由五部門釋出的《汽車資料安全管理若幹規定(試行)》今天起正式施行。這是繼資料安全法出台之後,汽車行業資料安全規定的率先推動施行,其重要程度可見一斑。
事實上,今年已有四部以上的汽車資料安全、智能網聯汽車管理規定相繼出台。政策密集釋出背後有何緣由?《規定》有哪些細節和亮點值得關注?為跟上合規驅動的新階段,相關企業又該有何行動?基于以上問題,我們邀請到了騰訊安全車聯網安全專家張康、騰訊安全雲鼎實驗室資料安全專家劉海洋為大家詳解法規内容、提供行動思路。
- 4月29日,全國資訊安全标準化技術委員會釋出《資訊安全技術網聯汽車采集資料的安全要求(草案)》。
- 6月21日,工信部釋出《車聯網(智能網聯汽車)網絡安全标準體系建設指南》并公開征求意見。
- 8月12日,工信部釋出《關于加強智能網聯汽車生産企業及産品準入管理的意見》。
- 8月16日,網信辦、發改委、工信部、公安部、交通運輸部公布《汽車資料安全管理若幹規定(試行)》。
資料安全管理迫在眉睫
《規定》有哪些新要求?
“新四化”的趨勢下,汽車運轉産生的資料量非常大,未來僅一輛車的資料都将以“G”,甚至以“T”為機關,但是如此龐大的資料應當如何進行合理開發利用,行業認知和探索仍處于起步階段。騰訊安全車聯網安全專家張康提道,過去很多企業都遵循着自己的标準,行業整體處于“千企千面”的狀态,産業鍊上的協作、資料通訊也常常因為各自協定标準不統一,無法有效地保證資料安全、共享使用。
而另一方面,安全事件頻發,嚴峻的資料安全挑戰成為行業發展的核心痛點。據報道,2020年1-9月,針對整車企業車聯網資訊服務提供商等相關企業和平台的惡意攻擊達280餘萬次;今年6月的某次資訊安全事件中,約有330萬汽車的車主和潛在客戶的個人資訊遭到洩露。
資料安全管理到了刻不容緩的時候,而《規定》的出台讓汽車行業的資料安全有了遵循依據,更給了廣大使用者一顆安心駕駛的定心丸。
《規定》界定了汽車資料和監管主體,提出了4項推薦的資料處理原則,同時明确了資料處理者的義務,并制定跨境資料傳輸規則,初步建立起中國汽車資料安全的合規架構。
騰訊安全雲鼎實驗室資料安全專家劉海洋認為,《規定》首次對“汽車資料處理者”和“重要資料”類型等内容做了清晰的界定。如“汽車資料處理者”不僅限于慣性認知中的汽車制造商、零部件和軟體供應商等,還包括經銷商、維修機構以及出行服務企業。同時,《規定》落實了年度報告制度,汽車資料處理者應當按時主動報送年度汽車資料安全管理情況,這意味着國家的監管力度已經更強,向系統化管理邁出重要一步。
從事件驅動轉為合規驅動
安全能力提升勢在必行
“在過去,車聯網安全其實還處于行業教育階段,更多由事件驅動,隻有當漏洞被發現或者出現安全事故,相關方才會采取行動,而《規定》的施行讓行業轉變為合規驅動,汽車資料處理者必須安全合規,否則就将違法。”張康提道。
目前,政府仍在逐漸補齊和完善汽車資料監管體系和方法,在《資料安全法》《個人資訊保護法》等上位法的架構下,進一步推動完善《智能網聯汽車生産企業及産品準入管理指南》、《汽車資料安全管理若幹規定》等規則制度的相關實施細則,明确企業的資料安全保護責任,完善汽車資料安全保護體系。
當然,合規非最終目的,它将原先漫長的行業教育程序加快,極速形成了普遍的認知共識,而這隻是邁向真正實作車聯網資料安全的起點。對于當下的車企而言,自身安全能力的提升也同樣重要,适配智駕環境的技術手段的缺乏(如采集圖像及視訊的模糊化、匿名化處理)、車載系統及外部元件的未知風險漏洞等諸多問題,都在制約着資料安全的發展程序。
堅守安全底線
主動建設網絡安全能力新标杆
車企如何更好地應對合規時代的要求?在自主建設安全能力架構方面,劉海洋抛出了“提升四部曲”的建議:
1.資料資産和資料場景的梳理:梳理企業的資料資産和資料場景(如大資料處理加工分析、智駕資料的标注、第三方委托處理等)的重要内容,為技術管控、合規應對、管理體系建設做好基礎鋪墊;
2.企業自身合規的評估分析:正如《個人資訊保護法》《資料安全法》當中所提到的,作為資料處理者要定期開展合規審計,評估自身的資料管控狀态和合規狀态,并進行合規差距分析;
3.查漏補缺,提升安全硬實力:針對性地對所缺乏的安全技術做提升,一般包括資料加解密、資料脫敏、電子認證等核心内容;
4.管理制度與稽核流程的建立:建立企業的資料安全管理制度,對資料安全保護義務進行落實,并通過稽核的手段保證汽車資料運轉處于合規狀态。
同時,車聯網的資料量級大、主體多、鍊條長,也意味着單點風險解決方式收效甚微。而通過車聯網安全技術的聯合深度共建,形成全流程一體化的解決方案,将能夠有效、全面地加快車企安全能力的提升。
以上汽集團為例,其正在積極探索車聯網安全能力建設之道。今年4月,上汽集團和騰訊宣布共建網絡安全聯合實驗室。雙方将共同打造網絡安全産品,建立覆寫智能網聯汽車全生命周期的網絡安全營運體系,并通過深度融入整車研發制造流程的方式提升汽車雲管端一體化的網絡安全水準。
法規的出台進一步推動行業加快資料安全布局程序,挑戰與機遇共存。面向未來的新征程上,騰訊安全願與更多企業合作,加強技術研發與資料安全技術應用、提升安全可控能力、建構完善的資料安全管理體系,築牢合規時代的“汽車網絡安全底座”,共同探索汽車網絡安全行業新标杆。
![吳恩達logistic回歸實作[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)