備注資訊:滑闆底盤/域控制器+真實姓名、公司、崗位
時至今日,智能網聯汽車已被稱為“可載人的移動計算機”。它作為終端擷取ICT巨大優勢并轉換為紅利的同時,就不可避免地會沾染到來自移動網際網路的威脅和風險。
資料采集、存儲、使用、轉移、銷毀,應用軟體的通路控制,調式接口暴露,多餘功能權限,協定安全,OS安全,代碼安全,攻擊防護等,這些原本屬于ICT安全風險上的專有名詞,正逐漸顯現在智能網聯汽車上,再疊加上其交通工具的屬性,情況就變得更加複雜。
冗長龐雜的産業鍊可以滋生數不清的薄弱環節,海量代碼裡藏着能夠被利用或攻擊的漏洞,密布的傳感器帶來的資料上雲和隐私保護的挑戰……
用“發展和威脅并存,願景和風險共生”來形容智能網聯汽車在資訊安全方面的現狀,毫不為過。
如何遏制威脅、降低風險,僅是擺在汽車制造商、智能駕駛方案提供商、雲平台服務商面前的問題,更是國家政府需要解決的問題。
既需要規避技術創新帶來的潛在危害和漣漪效應,又要為技術發展預留出足夠的空間,還要保證技術商業化不被政策牽制……
政府手上的“法律政策”之鞭,是緊是松,是監管還是解綁,是明令禁止還是鼓勵促進,政策的一舉一動都會對智能網聯汽車行業發展産生很大的影響,值得所有從業者關注。
資訊安全作為智能網聯汽車行業的新事物,具體包含了哪些方面?
大陸在智能網聯汽車資訊安全方面的立法架構是如何搭建的?
有哪些代表性的政策值得關注?
有哪些立法架構内的階段性成果值得期待?
後續還有哪些方面有待完善?
這些内容,你都可以在本文中找到答案。
本文沒有好玩有趣的段子,沒有引發共鳴的吐槽,也沒有撩撥情緒的感慨,有的隻是紛繁複雜的法律規範,晦澀難懂的條文解析,盡可能平實準确的文字和力求嚴謹清晰的邏輯,而這些都和閱讀的爽利感和暢快感毫無關系。
可以想象,這是一篇注定閱讀量慘淡的推文,但如果能幫助到身處智能網聯汽車行業的讀者搭建一個智能網聯汽車資訊安全的大緻架構脈絡,那麼這篇文章也算有些作用。
PART Ⅰ 管什麼
智能網聯汽車資訊安全具體包含哪些方面?
智能網聯汽車資訊安全按對象不同,可大緻分為網絡安全、應用安全和資料安全。這三者交叉關聯,互為依托又互相影響,簡單來說,就是你中有我,我中有你。
網絡安全的對象包括網絡系統中的硬體、軟體,以及系統中存儲的資料。
網絡安全的核心要求是硬體和軟體不會遭到更改或破壞,在網絡通信過程中産生的、包含各種重要資訊的海量資料不被篡改,資料不會丢失或洩露。
具體指向智能網聯汽車的網絡安全,指的是移動通信網絡、車載通信網絡、路側通信網絡、衛星通訊網絡等不受任何情況影響、不因任何因素中斷,能夠可靠正常地連續運作,智能網聯汽車正常運作所需的資料能夠得到完整性、可用性和實時性的保障。
名詞解釋或許略顯枯燥,這裡可以舉個例子。
以現在熱火朝天的V2X為例,城市道路上配置的智能紅綠燈和智能攝像頭就是比較常見的路側智能網聯裝置。這些裝置實時擷取經過這個路段的智能網聯汽車的動态資訊(速度資訊、位置資訊、駕駛狀态等),上傳到交通營運監管平台,平台通過分析擁堵情況、交通違規情況、擁有優先路權的特種車輛所處位置等資訊,統籌調整信号燈時長配置,并以無線信号方式向智能網聯汽車推送信号燈切換資訊,通過路側單元向車輛提醒前方道路情況,預警諸如結冰或濕滑的危險道路,提示車輛避讓施工區域或交叉路口出現的其他交通參與者等等。
再往大了去看,智能網絡汽車、道路基礎設施、蜂窩網絡設施,甚至是行人佩戴的手機和可穿戴裝置……能夠産出資料的交通參與者交織成了一張細密蛛網,資料循着看不見摸不着的蛛絲,源源不斷自智能網聯汽車湧出,又連綿不絕回流。
車輛的通行效率得到了提高、交通參與者的人身安全得到了保障、尾氣排放進一步減少,這一切都是基于安全的網絡。
圖源自視覺中國
這一張全局大網的基礎就是包括智能網聯汽車終端在内的各種通信裝置,這些通信裝置和交通營運監管部門的雲平台之間的實時溝通,依靠的就是網絡安全。
沒有安全的網絡,這一切都無從談起。
要了解什麼是應用安全,我們可以從最貼近消費者的App入手。
智能網聯汽車被譽為移動網際網路的新流量入口,要想坐實這個名号,就無可避免地要和手機争奪流量。幾乎所有汽車廠商都雄心勃勃地想要将車輛打造成“第三生活空間”,不遺餘力地想要占有使用者的時間和注意力。
從遊戲、微網誌到電影、電視,從唱吧到Steam,甚至于WPS辦公軟體和學習強國,越來越多手機端App出現在汽車中控大屏上。
當這些偏娛樂屬性App出現當機時,使用者固然會覺得麻煩和不便,但更多的是延續使用手機端App時包容或忽視的态度,最多無奈地調侃一句“重新開機大法好”。
然而,當這種情況出現在智能網聯汽車上,尤其是帶有控制車輛功能的App上時,情況就發生了質的變化,App不受控所帶來的後果也不再是一句吐槽或調侃就可以一筆帶過的。
基于安卓開發的應用App幾乎無一例外的都面臨惡意代碼、二次打包和資訊洩露這三大風險。
具備遠端控制功能的應用App在給使用者帶來諸如遠端解鎖啟動、主動召喚、遙控泊車、開啟後備箱等便捷功能的同時,也成為了黑客入侵汽車最常見和最便捷的途徑之一。
如果在使用過程中,這些App遭到非法入侵或攻擊,不能保證輸出指令的安全性和正确性,那麼,車輛的動力系統和轉向系統控制權就可能被竊取。使用者一旦失去對車輛的控制權,由此造成的财産損失和安全事故,後果是極其嚴重的。
到時,大量汽車在黑客控制下飛身躍出停車樓的場景,将不再限定于電影中了。
圖源自《速度與激情8》
再來看看資料安全。
和手機App類似,使用者使用車端App,意味着要和車輛分享個人資訊、生物特征、網絡浏覽記錄、消費記錄、地理位置、支付密碼和車内DMS攝像頭所記錄的視訊音頻等等一系列資料。
這些就屬于資料安全範疇。
車企和應用App營運者通過分析這些資料,能夠更精準地生成“猜你喜歡”,讓車輛成為繼手機之後,生活中又一個“不可或缺的親密夥伴”。這些“投你所好”的推薦,它的基礎就是用車企和應用App從使用者那裡獲得的海量的個人資訊。
如果說這些App的目标是使用者的時間、注意力和錢包,是個人資料安全,那麼車載傳感器的目标則更貼近駕駛和車輛本身,從資訊安全角度而言,是公共資料安全。
在智能網聯汽車運作過程中,雷射雷達、毫米波雷達、攝像頭、車輛CAN/以太網網絡會不斷産生和收集與道路資訊和駕駛行為資訊相關的資料。
這些基于公共道路采集到的數以百萬計的攝像頭片段和标注物體資訊被投喂給人工智能訓練計算機,用以訓練智能駕駛算法,使車輛持續進化,能夠更安全地行駛、更可靠地處理複雜情況、更快地适應本土化環境、更好地促進新功能和新技術的研發,進而形成正向循環。
特斯拉為例和它的人工智能訓練計算機Dojo就是“善用資料”最典型的例子。
圖源自網絡
然而,同一個主角,同一種生産要素,帶來了截然相反的影響。
同樣是特斯拉,在早些時候,網傳有官員駕駛特斯拉駛入大陸敏感區域,特斯拉前置攝像頭擷取内部道路資訊,疑似資料外洩,進而引發不少區域對特斯拉下達了“禁行禁停”令。這也是一個教科書般的案例,隻不過,特斯拉在其中搖身一變成了“反面教材”。
資料,作為汽車産業必要的生産要素,就其本身而言,是中立的,是純粹的。
然而,資料如何收集?如何使用、服務于哪些對象、會達成何種目的、造成何種影響,更進一步的,個人私密資訊會不會被倒賣給第三方?車内影像會不會被非法傳播?賬戶密碼會不會被非法盜用侵占?日常生活軌迹會不會被偷窺跟蹤?敏感地區和重要設施會不會被非法洩密?
這些問題的答案,我們無法對内,向資料本身讨要,隻能向外,尋求公正中立的解答。
消費者也好,生産企業也好,營運商也好,都急需緩解和解決随着智能網聯汽車銷量的節節攀升而被不斷放大的擔憂和顧慮。
我們需要法律法規這頂“緊箍咒”,将資料的過度使用、違規處理和非法濫用問題扼殺在萌芽期,讓資料保持“科技向善”的初心。
PART Ⅱ 怎麼管
大陸在智能網聯汽車資訊安全方面是如何搭建立法架構的?
在了解大陸在智能網聯汽車資訊安全方面的法律法規之前,我們需要大緻明确大陸的立法架構是如何的。
大陸的立法架構一般施行的是兩條腿走路——自上而下的頂層法律設計和自下而上的區域性、試驗性立法。
自上而下的頂層法律設計,邏輯嚴密,覆寫全面,但對瞬息萬變,日新月異的新技術、新功能和新産物,往往無法迅速調整,也不能提供解決實際問題的具體操作指南,還會出現現行法律法規對技術發展掣肘甚至是沖突的情況。
這時示範區和地方法規就顯現出“小而美”的優勢了。他們就像是“試驗田”,可以在局部小範圍内進行自下而上的嘗試,通過賦予經濟特區特殊立法權之類的“特例”來避免技術和法律之間的沖突,進而順應發展、填補空白。
這種小規模,試點性質的立法好處非常明顯。一來,試點範圍有限,但凡出現意外可以立刻将問題撲滅,控制影響範圍。二來,走“綠色通道”的立法能夠快速應對新增情況,跟上技術發展的速度,對形成切實可行的,具有實際操作意義的法律條款有着非常強的現實參考作用。
而資訊安全作為智能網聯汽車發展中極為重要的組成部分,同樣遵循“雙管齊下”+“相向而行”的立法模式。
圖檔源自網絡
在頂層設計方面,《中華人民共和國網絡安全法》和《中華人民共和國資料安全法》和《中華人民共和國個人資訊保護法》一起構成了大陸公民資訊安全的法律體系架構。
整理自網絡公開資訊
這三部大法是由全國人民代表大會審議通過,面向的是全行業的資訊安全。反過來說,全行業的資訊安全都必須以這三部大法為前提和基礎,不允許逾越。
可以通俗地了解為,這三部法律為所有行業在資訊安全方面搭出骨骼架構,而不同行業就像是不同的骨骼區域,顱骨、軀幹骨、四肢骨,他們各自有各自的特點和特性,不同骨骼外的經脈、血肉乃至毛細血管、皮膚紋理都是不同的,那就需要不同等級的立法機構、國家部委、地方政府和行業協會針對不同行業特點頒布有針對性的法律法規、管理規範、标準體系、條例通知,把有形無實的骨骼填滿。
與智能網聯汽車有關的(部分)立法内容 整理自網絡公開資訊
去年,滴滴”赴美IPO遭中國國家網際網路資訊監管機構調查并下架一事中,有關部門對滴滴開展調查的依據就是《中華人民共和國網絡安全法》。
這部《網絡安全法》以人大立法的形式,規定了國家網絡安全工作的基本原則、主要任務、重大指導思想和理念;明确了部門、企業、社會組織和個人的權利、義務和責任;将成熟的政策規定和措施上升為法律,為政府部門的工作提供了法律依據;建立了國家網絡安全的一系列基本制度。
是以,可以了解為《中華人民共和國網絡安全法》是大陸網絡安全的“基本法”。它讓大陸的網絡安全工作有了基本的法律架構和基本制度,展現了全局性和基礎性。
整理自《中華人民共和國網絡安全法》
三大法之二的《中華人民共和國資料安全法》則是大陸第一部以“資料”“資料安全”命名的法律,首次明确了對“資料”的規制原則。
它的重點内容包括确立了“國家核心資料”的概念,明确将資料安全上升到國家安全範疇;建立資料分級分類管理制度;對違反國家核心資料管理制度或違法向境外提供重要資料等涉及資料安全風險的事件,設定了不允許觸碰的“紅線”。
整理自《中華人民共和國資料安全法》
《中華人民共和國個人資訊保護法》則是大陸資料安全法律架構的又一塊重要拼圖。
《個人資訊保護法》主要圍繞個人資訊的處理展開。
從處理規則、跨境提供、個人權利、處理者義務、保護職責部門以及法律責任等不同角度确立了相應規則,并且針對敏感個人資訊和國家機關處理活動強調了特别規則。
整理自《中華人民共和國個人資訊保護法》
一般也将這三部法律稱為大陸公民資訊安全的“上位法”,具有面向對象廣,覆寫範圍全的特點,是展現國家意志的頂層設計。至于另一條相向而行的路,就需要國家部委、地方政府、行業協會、标準團體來共同鋪就。
PART Ⅲ 代表性
哪些法律法規值得關注?
目前,各部委、各地方政府和行業協會,标準委員會等機構都在積極響應三大上位法,在各自管理範圍和管轄區域内,或是着手召開座談會,邀請各大車企和智能駕駛頭部企業各抒己見,并以此為基礎,修訂修改現有法規條文已适應技術發展;或是基于技術趨勢預測,利用自身立法權,突破上位法局限,出台專門促進智能網聯汽車準入和商業化落地的管理條例。
以工信部釋出的《關于加強智能網聯汽車生産企業及産品準入管理的意見》為例,雖然該《意見》說的是智能網聯汽車的準入管理,并不針對資訊安全,但仍為智能網聯汽車在資訊安全方面的規定辟出了單獨章節進行詳細說明,可見其對資訊安全的重視程度。
整理自《關于加強智能網聯汽車生産企業及産品準入管理的意見》
由此可見,智能網聯汽車資訊安全方面的法律法規正在以不同的權責範疇,不同的顆粒度,不同的管轄區域,全方位,成體系地加速形成。
這些正在細密編制的“保護網”裡,有諸多具有代表性和突破性,十分值得關注的内容,将網絡安全、資料安全和個人資訊安全囊括其中。
網絡安全方面,OTA是風眼。
經過漫長的市場教育,現在的消費者已經完全接受車輛通過OTA的形式來進行功能優化、更疊、新增、補救和更正。甚至認為,隻有具備了OTA能力的車輛,才能稱得上是一輛智能網聯汽車。
但也有越來越多的消費者發現,原本用于提升車輛使用感受的OTA卻變了味,夾帶了很多不為使用者所知的“私貨”。
圖源自網絡
悄無聲息地通過OTA對使用者手上的車輛進行“鎖電”,試圖通過限制車輛功率,來擴大安全範圍,提高安全備援,而由此産生的車輛性能降低,卻要讓無知無覺的車主來承受。
車載App經過OTA更新後,告知使用者如不同意讓車輛記錄并收集使用者個人資訊,那麼App将直接退出,使用者将不能夠使用車輛遠端控制等功能。
是接受霸王條款還是接受車輛功能限制,仿佛是在問車主是斷左手還是斷右手,沒有選擇權的選擇題成了擺在車主面前如鲠在喉的刺。
OTA變成了裝着薛定谔貓的盒子,消費者不知道這一次的更新是某種功能和體驗的改善,還是某種設計缺陷的掩飾。
本質來說,OTA相對于傳統的技術服務活動,隻是更新了技術手段,其本質不變,OTA仍是技術服務活動。不管OTA作為召回措施,還是技術服務活動措施,都要履行備案義務。
換句話說,不管是涉及如導航、車載娛樂、人機互動等軟體更新的SOTA,還是更新轉向、制動、整車控制、智能駕駛相關的FOTA,都需要進行備案。
2020 年 11 月 25 日,國家市場監管總局釋出《關于進一步加強汽車遠端更新技術召回監管的通知》 以及2021年6月4日,市場監管總局品質發展局釋出《關于汽車遠端更新OTA技術召回備案的補充通知》,讓OTA召回更具有操作性。
兩份通知寫明,如果是通過OTA進行技術服務活動,那麼需要提前備案,如果是通過OTA消除産品缺陷,那麼就照召回處理,對未消除的缺陷和由此引發的新缺陷,也應該切實依法履行召回主體責任。
換言之,召回就是召回,不再是優化或更新等模棱兩可的描述可以遮掩過去的,OTA不再是召回的“保護傘”和“遮羞布”。
對于OTA過程中出現的車輛被入侵,被遠端控制等事故發生後的規範操作,兩份通知中也有相關規定:要求生産者向市場監管總局報告并開展調查,不允許有隐瞞缺陷或不經備案私下處理的情況出現,如有,就發動群衆力量,歡迎舉報,聯合消費者一起監督企業的行為。
整理自《關于進一步加強汽車遠端更新技術召回監管的通知》
2021年9月13日工業和資訊化部裝備中心釋出《關于開展汽車資料安全、網絡安全等自查工作的通知》以及2021年9月15日,工業和資訊化部釋出《工業和資訊化部關于加強車聯網網絡安全和資料安全工作的通知》也同樣對智能網聯汽車軟體更新相關工作和要求進行了明确。
引入企業管理、評估驗證、準入測試、過程控制、政府監管五個次元,再次強調更新活動前須主動備案和申報,保證汽車産品生産一緻性,不得在未經審批的情況下,通過OTA方式新增或更新汽車自動駕駛功能。
資料安全方面,可以通過解讀由網信辦、發改委、工信部、公安部和交通部在去年10月聯合釋出的《汽車資料安全管理若幹規定(試行)》檔案來了解法律制度對汽車資料安全方面進行的幹預、限制和限制内容有哪些。
特别提及該法案的原因在于它是國内首個對汽車行業的資料安全進行保護的法律。
《規定》的内容承接自《網絡安全法》、《資料安全法》和《個人資訊保護法》,從管理對象,實際場景,到監管要求,具體措施,能力建設等多個方面提出了要求。
按照慣常思維,汽車制造商是汽車資料安全的主要負責人和主要被監管對象,但《規定》提出了“汽車資料處理者”這一概念,并且把這個概念覆寫在了汽車行業全鍊條上。不僅是汽車制造商,硬體和軟體供應商、經銷商、維修機構以及出行服務企業也都是汽車資料處理者,這些角色同樣需要被納入到監管範圍内,這也呼應了“汽車資料自生産階段就開始産生”這一現狀。
同樣,“汽車行業重要資料”這一被大家口口相傳的,寬泛而抽象的名詞,也在《規定》中經由實際場景被固定下來——地圖資訊,敏感區域和超過10萬人的個人資訊等,都被歸類于“重要資訊”。
明确了監管範圍(管什麼)和監管對象(管誰)兩大要素,接下來自然是向監管對象提要求。
按照“不可避免風險,但可以降低風險”的說法,所有監管對象都應該建立資料安全管理制度和預警處理能力,需要定期送出風險評估報告并對資料安全事故做好應對預案。
至于被滴滴和特斯拉頂上風口浪尖的資料存儲和傳輸問題,在《規定》裡說得明明白白——重要資料依法在境記憶體儲。确實需要跨境傳輸的資料,須提前進行安全評估,資料過審後才能出境。
包括特斯拉在内的很多外資與合資公司,已經或正在國内建立資料中心,并稱“所有使用者資料都将存儲在中國”,就是該規定的直接影響和展現。
可以說,《汽車資料安全管理若幹規定(試行)》相較于上位法而言,已經有了極大的細化,對于汽車領域資料安全的标準化,規範化發展來說,具有重大意義。
但同樣需要指出的是,《規定》裡所提及的條文仍有大量需要釋疑和細化的内容,對于汽車資料處理者而言,仍存在很多實操層面的難點,需要繼續出台細則類檔案予以說明解釋,才可有效指導汽車資料處理者開展實際工作。
整理自《汽車資料安全管理若幹規定(試行)》
個人資訊方面,由于貼近個人日常生活,關系到幾乎所有人的切身利益,并且已經有不少車企被爆出種種不合理的利己操作,每次曝光都引起了大範圍的吐槽和抱怨,切身相關和輿論壓力,兩廂疊加的結果,導緻大家對智能網聯汽車在個人資訊方面的立法尤為關注。
事實上,也确實有非常多的法律法規和管理意見在個人資訊方面給出了相關條款。
在衆多法規條款中,我們根據基礎性和高頻性兩個特點,羅列出了以下幾項個人資訊立法方面的重點内容:
關于個人資訊的定義。
所謂個人資訊,通常了解是這輛車的車主或駕乘人員這些坐在車裡的人員被車輛通過電子方式(攝像頭、麥克風等)擷取的資訊,例如他們的行蹤軌迹,指紋聲紋人臉的生物資訊,賬号密碼,社交圈層等,但這些隻是狹義的個人資訊,《汽車資料安全管理若幹規定(試行)》将這個概念進行了外延,除了車内人員,個人資訊還包括車外人員,他們的長相(生物資訊)和所處位置和行蹤軌迹(地理資訊)一樣可以通過車外攝像頭被捕獲,自然也屬于個人資訊的範疇。
總結而言,即隻要是通過車載攝像頭或其他車載傳感器捕獲到的來自自然人的資訊,都被定義為個人資訊。
關于收集和處理個人資訊的權力和義務。
針對App總是以“背後長眼”的幽靈狀态收集使用者個人資訊的問題,《汽車資料安全管理若幹規定(試行)》明确提出“預設不收集原則”——除非駕駛人自主設定,每次駕駛時預設設定為不收集狀态。這條規定立竿見影地堵住了汽車資料處理者最喜歡鑽的空子——用“預設開啟收集,須使用者手動關閉”的免責條文來搪塞使用者的質疑。
對于收集資訊的後續處理,則采用“告知同意“方式。汽車資訊處理者需要告知使用者有關資訊的儲存地點、期限、資訊的用途和使用方式等内容,并得到使用者的同意,展現了對于使用者處理自身資訊權力的尊重。
至于車外的自然人個人資訊,雖然無法采用“告知同意“的方式,但《汽車資料安全管理若幹規定(試行)》也補全了這個缺口,即需要對該類資訊進行匿名化處理,對視訊/照片中的人臉資訊進行輪廓化處理,對于能夠直接識别自然人的畫面需要删除。
關于推薦和廣告的限制。
針對無時無刻都存在的App推薦和廣告問題,我們則可以從在2022年1月1日施行的《深圳經濟特區資料條例》裡了解到相關解決方案。
《資料條例》提出了“資料權益“的概念,強化個人資料的保護,明确要求企業不能強行索要使用者授權,使用者有權拒絕被畫像和被推薦。也就是說使用者可以拒絕各大App湊到你眼前的”猜你喜歡“,可以在不和App分享自己的喜好和習慣的情況下正常使用App功能,保有個人隐私不被窺探和被迫變現。
整理自《深圳經濟特區資料條例》
PART Ⅳ 突破性
有哪些階段性成果值得期待?
綜上所述,我們可以清晰看到這樣一幅徐徐展開的圖景。
頂層設計,政府部門持續強化智能網聯汽車資訊安全政策體系,制定資訊安全的發展專項規劃,對智能網聯汽車資訊安全進行統一、有效的統籌管理和規範指引。
往下,各職能部門和各地方政府依據各自管轄權限,出台專門針對智能網聯汽車資訊安全的法律法規和類型各異的示範區,松綁限制,緊跟發展,追蹤風險,控制影響。
再往下,行業協會、标準委員會等建立智能網聯汽車網絡安全和資料安全的标準體系,來解決目前資訊安全相關标準法規較少,不成體系又難以實操的問題。
整體規劃條理清晰,規劃得當,有條不紊。
徐徐推進的最終目的,是為了掃除智能網聯汽車在生産、上市、上路,商業化落地過程中,有關資訊安全方面的障礙和阻滞。
好消息是,我們大機率可以在今年看到成果——《深圳經濟特區智能網聯汽車管理條例》自2021年3月向社會公開征求意見開始,曆經三審,預計将在2022年出爐。
這将是大陸首部規範智能網聯汽車管理的法規,它的最終出台将直接促成智能網聯汽車從示範區域邁向商業化落地。
換句話說,大家大機率可以在今年的深圳街頭看到挂着鐵牌的智能網聯車行使正常路權了。
整理自《深圳經濟特區智能網聯汽車管理條例(征求意見稿)》
《深圳經濟特區智能網聯汽車管理條例》同樣将“網絡安全和資料安全”列為單獨章節,要求智能網聯汽車相關企業取得網絡安全檢測認證,盡早建立網絡安全評估和管理機制,制定資料采集和隐私保護方案。
《管理條例》還特别提到,允許車企獲得與智能網聯汽車産品相關的道路違法、交通事故等脫敏資料資訊。這就意味着,車企或智能駕駛解決方案提供商能夠利用海量資料搭建不同類型的仿真場景庫,提升場景庫的數量和品質,訓練智能駕駛系統覆寫更多極端情況,加速智能駕駛系統的優化和疊代。當然,這一切都必基于“合法合規”四字之上。
作為少數幾個擁有特區立法權且智能網聯汽車産業鍊完備的城市,深圳經濟特區把特區立法權用足用好,結成了第一枚看得見摸得着的果實,為其他城市在智能網聯汽車資訊安全方面提供先行先試的寶貴經驗和借鑒,為國家相關立法探索經驗,夯實基礎,意義重大。
PART Ⅴ 未完待續
還有哪些方面有待完善?
深圳的立法突破自然值得期待,智能網聯汽車的成功上路更是值得慶賀,但我們更關心何時可以由點及面,大規模适用在全國範圍内。
按照中國汽車工程協會在2020年釋出的《技術路線圖2.0》中的說法,高度自動駕駛智能網聯汽車将在2025年開始進入市場,而L2、L3級智能網聯汽車銷售占比将達到50%以上,2030年将上升至70%。
同樣的,國務院辦公廳釋出的《新能源汽車産業發展規劃(2021~2035年)》中也将2025年作為高度自動駕駛汽車在限定區域和特定場景下實作商業化應用的目标年限。
這些近在咫尺的時間點和觸手可及的目标,都在表示智能網聯汽車産業正加速向前發展,走向成熟。
目标和路線既已明确,标杆榜樣也呼之欲出,剩下的就是實操層面的任務了。
收集現有的公開資訊可得,
《汽車軟體更新通用技術要求》作為強标,預計将于今年年底報批。它将進一步對汽車軟體更新管理的相關要求規範化,具體化。
針對智能網聯汽車資訊安全方面的法律法規也預計會今年推出,包括軟體更新通用技術要求和整車資訊安全技術要求,并在2023年形成強标。
在2025年形成較為完善的車聯網網絡安全和資料安全标準體系。
在2030年底初步建構車聯網網絡安全和資料安全标準體系。
這些通用技術要求、強制标準、推薦标準,标準體系等,都能夠給産業鍊的汽車資料處理者提供實操層面條分縷析的指導,使他們能夠有法可依,有章可循。
車企,或者更準确說是車輛資料處理者需要意識到,數量客觀且成規模成體系的資料已經成為資訊時代的“石油和貿易”,相比鑽研如何利用資料創造最大化的經濟價值,遵循國家政策法規,合理合規地處理資訊才是更為重要的,需要擺在首位考慮的任務。
持續跟蹤和解讀法律法規的更新和修訂,積極參與行業标準體系讨論和制定,對供應鍊上的各個環節和零部件進行管理限制和測試評價,在公司内部建立資訊安全的常設上司機構,全面負責資料的存儲、轉移、加密、分析、使用和保障,築造車輛資訊安全的長城,這些都應該羅列在汽車資料處理者的待辦清單之首。
智能網聯汽車的資訊安全是一場看不見硝煙的攻防博弈。很多時候,在資訊安全方面投入的巨大成本,并不能量化為财報上的收益。但無法計算的價值,不代表零價值,更可能意味着無價。
套用馬斯洛需求理論,将安全需求和享樂需求作比較,孰輕孰重,消費者也會用真金白銀來投票。任何人想要裝鴕鳥,視若無睹,搪塞敷衍,沒關系,法律的鐵拳會教他做人。
[參考]:
《智能網聯汽車技術路線圖2.0》
《新能源汽車産業發展規劃(2021~2035年)》
《汽車産業中長期發展規劃》
《中華人民共和國網絡安全法》
《中華人民共和國資料安全法》
《中華人民共和國個人資訊保護法》
《網絡安全等級保護條例(征求意見稿)》
《網絡産品安全漏洞管理規定》
《網絡安全審查辦法(修訂草案征求意見稿)》
《汽車資料安全管理若幹規定(試行)》
《關于加強智能網聯汽車生産企業及産品準入管理的意見》
《深圳經濟特區人工智能産業促進條例(草案)》
《深圳經濟特區資料條例》
《深圳經濟特區智能網聯汽車管理條例》
《關于汽車遠端更新OTA技術召回備案的補充通知》
《關于進一步加強汽車遠端更新技術召回監管的通知》
《車聯網網絡安全和資料安全标準體系建設指南》
寫在最後
關于投稿
如果您有興趣給《九章智駕》投稿(“知識積累整理”類型文章),請掃描右方二維碼,添加從業人員微信。
注:加微信時務必備注您的真實姓名、公司、現崗位
以及投稿意向等資訊,謝謝!
“知識積累”類稿件品質要求:
A:資訊密度高于絕大多數券商的絕大多數報告,不低于《九章智駕》的平均水準;
B:資訊要高度稀缺,需要80%以上的資訊是在其他媒體上看不到的,如果基于公開資訊,需有特别牛逼的獨家觀點才行。多謝了解與支援。