权威专家解读汽车数据安全：泄露和滥用是目前主要风险点，建议加强第三方监管

在智能汽车时代，汽车数据安全已成为社会广泛关注的热点。

近日，国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、部、交通运输部联合发布了《汽车数据安全管理若干规定》，将于2021 10月1日生效。国家互联网信息办公室有关负责人表示，《条例》的颁布，旨在规范汽车数据处理活动，保护个人和组织的合法权益，维护国家安全和社会公共利益，促进汽车数据的合理开发利用。

事实上，今年以来，一系列关于汽车数据安全和智能网联汽车管理的规定相继出台。密集的政策发布背后的原因是什么？《条例》中哪些细节和亮点值得关注？目前，汽车行业和整个产业链中对数据安全构成威胁的风险点是什么？汽车公司、供应商和行业协会等各种实体应如何有效确保汽车数据的安全？

图片来源：摄影网

为了回答上述问题，《每日经济新闻》（博客、微博）记者近日独家采访了中国汽车工业协会秘书长助理兼技术部部长王尧，武汉理工大学汽车工程学院副教授杨胜兵，以及岚图汽车、智己汽车、威马汽车等汽车公司的相关负责人。

告别“千企千面”

在汽车数据安全方面应遵守法律法规

NBD：五部门发布的《规定》有哪些亮点值得关注？

王耀：首先，目标受众覆盖整个汽车产业链。《条例》所称汽车数据包括个人信息数据和汽车设计、生产、销售、使用、运营和维护过程中涉及的重要数据。

第二，受保护信息的范围已经明确。《条例》明确了重要数据的范围，包括地理信息、车辆流量信息、车辆充电网络运行数据六大类。同时，还对汽车数据处理和个人信息等概念进行了明确的定义。例如，汽车数据处理包括汽车数据的收集、存储、使用、处理、传输、提供和披露，涵盖汽车数据处理的整个生命周期。

第三，明确了个人信息和重要数据的处理原则。《条例》要求在开展汽车数据处理活动时，坚持“车内处理”和“脱敏处理”的原则，减少汽车数据的无序收集和非法滥用，鼓励依法合理有效地使用汽车数据，促进汽车产业健康有序发展。

第四，明确了个人信息和重要数据跨境传输的相关要求。《条例》规定，重要数据应当依法在国内存储。因业务需要需要在境外提供的，应当通过国家网信部门会同国务院有关部门组织的安全评估。

杨胜兵：智能网联汽车整个产业链的相关方都有法律依据可寻；智能网联汽车整个产业链的信息和数据安全是有依据可循的，而不是“千企千面”；

智能网联汽车不仅需要在技术层面处理数据，还需要让普通人（603883，股吧）公开、安全地消费。

图片来源：摄影网

国家统计局：今年以来，陆续出台了《智能网联汽车道路测试与示范应用管理标准》、《关于加强智能网联车辆生产企业和产品准入管理的意见》等与汽车数据安全和智能互联相关的法规。这些政策的背景是什么，反映了当前汽车行业的问题？

王耀：2020年2月，国家发展改革委联合多部门发布《智能汽车创新发展战略》，明确指出智能汽车是全球汽车产业发展的战略方向，对中国具有重要战略意义。其中，推动智能汽车创新发展的主要任务包括构建系统全面的智能汽车法规和标准体系。

智能网联汽车作为一种智能交通工具，融合了多个跨行业的先进技术，相关技术不断迭代。相关汽车产品的基本特征在不断变化。面对市场上不同水平的汽车驾驶自动化产品，消费者应如何正确驾驶智能驾驶汽车以确保人身和交通安全，政府应如何有效监管智能网联汽车以确保汽车行业的健康发展，已成为汽车行业当前面临的挑战。

与此同时，智能网联汽车的技术发展需要大量的数据作为支撑，数据收集和处理过程中的个人隐私保护和数据安全使用问题也受到了社会的高度关注。为此，国家今年发布了《汽车数据安全管理若干规定》等法规，使企业在开发数据安全智能网联汽车时有法可依。

数据泄露和滥用

成为汽车数据处理的主要风险点

NBD：根据《条例》，汽车制造商、零部件和软件供应商、经销商、维修机构和旅行服务企业都被视为汽车数据处理者。从目前的实际情况来看，在上述多个环节中，汽车数据安全存在哪些风险和不规范之处？

王耀：互联网通信技术推动了汽车行业的发展，使汽车成为一个联网的智能终端。在未来的智能网联汽车产业生态系统中，高精度地图的绘制、自动驾驶软件算法的开发、驾驶行为的监测、自动驾驶汽车的监测都依赖于海量多样的数据作为支撑。

未来，智能网联汽车产业链的各个环节必然会通过自行采集或数据交换的方式获取相关数据。如何构建智能网联汽车行业的数据安全监管体系，确保数据交换过程中的行业安全，如何构建安全、健康、可持续发展的汽车行业数据生态系统，将是汽车行业必须解决的重要问题。

数据处理过程中的风险点主要包括数据泄露和滥用，其影响主要包括以下三个方面：

首先，对驾驶安全的影响。联网增加了车辆网络安全的风险和威胁，使黑客有机会渗透车辆，甚至通过篡改数据来控制车辆，对驾驶安全构成威胁。

其次，存在用户隐私安全泄露的风险。装载在智能网联汽车上的传感器会不断获取车上用户甚至车外行人的相关信息，这涉及到用户的隐私侵权问题。

第三，对国家安全的影响。智能网联汽车上的大量视觉传感器、毫米波雷达和激光雷达传感器在行驶过程中不断扫描路面和周围交通环境，获取大量地理信息。打开……

这些信息一旦泄露，将对国家安全构成威胁。

杨胜兵：从目前的实际情况来看，在上述多个环节中，汽车数据处理不仅是信息和技术手段的来源，也是各方的技术诀窍和私人领地。在每一个环节，汽车数据处理安全都可能处于“裸奔”状态，并允许自由。从各个方面来看，如果不对汽车数据进行监管，将对国家安全、公共利益、个人隐私等造成不可挽回的损失。

图片来源：摄影网

NBD：监管是否更侧重于智能网联汽车数据的管理？它在智能汽车数据安全方面发挥了什么作用？还有哪些方面急需改进？

王耀：《规定》的范围涵盖了所有汽车，但与传统汽车相比，智能网联汽车的数据应用场景更加广泛。针对当前汽车数据安全问题和实际生产和日常生活中暴露的风险，《规定》明确了汽车数据处理者的责任和义务，规范了汽车数据的处理活动，促进汽车数据的合法、合理、有效利用和汽车行业的健康有序发展。

《条例》对数据的收集和处理提出了明确要求，但在一系列汽车数据相关活动的检测和测试要求方面，仍需完善和细化相关评价准则，以确保《条例》的实施效果。

第三方对监管的干预

有效确保数据安全

NBD：目前是否有一个全面的监管系统和方法来处理汽车数据，包括汽车数据的收集、存储、使用、处理、传输、提供和披露？如何在实际运营中有效保障各类企业的数据安全？

王耀：目前，政府仍在逐步完善汽车数据监管体系和方法。未来政府相关监管部门将在《智能网联汽车生产企业及产品接入管理指引》、《汽车数据安全管理若干规定》等上位法框架内，进一步推动完善《智能网联网汽车生产企业和产品接入管理指南》、《互联网连接安全法》、《数据安全法》和《个人信息保护法》，明确企业数据安全保护责任，推动企业进一步加大数据安全投入，完善汽车数据安全保护体系，提升数据安全能力和水平。

行业协会要积极组织宣传沟通活动，有效传达和沟通相关信息，征求行业意见，向相关部门反馈，推动形成积极沟通机制。今年年初，中国汽车协会组织了多次“汽车行业数据安全环境建设”交流会。通过广泛听取行业意见，形成了《汽车数据安全行业自律行为标准》。

杨胜兵：所有与汽车数据处理相关的环节都应该有规则可循、有安全保障、有相关监管机构、有具体实施手段。除了规章制度外，在整个数据过程中，加密和个人特征等隐私数据的权限和传输路径，以及公共数据的收集、使用和归档，都必须根据国家法律法规进行监控。

NBD：为了更好地确保数据安全，是否需要政府或协会的第三方干预？例如，提供存储平台和其他方式？

王耀：政府依法进行数据安全监管是保障数据安全的有效手段。然而，传统的集中式数据治理模式不适合汽车数据种类繁多、数量庞大的情况。为有效解决行业痛点，中汽协联合汽车制造商、零部件供应商、第三方检测机构、科技公司等相关单位，构建了基于区块链技术的汽车大数据区块链平台。该平台可以跟踪数据行为并引入数据采样……

g检测机制，可以建立全生命周期的汽车数据监管体系。目前，该平台的可信证书存储业务已向全行业免费开放。

同时，中国汽车协会与国家工业信息安全发展研究中心等单位合作制定了《智能网联汽车数据安全评估指南》，旨在大力推动智能网联车辆行业发展，有效规范数据合规使用，推进智能网联汽车数据安全评估，进一步规范汽车行业相关企业的数据处理行为，营造良好的产业生态环境。

杨胜兵：为了更好地保证数据安全，政府或协会有必要在第三方层面进行干预。在行业发展过程中，要及时规范、发现、调整和补救。应通过国家汽车行业的相关监测平台、企业监控平台、企业数据安全使用报告、公共媒体等手段实施。

图片来源：摄影网

严格遵守基本红线

汽车公司加快建立和完善数据安全系统

NBD：汽车制造商和相关供应链企业采取了哪些措施来确保汽车数据的安全？

岚图汽车：目前，岚图汽车还继续按照国家法律和行业标准构建数据安全体系，建立了数据安全机构并明确了人员责任，开发了数据安全管理系统。

在安全技术方面，首先，在数据存储服务器上部署了HIDS和防病软件，以保护主机安全。自建灾难恢复系统可确保数据可用性和业务连续性。一些涉及个人敏感信息的系统对敏感数据进行了数据脱敏处理；其次，使用专用APN通道传输数据，实现数据网络隔离，并建立PKI设施，对数据传输的完整性进行加密和验证；第三，在网络边界部署防火墙、态势感知、IPS、WAF等设备，以监控和阻止网络攻击；

第四，使用证书、加密和代码混淆等技术来保护客户端数据。

作为一个全新的品牌，岚图汽车的数据安全系统仍在不断完善中。未来，岚图汽车计划建设数据安全等级检查系统、数据安全审计系统和数据安全中心。

图片来源：记者孙童摄

智己汽车：我们清楚地知道，数据有两面性。为了保护消费者隐私，我们承诺不使用Face ID技术，只需要提取用户眉毛和眼睑等核心面部信息。因此，即使黑客反向攻击，他们也无法在系统中找到完整的“面孔”。

同时，我们成立了一个数据隐私保护委员会，由客户隐私专家组成。在许多新功能的开发过程中，他们会对可能侵犯消费者隐私的功能进行决策和评估。此外，我们使用了一些先进的技术，如零知识证明、差异隐私、数据库防火墙等，以确保数据安全。

威马汽车：对于汽车公司来说，大量用户贡献的数据确实是最有价值的资产之一，因此我们也非常重视数据安全。威马汽车一直高度重视车辆网络安全建设。从车端、云端、通信端和工业互联网端四个方面独立设置了一套金融级安全防护策略，并实现了实时动态更新，提高了安全级别。在这种防御系统下，任何人都不能在未经授权的情况下获取或披露用户数据。

某车联网企业：数据安全一直是我们所有工作的根本红线。

数据的分类和分级、多个网络之间数据的安全计算、数据存储和计算环境的安全级别保护都是数据安全团队的核心任务，确保所有正常技术工作、项目开发工作和产品发布后的运营工作中的数据安全。

《条例》出台后，我们按照国家要求对现行数字安全体系进行了检查，并组织产品设计团队进行了集体学习，了解国家监管部门的立法方向和用户合法权利的保护原则。同时，向关键客户提供知识输出，以确保他们对关键产品设计、数据计算架构和其他方面法规的理解一致。

记者|孙童童

编辑|程鹏、裴建儒、易启江

校对|何晓涛

封面图片来源：摄影网

本文首发于微信公众号：《每日经济新闻》。文章内容属于作者个人观点，不代表和讯网络的立场。投资者应据此操作，并承担风险。

标签：岚图汽车威马汽车智己汽车DS发现

汽车资讯热门资讯