近段時間，特斯拉維權事件在國內也是鬧得愈演愈烈，維權女車主和特斯拉，以及國內相關部門，都在密切推動、關切維權事宜的進展。與此同時，此次維權事件，也間接或直接推動了國內智能網聯汽車數據信息安全的研發(fā)和建立。

近日，“第11屆中國汽車論壇”舉辦，國家工業(yè)信息安全發(fā)展研究中心副總工程師兼信息政策所所長黃鵬發(fā)表了演講。

主要是介紹了團隊最新的研究成果——關于智能網聯汽車數據安全的研究，提到將統(tǒng)籌產業(yè)創(chuàng)新發(fā)展與保障數據安全、盡快出臺數據分類分級指南和管理細則、建立事前風險評估和事后應急響應機制、重點關注跨境數據流動問題等。

黃鵬主要從五個方面做了報告，一是智能網聯汽車的內涵和發(fā)展現狀；二是智能網聯汽車數據安全發(fā)展態(tài)勢；三是車企對智能網聯汽車數據安全的認識不斷加深；

四是網絡安全企業(yè)在智能網聯汽車數據安全市場 ＂ 大有可為 ＂；五是政府積極統(tǒng)籌智能網聯汽車產業(yè)發(fā)展與數據安全保護。

一、智能網聯汽車的內涵及發(fā)展現狀

智能網聯汽車作為一個新興的重要領域和場景，發(fā)展已勢不可擋，而且主流國家和行業(yè)組織對于智能網聯汽車，已經從系統(tǒng)、產品、裝備、網絡等角度都有一些重要布局。

研究認為，智能網聯汽車不同于傳統(tǒng)的汽車裝備，至少有四個顯著特點。

首先是互聯互通，這是基本的特征。

二是軟件定義。從原來的機械驅動發(fā)展為未來的數據驅動，這是非常重要的特點。大眾在前幾年就宣布投入35億歐元打造自己的汽車操作系統(tǒng)，而特斯拉軟件成本占整車成本的40％，而且S系列代碼行數超過了4億行。

很多企業(yè)都談及已經成立自己的軟件科技企業(yè)，開發(fā)自己的操作系統(tǒng)和APP，適應軟件定義汽車的大潮。未來智能網聯汽車至少60％的價值來源于軟件，所以未來的智能網聯汽車是新型的信息技術終端。

三是無人駕駛。剛才朱教授深入的講解了無人駕駛不同級別、不同場景的應用和風險。

四是綠色低碳。未來智能網聯汽車以電動汽車為主，非常適合或者適應國家關于 ＂ 雙碳 ＂ 相關的要求和布局。

另外，我們對智能網聯汽車產業(yè)鏈也做了初步的分析，從上游的元器件、軟件，到下游相應的內容、平臺、數據以及關于出行、保險、租賃、維修等方面的服務商，整個產業(yè)鏈的打造和重塑也不斷演進。

我國已在產業(yè)鏈各個環(huán)節(jié)均有布局，但是核心系統(tǒng)部件仍較多依賴進口，最近在技術研發(fā)方面實現一些突破，但是在市場化量產方面還有一定差距。

二、智能網聯汽車數據安全發(fā)展態(tài)勢

智能網聯汽車主要的特點是，數據成為驅動汽車發(fā)展的重要價值點，這種發(fā)展趨勢對于車輛的安全和數據的安全都有新的要求和風險，所以要求一方面從車的全生命周期，另一方面從數據的全生命周期兩個角度考慮智能網聯汽車的安全問題。

基于這兩個維度，我們發(fā)現未來智能網聯汽車帶來的數據安全風險還是很大、很突出的，至少涉及四個方面：

首先行業(yè)的數據安全意識有待提高，近期一系列相應事件的出現，在一定程度上會影響消費者對智能網聯汽車安全的信心。

二是數據泄露風險巨大，威脅個人隱私安全。由于智能網聯汽車為了更好的實現自動駕駛或者是使乘駕者有更好的體驗，會收集相應的信息，在我們調研過程中獲知，一輛智能網聯汽車每天至少收集10TB的數據，不僅數量極大，而且涉及到駕乘人員的出行軌跡、習慣、語音、視頻等等，一旦遭受侵害會泄露個人隱私。

三是網絡安全漏洞多，威脅個人人身和財產安全。2020年全球相關惡意攻擊超過280萬余次，黑客通過網絡攻擊的手段可以控制車輛行駛，也可以利用軟件的漏洞操控智能網聯汽車，所以威脅和風險也是非常大。

四是可能會威脅國家安全。為了更好地實現車與路的互動和周圍基礎設施的互動，智能網聯汽車也會收集周圍的場景和重要地理信息的數據，如果精度達到一定程度的話，會影響或者威脅國家安全。

我們看到一些國家，尤其是發(fā)達國家和行業(yè)組織也紛紛出臺了管理規(guī)范和舉措。美國、歐盟、以及國際汽車制造協會，已經通過了一些原則性、戰(zhàn)略性的規(guī)定，也包括一些比較細化、可操作的指南。

不同的智能網聯汽車制造廠商，由于基因不同，對數據安全的認識或者保護能力也不一樣。我們認為目前最主要的智能網聯汽車制造商來源于三類企業(yè)：

第一類是傳統(tǒng)車企，他們的發(fā)展模式是漸進式的，包括目前國產自主品牌的汽車，還有合資品牌的汽車，這類傳統(tǒng)車企在推進相關的新技術開發(fā)和應用，以及數字化轉型工作，但總體來講，他們的意識和能力還在發(fā)展過程當中。

第二類是信息技術企業(yè)，像百度、阿里、騰訊、華為、滴滴、小米等信息技術企業(yè)，這類企業(yè)基于在信息技術領域強大的能力和生態(tài)，大力推廣相應的技術系統(tǒng)、自動駕駛系統(tǒng)等，通過跨越式的方式進軍智能網聯汽車行業(yè)。

第三類是造車新勢力。理想、蔚來、小鵬等在發(fā)展過程當中是激進式發(fā)展過程，他們對于數據安全的考慮和布局也有自身的特點。

全球知名的咨詢機構Guidehouse對于現有智能網聯汽車領域的競爭格局進行分析，發(fā)現目前的‘’領導者‘’中，四家企業(yè)基本上都是信息技術企業(yè)，在目前這個階段，以信息技術為背景的企業(yè)進入智能網聯汽車行業(yè)是具有一定優(yōu)勢的。

非常有意思的一點是，我們孰知的特斯拉被Guidehouse置于‘’跟隨者‘’中，主要原因是該機構認為特斯拉自動駕駛能力和安全保障能力與其宣傳的相比具有一定的差距。

這三類不同類型的智能網聯汽車制造商對數據安全的認識和保護能力仍有一定的差異，尤其是傳統(tǒng)車企和信息技術企業(yè)以及造車新勢力在相應能力上的布局，包括組織架構的調整，適應新的安全需求方面的能力等，可能都有一定差異。但是我們發(fā)現這三類企業(yè)也在跨界融合，在相互借鑒。

三、車企對汽車數據安全的理解不斷加深

我們調研了一部分車企，總結了他們對當前數據安全的理解和舉措，車企也越來越重視重視數據安全問題，國內主流企業(yè)通過強化技術手段和管理機制，意在大幅提升數據安全的保障能力。

但是其實風險也是非常突出的：一是核心器件自主可控能力有待進一步提高，比如傳感器、芯片、雷達天線等還屬于智能網聯汽車的 ＂ 卡脖子 ＂ 領域。

二是企業(yè)管理責任缺失，很多車企往往在 ＂ 黑盒 ＂ 的狀態(tài)下開展一些數據治理工作，使現有的保護機制和管理舉措很困難，出現滯后問題。

三是實際落地案例較少，缺少具體的指導性和實操性指南，很多企業(yè)都是在邊界游走，探索的成本也非常高，所以后續(xù)有很多需要進一步明確的地方。

從建議的角度，我們建議車企從兩個角度提升數據安全方面的能力。一是提升核心基礎技術的安全可控能力，即涉及車輛本質上的安全。二是提升數據安全綜合防護能力，利用新一代的信息技術，包括區(qū)塊鏈技術、流量檢測技術、國密技術等，提升綜合防護的能力。

四、網絡安全企業(yè)在智能網聯汽車數據安全市場 ＂ 大有可為 ＂

我國主流的網絡安全企業(yè)都在積極布局智能網聯汽車的新賽道，大多基于他們傳統(tǒng)的產品，再根據智能網聯汽車的新場景做一些適應性的調整和優(yōu)化，包括在數據層面，從云、管、端各個角度等都提出了相應的解決方案，在檢測和服務方面也推出了一些相應的網絡安全產品。

我們調研了國內一家安全廠商——天融信，已經形成了覆蓋車端網關、ECU、T－BOX、以及云端、APP端等全方位的滲透測試工具和服務。下一個案例來自百度，其自動駕駛安全的架構已經涵蓋了整個數據安全的全生命周期。

可以說，智能網聯汽車領域對于網絡安全產業(yè)，或者網絡安全企業(yè)來講是一個巨大的市場，但是也存在著很多挑戰(zhàn)，一是現有的網絡安全產品和解決方案還不滿足智能網聯汽車的安全需求。

二是安全解決方案的路徑不太一樣，有的網絡安全企業(yè)側重車端的安全，有的側重云端的安全，雖然這些解決方案沒有哪個更優(yōu)質，但是也需要相互借鑒。

三是安全產品的應用還存在成本、意識等問題。我們也提了兩個建議，一是建議這些網絡安全企業(yè)針對智能網聯汽車不同的場景，開發(fā)針對性的相關的產品和解決方案，提高推廣的力度。

四是要探索適用智能網聯汽車場景的網絡安全保險方案，保險在汽車這個領域是非常常見的，但是數據安全的保險，或者網絡安全的保險可以對車企、用戶，以及產業(yè)鏈上的諸多信息技術服務企業(yè)提供一體化的保障。

五、政府積極統(tǒng)籌智能網聯汽車產業(yè)發(fā)展與數據安全保護

首先在政策規(guī)劃層面，政府已經出臺了相關的標準指南，包括一些政策文件，加強對整個數據全生命周期的管控，并強調數據分類分級工作。

二是在法律法規(guī)層面，《網絡安全法》《數據安全法》《個人信息保護法》（草案），以及網信辦出臺的的《汽車數據安全管理若干規(guī)定》（征求意見稿）已經體現了政府的一些針對性考慮，我們支持網信辦和工信部等部門出臺更加細化的管理條例和指南，從法律法規(guī)層面給予指引和指南，更好的指導整個產業(yè)的實踐。

三是標準體系不斷完善，包括頂層的體系性標準，以及專項的標準都在陸續(xù)出臺和不斷地修訂完善。

四是試點應用加速落地，比如上海臨港新片區(qū)跨境數據的試點，一些路測、風險評估以及風險管控相關試點的工作也都在推進過程當中。智能網聯汽車本身是一個新生事物，又涉及到很復雜的系統(tǒng)，確實需要政府通過開展試點示范的工作，總結一些優(yōu)秀的做法，進行后續(xù)的推廣。

當然從政府推進產業(yè)發(fā)展和保障數據安全的角度也面臨重要的挑戰(zhàn)。一是整個法規(guī)體系、標準體系還是相對滯后于產業(yè)的發(fā)展速度。

二是存在多頭監(jiān)管的問題，還需盡快細化一些行業(yè)性的管理要求。從數據安全監(jiān)管的角度，國家網信部門是牽頭部門，但是涉及到具體行業(yè)細則的出臺，還需要行業(yè)主管部門，以及一些重要的行業(yè)協會去推動相關工作。

三是實操性的舉措還不夠，數據安全監(jiān)管和治理的一項基礎性工作就是要做到數據分類分級，對于數據既要管，又不能管得太死，哪些要管，哪些需要高強手段的監(jiān)管，哪些需要在市場上流動，一項非�；�礎的工作就是數據分類分級。

我們提的建議包括四個方面：一是統(tǒng)籌產業(yè)創(chuàng)新發(fā)展與保障數據安全。二是盡快出臺數據分類分級指南和管理細則，在國內一些重要的行業(yè)領域，比如金融、工業(yè)互聯網等領域，已經出臺了相應的分類分級指南，智能網聯汽車行業(yè)可以予以借鑒。

三是建立事前風險評估和事后應急響應機制，比如國家級的專業(yè)技術機構可以探討如何更好的提供服務和支持。

四是重點關注跨境數據流動問題，目前國內對這個問題比較關注，國家網信部門也在密集調研和研究，希望后續(xù)在借鑒全球通用做法的同時，細化相應的數據流動規(guī)則。

以上就是我們目前這個報告的主要內容，在報告撰寫過程當中，也得到了一些車企和網絡安全企業(yè)的支持，后續(xù)我們也希望跟在座的企業(yè)和專家合作，使我們在智能網聯汽車數據安全領域做得更加深入。

作者：若風來源：快科技