋表示，車聯網數據量級大、主體多、鏈條長，單點風險解決方式收效甚微。通過車聯網安全技術的聯合深度共建，形成全流程一體化的解決方案，能有效、全面地提升車企安全能力。