智能网联汽车数据安全管理面临八大难题,未来有近千亿市场规模



By
jonson
26 1 月 24
0
comment

如今,在路面上行驶的车辆中,具备L2级及以上辅助驾驶功能的汽车越来越多,据相关统计,中国L2级及以上辅助驾驶乘用车的渗透率现已超过40%。

智能网联汽车的一个重要特征就是具备了“自我进化”的能力,数据驱动汽车功能进化、服务创新,软件保障数据采集、处理。在“数据决定体验,软件定义汽车”的趋势下,智能网联汽车的数据体量正快速跃升,每日产生的数据量达到 TB级,随之而来的“云一管一端”安全风险及其影响范围呈扩大态势。

过去5年,全球汽车行业因网络攻击造成的损失超5000亿美元,安全风险主要来自“云-管-端”三方面。其中,云端潜在的不安全接口、未授权访问、系统漏洞等安全隐患可能会导致敏感信息泄露;数据传输也存在内外部双重风险,车内面临 CAN报文被篡改和伪造、通信总线阻塞导致无法及时反馈风险等安全问题,车外通信网络传输时的通信链路面临窃取或攻击;伴随车端软件代码数量增加,安全漏洞风险日益扩大。

据Upstream Security公司统计,2011-2021年全球共发生900 余起针对智能汽车的攻击,其中87.7%威胁到车辆数据。近年,我国也频频发生汽车数据安全事件。随着汽车智能化、网联化的深入和应用场景不断丰富,智能网联汽车数据安全问题影响呈扩大态势,一旦遭到攻击、窃取、滥用,会给国家安全、交通安全和个人隐私安全造成重大影响。数据安全成为继功能安全、预期功能安全、网络安全之后的第四大安全监管重点。

从重要性方面来看,智能网联汽车数据是交通安全的重要外延,更是国家安全的重要防线,还与个人隐私保护密切相关。

单就个人隐私方面,车内的座舱摄像头、麦克风等传感器设备会集成大量个人特征精确的生物识别数据,还涉及用户登录信息和应用服务数据等,这类数据遭到泄露、非法共享,极易造成监听和身份盗窃等风险,从而影响个人的人身、财产安全。车外的远视和环视摄像头也在持续获取周围行人、车牌等信息,也和个人隐私安全息息相关。

数据安全已经成为用户购车时考虑的重要因素之一。近期《广州日报》发起的一项针对智能车的调研显示,除了品牌、外观、价格、续航因素,43%的用户已将系统安全性/数据隐私纳为购车的首要考虑因素。

因此,完善的智能网联汽车数据安全监管体系与政策体系是发挥我国海量汽车数据规模优势、激活数据要素潜能的重要基础,有助于推动汽车数据安全合规地流通与使用,以充分发挥数据对自动驾驶、智能座舱等技术发展的促进作用,引导互联网科技、金融保险等不同行业的企业利用数据开发更多赋能智能网联汽车发展的产品及服务,加快我国智能网联汽车产业发展进程。

面临八大难题

从从监管和产业两个层面来看,我国智能网联汽车数据安全管理面临八大问题。

1.数据安全管理与汽车监管体系融合问题。

当前我国汽车监管主要关注生产准入、强制认证等事前管理,而数据管理更注重从采集到销毁的全生命周期安全。在数据安全管理与汽车监管体系融合的过程中,存在管理思维从“硬件为主”向“软硬结合”转变难、部门间监管业务重叠交叉且缺乏有效协同等问题。需要明确现阶段汽车数据安全管理应遵循的基本原则,明晰部门间各自具体的责任划分和任务分工,并建立部门协同工作机制,提升汽车数据管理效能。

2.国内外法规、标准差异带来的双重合规问题。

近年来,全球主流国家纷纷出台数据安全、隐私保护法律法规,各国数据安全、隐私保护的监管侧重点不同且评估标准不统一。我国汽车企业在加强国际市场战略部署的过程中,同一类型的产品因需要出口到不同的国家和地区,会面临国外法长臂管辖和国内法域外适用带来的双重合规问题,落地难度较大。我国数据安全管理要与国际接轨,应积极培育全球合作生态,夯实数据标准互认基础,建立数据信任对等机制,为我国汽车产业国际发展奠定基础。

3.汽车测绘地理信息使用管理问题。

伴随着汽车智能化发展,测绘地理信息在智能网联汽车中的应用范围逐步扩大,高精度地图绘制以及自动驾驶技术环境感知、行为决策、姿态控制和算法升级等高度依赖影像数据、卫星导航定位、惯性导航、激光雷达点云数据等地理信息数据。但汽车采集和使用的测绘地理信息很容易涉密涉敏,一旦泄露将影响国家安全。当前汽车行业应用测绘地理信息仍面临缺乏细化指导、审图效率低、缺乏协同管理导致资源浪费等问题,需要出台汽车领域测绘地理信息合规指南,提升审图效率,并引导多方合作,推动测绘地理信息在汽车行业的应用。

4.汽车数据安全标准体系建设问题。

工业和信息化部发布的《车联网网络安全和数据安全标准体系建设指南》为车联网网络和数据安全提供了标准框架,但接近87%的标准还处于未发布状态,且汽车数据异常行为监测、数据处理和技术要求等多项数据安全标准仍处空白状态,很难为产业网络、数据安全落地提供操作性指引。需在满足产业长远发展需求的前提下,坚持“急用先行”原则,推动行业标准和团体标准的研制,并为国家标准的制定提供参考。后续标准落地应以汽车企业为突破口,带动上下游企业标准对接和配套。

5.汽车数据分类分级问题。

我国的汽车数据分类分级工作已取得一定进展,出台了一系列标准及规范文件,对汽车数据特点、产生流程、分类分级方法、防护手段及对策等方面均有所覆盖。但现阶段各类标准规范的编制思路和框架不统一,且普遍存在前瞻性不足、欠缺动态发展空间、对部分数据界定不够清晰具体、安全防护措施与实际监管脱节等问题。需要明确汽车数据分类分级思路及原则,制定协调一致的汽车数据分类分级规范指南,促进国家标准体系的建立。

6.汽车数据权责划分问题。

汽车数据在产生、采集、传输、存储过程中涉及产业链多方主体,上下游企业均需获取汽车数据用来迭代自身技术、优化产品性能。传统法律框架无法支撑汽车数据权责认定,落实和追踪汽车数据权责配套的技术和机制不健全。当前汽车数据相关应用和管理实践还处于初级阶段,需要从法律层面明确汽车数据所有权,围绕不同数据处理的场景和环节,细化汽车数据管理各方主体责任,确立产业链上下游企业联动权责关系。

7.数据安全防护技术上车问题。

智能网联汽车具有高速移动和空间受限的特点,受攻击面更广,攻击点更多,安全防护难度更大。互联网安全防护技术已发展得比较成熟,部分领先技术已开始引入车端,但更多是单点防护,车端计算资源有限、加密算法不适配、车内通信缺乏安全机制以及车辆外部接口众多等制约着全方位数据安全防护体系的建立。应加快汽车安全防护技术标准制定与更新,加强公共服务平台建设,强化汽车数据安全监测评估服务,推动底层安全技术发展,以提升汽车整体安全防护水平。

8.企业建设汽车数据安全管理体系问题。

目前汽车产业链各方主体数据安全管理体系建设程度参差不齐,部分企业数据安全管理体系还流于形式且彼此独立,部分零部件供应商甚至未配齐数据安全团队。造成这一现象的原因有多个方面,包括法规具体条款要求不明确、标准和指南等实施文件缺失、汽车产业链缺乏对软件及数据的管理经验、企业内各部门协调难度大等。需要进一步补充、细化数据安全管理监管要求,加快制定数据安全管理体系建设指导细则及相关标准,为企业提供切实可行的实施路径。

新书给出建议

智能网联汽车数据安全管理涉及行业生态体系的各个环节,为充分发挥数据安全管理效能,需要充分调动行业整体的责任意识,联合构建汽车生态体系协同推进的数据安全管理工作体系。协同政府、行业组织、上下游企业共同参与,发挥各自的作用,进一步完善监管体系、明确政策法规、协调机构配合、指导企业实践,形成“政府指导、行业协同、企业践行”的全面协同治理模式。

中国电动汽车百人会联合中国信息化百人会、中国汽车工程研究院股份有限公司,在对比美欧日等国家和地区数据安全政策、法规监管体系的前提下,通过共同研究课题“智能网联汽车数据安全监管体系与政策体系”,从监管和产业两个层面,针对以上八大难题,给出了一系列建议。

据该项研究成果,随着整个汽车行业数据安全的有序推进,数据安全市场规模开始扩大。预计2023年,智能网联汽车数据安全市场规模将超过370亿元,2025年将达到735亿元,市场规模将不断扩大(详见百人会近期发布的2023汽车数据安全年度报告)。

目前,这一系列研究成果已经整理编辑成为《数据安全时代——智能网联汽车数据安全监管与政策体系》一书,对外公开出版发行。

全书分为总括篇、监管篇、产业篇,主要内容有汽车数据安全管理的新需求与新阶段;汽车数据监管体系;跨境合规、测绘数据、数据确权、分类分级等法规标准建设进展;汽车数据安全技术发展与企业管理情况等。

本书适合智能网联汽车相关政府管理部门工作人员,整车企业、零部件企业及安全企业等相关工作人员,以及对汽车数据安全相关知识的广大消费者阅读。

文/陈重山

发表回复