由五部門發布的《汽車數據安全管理若干規定(試行)》(以下簡稱《規定》)10月起正式施行。這是繼數據安全法出臺之后,汽車行業數據安全的具體落地行動。
目前,今年已有四部以上的汽車數據安全、智能網聯汽車管理規定相繼出臺。4月29日,全國信息安全標準化技術委員會發布《信息安全技術網聯汽車采集數據的安全要求(草案)》。6月21日,工信部發布《車聯網(智能網聯汽車)網絡安全標準體系建設指南》并公開征求意見。8月12日,工信部發布《關于加強智能網聯汽車生產企業及產品準入管理的意見》。8月16日,網信辦、發改委、工信部、公安部、交通運輸部公布《汽車數據安全管理若干規定(試行)》。
政策密集發布背后有何緣由?《規定》有哪些細節和亮點值得關注?為跟上合規驅動的新階段,相關企業又該如何應對?基于以上問題,10月19日,騰訊安全車聯網安全專家張康、騰訊安全數據安全專家劉海洋、上汽集團赤霄網絡空間信息安全實驗室負責人陳寧博士,在線上溝通會上詳解了法規內容、提供行動思路。
認識新規,汽車數據安全管理迫在眉睫
“新四化”的趨勢下,汽車運轉產生的數據量非常大,未來一輛車的數據將以“G”,甚至以“T”為單位,但是如此龐大的數據應當如何進行合理開發利用,行業認知和探索仍處于起步階段。騰訊安全車聯網安全專家張康提道,過去很多企業都遵循著自己的標準,行業整體處于“千企千面”的狀態,產業鏈上的協作、數據通訊也常常因為各自協議標準不統一,無法有效地保證數據安全、共享使用。
而另一方面,安全事件頻發,嚴峻的數據安全挑戰成為行業發展的核心痛點。據報道,2020年1-9月,針對整車企業車聯網信息服務提供商等相關企業和平臺的惡意攻擊達280余萬次;今年6月的某次信息安全事件中,約有330萬汽車的車主和潛在客戶的個人信息遭到泄露。
數據安全管理到了刻不容緩的時候,而《規定》的出臺讓汽車行業的數據安全有了遵循依據,更給了廣大用戶一顆安心駕駛的定心丸。
《規定》界定了汽車數據和監管主體,提出了4項推薦的數據處理原則,同時明確了數據處理者的義務,并制定跨境數據傳輸規則,初步建立起中國汽車數據安全的合規框架。
騰訊安全數據安全專家劉海洋認為,《規定》首次對“汽車數據處理者”和“重要數據”類型等內容做了清晰的界定。如“汽車數據處理者”不僅限于慣性認知中的汽車制造商、零部件和軟件供應商等,還包括經銷商、維修機構以及出行服務企業。同時,《規定》落實了年度報告制度,汽車數據處理者應當按時主動報送年度汽車數據安全管理情況,這意味著國家的監管力度已經更強,向系統化管理邁出重要一步。
從事件驅動轉為合規驅動,安全能力提升勢在必行
“在過去,車聯網安全其實還處于行業教育階段,更多由事件驅動,只有當漏洞被發現或者出現安全事故,相關方才會采取行動,而《規定》的施行讓行業轉變為合規驅動,汽車數據處理者必須安全合規,否則就將違法。”張康提道。
早在2015年,騰訊就開始研究車聯網的安全問題并推動行業教育。2016年發布了關于特斯拉的安全研究案例,實現了遠程控制車輛狀態,包括在行駛狀態下的剎車、折疊后視鏡等。2016年至2021年,實驗室每年發布智能網聯汽車的研究案例,研究特斯拉、寶馬、豐田及奔馳的網聯、高級輔助駕駛等功能和架構,驗證了騰訊在車聯網安全的研究能力,幫助車企解決現有問題,并警示車聯網安全的重要性。張康認為,今年作為車聯網法規的元年,對于車企而言,更多需要能力建設,成立自己的信息安全團隊,由專門負責車聯網信息安全的團隊統一整改、牽頭,從而加強車輛網絡安全和數據安全。
目前,政府仍在逐步補齊和完善汽車數據監管體系和方法,在《數據安全法》《個人信息保護法》等上位法的框架下,進一步推動完善《智能網聯汽車生產企業及產品準入管理指南》、《汽車數據安全管理若干規定》等規則制度的相關實施細則,明確企業的數據安全保護責任,完善汽車數據安全保護體系。
當然,合規非最終目的,它將原先漫長的行業教育進程加快,極速形成了普遍的認知共識,而這只是邁向真正實現車聯網數據安全的起點。對于當下的車企而言,自身安全能力的提升也同樣重要,適配智駕環境的技術手段的缺乏(如采集圖像及視頻的模糊化、匿名化處理)、車載系統及外部組件的未知風險漏洞等諸多問題,都在制約著數據安全的發展進程。
堅守安全底線,四部曲建設安全能力
車企如何更好地應對合規時代的要求?在自主建設安全能力框架方面,劉海洋給出了“提升四部曲”的建議:
1.數據資產和數據場景的梳理:梳理企業的數據資產和數據場景(如大數據處理加工分析、智駕數據的標注、第三方委托處理等)的重要內容,為技術管控、合規應對、管理體系建設做好基礎鋪墊;
2.企業自身合規的評估分析:正如《個人信息保護法》《數據安全法》當中所提到的,作為數據處理者要定期開展合規審計,評估自身的數據管控狀態和合規狀態,并進行合規差距分析;
3.查漏補缺,提升安全硬實力:針對性地對所缺乏的安全技術做提升,一般包括數據加解密、數據脫敏、電子認證等核心內容;
4.管理制度與稽核流程的建立:建立企業的數據安全管理制度,對數據安全保護義務進行落實,并通過稽核的手段保證汽車數據運轉處于合規狀態。
同時,車聯網的數據量級大、主體多、鏈條長,也意味著單點風險解決方式收效甚微。而通過車聯網安全技術的聯合深度共建,形成全流程一體化的解決方案,將能夠有效、全面地加快車企安全能力的提升。
探索車企合作新模式,建設網絡安全新能力
以上汽集團為例,其正在積極探索車聯網安全能力建設之道。今年4月,上汽集團和騰訊宣布共建網絡安全聯合實驗室。雙方將共同打造網絡安全產品,建立覆蓋智能網聯汽車全生命周期的網絡安全運營體系,并通過深度融入整車研發制造流程的方式提升汽車云管端一體化的網絡安全水平。
上汽集團赤霄網絡空間信息安全實驗室負責人陳寧博士在分享中提到,上汽注重汽車安全的投入。到今天為止,上汽集團成立了“1+3”的安全管理體系,包含對智能網聯汽車的要求,如總體安全管理要求,整車開發的GVDP的融合,測試要求、運營要求,風險評估方法等。在技術團隊建設上,建立了縱深防御的體系,從接入層、運營層、主機層、數據層到物理層,形成了每層對應的防護體系,確保云上的應用,尤其是與車相關應用的安全可靠。在檢測方面,基于全生命周期管理流程,建立相關的技術平臺,如應急響應中心平臺,不僅能監測一些海外車輛的行駛數據,還覆蓋了上汽大概100家下屬企業的相關網站、應用,每天自動化執行掃描,發現漏洞。同時結合車輛工具化檢測,重點運營及關注汽車網絡安全及售后市場應用的安全問題。隨著國家法律的出臺,上汽對于數據安全的過濾、提取以及敏感數據的存儲和脫敏的工作也逐漸展開。
法規的出臺進一步推動行業加快數據安全布局進程,挑戰與機遇共存。面向未來的新征程上,騰訊安全愿與更多企業合作,加強技術研發與數據安全技術應用、提升安全可控能力、構建完善的數據安全管理體系,筑牢合規時代的“汽車網絡安全底座”,共同探索汽車網絡安全行業新標桿。
