21世紀經濟報道記者 郭美婷 李潤澤子 廣州報道
今年以來,我國智能網聯汽車迎來了發展黃金期。
相關機構預計,2021年智能網聯汽車産業規模将超3500億元,到2026年将達5859億元。作為汽車、電子、資訊通信等深度融合的新興産業生态,智能網聯汽車已成為繼手機後又一個網際網路入口。
然而,回顧智能網聯汽車的發展曆程,總伴随着網絡和資料安全的困擾。
2015年智能網聯汽車首次在國家戰略層面被提及,也因一次黑客攻擊事件暴露其網絡安全危機;2018年各大車企搶占賽道之際,《通用資料保護條例》(GDPR)的出台将資料安全擺上台面;即使在産業蓬勃發展的今年,密集出台的監管檔案緊随而至。
受訪專家告訴21世紀經濟報道記者,我國智能網聯汽車的資訊安全體系建設,大緻經曆了從關心車企産品品質到注重個人資料保護,再上升至國家安全層面的發展階段。随着智能網聯汽車進一步普及,其網絡和資料安全問題将與公共安全等息息相關,需要生态内的每一家企業配合,共同實作真正的安全。
“智能網聯汽車”首次從國家戰略層面被提及,是在2015年。國務院釋出《中國制造2025》,提出“到2025年,我國将建立較完善的智能網聯汽車自主研發體系、生産配套體系以及産業群,基本完成汽車産業的轉型更新”。
這一年,車聯網行業曆經多年探索和布局,市場規模達到1550億元。奔馳、寶馬福特等傳統汽車廠商與百度、阿裡和騰訊等網際網路巨頭跨界合作頻繁。
汽車被看作繼手機之後的又一個網際網路入口。“我們正在創造的不是‘汽車上的網際網路’,而是‘跑在網際網路上的汽車’。這是汽車行業的重要裡程碑。”阿裡巴巴技術委員會主任委員王堅曾說,“智能作業系統将成為汽車的第二發動機,而資料則是新燃料。”
然而,同樣在2015年,汽車網絡安全問題給方興未艾的行業敲響了第一記警鐘。兩名美國白帽黑客成功侵入一輛正在行駛的JEEP自由光SUV的網絡系統并使其失控翻車,導緻制造商召回近140萬輛已售車輛。
“各國意識到確定網聯汽車網絡安全的重要性。”賽迪研究院周千荷告訴21世紀經濟報道記者,美國在此背景下釋出《汽車安全和隐私法》,要求制造商告知消費者車輛保護個人隐私和網絡安全程度,是各國中較早關注到車載系統安全監管的規定。英國随後于2017年釋出《智能網聯汽車網絡安全關鍵原則》。
國内車企亦覺察出危機。多位業内人士向21世紀經濟報道記者回憶,彼時車企已經開始組建智能網聯汽車資訊安全團隊、建設防護系統和産品,或與相關人員、公司合作,獎勵漏洞線索發現者。東軟集團、梆梆安全等技術公司借此契機紛紛涉足汽車網絡資訊安全領域。
東軟集團網絡安全事業部副總經理陳靜相認為,2015年前後汽車行業的資料安全意識尚處于萌芽期,歐美等西方國家開始陸續出台相關法律法規,國内部分車企和從業者也提出了資料安全存儲的概念,防止車端資料資訊洩露,此時尚未形成完備的資料安全體系,尤其是對于個人敏感資訊資料的防護關注較少。
“讓子彈先飛一飛。”ICMA智聯出行研究院執行院長何姗姗如是形容此階段,國家政策層面仍更多關注推動技術發展和普及,相關檔案僅概括性提及智能網聯汽車的網絡和資料安全問題,并未過多規制。
從業者什麼時候開始真正重視汽車資料的安全性?
彼時,受益于宏觀政策驅動和基礎設施的完善,車聯網市場規模處于高速增長期。資料顯示,至2018年智能網聯新車型滲透率達到31.1%,相較2016年增長近5倍,中國品牌智能網聯新車型滲透率達到35.3%,相較2016年增長15倍。
無論是跨國車企、國内主流車企,還是造車新勢力,都有搭載最新研發的智能網聯技術成果的車型落地,風頭正盛。
然而,尚有危機潛藏。公開資料顯示,在2018年14起影響較大的智能網聯汽車資訊安全事件中就包括5起資料洩露事件。其中一起資料洩露事件讓車企機密連同客戶隐私共計157千兆位元組的資訊被曝光。
同時,2018年5月歐盟《通用資料保護條例》(GDPR)出台,個人資料被高标準保護,高額嚴處違法行為。
智能網聯汽車涉及大量個人資料采集。有業内人士指出,一輛自動駕駛測試車輛每天可産生高達10TB的資料量,包括視訊、圖像、坐标等,無疑将成為GDPR規範的對象之一。
于是,繼網絡安全後,公衆開始重視車輛資料安全。在梆梆安全車聯網安全專家李浩文看來,早期汽車網絡破解事件讓公衆關注到車内人員安全和車企品牌負面輿論,2016年的《網絡安全法》也僅部分提及資料跨境和資料安全問題。随後,網絡安全等級保護制度2.0标準釋出,加之GDPR已正式出台,從業者才開始思考,車聯網的資料是否在《網絡安全法》、網絡安全等級保護制度2.0标準或GDPR等要求内。
小鵬汽車董事長何小鵬在2018年公開表示,“當汽車企業從單純的制造者和銷售者向營運者角色轉變時,就不可避免要成為資料的生産者和服務者,此時,資料安全将成為重中之重。”
為了規範行業發展,國家開始加快智能網聯汽車資訊安全相關法律法規的修訂。《國家車聯網産業标準體系建設指南(總體要求)》等系列檔案印發,均提及網絡與資料或資訊安全标準的建設。
至2020年,國家發改委等11部委聯合印發《智能汽車創新發展戰略》,明确要求建立覆寫智能汽車資料全生命周期的安全管理機制;國務院辦公廳印發的《新能源汽車産業發展規劃(2021—2035年)》提出強化資料分類分級和合規應用。
“2021年是智能網聯汽車資料安全的元年。”多位受訪專家不約而同地表示。
國際上,汽車資訊安全領域首個具有限制力的國際統一技術規範《WP29汽車資訊安全和資訊安全管理系統》(UN/WP.29 R155)于1月1日生效;3月,歐洲資料保護委員會通過《車聯網個人資料保護指南》,闡釋了車聯網不同場景下的隐私保護、資料風險及應對措施;8月,汽車資訊安全領域首個國際标準ISO/SAE 21434“Road vehicles—Cybersecurity engineering(道路車輛 資訊安全工程)”正式釋出。
在國内,随着《資料安全法》《個人資訊保護法》先後落地,針對智能網聯汽車領域的監管迎來大爆發。“汽車資料安全已上升為國家戰略,車聯網安全的頂層設計不斷完善。”陳靜相告訴21世紀經濟報道記者。
今年4月,有車主自稱“特斯拉刹車失靈”維權一事引發關注。在争議事故責任之餘,此事也讓公衆的部分視線聚焦于行車資料與個人隐私上,成為加快智能汽車資料安全監管的催化劑。
據21世紀經濟報道記者不完全統計,2021年國家層面有近20份涉及智能網聯汽車資訊安全的政策檔案釋出或出台。業内人士介紹,在密集出台的檔案中,給行業帶來較大影響的是《關于加強智能網聯汽車生産企業及産品準入管理的意見》(以下簡稱《意見》)和《汽車資料安全管理若幹規定(試行)》(以下簡稱《規定》)。
今年8月《意見》正式出台,提出“加強資料和網絡安全管理”,明确資料分類分級、重要資料境記憶體儲、健全網絡安全保障技術等多項要求。
國家智能網聯汽車創新中心資訊安全部部長羅承剛強調,對比起其他同類檔案,《意見》與車企利益最休戚相關。它從最根本環節切入,一旦車企不能滿足要求,将無法申請準入産品公告、上牌并銷售。
李浩文觀點相似,“《意見》向外界傳遞的信号是,如果車輛不做資料和網絡安全,可能連生産資質都擷取不了。”
另一重磅檔案《規定》也于8月由網信辦等5部門釋出。
“這是極重要的節點,初步建立起我國汽車資料安全的合規架構。”陳靜相分析,《規定》首次清晰界定了“汽車資料處理者”和“重要資料”類型等内容,提出4項推薦資料處理原則,明确資料處理者義務,并制定跨境資料傳輸規則。
《規定》還落實了年度報告制度,要求汽車資料處理者按時主動報送年度汽車資料安全管理情況,這意味着國家向監管力度強化、管理系統化邁出了重要一步。
此外,汽車資料跨境成了今年又一大熱議點。7月至12月,出行巨頭滴滴的坎坷上市之路賺足公衆眼球:赴美上市隔日即被啟動國家網絡安全審查,僅5個月後于紐交所退市并啟動在港上市準備工作。
滴滴事件折射出跨境資料流動帶來的巨大安全風險和挑戰。同樣掌握大量使用者隐私資料,且業務與關鍵資訊基礎設施有關的智能網聯汽車牽動着國家資訊安全的神經。在今年出台的檔案對此已多有強調,例如,《規定》強調了除個人資訊外的重要資料和地理資訊安全的範疇。“這是中國獨有的體系,與背後的整體公共安全、社會安全、國家安全、經濟安全息息相關。”何姗姗說。
羅承剛總結,“智能網聯汽車的資訊安全體系發展至今,基本經曆了從關心車企産品品質到注重個人資料保護,再上升至國家安全層面的幾個階段。”
我國智能網聯汽車行業已迎來了發展的黃金期。
智能網聯汽車産業規模将持續擴大,相關機構預計2021年将超3500億元,到2026年将達5859億元。
“然而,目前對于智能網聯汽車,至少在資料安全領域,監管仍處于初步階段。”李浩文告訴21世紀經濟報道記者。
6月21日,《車聯網(智能網聯汽車)網絡安全标準體系建設指南》征求意見,提出到2023年底完成50項以上重點急需安全标準的制訂修訂工作,其中包括資料安全标準;到2025年,完成100項以上重點标準。随後,8月25日,工信部表示将加快釋出《車聯網網絡安全标準體系建設指南》(以下簡稱《建設指南》)。
《建設指南》的重要性,在于将智能網聯汽車的安全标準建設體系化。智能網聯汽車的标準過去以碎片化的形式,零散地對TBox、網關、車機、充電樁等做出規定,《建設指南》将已有的和未來的标準分為基礎設施、通信、資料、終端等門類歸納入一個标準體系中,樹立了整體目标。
“好比建房子,從前隻是單獨修了一堵牆、一扇門,如今卻有了整個房屋的架構,規劃更全面,結構更合理,界限更清晰。”羅承剛說。
陳靜相也表示,在《建設指南》的指導下,多個國家标準委員會及行業組織積極開展智能網聯汽車共性基礎、關鍵技術以及行業産業急需标準的研究制定,在車聯網網絡安全标準研制方面已取得階段性成果。
規範産業的另一端是促進發展。何姗姗從車聯網V2X(vehicle to everything,即車對外界的資訊交換)角度出發,談到《建設指南》推動解決資訊互通後資料安全問題。“隻有形成了标準體系,才能夠實作車與車、車與路側設施、車與周邊環境等的互聯互通。”
未來,我國應如何進一步完善智能網聯汽車的網絡與資料安全體系?
何姗姗認為,未來還應進一步細化現有規定,在實踐中形成可落地、可操作的模式,推進一段時間後将經驗再推廣或歸納形成新的标準。
“從實際發展看,目前的法律标準體系相比美歐等地區存在一定差距,尚不能完全滿足産業發展需求,仍需從制定标準指南、建立評估體系、設立監督機制等方面加以強化。”陳靜相表示。
羅承剛則提出,需首要考慮和重視汽車資料的分類分級問題。智能網聯汽車産生的資料量龐大,若不事先對資料分類分級,而是按照統一的标準進行安全防護,一來将造成大量資源浪費,二來可能導緻某些重要資料防護措施不夠強,某些非重要資料又過度防護。
“智能網聯汽車的安全是一個綜合的複雜體系,除資訊安全外,還涉及功能安全、預期功能安全等。未來,它們将互相影響、緊密結合,是以應從整體而非切割地看待這個問題。同時,要建立真正的智能網聯汽車安全體系,單獨一兩家企業的做好沒有意義,需要整個生态配合,共同實作真正的安全。”羅承剛說。
更多内容請下載下傳21财經APP
![從問界新M7 Ultra,看賽力斯汽車的“使用者之道”[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)