由五部門發(fā)布的《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》10月起正式施行,。這是繼數(shù)據(jù)安全法出臺(tái)之后,,汽車行業(yè)數(shù)據(jù)安全規(guī)定的率先推動(dòng)施行,,其重要程度可見一斑,。
事實(shí)上,,今年已有四部以上的汽車數(shù)據(jù)安全、智能網(wǎng)聯(lián)汽車管理規(guī)定相繼出臺(tái),。政策密集發(fā)布背后有何緣由,?《規(guī)定》有哪些細(xì)節(jié)和亮點(diǎn)值得關(guān)注?為跟上合規(guī)驅(qū)動(dòng)的新階段,,相關(guān)企業(yè)又該有何行動(dòng),?基于以上問題,10月19日騰訊安全車聯(lián)網(wǎng)安全專家張康,、騰訊安全數(shù)據(jù)安全專家劉海洋,、上汽集團(tuán)赤霄網(wǎng)絡(luò)空間信息安全實(shí)驗(yàn)室負(fù)責(zé)人陳寧博士為大家詳解法規(guī)內(nèi)容、提供行動(dòng)思路,。
數(shù)據(jù)安全管理迫在眉睫《規(guī)定》有哪些新要求,?
“新四化”的趨勢下,汽車運(yùn)轉(zhuǎn)產(chǎn)生的數(shù)據(jù)量非常大,,未來僅一輛車的數(shù)據(jù)都將以“G”,,甚至以“T”為單位,但是如此龐大的數(shù)據(jù)應(yīng)當(dāng)如何進(jìn)行合理開發(fā)利用,,行業(yè)認(rèn)知和探索仍處于起步階段,。騰訊安全車聯(lián)網(wǎng)安全專家張康提道,過去很多企業(yè)都遵循著自己的標(biāo)準(zhǔn),,行業(yè)整體處于“千企千面”的狀態(tài),,產(chǎn)業(yè)鏈上的協(xié)作、數(shù)據(jù)通訊也常常因?yàn)楦髯詤f(xié)議標(biāo)準(zhǔn)不統(tǒng)一,,無法有效地保證數(shù)據(jù)安全,、共享使用。
而另一方面,,安全事件頻發(fā),,嚴(yán)峻的數(shù)據(jù)安全挑戰(zhàn)成為行業(yè)發(fā)展的核心痛點(diǎn)。據(jù)報(bào)道,,2020年1-9月,,針對(duì)整車企業(yè)車聯(lián)網(wǎng)信息服務(wù)提供商等相關(guān)企業(yè)和平臺(tái)的惡意攻擊達(dá)280余萬次;今年6月的某次信息安全事件中,,約有330萬汽車的車主和潛在客戶的個(gè)人信息遭到泄露,。
數(shù)據(jù)安全管理到了刻不容緩的時(shí)候,,而《規(guī)定》的出臺(tái)讓汽車行業(yè)的數(shù)據(jù)安全有了遵循依據(jù),更給了廣大用戶一顆安心駕駛的定心丸,。
《規(guī)定》界定了汽車數(shù)據(jù)和監(jiān)管主體,,提出了4項(xiàng)推薦的數(shù)據(jù)處理原則,同時(shí)明確了數(shù)據(jù)處理者的義務(wù),,并制定跨境數(shù)據(jù)傳輸規(guī)則,,初步建立起中國汽車數(shù)據(jù)安全的合規(guī)框架。
騰訊安全數(shù)據(jù)安全專家劉海洋認(rèn)為,,《規(guī)定》首次對(duì)“汽車數(shù)據(jù)處理者”和“重要數(shù)據(jù)”類型等內(nèi)容做了清晰的界定,。如“汽車數(shù)據(jù)處理者”不僅限于慣性認(rèn)知中的汽車制造商、零部件和軟件供應(yīng)商等,,還包括經(jīng)銷商,、維修機(jī)構(gòu)以及出行服務(wù)企業(yè)。同時(shí),,《規(guī)定》落實(shí)了年度報(bào)告制度,,汽車數(shù)據(jù)處理者應(yīng)當(dāng)按時(shí)主動(dòng)報(bào)送年度汽車數(shù)據(jù)安全管理情況,這意味著國家的監(jiān)管力度已經(jīng)更強(qiáng),,向系統(tǒng)化管理邁出重要一步,。
從事件驅(qū)動(dòng)轉(zhuǎn)為合規(guī)驅(qū)動(dòng) 安全能力提升勢在必行
“在過去,車聯(lián)網(wǎng)安全其實(shí)還處于行業(yè)教育階段,,更多由事件驅(qū)動(dòng),只有當(dāng)漏洞被發(fā)現(xiàn)或者出現(xiàn)安全事故,,相關(guān)方才會(huì)采取行動(dòng),,而《規(guī)定》的施行讓行業(yè)轉(zhuǎn)變?yōu)楹弦?guī)驅(qū)動(dòng),汽車數(shù)據(jù)處理者必須安全合規(guī),,否則就將違法,。”張康提道,。
早在2015年,,騰訊就開始研究車聯(lián)網(wǎng)的安全問題并推動(dòng)行業(yè)教育。2016年發(fā)布了關(guān)于特斯拉的安全研究案例,,實(shí)現(xiàn)了遠(yuǎn)程控制車輛的狀態(tài),,包括在行駛狀態(tài)下的剎車、折疊后視鏡等,。自2016年至2021年,,實(shí)驗(yàn)室每年發(fā)布智能網(wǎng)聯(lián)汽車的研究案例,研究特斯拉,、寶馬,、豐田及奔馳的網(wǎng)聯(lián),、高級(jí)輔助駕駛等功能和架構(gòu),驗(yàn)證了騰訊在車聯(lián)網(wǎng)安全的研究能力,,幫助車企解決現(xiàn)有問題,,并告誡車聯(lián)網(wǎng)安全的重要性。張康認(rèn)為,,今年作為車聯(lián)網(wǎng)法規(guī)的元年,,對(duì)于車企而言,更多需要能力建設(shè),,成立自己的信息安全團(tuán)隊(duì),,由專門負(fù)責(zé)車聯(lián)網(wǎng)信息安全的團(tuán)隊(duì)統(tǒng)一整改、牽頭,,從而加強(qiáng)車輛網(wǎng)絡(luò)安全和數(shù)據(jù)安全,。
目前,政府仍在逐步補(bǔ)齊和完善汽車數(shù)據(jù)監(jiān)管體系和方法,,在《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等上位法的框架下,,進(jìn)一步推動(dòng)完善《智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理指南》、《汽車數(shù)據(jù)安全管理若干規(guī)定》等規(guī)則制度的相關(guān)實(shí)施細(xì)則,,明確企業(yè)的數(shù)據(jù)安全保護(hù)責(zé)任,,完善汽車數(shù)據(jù)安全保護(hù)體系。
當(dāng)然,,合規(guī)非最終目的,,它將原先漫長的行業(yè)教育進(jìn)程加快,極速形成了普遍的認(rèn)知共識(shí),,而這只是邁向真正實(shí)現(xiàn)車聯(lián)網(wǎng)數(shù)據(jù)安全的起點(diǎn),。對(duì)于當(dāng)下的車企而言,自身安全能力的提升也同樣重要,,適配智駕環(huán)境的技術(shù)手段的缺乏(如采集圖像及視頻的模糊化,、匿名化處理)、車載系統(tǒng)及外部組件的未知風(fēng)險(xiǎn)漏洞等諸多問題,,都在制約著數(shù)據(jù)安全的發(fā)展進(jìn)程,。
堅(jiān)守安全底線 四部曲建設(shè)安全能力
車企如何更好地應(yīng)對(duì)合規(guī)時(shí)代的要求?在自主建設(shè)安全能力框架方面,,劉海洋拋出了“提升四部曲”的建議:
1.數(shù)據(jù)資產(chǎn)和數(shù)據(jù)場景的梳理:梳理企業(yè)的數(shù)據(jù)資產(chǎn)和數(shù)據(jù)場景(如大數(shù)據(jù)處理加工分析,、智駕數(shù)據(jù)的標(biāo)注、第三方委托處理等)的重要內(nèi)容,,為技術(shù)管控,、合規(guī)應(yīng)對(duì)、管理體系建設(shè)做好基礎(chǔ)鋪墊,;
2.企業(yè)自身合規(guī)的評(píng)估分析:正如《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》當(dāng)中所提到的,,作為數(shù)據(jù)處理者要定期開展合規(guī)審計(jì),,評(píng)估自身的數(shù)據(jù)管控狀態(tài)和合規(guī)狀態(tài),并進(jìn)行合規(guī)差距分析,;
3.查漏補(bǔ)缺,,提升安全硬實(shí)力:針對(duì)性地對(duì)所缺乏的安全技術(shù)做提升,一般包括數(shù)據(jù)加解密,、數(shù)據(jù)脫敏,、電子認(rèn)證等核心內(nèi)容;
4.管理制度與稽核流程的建立:建立企業(yè)的數(shù)據(jù)安全管理制度,,對(duì)數(shù)據(jù)安全保護(hù)義務(wù)進(jìn)行落實(shí),,并通過稽核的手段保證汽車數(shù)據(jù)運(yùn)轉(zhuǎn)處于合規(guī)狀態(tài)。
同時(shí),,車聯(lián)網(wǎng)的數(shù)據(jù)量級(jí)大,、主體多、鏈條長,,也意味著單點(diǎn)風(fēng)險(xiǎn)解決方式收效甚微,。而通過車聯(lián)網(wǎng)安全技術(shù)的聯(lián)合深度共建,形成全流程一體化的解決方案,,將能夠有效,、全面地加快車企安全能力的提升。
探索車企合作新模式 主動(dòng)建設(shè)網(wǎng)絡(luò)安全能力新標(biāo)桿
以上汽集團(tuán)為例,,其正在積極探索車聯(lián)網(wǎng)安全能力建設(shè)之道,。今年4月,上汽集團(tuán)和騰訊宣布共建網(wǎng)絡(luò)安全聯(lián)合實(shí)驗(yàn)室,。雙方將共同打造網(wǎng)絡(luò)安全產(chǎn)品,,建立覆蓋智能網(wǎng)聯(lián)汽車全生命周期的網(wǎng)絡(luò)安全運(yùn)營體系,并通過深度融入整車研發(fā)制造流程的方式提升汽車云管端一體化的網(wǎng)絡(luò)安全水平,。
上汽集團(tuán)赤霄網(wǎng)絡(luò)空間信息安全實(shí)驗(yàn)室負(fù)責(zé)人陳寧博士在分享中提到,上汽注重汽車安全的投入,。到今天為止,,上汽集團(tuán)成立了“1+3”的安全管理體系,包含對(duì)智能網(wǎng)聯(lián)汽車的要求,,如總體安全管理要求,,整車開發(fā)的GVDP的融合,測試要求,、運(yùn)營要求,,風(fēng)險(xiǎn)評(píng)估方法等。在技術(shù)團(tuán)隊(duì)建設(shè)上,,建立了縱深防御的體系,,從接入層,、運(yùn)營層、主機(jī)層,、數(shù)據(jù)層到物理層,,形成了每層對(duì)應(yīng)的防護(hù)體系,確保云上的應(yīng)用,,尤其是與車相關(guān)應(yīng)用的安全可靠,。在檢測方面,基于全生命周期管理流程,,建立相關(guān)的技術(shù)平臺(tái),,如應(yīng)急響應(yīng)中心平臺(tái),不僅能監(jiān)測一些海外車輛的行駛數(shù)據(jù),,還覆蓋了上汽大概100家下屬企業(yè)的相關(guān)網(wǎng)站,、應(yīng)用,每天自動(dòng)化執(zhí)行掃描,,發(fā)現(xiàn)漏洞,。同時(shí)結(jié)合車輛工具化檢測,重點(diǎn)運(yùn)營及關(guān)注汽車網(wǎng)絡(luò)安全及售后市場應(yīng)用的安全問題,。隨著國家法律的出臺(tái),,上汽對(duì)于數(shù)據(jù)安全的過濾、提取以及敏感數(shù)據(jù)的存儲(chǔ)和脫敏的工作也逐漸展開,。
法規(guī)的出臺(tái)進(jìn)一步推動(dòng)行業(yè)加快數(shù)據(jù)安全布局進(jìn)程,,挑戰(zhàn)與機(jī)遇共存。面向未來的新征程上,,騰訊安全愿與更多企業(yè)合作,,加強(qiáng)技術(shù)研發(fā)與數(shù)據(jù)安全技術(shù)應(yīng)用、提升安全可控能力,、構(gòu)建完善的數(shù)據(jù)安全管理體系,,筑牢合規(guī)時(shí)代的“汽車網(wǎng)絡(luò)安全底座”,共同探索汽車網(wǎng)絡(luò)安全行業(yè)新標(biāo)桿,。