权威专家解读汽车数据安全：泄露和滥用是目前主要风险点，建议加强第三方监管

每经记者 孙桐桐    每经编辑 裴健如

智能汽车时代，汽车数据安全已成为社会广泛关注的焦点话题。

日前，国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合发布《汽车数据安全管理若干规定（试行）》（以下简称《规定》），自2021年10月1日起施行。国家互联网信息办公室相关负责人表示，出台《规定》旨在规范汽车数据处理活动，保护个人、组织的合法权益，维护国家安全和社会公共利益，促进汽车数据合理开发利用。

事实上，今年以来，一系列汽车数据安全、智能网联汽车管理规定相继出台。政策密集发布背后有何缘由？《规定》有哪些细节和亮点值得关注？当前，汽车行业及全产业链，存在哪些威胁数据安全的风险点？车企、供应商、行业协会等各类主体应该如何切实保障汽车数据安全？

图片来源：摄图网

为了解答上述问题，《每日经济新闻》（以下称NBD）记者近日对中国汽车工业协会秘书长助理兼技术部部长王耀、武汉理工大学汽车学院副教授杨胜兵，以及岚图汽车、智己汽车、威马汽车等车企相关负责人分别进行了专访。

告别“千企千面”，汽车数据安全要有法可依、有章可循

NBD：此次五部门发布的《规定》有哪些亮点值得关注？

王耀：第一，使用对象覆盖汽车全产业链。《规定》中所称的汽车数据包括汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据。

第二，明确了受保护的信息范围。《规定》明确了重要数据的范围，包括地理信息、车流量信息、汽车充电网运行数据等六大类。同时，也对汽车数据处理、个人信息等概念做出明确定义，例如，汽车数据处理，包括汽车数据的收集、存储、使用、加工、传输、提供、公开等，涉及汽车数据处理的全生命周期。

第三，明确了处理个人信息和重要数据的原则。《规定》要求在开展汽车数据处理活动中坚持“车内处理”“脱敏处理”等原则，减少对汽车数据的无序收集和违规滥用，鼓励汽车数据依法合理有效利用，促进汽车行业健康有序发展。

第四，明确了个人信息与重要数据跨境传输的相关要求。《规定》指出，重要数据应当依法在境内存储，因业务需要确需向境外提供的，应当通过国家网信部门会同国务院有关部门组织的安全评估。

杨胜兵：智能网联汽车全产业链有关方有法律依据可寻；智能网联汽车全产业链信息数据安全有遵循依据，而不是“千企千面”；智能网联汽车在技术层面的数据处理的同时，也要让老百姓明明白白消费、安安全全使用。

图片来源：摄图网

NBD：今年以来，汽车数据安全、智能网联相关管理规定接连出台，例如《智能网联汽车道路测试与示范应用管理规范（试行）》、《关于加强智能网联汽车生产企业及产品准入管理的意见》等，这些政策相继出台有哪些背景，反应出当前汽车产业怎样的问题？

王耀：发改委于2020年2月联合多部门公共发布了《智能汽车创新发展战略》，其中明确提出智能汽车是全球汽车产业发展的战略方向，对我国具有重要战略意义，其中，推动智能汽车创新发展的主要任务就包含构建系统完善的智能汽车法规标准体系。

作为智能交通工具，智能网联汽车跨行业融合了多种先进技术，相关技术持续迭代，相关汽车产品基本特征不断变化。面对市场中不同等级汽车驾驶自动化产品，消费者应如何正确驾驶智能驾驶汽车以保障人身安全及交通安全，政府应如何有效监管智能网联汽车以保障汽车产业健康发展成为汽车产业当前面临的挑战。

同时，智能网联汽车的技术发展需要海量的数据作为支撑，数据收集及处理过程中相关的个人隐私保护和数据安全使用等问题也受到社会的重点关注。为此，国家今年发布了《汽车数据安全管理若干规定》等法规，使企业在研发智能网联汽车时，针对数据安全做到有法可依、有章可循。

数据泄露和滥用，成为汽车数据处理的主要风险点

NBD：按照《规定》，汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等均属于汽车数据处理者，从当前实际情况来看，在上述多个环节中，汽车数据安全存在哪些风险和不规范的地方？

王耀：互联网通信技术推动了汽车产业的发展，使汽车成为了网联化的智能终端。在未来智能网联汽车产业生态中，高精地图的绘制，自动驾驶软件算法的开发，驾驶行为的监测，自动驾驶车辆的监控都需要依靠海量多类型的数据作为支撑。

未来智能网联汽车产业链各环节之间必然会通过自采或数据交互等方式来获取相关各类数据，如何构建智能网联汽车产业数据安全监管体系，以保障数据交互过程中的产业安全，如何建设安全、健康、可持续发展的汽车产业数据生态将是汽车产业必须解决的重要课题。

数据处理过程中的风险点主要包括数据泄露和滥用等，其影响主要有以下三方面：

第一，对行车安全的影响。网联化增加了车辆网络安全风险威胁，使黑客有机会攻入车辆，甚至可以通过篡改数据获得控制车辆的控制权，给行车安全带来危险。

第二，用户隐私安全的泄露风险。智能网联汽车上装载的传感器会持续获取车上用户乃至车外的行人的相关信息，涉及到用户隐私侵犯问题。

第三，对国家安全的影响。智能网联汽车上大量的视觉传感器、毫米波雷达、激光雷达传感器在行驶的过程中会不断地扫描路面和周围的交通环境，获取大量地理信息，这些信息一旦泄露将会对国家安全造成威胁。

杨胜兵：从当前实际情况来看，在上述多个环节中，汽车数据处理既是信息源泉、技术手段，又是各家的技术诀窍、私有领地，各环节中，汽车数据处理安全有可能是“裸奔”状态、放任自由。各环节中，汽车数据一旦疏于监管，将会给国家安全、公众利益、个人隐私等造成不可挽回的损失。

图片来源：摄图网

NBD：该《规定》是否更侧重于对智能网联汽车数据的管理？对智能汽车数据安全起到了怎样的作用？还有哪些方面亟待完善？

王耀：《规定》面向的范围是所有汽车，只是相对于传统汽车，智能网联汽车的数据应用场景更加广泛。针对目前实际生产、生活中暴露出的汽车数据安全问题和风险隐患，《规定》明确了汽车数据处理者的责任和义务，规范汽车数据处理活动，有利于促进汽车数据依法合理有效利用和汽车行业健康有序发展。

《规定》对数据的收集、处理提出了明确要求，但在对一系列汽车数据相关活动要求的检测与测试方面，还需要完善细化相关评估指南，保证《规定》的执行效果。

第三方介入监管，能有效保障数据安全

NBD：关于汽车数据处理，包括汽车数据的收集、存储、使用、加工、传输、提供、公开等，当前是否有完善的监管体系和方法？如何有效保证各企业在实际操作时的数据安全？

王耀：目前，政府仍在逐步完善汽车数据监管体系和方法，未来相关政府监管部门将在《网联安全法》、《数据安全法》、《个人信息保护法》等上位法的框架下，进一步推动完善《智能网联汽车生产企业及产品准入管理指南》、《汽车数据安全管理若干规定》等规则制度的相关实施细则，明确企业的数据安全保护责任，推动企业进一步加大对数据安全的投入，完善汽车数据安全保护体系，提升数据安全能力和水平。

行业协会应积极组织宣传沟通活动，有效传达沟通相关信息，征集行业意见，反馈给有关部门，推动形成良性沟通机制。中汽协在今年初围绕“汽车产业数据安全环境建设”组织了多次交流会议，通过广泛听取行业意见，目前已形成“汽车数据安全行业自律行为规范”。

杨胜兵：汽车数据处理相关各环节都应该有规矩可循、有安全保障、有相关监督方、有可执行的具体手段。除规章制度外，数据全环节的加密、个人特征等隐私数据的权限和传递的路径、公有数据的收集、使用、存档等要在国家法律法规的监控之下。

NBD：为了更好地保障数据安全，是否需要政府或协会等第三方层面的介入？例如提供存储平台等手段？

王耀：政府依法进行数据安全监管是保障数据安全的有效手段，但是汽车数据的种类多、体量大，传统的中心化数据治理模式不太适用。为有效解决行业痛点问题，中汽协已联合整车企业、零部件供应商、第三方检测机构、科技公司等相关单位，基于区块链技术，构建了汽车大数据区块链平台，平台能够实现对数据行为的追溯，同时引入了数据抽样检查机制，可实现全生命周期汽车数据监管体系的建立。目前，平台的可信存证业务已向全行业免费开放。

同时，中汽协已联合国家工业信息安全发展研究中心等单位共同开展《智能网联汽车数据安全评估指南》的制定工作，旨在大力推动智能网联汽车产业发展的同时，有效规范数据的合规使用，推动智能网联汽车数据安全评估工作，进一步规范汽车产业相关企业数据处理行为，营造良好产业生态环境。

杨胜兵：为了更好地保障数据安全，政府或协会等第三方层面的介入很有必要。在行业发展过程中，及早规范、及时发现、及时调整、事后补救等很有必要，应该通过国家汽车行业的有关监控平台、企业监控平台、企业数据安全使用报告、公众媒介等手段来实施。

图片来源：摄图网

严守基础红线，车企加速建立健全数据安全体系

NBD：保障汽车数据安全，汽车制造商及相关供应链企业采取了哪些措施？

岚图汽车：目前，岚图汽车也依据国家法律、行业标准持续建设数据安全体系，成立了数据安全组织并明确人员责任，制定了数据安全管理制度。

在安全技术方面，第一，在数据存储服务器上部署了HIDS、杀毒等软件保护主机安全,自建容灾系统保证数据可用性和业务连续性,部分涉及个人敏感信息的系统对敏感数据实施了数据脱敏处理；第二，使用专用APN通道传输数据实现数据网络的隔离，并自建PKI设施对数据传输进行加密、完整性验证；第三，在网络边界处部署防火墙、态势感知、IPS、WAF等设备监控阻断网络攻击；第四，使用证书、加密、代码混淆等技术保护客户端数据。

作为一个全新的品牌，岚图汽车的数据安全体系还在不断完善中，未来，岚图汽车计划建设数据安全水平检查体系、数据安全审计系统、以及数据安全中心等。

图片来源：每经记者 孙桐桐 摄（资料图）

智己汽车：我们清晰知道数据是具有两面性的。为了保护消费者的隐私，我们承诺决不采用Face ID的技术，只需抽取用户眉毛、眼皮等面部核心信息。所以哪怕黑客来反向攻击，也不能在系统中找到一张完整的“face（脸）”。

同时，我们建立了由客户隐私方面的专家成立的数据隐私保护委员会，在很多新功能开发过程中，一些可能会触犯到消费者隐私的功能都会由他们来决策评估。此外，我们采用一些先进的技术，比如说零知识证明、差分隐私、数据库防火墙等来保障数据安全。

威马汽车：对车企来说，广大用户贡献的数据确实是最宝贵资产之一，因此我们对于数据安全方面也非常重视。一直以来，威马汽车十分重视车辆网络安全的构建，从车端、云端、通信端和工业互联网端四方面，自主设立了一套金融级别的安全防护策略，并且实现实时动态更新，提升安全等级，在这样的防御体系下，没有谁能够擅自获取或者泄露用户数据。

某车联网企业：数据安全一直是我们所有工作的基础红线。数据的分类分级、数据在多网之间的安全计算、数据存储和计算环境的安全等级保护等，都是数据安全团队的核心工作，保证所有正常的技术工作、项目开发工作和产品上线后的运营工作中的数据安全。

《规定》推出之后，我们按照国家的要求，对现在的数安体系进行了检查，也组织产品设计团队进行集体学习，领会国家监管部门的立法方向和用户的法定权力的保障原则。同时，对重点客户进行知识输出，保证和客户在关键产品设计、数据计算架构等方面对法规的理解一致。