随着汽车产业与数字化的加速融合,汽车数据安全逐渐成为影响消费者购车的重要因素。为了加强行业交流、促进汽车行业安全水平稳步提升,1月16日,中国电动汽车百人会联合腾讯云发布《智能网联汽车数据安全年度洞察(2023)-企业免疫力建设》报告(下称《报告》),并举行主题研讨会。
活动现场
《报告》调研了十余家汽车主机厂商及安全厂商,对汽车行业在边界安全、端点安全、应用开发安全、安全运营、数据安全治理等维度的表现进行考察。《报告》认为,要解决智能汽车的数据安全问题,需从法规、平台机制等多个角度采取措施,包括加快制定汽车行业重要数据参考目录,加快智能网联汽车核心零部件的国产化替代,培育壮大独立第三方汽车数据安全监测机构等。
建议加快制定汽车行业重要数据参考目录
当前,我国智能网联汽车步入快速发展期。工信部去年9月公开的数据显示,2023年上半年,我国具备组合驾驶辅助功能的乘用车新车销量占比达到42.4%,较2022年同期增加接近10个百分点。不过,该领域产业布局加速、市场空前活跃的同时,汽车数据安全问题也成为智能网联汽车发展之路上备受关注的焦点。
南都记者现场了解到,为加强行业交流、促进汽车行业安全水平稳步提升,电动汽车百人会联合腾讯安全对十余家汽车主机厂商及安全厂商展开调研,针对汽车行业在边界安全、端点安全、应用开发安全、安全运营、数据安全治理等维度的表现进行考察,并推出《报告》,以期为行业发展提供重要参考依据。
会上,车百智库研究院汽车数据研究中心负责人贾浩对《报告》核心内容进行了介绍。
他指出,当前汽车数据可能遭受的攻击面更广、攻击点更多,汽车数据面临“云-管-端”三方面的安全风险。“云”指存储,涉及公有云、企业私有云等,“管”指交互、传输过程,“端”则意味着具有海量软件代码且全天候联网的汽车是天然的入侵目标。据统计,过去五年全球汽车行业因网络攻击造成的损失超5000亿美元,“其实是比金融行业还要高的”。
如何应对这一现状?贾浩表示提升企业的安全能力至关重要。具体而言,要打造基于汽车全生命周期和数据全生命链条的安全管理能力,采用类似人体免疫力形成的思路来实现持续、动态、主动的安全防护,避免陷入“发现问题再解决问题”的被动境地。而提高企业安全“免疫力”需要从两方面入手。
一方面要改变汽车企业的传统安全理念,“亡羊补牢”式安全战略已经难以满足汽车行业的快速发展要求,车企需变被动为主动,从“治已病”发展为“治未病”。另一方面,企业需构建多层次的纵深保护机制,实现“适应性免疫”。
贾浩进一步指出,在车企数据安全治理方面,其管理水平、数据分级分类等还存在问题。管理水平参差不齐,八成以上整车企业都自建数据安全团队,并配备足够安全人员,部分企业数据安全管理体系还流于形式且彼此独立;头部供应商重视数据安全管理体系建设,但多数中小型零部件企业在网络和数据安全管理机制方面并未配齐数据安全团队。
数据分类分级管理制度有利于车企针对不同级别数据采取差异化的保护措施。当前,监管更多聚焦在车和人相关的部分,未对企业研发、生产等数据的分类分级提出明确要求,导致不同部门对业务数据安全管理的认知不统一,数据的采集、存储和处理方法也不尽相同,重要数据的识别判定与业务的贴合度不够高。
针对上述问题,《报告》提出六项建议。首先,完善数据分类分级指导要求,适时更新《汽车数据安全管理若干规定(试行)》对重要数据的定义,加快制定汽车行业重要数据参考目录等;其次,强化供应链安全管理,建立汽车数据安全责任共担机制,强化数据处理主体的“自我规制”,加快智能网联汽车核心零部件的国产化替代,强化底层零部件安全防护等。
再者,加快防护技术验证及标准制定,优先推动如数据脱敏、数据共享等与现阶段产业发展高度相关标准的制定;另外,建议培育壮大独立第三方汽车数据安全监测机构,建立政府认可的汽车安全风险及漏洞信息交流与发布平台;通过政策激励、资金支持等方式,鼓励企业进行数据安全技术创新与合作等。
实现用户体验、成本控制以及合规间平衡是难点
《报告》发布之余,现场还举办了相关主题研讨会,来自学界、企业的多位专家学者积极建言献策。在讨论数据安全问题之前,首先应明确,车企的数据安全一般分为哪几个维度?企业管理层面是如何对其进行定义的?
圆桌论坛现场
在腾讯安全数据安全产品总监徐展看来,车企对数据安全的分类包括车辆本身的数据安全,车和人交互过程中人的数据安全以及汽车基础设施服务平台的数据安全。
蔚来数据合规及反垄断法务负责人王诗笋结合行业实践表示,智能网联汽车的一个显著特点是应用场景丰富,生产供应链路很长,车企将汽车交付给客户并不意味着服务的结束,此时客户的数字化生活、车企与客户的连接才刚刚开始。基于此,车企的数据合规体系应是法律、技术与管理学三位一体相融合的产物。
腾讯智慧出行解决方案总经理姚振从用户维度补充道,从品牌曝光、客户试乘试驾再到贷款交付等等环节都可能面临各种数据安全问题。比如,用户看到微信广告时可能需要授权才能使用完整服务,涉及信息安全;留下联系方式可能涉及业务安全;营销过程中如果使用一些购车优惠,可能涉及流量安全;买车时如果使用金融贷款,可能涉及金融安全等。
事实上,智能网联汽车数据安全备受关注的同时,监管的脚步也从未落后。去年,《汽车整车信息安全技术要求》《智能网联汽车 自动驾驶数据记录系统》等四项强制性国家标准已形成征求意见稿。会上,各大车企的相关负责人就数据安全合规工作面临的挑战各抒己见。
姚振坦言,当前一个很大的挑战是要实现用户体验、成本控制以及合规三者之间的平衡,“如果做得特别合规,要么是用户体验不好,要么就是造成了成本的批量上涨。”比如,“自动驾驶的数据不能上公有云了,如果说自己搭一套私有云,这个成本可能非常高……我们怎么去平衡好,我觉得这个其实是非常难的。”
去年年底,星纪魅族集团的业务方向也从智能手机扩展到智能汽车赛道。星纪魅族集团数据合规执行总监朱玲凤在会上表示,如何将已知的数据合规经验与开拓的新场景进行深度融合,而非僵化地适用是目前数据合规的一大难点。
她举例解释,个人信息保护领域最重要的原则之一是知情同意,但这一原则如果落实到汽车上会出现截然不同的情况。对于汽车而言,必须首先保证行车安全,如果在行车过程中动辄弹窗五六次征求用户同意,会带来很大安全隐患。因此,具体到汽车环境里,应以何种方式落实告知同意原则是企业需要攻克的难题。
她还提到,与手机通常被默认为是一个私人用品不同,由于汽车内可能有乘客,也可能借给其他人驾驶,车内会被定义为一个半公开的环境,“在这样的情况下,我怎么解决用户在这个空间里对隐私的期待以及(获得)单独同意,这都是需要我们去思考的。”
采写;南都记者樊文扬
热门跟贴