关于构建完善汽车数据安全管理体系的建议

01

汽车数据安全问题日趋严峻

随着智能网联汽车的发展，汽车已经从传统代步工具演化为一台拥有数据中心架构的移动终端。智能汽车领域信息化程度大幅提升，网络数据安全攻击事件也随之增加，越来越多的攻击者将攻击目标从传统终端转向智能网联汽车。以汽车数据为核心的新安全问题日益凸显，汽车数据安全事件频发。2022年下半年，某车企的部分用户基本信息和车辆销售信息被黑客窃取，并以此遭受巨额勒索。车联网数据安全形势日趋严峻，智能网联汽车的数据安全防护亟需重点关注。同时，木马攻击、隐私窃取等网络威胁，正从传统网络逐渐向智能网联汽车领域渗透。据《2022年全球汽车网络安全报告》显示，2021年车联网攻击事件相比2018年增长了225%。与传统网络攻击不同，车联网的安全可能直接威胁驾驶或乘坐汽车人员的生命安全，扰乱社会稳定、波及国家安全。

02

两会上雷军的汽车数据安全问题建议

3月4日，全国人大代表，小米集团创始人、董事长兼CEO雷军在两会上针对“构建完善汽车数据安全管理体系”提出具体建议。

在汽车数据安全管理体系方面，雷军认为智能网联汽车作为车轮上的数据中心，其承载的行驶轨迹、生物特征等敏感个人信息，及地理信息、车外影像等，既是数字经济发展的重要要素资产，也给个人隐私、国家公共利益与安全带来了挑战。

在《关于构建完善汽车数据安全管理体系的建议》中，雷军指出：目前国家已发布若干汽车相关的数据安全推荐性国家标准，规范了网约车服务及汽车数据采集等部分场景要求，尚无法覆盖到研产供销全业务领域。为此雷军建议，由主管部门牵头，定义汽车数据分类分级规则，加快制定围绕汽车生命周期和数据生命周期两条主线的数据安全标准，指导产业发展。同时建立智能网联汽车数据安全认证制度、数据安全评级及公示制度，提升行业透明度与可信度。

另外，雷军还指出，当前各车企间数据尚未实现有效安全流通，数据孤岛普遍存在，数据价值无法充分发挥。他建议，应当在保障数据安全的前提下，构建汽车数据共享机制及平台，让各车企间的数据实现流通，将数据转化为社会生产力。

03

小米汽车的数据安全挑战

目前，小米汽车研发团队已经召集超过了2300人，力争2024年一季度小米汽车将正式量产。但是小米正在紧锣密鼓全力攻克汽车技术的敏感时期，小米汽车却遭遇数据泄露。

今年1月，某博主在网上发布小米汽车首款车型小米MS11的外观以及保险杠、装饰件等设计图片，以及小米与北汽模塑相关合作细节等，引发网络热议。

对此，小米集团公关部回应称，泄密的文件确是二级供应商保密的设计文件。2月2日，小米官方微博通报该数据泄露事件处理结果：小米汽车合作方北京某模塑科技有限公司因对其下游供应商管理不善，泄露了汽车的早期设计稿。

小米集团表示，已依据《保密协议》对涉事合作方进行了严肃处理，包括：依照《保密协议》处以100万元的经济赔偿；责成其对下游供应商加强信息安全管理，并对泄密肇事人进行严肃处理；责成供应商制定详细整改方案，全面升级保密措施。

在汽车尚未正式量产之前，小米已经面临严峻的企业数据安全问题，而后续大量汽车入市后，每辆汽车每天都可能会不断收集各类数据，如何确保大量数据的安全问题，将是小米汽车面临的巨大挑战。

我们认为汽车数据安全问题，已经不只是智能汽车必须攻克的技术问题，更是相关法律法规要求下的合规挑战，比如数据收集处理、数据跨境、企业的安全合规管理流程等，需要常态化建设、持续监管投入及技术革新。据悉，小米汽车安全团队也在不断招兵买马，逐步构建汽车数据安全防线。

04

国内外汽车网络数据安全法律法规

国内外高度关注汽车智能化、网联化发展的潜在安全隐患，多个国家和地区加快推进网络安全、数据安全等相关工作。2020年6月，联合国世界车辆法规协调论坛通过了《汽车网络安全和网络安全管理》法规，明确车辆制造商满足汽车网络安全强制认证要求。2022年6月后，欧盟依据《一般数据保护条例》（GDPR）法规，对汽车企业使用个人信息和数据跨境传输进行监管。美国先后出台了《联邦自动驾驶汽车政策》《自动驾驶系统：安全愿景2.0》《自动驾驶汽车综合规划》等，提出采取防护措施应对自动驾驶汽车的网络威胁和漏洞、隐私和数据保护风险等具体要求。

近年来，我国已经制定并实施《中华人民共和国网络安全法》、《中华人民共和国数据安全法》以及《中华人民共和国个人信息保护法》等数据保护领域的重要法律。汽车行业相关部委也在不断加强监管和保护，2021年7月，国家互联网信息办公室公布《汽车数据安全管理若干规定（试行）》，首次清晰界定了“汽车数据处理者”和“重要数据”类型等内容，同年8月，工业和信息化部发布《关于加强智能网联汽车生产企业及产品准入管理的意见》，明确企业应当建立健全汽车数据安全管理制度，建立数据资产管理台账，实施数据分类分级管理，建设数据安全保护技术措施，确保数据持续处于有效保护和合法利用的状态，依法依规落实数据安全风险评估、数据安全事件报告等要求。企业需要满足相关部委合规监管要求，健康合理发展产业。

智能汽车行业中的数据安全问题是新生事物，诸多难点包括数据分类分级问题、重要数据的处理、存储和出境问题和主体责任分配问题等，解决这些问题需要上下游产业链企业、车企、政府多方协力，细化行业要求、加强政府监管、加速试点落地。行业主管部门、市场安全监管部门、交通运输部门以及网络信息主管机构等多部门多机构的协同联动，明确职责划分，定期交流，将进一步促进汽车数据安全监管与智能汽车的蓬勃发展和安全落地。

审核编辑 ：李倩