信息化觀察網(wǎng)

由五部門發(fā)布的《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》正式施行。這是繼數(shù)據(jù)安全法出臺之后，汽車行業(yè)數(shù)據(jù)安全規(guī)定的率先推動施行，其重要程度可見一斑。

事實上，今年已有四部以上的汽車數(shù)據(jù)安全、智能網(wǎng)聯(lián)汽車管理規(guī)定相繼出臺。政策密集發(fā)布背后有何緣由？《規(guī)定》有哪些細(xì)節(jié)和亮點值得關(guān)注？為跟上合規(guī)驅(qū)動的新階段，相關(guān)企業(yè)又該有何行動？基于以上問題，我們邀請到了騰訊安全車聯(lián)網(wǎng)安全專家張康、騰訊安全云鼎實驗室數(shù)據(jù)安全專家劉海洋為大家詳解法規(guī)內(nèi)容、提供行動思路。

4月29日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會發(fā)布《信息安全技術(shù)網(wǎng)聯(lián)汽車采集數(shù)據(jù)的安全要求（草案）》。

6月21日，工信部發(fā)布《車聯(lián)網(wǎng)（智能網(wǎng)聯(lián)汽車）網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系建設(shè)指南》并公開征求意見。

8月12日，工信部發(fā)布《關(guān)于加強(qiáng)智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理的意見》。

8月16日，網(wǎng)信辦、發(fā)改委、工信部、公安部、交通運輸部公布《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》。

數(shù)據(jù)安全管理迫在眉睫

《規(guī)定》有哪些新要求？

“新四化”的趨勢下，汽車運轉(zhuǎn)產(chǎn)生的數(shù)據(jù)量非常大，未來僅一輛車的數(shù)據(jù)都將以“G”，甚至以“T”為單位，但是如此龐大的數(shù)據(jù)應(yīng)當(dāng)如何進(jìn)行合理開發(fā)利用，行業(yè)認(rèn)知和探索仍處于起步階段。騰訊安全車聯(lián)網(wǎng)安全專家張康提道，過去很多企業(yè)都遵循著自己的標(biāo)準(zhǔn)，行業(yè)整體處于“千企千面”的狀態(tài)，產(chǎn)業(yè)鏈上的協(xié)作、數(shù)據(jù)通訊也常常因為各自協(xié)議標(biāo)準(zhǔn)不統(tǒng)一，無法有效地保證數(shù)據(jù)安全、共享使用。

而另一方面，安全事件頻發(fā)，嚴(yán)峻的數(shù)據(jù)安全挑戰(zhàn)成為行業(yè)發(fā)展的核心痛點。據(jù)報道，2020年1-9月，針對整車企業(yè)車聯(lián)網(wǎng)信息服務(wù)提供商等相關(guān)企業(yè)和平臺的惡意攻擊達(dá)280余萬次；今年6月的某次信息安全事件中，約有330萬汽車的車主和潛在客戶的個人信息遭到泄露。

數(shù)據(jù)安全管理到了刻不容緩的時候，而《規(guī)定》的出臺讓汽車行業(yè)的數(shù)據(jù)安全有了遵循依據(jù)，更給了廣大用戶一顆安心駕駛的定心丸。

《規(guī)定》界定了汽車數(shù)據(jù)和監(jiān)管主體，提出了4項推薦的數(shù)據(jù)處理原則，同時明確了數(shù)據(jù)處理者的義務(wù)，并制定跨境數(shù)據(jù)傳輸規(guī)則，初步建立起中國汽車數(shù)據(jù)安全的合規(guī)框架。

騰訊安全云鼎實驗室數(shù)據(jù)安全專家劉海洋認(rèn)為，《規(guī)定》首次對“汽車數(shù)據(jù)處理者”和“重要數(shù)據(jù)”類型等內(nèi)容做了清晰的界定。如“汽車數(shù)據(jù)處理者”不僅限于慣性認(rèn)知中的汽車制造商、零部件和軟件供應(yīng)商等，還包括經(jīng)銷商、維修機(jī)構(gòu)以及出行服務(wù)企業(yè)。同時，《規(guī)定》落實了年度報告制度，汽車數(shù)據(jù)處理者應(yīng)當(dāng)按時主動報送年度汽車數(shù)據(jù)安全管理情況，這意味著國家的監(jiān)管力度已經(jīng)更強(qiáng)，向系統(tǒng)化管理邁出重要一步。

從事件驅(qū)動轉(zhuǎn)為合規(guī)驅(qū)動

安全能力提升勢在必行

“在過去，車聯(lián)網(wǎng)安全其實還處于行業(yè)教育階段，更多由事件驅(qū)動，只有當(dāng)漏洞被發(fā)現(xiàn)或者出現(xiàn)安全事故，相關(guān)方才會采取行動，而《規(guī)定》的施行讓行業(yè)轉(zhuǎn)變?yōu)楹弦?guī)驅(qū)動，汽車數(shù)據(jù)處理者必須安全合規(guī)，否則就將違法。”張康提道。

目前，政府仍在逐步補(bǔ)齊和完善汽車數(shù)據(jù)監(jiān)管體系和方法，在《數(shù)據(jù)安全法》《個人信息保護(hù)法》等上位法的框架下，進(jìn)一步推動完善《智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理指南》、《汽車數(shù)據(jù)安全管理若干規(guī)定》等規(guī)則制度的相關(guān)實施細(xì)則，明確企業(yè)的數(shù)據(jù)安全保護(hù)責(zé)任，完善汽車數(shù)據(jù)安全保護(hù)體系。

當(dāng)然，合規(guī)非最終目的，它將原先漫長的行業(yè)教育進(jìn)程加快，極速形成了普遍的認(rèn)知共識，而這只是邁向真正實現(xiàn)車聯(lián)網(wǎng)數(shù)據(jù)安全的起點。對于當(dāng)下的車企而言，自身安全能力的提升也同樣重要，適配智駕環(huán)境的技術(shù)手段的缺乏（如采集圖像及視頻的模糊化、匿名化處理）、車載系統(tǒng)及外部組件的未知風(fēng)險漏洞等諸多問題，都在制約著數(shù)據(jù)安全的發(fā)展進(jìn)程。

堅守安全底線

主動建設(shè)網(wǎng)絡(luò)安全能力新標(biāo)桿

車企如何更好地應(yīng)對合規(guī)時代的要求？在自主建設(shè)安全能力框架方面，劉海洋拋出了“提升四部曲”的建議：

1.數(shù)據(jù)資產(chǎn)和數(shù)據(jù)場景的梳理：梳理企業(yè)的數(shù)據(jù)資產(chǎn)和數(shù)據(jù)場景（如大數(shù)據(jù)處理加工分析、智駕數(shù)據(jù)的標(biāo)注、第三方委托處理等）的重要內(nèi)容，為技術(shù)管控、合規(guī)應(yīng)對、管理體系建設(shè)做好基礎(chǔ)鋪墊；

2.企業(yè)自身合規(guī)的評估分析：正如《個人信息保護(hù)法》《數(shù)據(jù)安全法》當(dāng)中所提到的，作為數(shù)據(jù)處理者要定期開展合規(guī)審計，評估自身的數(shù)據(jù)管控狀態(tài)和合規(guī)狀態(tài)，并進(jìn)行合規(guī)差距分析；

3.查漏補(bǔ)缺，提升安全硬實力：針對性地對所缺乏的安全技術(shù)做提升，一般包括數(shù)據(jù)加解密、數(shù)據(jù)脫敏、電子認(rèn)證等核心內(nèi)容；

4.管理制度與稽核流程的建立：建立企業(yè)的數(shù)據(jù)安全管理制度，對數(shù)據(jù)安全保護(hù)義務(wù)進(jìn)行落實，并通過稽核的手段保證汽車數(shù)據(jù)運轉(zhuǎn)處于合規(guī)狀態(tài)。

同時，車聯(lián)網(wǎng)的數(shù)據(jù)量級大、主體多、鏈條長，也意味著單點風(fēng)險解決方式收效甚微。而通過車聯(lián)網(wǎng)安全技術(shù)的聯(lián)合深度共建，形成全流程一體化的解決方案，將能夠有效、全面地加快車企安全能力的提升。

以上汽集團(tuán)為例，其正在積極探索車聯(lián)網(wǎng)安全能力建設(shè)之道。今年4月，上汽集團(tuán)和騰訊宣布共建網(wǎng)絡(luò)安全聯(lián)合實驗室。雙方將共同打造網(wǎng)絡(luò)安全產(chǎn)品，建立覆蓋智能網(wǎng)聯(lián)汽車全生命周期的網(wǎng)絡(luò)安全運營體系，并通過深度融入整車研發(fā)制造流程的方式提升汽車云管端一體化的網(wǎng)絡(luò)安全水平。

法規(guī)的出臺進(jìn)一步推動行業(yè)加快數(shù)據(jù)安全布局進(jìn)程，挑戰(zhàn)與機(jī)遇共存。面向未來的新征程上，騰訊安全愿與更多企業(yè)合作，加強(qiáng)技術(shù)研發(fā)與數(shù)據(jù)安全技術(shù)應(yīng)用、提升安全可控能力、構(gòu)建完善的數(shù)據(jù)安全管理體系，筑牢合規(guī)時代的“汽車網(wǎng)絡(luò)安全底座”，共同探索汽車網(wǎng)絡(luò)安全行業(yè)新標(biāo)桿。