這是繼數據安全法出臺之后,汽車行業數據安全規定的率先推動施行,其重要程度可見一斑。
數據安全管理迫在眉睫
《規定》有哪些新要求?
" 新四化 " 的趨勢下,汽車運轉產生的數據量非常大,未來僅一輛車的數據都將以 "G",甚至以 "T" 為單位,但是如此龐大的數據應當如何進行合理開發利用,行業認知和探索仍處于起步階段。騰訊安全車聯網安全專家張康提道,過去很多企業都遵循著自己的標準,行業整體處于 " 千企千面 " 的狀態,產業鏈上的協作、數據通訊也常常因為各自協議標準不統一,無法有效地保證數據安全、共享使用。
而另一方面,安全事件頻發,嚴峻的數據安全挑戰成為行業發展的核心痛點。據報道,2020 年 1-9 月,針對整車企業車聯網信息服務提供商等相關企業和平臺的惡意攻擊達 280 余萬次;今年 6 月的某次信息安全事件中,約有 330 萬汽車的車主和潛在客戶的個人信息遭到泄露。
數據安全管理到了刻不容緩的時候,而《規定》的出臺讓汽車行業的數據安全有了遵循依據,更給了廣大用戶一顆安心駕駛的定心丸。
《規定》界定了汽車數據和監管主體,提出了 4 項推薦的數據處理原則,同時明確了數據處理者的義務,并制定跨境數據傳輸規則,初步建立起中國汽車數據安全的合規框架。
騰訊安全數據安全專家劉海洋認為,《規定》首次對 " 汽車數據處理者 " 和 " 重要數據 " 類型等內容做了清晰的界定。如 " 汽車數據處理者 " 不僅限于慣性認知中的汽車制造商、零部件和軟件供應商等,還包括經銷商、維修機構以及出行服務企業。同時,《規定》落實了年度報告制度,汽車數據處理者應當按時主動報送年度汽車數據安全管理情況,這意味著國家的監管力度已經更強,向系統化管理邁出重要一步。
從事件驅動轉為合規驅動
安全能力提升勢在必行
" 在過去,車聯網安全其實還處于行業教育階段,更多由事件驅動,只有當漏洞被發現或者出現安全事故,相關方才會采取行動,而《規定》的施行讓行業轉變為合規驅動,汽車數據處理者必須安全合規,否則就將違法。" 張康提道。
早在 2015 年,騰訊就開始研究車聯網的安全問題并推動行業教育。2016 年發布了關于特斯拉的安全研究案例,實現了遠程控制車輛的狀態,包括在行駛狀態下的剎車、折疊后視鏡等。自 2016 年至 2021 年,實驗室每年發布智能網聯汽車的研究案例,研究特斯拉、寶馬、豐田及奔馳的網聯、高級輔助駕駛等功能和架構,驗證了騰訊在車聯網安全的研究能力,幫助車企解決現有問題,并告誡車聯網安全的重要性。張康認為,今年作為車聯網法規的元年,對于車企而言,更多需要能力建設,成立自己的信息安全團隊,由專門負責車聯網信息安全的團隊統一整改、牽頭,從而加強車輛網絡安全和數據安全。
目前,政府仍在逐步補齊和完善汽車數據監管體系和方法,在《數據安全法》《個人信息保護法》等上位法的框架下,進一步推動完善《智能網聯汽車生產企業及產品準入管理指南》、《汽車數據安全管理若干規定》等規則制度的相關實施細則,明確企業的數據安全保護責任,完善汽車數據安全保護體系。
當然,合規非最終目的,它將原先漫長的行業教育進程加快,極速形成了普遍的認知共識,而這只是邁向真正實現車聯網數據安全的起點。對于當下的車企而言,自身安全能力的提升也同樣重要,適配智駕環境的技術手段的缺乏(如采集圖像及視頻的模糊化、匿名化處理)、車載系統及外部組件的未知風險漏洞等諸多問題,都在制約著數據安全的發展進程。
堅守安全底線
四部曲建設安全能力
車企如何更好地應對合規時代的要求?在自主建設安全能力框架方面,劉海洋拋出了 " 提升四部曲 " 的建議:
1. 數據資產和數據場景的梳理:梳理企業的數據資產和數據場景(如大數據處理加工分析、智駕數據的標注、第三方委托處理等)的重要內容,為技術管控、合規應對、管理體系建設做好基礎鋪墊;
2. 企業自身合規的評估分析:正如《個人信息保護法》《數據安全法》當中所提到的,作為數據處理者要定期開展合規審計,評估自身的數據管控狀態和合規狀態,并進行合規差距分析;
3. 查漏補缺,提升安全硬實力:針對性地對所缺乏的安全技術做提升,一般包括數據加解密、數據脫敏、電子認證等核心內容;
4. 管理制度與稽核流程的建立:建立企業的數據安全管理制度,對數據安全保護義務進行落實,并通過稽核的手段保證汽車數據運轉處于合規狀態。
同時,車聯網的數據量級大、主體多、鏈條長,也意味著單點風險解決方式收效甚微。而通過車聯網安全技術的聯合深度共建,形成全流程一體化的解決方案,將能夠有效、全面地加快車企安全能力的提升。
