智能网联汽车数据合规①:今年监管文件密集出台,数据安全保护元年开启

合规科技郭美婷,李润泽子 2021-12-15 20:53

回顾智能网联汽车的发展历程,总伴随着网络和数据安全的困扰。

智能网联汽车信息安全合规③:网络安全测试成“标配”,亟需建立统一标准 智能网联汽车数据合规②:数据跨境成监管重点,跨国车企迎挑战

21世纪经济报道记者 郭美婷 李润泽子 广州报道

今年以来,我国智能网联汽车迎来了发展黄金期。

相关机构预计,2021年智能网联汽车产业规模将超3500亿元,到2026年将达5859亿元。作为汽车、电子、信息通信等深度融合的新兴产业生态,智能网联汽车已成为继手机后又一个互联网入口。

然而,回顾智能网联汽车的发展历程,总伴随着网络和数据安全的困扰。

2015年智能网联汽车首次在国家战略层面被提及,也因一次黑客攻击事件暴露其网络安全危机;2018年各大车企抢占赛道之际,《通用数据保护条例》(GDPR)的出台将数据安全摆上台面;即使在产业蓬勃发展的今年,密集出台的监管文件紧随而至。

受访专家告诉21世纪经济报道记者,我国智能网联汽车的信息安全体系建设,大致经历了从关心车企产品质量到注重个人数据保护,再上升至国家安全层面的发展阶段。随着智能网联汽车进一步普及,其网络和数据安全问题将与公共安全等息息相关,需要生态内的每一家企业配合,共同实现真正的安全。

网络安全风险初现

“智能网联汽车”首次从国家战略层面被提及,是在2015年。国务院发布《中国制造2025》,提出“到2025年,我国将建立较完善的智能网联汽车自主研发体系、生产配套体系以及产业群,基本完成汽车产业的转型升级”。

这一年,车联网行业历经多年探索和布局,市场规模达到1550亿元。奔驰、宝马福特等传统汽车厂商与百度、阿里和腾讯等互联网巨头跨界合作频繁。

汽车被看作继手机之后的又一个互联网入口。“我们正在创造的不是‘汽车上的互联网’,而是‘跑在互联网上的汽车’。这是汽车行业的重要里程碑。”阿里巴巴技术委员会主任委员王坚曾说,“智能操作系统将成为汽车的第二发动机,而数据则是新燃料。”

然而,同样在2015年,汽车网络安全问题给方兴未艾的行业敲响了第一记警钟。两名美国白帽黑客成功侵入一辆正在行驶的JEEP自由光SUV的网络系统并使其失控翻车,导致制造商召回近140万辆已售车辆。

“各国意识到确保网联汽车网络安全的重要性。”赛迪研究院周千荷告诉21世纪经济报道记者,美国在此背景下发布《汽车安全和隐私法》,要求制造商告知消费者车辆保护个人隐私和网络安全程度,是各国中较早关注到车载系统安全监管的规定。英国随后于2017年发布《智能网联汽车网络安全关键原则》。

国内车企亦觉察出危机。多位业内人士向21世纪经济报道记者回忆,彼时车企已经开始组建智能网联汽车信息安全团队、建设防护系统和产品,或与相关人员、公司合作,奖励漏洞线索发现者。东软集团、梆梆安全等技术公司借此契机纷纷涉足汽车网络信息安全领域。

东软集团网络安全事业部副总经理陈静相认为,2015年前后汽车行业的数据安全意识尚处于萌芽期,欧美等西方国家开始陆续出台相关法律法规,国内部分车企和从业者也提出了数据安全存储的概念,防止车端数据信息泄露,此时尚未形成完备的数据安全体系,尤其是对于个人敏感信息数据的防护关注较少。

“让子弹先飞一飞。”ICMA智联出行研究院执行院长何姗姗如是形容此阶段,国家政策层面仍更多关注推动技术发展和普及,相关文件仅概括性提及智能网联汽车的网络和数据安全问题,并未过多规制。

GDPR引发数据安全担忧

从业者什么时候开始真正重视汽车数据的安全性?

彼时,受益于宏观政策驱动和基础设施的完善,车联网市场规模处于高速增长期。数据显示,至2018年智能网联新车型渗透率达到31.1%,相较2016年增长近5倍,中国品牌智能网联新车型渗透率达到35.3%,相较2016年增长15倍。

无论是跨国车企、国内主流车企,还是造车新势力,都有搭载最新研发的智能网联技术成果的车型落地,风头正盛。

然而,尚有危机潜藏。公开数据显示,在2018年14起影响较大的智能网联汽车信息安全事件中就包括5起数据泄露事件。其中一起数据泄露事件让车企机密连同客户隐私共计157千兆字节的信息被曝光

同时,2018年5月欧盟《通用数据保护条例》(GDPR)出台,个人数据被高标准保护,高额严处违法行为。

智能网联汽车涉及大量个人数据采集。有业内人士指出,一辆自动驾驶测试车辆每天可产生高达10TB的数据量,包括视频、图像、坐标等,无疑将成为GDPR规范的对象之一。

于是,继网络安全后,公众开始重视车辆数据安全。在梆梆安全车联网安全专家李浩文看来,早期汽车网络破解事件让公众关注到车内人员安全和车企品牌负面舆论,2016年的《网络安全法》也仅部分提及数据跨境和数据安全问题。随后,网络安全等级保护制度2.0标准发布,加之GDPR已正式出台,从业者才开始思考,车联网的数据是否在《网络安全法》、网络安全等级保护制度2.0标准或GDPR等要求内。

小鹏汽车董事长何小鹏在2018年公开表示,“当汽车企业从单纯的制造者和销售者向运营者角色转变时,就不可避免要成为数据的生产者和服务者,此时,数据安全将成为重中之重。”

为了规范行业发展,国家开始加快智能网联汽车信息安全相关法律法规的修订。《国家车联网产业标准体系建设指南(总体要求)》等系列文件印发,均提及网络与数据或信息安全标准的建设。

至2020年,国家发改委等11部委联合印发《智能汽车创新发展战略》,明确要求建立覆盖智能汽车数据全生命周期的安全管理机制;国务院办公厅印发的《新能源汽车产业发展规划(2021—2035年)》提出强化数据分类分级和合规应用。

数据安全元年到来

2021年是智能网联汽车数据安全的元年。”多位受访专家不约而同地表示。

国际上,汽车信息安全领域首个具有约束力的国际统一技术规范《WP29汽车信息安全和信息安全管理系统》(UN/WP.29 R155)于1月1日生效;3月,欧洲数据保护委员会通过《车联网个人数据保护指南》,阐释了车联网不同场景下的隐私保护、数据风险及应对措施;8月,汽车信息安全领域首个国际标准ISO/SAE 21434“Road vehicles—Cybersecurity engineering(道路车辆 信息安全工程)”正式发布。

在国内,随着《数据安全法》《个人信息保护法》先后落地,针对智能网联汽车领域的监管迎来大爆发。“汽车数据安全已上升为国家战略,车联网安全的顶层设计不断完善。”陈静相告诉21世纪经济报道记者。

今年4月,有车主自称“特斯拉刹车失灵”维权一事引发关注。在争议事故责任之余,此事也让公众的部分视线聚焦于行车数据与个人隐私上,成为加快智能汽车数据安全监管的催化剂。

据21世纪经济报道记者不完全统计,2021年国家层面有近20份涉及智能网联汽车信息安全的政策文件发布或出台。业内人士介绍,在密集出台的文件中,给行业带来较大影响的是《关于加强智能网联汽车生产企业及产品准入管理的意见》(以下简称《意见》)和《汽车数据安全管理若干规定(试行)》(以下简称《规定》)。

今年8月《意见》正式出台,提出“加强数据和网络安全管理”,明确数据分类分级、重要数据境内存储、健全网络安全保障技术等多项要求。

国家智能网联汽车创新中心信息安全部部长罗承刚强调,对比起其他同类文件,《意见》与车企利益最休戚相关。它从最根本环节切入,一旦车企不能满足要求,将无法申请准入产品公告、上牌并销售。

李浩文观点相似,“《意见》向外界传递的信号是,如果车辆不做数据和网络安全,可能连生产资质都获取不了。”

另一重磅文件《规定》也于8月由网信办等5部门发布。

“这是极重要的节点,初步建立起我国汽车数据安全的合规框架。”陈静相分析,《规定》首次清晰界定了“汽车数据处理者”和“重要数据”类型等内容,提出4项推荐数据处理原则,明确数据处理者义务,并制定跨境数据传输规则

《规定》还落实了年度报告制度,要求汽车数据处理者按时主动报送年度汽车数据安全管理情况,这意味着国家向监管力度强化、管理系统化迈出了重要一步。

此外,汽车数据跨境成了今年又一大热议点。7月至12月,出行巨头滴滴的坎坷上市之路赚足公众眼球:赴美上市隔日即被启动国家网络安全审查,仅5个月后于纽交所退市并启动在港上市准备工作。

滴滴事件折射出跨境数据流动带来的巨大安全风险和挑战。同样掌握大量用户隐私数据,且业务与关键信息基础设施有关的智能网联汽车牵动着国家信息安全的神经。在今年出台的文件对此已多有强调,例如,《规定》强调了除个人信息外的重要数据和地理信息安全的范畴。“这是中国独有的体系,与背后的整体公共安全、社会安全、国家安全、经济安全息息相关。”何姗姗说。

罗承刚总结,“智能网联汽车的信息安全体系发展至今,基本经历了从关心车企产品质量到注重个人数据保护,再上升至国家安全层面的几个阶段。”

建立整体安全生态

我国智能网联汽车行业已迎来了发展的黄金期。

智能网联汽车产业规模将持续扩大,相关机构预计2021年将超3500亿元,到2026年将达5859亿元。

然而,目前对于智能网联汽车,至少在数据安全领域,监管仍处于初步阶段。”李浩文告诉21世纪经济报道记者。

6月21日,《车联网(智能网联汽车)网络安全标准体系建设指南》征求意见,提出到2023年底完成50项以上重点急需安全标准的制订修订工作,其中包括数据安全标准;到2025年,完成100项以上重点标准。随后,8月25日,工信部表示将加快发布《车联网网络安全标准体系建设指南》(以下简称《建设指南》)。

《建设指南》的重要性,在于将智能网联汽车的安全标准建设体系化。智能网联汽车的标准过去以碎片化的形式,零散地对TBox、网关、车机、充电桩等做出规定,《建设指南》将已有的和未来的标准分为基础设施、通信、数据、终端等门类归纳入一个标准体系中,树立了整体目标。

“好比建房子,从前只是单独修了一堵墙、一扇门,如今却有了整个房屋的框架,规划更全面,结构更合理,界限更清晰。”罗承刚说。

陈静相也表示,在《建设指南》的指导下,多个国家标准委员会及行业组织积极开展智能网联汽车共性基础、关键技术以及行业产业急需标准的研究制定,在车联网网络安全标准研制方面已取得阶段性成果。

规范产业的另一端是促进发展。何姗姗从车联网V2X(vehicle to everything,即车对外界的信息交换)角度出发,谈到《建设指南》推动解决信息互通后数据安全问题。“只有形成了标准体系,才能够实现车与车、车与路侧设施、车与周边环境等的互联互通。”

未来,我国应如何进一步完善智能网联汽车的网络与数据安全体系?

何姗姗认为,未来还应进一步细化现有规定,在实践中形成可落地、可操作的模式,推进一段时间后将经验再推广或归纳形成新的标准。

“从实际发展看,目前的法律标准体系相比美欧等地区存在一定差距,尚不能完全满足产业发展需求,仍需从制定标准指南、建立评估体系、设立监督机制等方面加以强化。”陈静相表示。

罗承刚则提出,需首要考虑和重视汽车数据的分类分级问题。智能网联汽车产生的数据量庞大,若不事先对数据分类分级,而是按照统一的标准进行安全防护,一来将造成大量资源浪费,二来可能导致某些重要数据防护措施不够强,某些非重要数据又过度防护。

“智能网联汽车的安全是一个综合的复杂体系,除信息安全外,还涉及功能安全、预期功能安全等。未来,它们将相互影响、紧密结合,因此应从整体而非切割地看待这个问题。同时,要建立真正的智能网联汽车安全体系,单独一两家企业的做好没有意义,需要整个生态配合,共同实现真正的安全。”罗承刚说。

(作者:郭美婷,李润泽子 编辑:王俊)