智能汽车网络安全政策和法规
来源 中车友 浏览 1549 发表时间:2022-10-11 09:52:35
随着人工智能、信息通信技术加速发展和跨界融合,智能网联汽车与外界交互手段不断丰富,智能网联汽车在积极融入网络时代的同时,同样不可避免地面临信息安全问题,引发了行业高度关注。
智能网联汽车信息安全问题不仅会造成个人隐私泄露、企业经济损失,还可能造成车毁人亡的严重后果,甚至会上升成为国家公共安全问题。
尽管当前智能网联汽车的安全漏洞尚未被广泛利用,但是据统计,约 56% 的消费者表示信息安全和隐私保护将成为他们未来购买车辆时主要考虑因素。
由此可见,智能网联汽车信息安全已经成为汽车产业甚至全社会共同关注的焦点,如何保障联网信息安全成为车联网产业发展过程中的重要议题。
为了更好地应对智能网联汽车所面临的网络安全威胁,我国在《网络安全法》《数据安全法》等上位法的基础上,陆续出台了多个智能网联汽车网络安全政策、法律和法规以及行业标准,以期加快建设智能网联汽车网络安全保障体系,进一步促进智能网联汽车产业可持续发展。
例如在 2022 年 3 月 7 日,工业和信息化部发布《车联网网络安全和数据安全标准体系建设指南》(以下简称《指南》),提出到 2023 年底,初步构建起车联网网络安全和数据安全标准体系;到 2025 年,形成较为完善的车联网网络安全和数据安全标准体系。
为了更方便地了解智能网联汽车领域政策、法律法规,行业标准,笔者对此进行盘点与总结,希望能够给读者带来帮助和启发,起到”抛砖引玉“的效果。若有不足之处,敬请指出。
法律体系日渐完善,规范行业健康成长
法规体系是一个行业发展的基础,是否完善决定了该行业未来的发展空间。近年来,我国依据智能汽车产业发展的现状和趋势,陆续出台了多部法规,对于行业规范化发展有着极为重要的作用。总的来说,智能汽车法规体系主要集中在“网络安全”和“数据安全”两大方面。
1、网络安全
解决汽车行业安全问题,可以从企业,民众、社会以及政府机构几个层面入手,其中民众安全意识、企业网络安全自觉性、社会对于信息安全容忍度都需要长时间培养,属于不可控因素,真正能够改善汽车工业带来的信息安全问题,制定法律法规和行业标准当属最好的选择。
2021 年 7 月,工业和信息化部在发布的《关于加强智能网联汽车生产企业及产品准入管理的意见》中明确提出,企业必须建立内部自查机制,及时发现生产、销售的汽车产品中是否存在安全漏洞,以免带来数据泄露、网络安全、驾驶辅助和自动驾驶安全等严重问题。
一旦发现应当依法依规立即停止相关产品的生产、销售,并立即采取措施进行整改,及时向工业和信息化部及所在地工业和信息化、电信主管部门报告,从源头上”掐灭“数据信息危害的苗头。
此外,工信部组织推出《车联网(智能网联汽车)网络安全标准体系建设指南》并面向社会公开征求意见。
《指南》中针对基础设施、车载终端设备、个人数据信息、网络通信、车载平台应用软件、车联网服务等一些关键环节,提出涵盖总体与基础共性、终端与设施安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等六个方面的标准体系,见下图:
值得注意的是,国家出台的《智能汽车创新发展战略》(以下简称《战略》)中,已经明确提出智能汽车网络安全体系建设是重中之重。
《战略》中明确指出在智能化汽车发展时,必须搭建软硬件结合的安全防护体系,加强车机系统,车载芯片、操作系统、应用软件等安全可靠性设计,开展车载信息系统、服务平台及关键电子零部件安全检测, 强化远程软件更新、监控服务等安全管理,实施统一身份权限认证管理。
按照国家网络安全等级保护相关标准规范,建设智能汽车网络安全态势感知平台,提升应急处置能力。
现阶段的汽车日渐智能化,车辆自身已经形成了一个完整网络结构,接口设备、中央网关、域控制器等互联互通,汽车再操作过程中访问点多、结构复杂、代码量大,导致智能汽车的网络安全防护难度越来越大。
因此汽车生产商应当引入态势感知、风险评估、监测预警和应急响应等,硬软件结合,牢筑汽车安全防线,争取在 2025 年,围绕智能汽车网络安全,建设形成相对完善的政策标准体系。
汽车生产制造时,即便软件开发人员打起”十二分精力“,但车载智能平台动辄过亿级别的代码量,安全漏洞依旧会成为“漏网之鱼”。
此外,部分汽车厂商将主要精力投放到外观设计以及乘驾舒适上,对于网络安全并没有那么在意。
《智能汽车创新发展战略》、《车联网(智能网联汽车)网络安全标准体系建设指南》和《关于加强智能网联汽车生产企业及产品准入管理的意见》等法律标准的颁布为汽车企业如何保证汽车产品安全提供了指导性意见。
2、数据安全
除了网络安全方面,数据安全同样是汽车产业必须解决的问题。在工信部发布的《车联网安全标准体系建设指南》中,对数据做出了明确规范。数据安全标准主要规范智能网联汽车、车联网互通平台、车载应用程序等数据安全和个人信息保护要求,包括通用要求、分类分级、出境安全、个人信息保护、应用数据安全等5类标准,其中后三类尤其值得重视。
个人信息保护标准主要规范车联网用户个人信息保护机制及相关技术要求,明确用户敏感数据和个人信息保护的场景、规则、技术方法,包括匿名化、去标识化、数据脱敏、 异常行为识别等标准。
应用数据安全标准主要规范车联网相关应用所开展的数据采集和处理使用等活动,包括车联网平台、网约车、车载应用程序等数据安全标准。
一旦有企业或个人利用这些敏感数据,便可以轻松描绘出详细用户画像,用户的工作地址、居住场所等隐私便被公之于众。
更有甚者,大量用户个人隐私数据及国内高精度地图数据若是通过非法手段跨境传播,国家安全也势必受到严重威胁。滴滴事件已经早已证明汽车运营产生的信息安全问题不可忽视。
紧接着滴滴遭受安全审查,国家互联网信息办公室会议审议通过,并经国家发展和改革委员会、工业和信息化部、公安部、交通运输部同意,《汽车数据安全管理若干规定》颁布,并将于 2022 年 10 月 1 日开始实行。
《规定》总共有 21 条,其中第三条对敏感的个人信息(是指以电子或者其他方式记录的与已识别或者可识别的车主、驾驶人、乘车人、车外人员等有关的各种信息,不包括匿名化处理后的信息。)和重要数据(指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益的数据)做了明确规范,
敏感数据主要包括以下几类:
(一)军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据;
(二)车辆流量、物流等反映经济运行情况的数据;
(三)汽车充电网的运行数据;
(四)包含人脸信息、车牌信息等的车外视频、图像数据;
(五)涉及个人信息主体超过10万人的个人信息;
(六)国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。
《规定》在第五条中明确指出,企业利用互联网等信息网络开展汽车数据处理活动,应当落实网络安全等级保护等制度,加强汽车数据保护,依法履行数据安全义务。滴滴无疑是撞到枪口上。神州出行、高德打车、曹操专车、货拉拉、滴滴出行、互联网浪潮下,打车软件“层出不穷”,《规定》的出台划定了一条出行运营商收集、使用用户信息的红线。
此外,人脸信息、车牌号码、车辆轨迹都是智能汽车要收集的数据,这个过程中会存在个人信息泄露的风险,尤其是采集到用户数据后,传输、存储、跨境等数据处理活动的安全问题,也是社会关注的焦点。
2021年1月,全国信息安全标准化技术委员会发布《信息安全技术汽车采集数据的安全要求》(征求意见稿)(以下简称《安全要求》)。
《安全要求》共计8节15条, 规定了对汽车采集数据进行传输、存储和出境等处理活动的安全要求,既为汽车制造商保障汽车数据处理活动安全提供了指引,也为主管监管部门、第三方评估机构等对机车采集数据处理活动的监督、管理和评估提供了参考。
近些年,网约车出现的数据泄露问题屡见不鲜,网约车行业的规范标准也逐渐完善。《信息安全技术网络预约汽车服务数据安全要求》标准适用于提供网络预约汽车服务的网络运营者加强数据安全保护,也适用于主管监管部门、第三方评估机构对网络预约汽车服务数据活动进行监督、管理、评估时参考。
主要内容包括:
界定网络预约汽车服务数据收集范围、研究网络预约汽车服务典型场景的告知同意安全实践、研究网络预约汽车服务数据使用共享与披露安全实践、研究网络预约汽车服务中收集的行程音视频数据的安全保护实践。
《信息安全技术网络预约汽车服务数据安全要求》旨在网络预约汽车服务行业落实国家数据安全、个人信息保护等要求,坚持标准制定与实践应用紧密结合的原则,研究网络预约汽车服务行业的数据安全保护实践指南,对平衡用户行程安全与个人信息权利保障有重要意义。
行业指南逐渐丰富,指导产业安全发展
上文中,陈述了汽车行业的法律法规以及处置办法,如果说法律法规的硬性规定给汽车行业安全构筑了一道坚实围墙,那么规范标准则为汽车安全提出了指导意见。
其中最为引起大家关注的莫过于 202 2年 9 月工信部发布的《国家车联网产业标准体系建设指南(智能网联汽车)(2022 年版)》(以下简称《指南》)。
《指南》明确提出,到 2025 年,系统形成能够支撑组合驾驶辅助和自动驾驶通用功能的智能网联汽车标准体系。制修订100项以上智能网联汽车相关标准,涵盖组合驾驶辅助、自动驾驶关键系统、网联基础功能及操作系统等标准,并贯穿功能安全、预期功能安全、网络安全和数据安全等安全标准,满足智能网联汽车技术、产业发展和政府管理对标准化的需求。
由于汽车网络安全标准基于车联网复杂环境,以车端为核心运用纵深防御理念保护其免受网络攻击或缓解网络安全风险,主要包括安全保障类与安全技术类标准。其中,安全保障类标准主要规范了企业及产品相关的体系管理和审核评估方法;安全技术类标准主要包括车用数字证书、密码应用等底层支撑类技术要求,元器件级、关键系统部件级、整车级安全技术要求及测试评价方法,以及态势感知和入侵检测等综合安全防护技术要求、软件升级技术要求等。
汽车数据安全标准用于确保智能网联汽车数据处于有效保护和合法利用的状态并具备保障持续安全状态的能力,对重要数据和个人信息提出明确的安全保护要求,主要包括数据通用要求、数据安全要求、数据安全管理体系规范、数据安全共享模型和架构等标准。
除此之外,以下《信息安全技术汽车电子系统网络安全指南》也对于产业发展有重要的指导作用。
汽车行业正处于变革的关键时期,汽车正在迅速向 IT 化、智能化迈进。智能化的过程中,汽车涉及到的电子设备必然会逐渐增多,涉及到整车厂、零部件供应商、软件供应商和芯片供应商等各产业链环节。
因此,如何规范汽车车载系统的网络安全、如何从网络安全的角度对汽车软件的开发过程进行指导、约束,对提升汽车电子系统的网络安全防护水平、确保汽车产品符合国家网络安全要求具有重要意义。
《信息安全技术汽车电子系统网络安全指南》的出台车载电子系统网络安全建设提供了指导性意见,适用于目前车联网背景,要求包括汽车电子系统的安全防护要求、网络安全体系参考架构、保障网络安全的指导原则、现有技术与方法,以及汽车电子产品网络安全的生命周期过程框架等方面的内容,为开发具有网络安全要求的汽车电子产品提供统一的规范,为汽车电子的产业链环节提供基于标准的活动指南。
法规体系赋能智能汽车奔向未来
现阶段,从汽车行业趋势来看,国内汽车厂商企图从智能汽车赛道实现弯道超车的“野心”已经愈发明显。随着汽车智能化程度不断提高,对车载系统和车联网技术的要求会“无限”拔高,汽车软件和汽车网络也紧跟着变得愈发复杂,因此想要取得长足发展,必须正视智能汽车车联网的安全性。
无可争议,网络信息安全已经成为智能汽车发展道路上不得不越过的障碍,如何应对愈发复杂车机系统带来的安全漏洞,以及智能信息收集手段带来的安全风险将成为汽车制造商和汽车运营商迫切解决的问题。
鉴于此,汽车制造商不能仅仅追求外观、操纵性、智能化等外在“噱头”,必须将企业资源投入到更加重要的软硬件设备制造上,在汽车行业政策标准的引领下,最大程度的做到合规、安全。
而国家层面出台的汽车行业法律法规给行业带来一定的威慑,从而规范汽车行业的网络安全标准。汽车行业依托《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》这三项“上位法”,车联网安全政策法规不断完善细化,开枝散叶,逐渐形成了车联网安全体系,为车联网产业安全健康发展提供支撑。
未来,我国现行汽车法律法规还需根据智能网联汽车特点进行创新,根据智能网联汽车技术发展进度,应统筹推进相关法律法规的修订或进行专项司法解释,并以完善的法律体系为基础,切实夯筑网络安全的底座,为智能汽车腾飞打下基础。