这是继数据安全法出台之后,汽车行业数据安全规定的率先推动施行,其重要程度可见一斑。
数据安全管理迫在眉睫
《规定》有哪些新要求?
" 新四化 " 的趋势下,汽车运转产生的数据量非常大,未来仅一辆车的数据都将以 "G",甚至以 "T" 为单位,但是如此庞大的数据应当如何进行合理开发利用,行业认知和探索仍处于起步阶段。腾讯安全车联网安全专家张康提道,过去很多企业都遵循着自己的标准,行业整体处于 " 千企千面 " 的状态,产业链上的协作、数据通讯也常常因为各自协议标准不统一,无法有效地保证数据安全、共享使用。
而另一方面,安全事件频发,严峻的数据安全挑战成为行业发展的核心痛点。据报道,2020 年 1-9 月,针对整车企业车联网信息服务提供商等相关企业和平台的恶意攻击达 280 余万次;今年 6 月的某次信息安全事件中,约有 330 万汽车的车主和潜在客户的个人信息遭到泄露。
数据安全管理到了刻不容缓的时候,而《规定》的出台让汽车行业的数据安全有了遵循依据,更给了广大用户一颗安心驾驶的定心丸。
《规定》界定了汽车数据和监管主体,提出了 4 项推荐的数据处理原则,同时明确了数据处理者的义务,并制定跨境数据传输规则,初步建立起中国汽车数据安全的合规框架。
腾讯安全数据安全专家刘海洋认为,《规定》首次对 " 汽车数据处理者 " 和 " 重要数据 " 类型等内容做了清晰的界定。如 " 汽车数据处理者 " 不仅限于惯性认知中的汽车制造商、零部件和软件供应商等,还包括经销商、维修机构以及出行服务企业。同时,《规定》落实了年度报告制度,汽车数据处理者应当按时主动报送年度汽车数据安全管理情况,这意味着国家的监管力度已经更强,向系统化管理迈出重要一步。
从事件驱动转为合规驱动
安全能力提升势在必行
" 在过去,车联网安全其实还处于行业教育阶段,更多由事件驱动,只有当漏洞被发现或者出现安全事故,相关方才会采取行动,而《规定》的施行让行业转变为合规驱动,汽车数据处理者必须安全合规,否则就将违法。" 张康提道。
早在 2015 年,腾讯就开始研究车联网的安全问题并推动行业教育。2016 年发布了关于特斯拉的安全研究案例,实现了远程控制车辆的状态,包括在行驶状态下的刹车、折叠后视镜等。自 2016 年至 2021 年,实验室每年发布智能网联汽车的研究案例,研究特斯拉、宝马、丰田及奔驰的网联、高级辅助驾驶等功能和架构,验证了腾讯在车联网安全的研究能力,帮助车企解决现有问题,并告诫车联网安全的重要性。张康认为,今年作为车联网法规的元年,对于车企而言,更多需要能力建设,成立自己的信息安全团队,由专门负责车联网信息安全的团队统一整改、牵头,从而加强车辆网络安全和数据安全。
目前,政府仍在逐步补齐和完善汽车数据监管体系和方法,在《数据安全法》《个人信息保护法》等上位法的框架下,进一步推动完善《智能网联汽车生产企业及产品准入管理指南》、《汽车数据安全管理若干规定》等规则制度的相关实施细则,明确企业的数据安全保护责任,完善汽车数据安全保护体系。
当然,合规非最终目的,它将原先漫长的行业教育进程加快,极速形成了普遍的认知共识,而这只是迈向真正实现车联网数据安全的起点。对于当下的车企而言,自身安全能力的提升也同样重要,适配智驾环境的技术手段的缺乏(如采集图像及视频的模糊化、匿名化处理)、车载系统及外部组件的未知风险漏洞等诸多问题,都在制约着数据安全的发展进程。
坚守安全底线
四部曲建设安全能力
车企如何更好地应对合规时代的要求?在自主建设安全能力框架方面,刘海洋抛出了 " 提升四部曲 " 的建议:
1. 数据资产和数据场景的梳理:梳理企业的数据资产和数据场景(如大数据处理加工分析、智驾数据的标注、第三方委托处理等)的重要内容,为技术管控、合规应对、管理体系建设做好基础铺垫;
2. 企业自身合规的评估分析:正如《个人信息保护法》《数据安全法》当中所提到的,作为数据处理者要定期开展合规审计,评估自身的数据管控状态和合规状态,并进行合规差距分析;
3. 查漏补缺,提升安全硬实力:针对性地对所缺乏的安全技术做提升,一般包括数据加解密、数据脱敏、电子认证等核心内容;
4. 管理制度与稽核流程的建立:建立企业的数据安全管理制度,对数据安全保护义务进行落实,并通过稽核的手段保证汽车数据运转处于合规状态。
同时,车联网的数据量级大、主体多、链条长,也意味着单点风险解决方式收效甚微。而通过车联网安全技术的联合深度共建,形成全流程一体化的解决方案,将能够有效、全面地加快车企安全能力的提升。
