網(wǎng)聯(lián)自動(dòng)駕駛汽車（CAVs）網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及法律問題研究
——以英國(guó)、美國(guó)最佳實(shí)踐為視角

董新新

（西南政法大學(xué) 民商法學(xué)院；重慶401120）

一、CAVs①網(wǎng)聯(lián)自動(dòng)駕駛汽車（Connected and Automated Vehicles），又稱“智能網(wǎng)聯(lián)汽車”，簡(jiǎn)稱CAVs。網(wǎng)絡(luò)安全現(xiàn)狀概述

汽車產(chǎn)業(yè)正經(jīng)歷基于新一代移動(dòng)互聯(lián)技術(shù)的變革時(shí)期，這種因外界力量導(dǎo)致的變革將引發(fā)整個(gè)汽車產(chǎn)業(yè)的革命，甚至?xí)?duì)社會(huì)發(fā)展帶來重大影響。智能汽車有兩個(gè)快速發(fā)展路徑，一個(gè)是以傳統(tǒng)汽車為主，不斷地自動(dòng)化；另外一個(gè)是移動(dòng)互聯(lián)，不斷地網(wǎng)聯(lián)化。在自動(dòng)化的基礎(chǔ)上，需要傳統(tǒng)的機(jī)電技術(shù)，需要講工匠精神、工匠文化，這兩種發(fā)展結(jié)合，我們稱之為智能網(wǎng)聯(lián)汽車。CAVs運(yùn)營(yíng)依賴于復(fù)雜的軟件系統(tǒng)及技術(shù)升級(jí)，每一輛智能汽車構(gòu)造包含超過60個(gè)嵌入式電子控制單元（ECU）及一系列外部有線②有線接口例如USB,CD/DVD，和SD卡等。/無線③無線接口例如藍(lán)牙，Wi-Fi，無線電頻率近場(chǎng)通信（NFC）、全球移動(dòng)通信系統(tǒng)（GSM）/碼分多址（CDMA）和通用移動(dòng)通信系統(tǒng)（UMTS）等。接口。車聯(lián)網(wǎng)以“兩端一云”為主體，路基設(shè)施為補(bǔ)充，包括智能網(wǎng)聯(lián)汽車、移動(dòng)智能終端、車聯(lián)網(wǎng)服務(wù)平臺(tái)等對(duì)象，涉及車-云通信、車車通信、車-人通信、車-路通信、車內(nèi)通信五個(gè)通信場(chǎng)景。不斷增加的功能集，內(nèi)部和外部網(wǎng)絡(luò)的相互連接及復(fù)雜的網(wǎng)絡(luò)數(shù)據(jù)通信，一方面使得CAVs更具舒適性、便捷性，另一方面也產(chǎn)生網(wǎng)絡(luò)安全漏洞、信息數(shù)據(jù)泄露等一系列網(wǎng)絡(luò)安全問題。

為應(yīng)對(duì)在CAVs的廣泛概念下的各種網(wǎng)絡(luò)安全問題，大多數(shù)支持此項(xiàng)科技創(chuàng)新的政府都提出了一種階段性的防護(hù)策略，以支持技術(shù)的開發(fā)、部署。例如，英國(guó)運(yùn)輸部（DfT）及國(guó)家基礎(chǔ)保護(hù)中心（CPNI）于2017年8月6日公布《網(wǎng)聯(lián)和自動(dòng)駕駛汽車車輛網(wǎng)絡(luò)安全的關(guān)鍵原則》（The key principles of vehicle cyber security for connected and automated vehicles）即“自動(dòng)駕駛汽車網(wǎng)絡(luò)安全指南”（后文簡(jiǎn)稱《關(guān)鍵原則》），①該指南是英國(guó)運(yùn)輸部門（The Department for Transport），與國(guó)家基礎(chǔ)設(shè)施的保護(hù)中心（The Centre for the Protection of National Infrastructure）合作，建立的適用于整個(gè)汽車行業(yè)，CAVs,ITS生態(tài)系統(tǒng)及其供應(yīng)鏈的關(guān)鍵原則。本指南中的8個(gè)原則闡述了汽車行業(yè)如何確保在各個(gè)級(jí)別（從設(shè)計(jì)和工程師到供應(yīng)商和高級(jí)管理人員）正確地考慮到網(wǎng)絡(luò)安全。（于2017年8月6日公布）。嘗試在當(dāng)前的立法中制定風(fēng)險(xiǎn)和責(zé)任，以及考慮新的方法來管理CAVs運(yùn)營(yíng)。［1］美國(guó)國(guó)家公路交通管理局（NHTSA）采用一種多方面的研究方法，利用國(guó)家標(biāo)準(zhǔn)和技術(shù)網(wǎng)絡(luò)安全框架，與汽車行業(yè)合作，積極應(yīng)對(duì)汽車網(wǎng)絡(luò)安全挑戰(zhàn)，并不斷尋求降低相關(guān)安全風(fēng)險(xiǎn)的方法。NHTSA于2016年10月發(fā)布《現(xiàn)代汽車的網(wǎng)絡(luò)安全最佳實(shí)踐》（Cybersecurity Best Practices for Modern Vehicles）（后文簡(jiǎn)稱《最佳實(shí)踐》），②NHTSA《現(xiàn)代汽車的網(wǎng)絡(luò)安全最佳實(shí)踐》（2016.10）（NO.HS 812 333）。該文件描述了美國(guó)國(guó)家公路交通安全管理局對(duì)汽車工業(yè)的非約束性指導(dǎo)，以改進(jìn)機(jī)動(dòng)車的網(wǎng)絡(luò)安全。該文件旨在涵蓋所有機(jī)動(dòng)車輛的網(wǎng)絡(luò)安全問題，因此適用于所有制造和設(shè)計(jì)車輛系統(tǒng)和軟件的個(gè)人和組織。該文件提出了監(jiān)管框架，鼓勵(lì)自動(dòng)駕駛技術(shù)的安全開發(fā)、測(cè)試、布置，旨在促進(jìn)CAVs網(wǎng)絡(luò)安全，提高產(chǎn)業(yè)機(jī)動(dòng)性和市場(chǎng)效率。［2］

相較而言，我國(guó)目前沒有專門針對(duì)網(wǎng)聯(lián)自動(dòng)駕駛汽車網(wǎng)絡(luò)安全的監(jiān)管文件，中國(guó)信息通信院發(fā)布的《車聯(lián)網(wǎng)網(wǎng)絡(luò)安全白皮書（2017年）》［3］，主要從車聯(lián)網(wǎng)網(wǎng)絡(luò)安全現(xiàn)狀、威脅分析、防護(hù)策略等方面進(jìn)行分析探討，內(nèi)容多為技術(shù)性規(guī)范，旨在針對(duì)網(wǎng)聯(lián)汽車軟硬件設(shè)定相應(yīng)技術(shù)標(biāo)準(zhǔn)，并未提出相關(guān)行業(yè)監(jiān)管措施或安全保障方案。

二、CAVs網(wǎng)絡(luò)安全法律問題類型

CAVs網(wǎng)絡(luò)安全風(fēng)險(xiǎn)主要來源于智能網(wǎng)聯(lián)汽車、③1.T-BOX提供無限網(wǎng)絡(luò)通信接口，是逆向分析和網(wǎng)絡(luò)攻擊的重要對(duì)象。2.CAN總線是汽車控制中樞，是攻擊防護(hù)的底線。3.OBD接口連接汽車內(nèi)外，外接設(shè)備成為攻擊來源。此方面涉及9項(xiàng)內(nèi)容，此處僅列舉3項(xiàng)，其他內(nèi)容可查閱“《車聯(lián)網(wǎng)網(wǎng)絡(luò)安全白皮書（2017年）》”。移動(dòng)終端、④1.移動(dòng)APP成為車聯(lián)網(wǎng)標(biāo)配，應(yīng)用破解成為主要威脅。2.智能終端系統(tǒng)安全間接影響車聯(lián)網(wǎng)安全。車聯(lián)網(wǎng)服務(wù)平臺(tái)、⑤1.車聯(lián)網(wǎng)服務(wù)云平臺(tái)面臨傳統(tǒng)的云平臺(tái)安全問題。2.弱身份認(rèn)證使得車聯(lián)網(wǎng)管理平臺(tái)暴露給攻擊者，面臨網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)通信、⑥1.通信協(xié)議破解和中間人攻擊成為車-云同行主要威脅。2.惡意節(jié)點(diǎn)成為車-車通信威脅，可信通信面臨挑戰(zhàn)。3.協(xié)議破解及認(rèn)證是車聯(lián)網(wǎng)短距離通信主要威脅。數(shù)據(jù)安全和隱私保護(hù)⑦1.傳輸和存儲(chǔ)環(huán)節(jié)存在數(shù)據(jù)被竊風(fēng)險(xiǎn)。2.數(shù)據(jù)過度采集和越界使用成為隱私保護(hù)主要問題。3.數(shù)據(jù)跨境流動(dòng)問題成為威脅國(guó)家安全潛在隱患。五個(gè)方面，其中的法律責(zé)任主要指因黑客攻擊車輛網(wǎng)絡(luò)系統(tǒng)導(dǎo)致的車輛事故責(zé)任糾紛，⑧黑客攻擊主要有接觸式攻擊、非接觸式攻擊、后裝產(chǎn)品攻擊三種方式，具體如數(shù)據(jù)包重放攻擊、通信協(xié)議逆向破解、內(nèi)置防護(hù)系統(tǒng)失靈等。筆者認(rèn)為，所涉法律問題可大致歸為以下三種類型：［4］

其一，通信協(xié)議破解、中間人攻擊型。隨著CAVs技術(shù)快速發(fā)展，汽車制造商面臨著由傳感器制造商、軟件開發(fā)商和操作系統(tǒng)提供商組成的復(fù)雜的供應(yīng)鏈。如果依然僅由汽車制造商對(duì)CAVs缺陷造成的損害承擔(dān)責(zé)任，則汽車制造商將會(huì)為確保所有供應(yīng)商都符合網(wǎng)絡(luò)安全的最佳實(shí)踐而承受巨大負(fù)擔(dān)。在車輛對(duì)車輛（V2V）和車輛對(duì)基礎(chǔ)設(shè)施（V2I）交互的情況下，黑客可以利用V2V或V2I通信的故障使CAVs發(fā)生事故。這種情況下，第三方CAVs或基礎(chǔ)設(shè)施提供方是否也要承擔(dān)責(zé)任？尚有疑問。

其二，軟件系統(tǒng)更新、后續(xù)服務(wù)型。在互聯(lián)的環(huán)境中，持續(xù)的軟件更新、系統(tǒng)修復(fù)、固件檢測(cè)對(duì)于網(wǎng)絡(luò)安全維護(hù)而言舉足輕重，那么車輛制造商是否應(yīng)在汽車出售后仍繼續(xù)承擔(dān)軟件更新、漏洞修補(bǔ)的責(zé)任？若答案肯定，那么提供更新的期限、時(shí)間如何確定？如何在汽車制造商、軟件供應(yīng)商和硬件供應(yīng)商之間協(xié)調(diào)處理？如何合理分配因系統(tǒng)更新導(dǎo)致的事故責(zé)任？這些問題應(yīng)進(jìn)行慎重的法律思考。

其三，移動(dòng)終端連接、間接影響型。因網(wǎng)絡(luò)安全涉及終端用戶的切身利益，該群體成為網(wǎng)絡(luò)安全鏈條中的關(guān)鍵環(huán)節(jié)，但其缺乏對(duì)于汽車網(wǎng)絡(luò)風(fēng)險(xiǎn)的充分認(rèn)識(shí)。在此前提下，若某例安全事故的發(fā)生是因終端用戶在手機(jī)或是與汽車連接的設(shè)備上安裝不安全的軟件而導(dǎo)致的，該如何處理事故糾紛？終端用戶是否需要為此承擔(dān)責(zé)任？責(zé)任的性質(zhì)又當(dāng)為何？

三、CAVs網(wǎng)絡(luò)安全法律問題核心——民事責(zé)任的本質(zhì)變化

不難發(fā)現(xiàn)，上述三個(gè)法律問題所牽涉的責(zé)任主體已不局限于制造商一方，而是包含供應(yīng)商、軟件供應(yīng)商、軟件開發(fā)商、電信服務(wù)提供商、基礎(chǔ)設(shè)施提供商、保險(xiǎn)公司等在內(nèi)的多方主體，歸責(zé)原則也不局限于傳統(tǒng)的過錯(cuò)侵權(quán)責(zé)任。

責(zé)任內(nèi)涵及外延的本質(zhì)變化，是CAVs網(wǎng)絡(luò)安全法律問題的核心，這種通過供應(yīng)鏈傳遞的責(zé)任承擔(dān)方式，使得CAVs網(wǎng)絡(luò)安全責(zé)任與傳統(tǒng)汽車安全責(zé)任大相徑庭，究其原因，有以下三個(gè)方面：其一，在這種動(dòng)態(tài)的操作環(huán)境中，事故的發(fā)生可能不是因車輛本身的缺陷所致，而是由網(wǎng)絡(luò)延遲、帶寬受限、通信故障等網(wǎng)絡(luò)通信安全缺陷導(dǎo)致的；其二，攻擊者可能會(huì)利用不同實(shí)體的組件更新，導(dǎo)致的一些次要漏洞，這些漏洞本身并沒有經(jīng)濟(jì)價(jià)值，但通過網(wǎng)絡(luò)連接環(huán)境，可對(duì)車載系統(tǒng)完整性和車輛安全性產(chǎn)生破壞性交互影響；其三，在未來的網(wǎng)絡(luò)物理運(yùn)行環(huán)境中，CAVs的許多方面較傳統(tǒng)汽車而言，都超出了制造商預(yù)先的合理預(yù)測(cè)/測(cè)試能力。在這種情況下，僅由汽車制造商對(duì)產(chǎn)品缺陷造成的損害承擔(dān)責(zé)任，可能會(huì)造成不合理（或不現(xiàn)實(shí)）的責(zé)任負(fù)擔(dān)。

四、CAVs網(wǎng)絡(luò)安全法律問題的解決路徑——技術(shù)規(guī)范、個(gè)案分析

就上述法律問題的解決路徑，可簡(jiǎn)述為：第一步，鑒于網(wǎng)聯(lián)自動(dòng)駕駛汽車的技術(shù)高度復(fù)雜性、車載固件安全生產(chǎn)、風(fēng)險(xiǎn)控制理論、嚴(yán)格責(zé)任等要求，制造商應(yīng)承擔(dān)首要責(zé)任，供應(yīng)商、基礎(chǔ)設(shè)施供應(yīng)商、通信設(shè)備提供商、系統(tǒng)用戶等按照過錯(cuò)比例承擔(dān)責(zé)任；［5］第二步，鑒于缺陷與侵害事實(shí)之間的因果關(guān)系舉證極其不易，故對(duì)上述責(zé)任主體實(shí)行舉證責(zé)任倒置規(guī)則；［6］第三步，鑒于在目前責(zé)任體系下，生產(chǎn)者之責(zé)任承擔(dān)違背合理原則，故保險(xiǎn)公司應(yīng)基于風(fēng)險(xiǎn)分擔(dān)考慮承擔(dān)保險(xiǎn)限額責(zé)任［7］。

此解決路徑，理論上并無太大爭(zhēng)議，但能否合理分配法律責(zé)任，關(guān)鍵在于舉證證明環(huán)節(jié)能否順利實(shí)現(xiàn)。舉證責(zé)任之分配，涉及責(zé)任主體與事故原因是否存在法定義務(wù)之聯(lián)系，故分配結(jié)果究竟為何，須借助于明確的行業(yè)標(biāo)準(zhǔn)和嚴(yán)格的監(jiān)管制度。關(guān)于前者，我國(guó)《國(guó)家車聯(lián)網(wǎng)產(chǎn)業(yè)體系建設(shè)指南（智能網(wǎng)聯(lián)汽車）》（最終指南）于2017年已發(fā)布，［8］提出建立95個(gè)標(biāo)準(zhǔn)，其中20個(gè)標(biāo)準(zhǔn)涉及信息安全。關(guān)于后者，我國(guó)并沒有相關(guān)文件可做指導(dǎo)，因此，筆者擬在參考借鑒英國(guó)《關(guān)鍵原則》及美國(guó)《最佳實(shí)踐》的基礎(chǔ)上，堅(jiān)持個(gè)案分析的方法，嘗試探討上述三種CAVs網(wǎng)絡(luò)安全事故的責(zé)任分配問題。

（一）通信協(xié)議破解、中間人攻擊型事故責(zé)任分配

筆者認(rèn)為，此類網(wǎng)絡(luò)安全事故發(fā)生之根源在于車內(nèi)通信設(shè)施監(jiān)控失靈與外部基礎(chǔ)設(shè)施運(yùn)行故障，故可從以下兩個(gè)方面進(jìn)行分析：一方面，正如NHTSA指出的那樣，CAVs制造商應(yīng)當(dāng)注重“車輛內(nèi)部通信控制”設(shè)計(jì)，①NHTSA《Best Practices》：6.7.8 Control Internal Vehicle Communications.制造商在可能的情況下，須避免車輛通過公共數(shù)據(jù)總線發(fā)送安全信號(hào)，應(yīng)為ECU提供來自關(guān)鍵傳感器的專用信息輸入通道，避免公共數(shù)據(jù)總線欺騙問題，②因分離通信總線可減輕不安全車輛內(nèi)部/外部設(shè)備對(duì)車輛網(wǎng)絡(luò)的潛在影響，故如果必須在車輛通信總線上傳遞關(guān)鍵性安全信息，則該信息應(yīng)該在與車輛ECU通信總線分離的外部網(wǎng)絡(luò)接口上進(jìn)行傳輸。另一方面，關(guān)鍵的安全消息（特別是通過非分段通信總線的消息），應(yīng)采用身份驗(yàn)證方式來降低消息欺騙的可能性。

此外，《關(guān)鍵原則》指出，系統(tǒng)應(yīng)具有應(yīng)對(duì)攻擊的彈性功能，當(dāng)防御或傳感器失效時(shí)做出適當(dāng)響應(yīng)，①Principle8 the system is designed to be resilient to attacks and respond appropriately when its defenses or sensors fail.該系統(tǒng)必須能夠承受通過外部和內(nèi)部接口接收到的損壞、無效或惡意的數(shù)據(jù)或命令，包括傳感器干擾或欺騙，同時(shí)仍然可以用于車輛主要用途。汽車行業(yè)還應(yīng)建立快速的檢測(cè)和補(bǔ)救系統(tǒng)。如果檢測(cè)到網(wǎng)絡(luò)攻擊，應(yīng)盡量減少對(duì)車輛使用者或周圍道路使用者的安全風(fēng)險(xiǎn)，車輛應(yīng)及時(shí)過渡到合理的風(fēng)險(xiǎn)狀態(tài)。

通過上述分析，可知NHTSA、《關(guān)鍵原則》認(rèn)為制造商在車輛系統(tǒng)設(shè)計(jì)方面應(yīng)充分考慮現(xiàn)實(shí)道路環(huán)境中的復(fù)雜網(wǎng)絡(luò)通信故障問題，并通過安全消息傳輸線路設(shè)置、關(guān)鍵信息身份驗(yàn)證、系統(tǒng)事故響應(yīng)彈性設(shè)計(jì)等措施，降低外部基礎(chǔ)設(shè)施或第三方車輛對(duì)自身駕駛系統(tǒng)的影響。由此可知，在發(fā)生此類網(wǎng)絡(luò)安全事故時(shí)，制造商承擔(dān)無過錯(cuò)責(zé)任，但須結(jié)合其法律義務(wù)，考慮其減責(zé)或免責(zé)事由，根據(jù)事故原因結(jié)果分析，確定最終責(zé)任主體。

（二）軟件系統(tǒng)更新、后續(xù)服務(wù)型事故責(zé)任分配

關(guān)于CAVs制造商的售后服務(wù)，可大致分為以下三個(gè)方面：其一，持續(xù)的風(fēng)險(xiǎn)評(píng)估。②NHTSA《Best Practices》：6.6.1 Risk Assessment.汽車行業(yè)應(yīng)該考慮在整個(gè)運(yùn)營(yíng)供應(yīng)鏈，開發(fā)基于風(fēng)險(xiǎn)評(píng)估來預(yù)測(cè)系統(tǒng)的脆弱性或潛在影響，制定風(fēng)險(xiǎn)管理框架，持續(xù)監(jiān)測(cè)系統(tǒng)風(fēng)險(xiǎn)。其二，軟件自我更新檢測(cè)的文檔化管理。③NHTSA《Best Practices》：6.6.3 Self-Review.制造商應(yīng)建立內(nèi)部審查和網(wǎng)絡(luò)安全活動(dòng)記錄程序，（這種文檔化管理）一方面有助于企業(yè)自身更好地了解他們的網(wǎng)絡(luò)安全實(shí)踐，并在持續(xù)的軟件更新、系統(tǒng)修復(fù)過程中實(shí)現(xiàn)系統(tǒng)升級(jí)；另一方面，有助于消費(fèi)者查詢相關(guān)軟件更新信息，了解系統(tǒng)升級(jí)動(dòng)態(tài)。其三，軟件/系統(tǒng)定期更新義務(wù)。制造商應(yīng)根據(jù)行業(yè)情況確定更新時(shí)間，但如果出現(xiàn)嚴(yán)重安全威脅，則須在第一時(shí)間發(fā)布相應(yīng)的更新程序。

綜上所述，筆者認(rèn)為，若因制造商未及時(shí)發(fā)布更新程序/軟件或未通過足以引起消費(fèi)者注意的方式提醒其進(jìn)行系統(tǒng)更新，則因違反及時(shí)更新、充分提醒義務(wù)承擔(dān)相應(yīng)的法律責(zé)任。反之，若事故之產(chǎn)生，系消費(fèi)者自身疏忽所致，則不應(yīng)追究制造商責(zé)任，由消費(fèi)者自行承擔(dān)事故責(zé)任。

（三）移動(dòng)終端連接、間接影響型事故責(zé)任分配

NHTSA認(rèn)為，CAVs制造商應(yīng)當(dāng)承擔(dān)售后設(shè)備安全維護(hù)④NHTSA《Best Practices》：8.Aftermarket Devices.的義務(wù)，理由有二：一是，制造商應(yīng)該考慮到消費(fèi)者可能會(huì)通過有線/無線接口（藍(lán)牙，USB，OBD-II端口等），將售后設(shè)備（如保險(xiǎn)軟件保護(hù)器）或個(gè)人設(shè)備（如手機(jī)）與車載系統(tǒng)連接。制造商應(yīng)考慮這些移動(dòng)終端設(shè)備可能帶來風(fēng)險(xiǎn)，并提供合理的網(wǎng)絡(luò)安全保護(hù)；二是，售后設(shè)備制造商同樣應(yīng)考慮到其設(shè)備與車輛網(wǎng)絡(luò)物理系統(tǒng)相連接的情況。盡管某些系統(tǒng)的主要目的可能與安全無關(guān)（例如搜集車輛運(yùn)行數(shù)據(jù)的遙測(cè)設(shè)備），但若未得到適當(dāng)?shù)谋Ｗo(hù)，其仍可能對(duì)車輛核心安全系統(tǒng)造成間接影響。售后設(shè)備制造商可根據(jù)汽車駕駛階段、類型的差異，提供不同程度的安全保護(hù)服務(wù)。

因此，筆者認(rèn)為，既然制造商承擔(dān)售后設(shè)備安全維護(hù)義務(wù)，那么就此類型的網(wǎng)絡(luò)安全事故而言，制造商應(yīng)當(dāng)承擔(dān)主要責(zé)任（同樣，其可通過舉證證明其已盡到合理注意義務(wù)而請(qǐng)求減輕責(zé)任或免責(zé)），消費(fèi)者作為汽車實(shí)際占有人，也負(fù)有一定的安全注意義務(wù)，除非有理由相信，在連接售后設(shè)備或終端移動(dòng)設(shè)備時(shí)，其不（或不應(yīng)當(dāng)）知道網(wǎng)絡(luò)安全風(fēng)險(xiǎn)存在，否則消費(fèi)者也應(yīng)承擔(dān)一定的責(zé)任，二者的責(zé)任性質(zhì)為過錯(cuò)責(zé)任，即根據(jù)過錯(cuò)程度之不同，進(jìn)行責(zé)任大小之分配。

五、我國(guó)CAVs網(wǎng)絡(luò)安全法律制度設(shè)計(jì)的展望——生命周期管理方法論

CAVs網(wǎng)絡(luò)安全是現(xiàn)代汽車行業(yè)安全防護(hù)的重點(diǎn)，我國(guó)目前卻沒有出臺(tái)專門的法律文件對(duì)此加以規(guī)制，與此同時(shí)，英美、歐盟等先進(jìn)國(guó)家或地區(qū)，正在嘗試以制造商為責(zé)任主體，以“黑盒防護(hù)”為主線，逐步建立以“SAE J3061”①J3061《信息物理融合系統(tǒng)網(wǎng)絡(luò)安全指南》詳細(xì)定義了一個(gè)結(jié)構(gòu)化的網(wǎng)絡(luò)安全流程框架，用于指導(dǎo)建設(shè)安全要求極高的計(jì)算機(jī)系統(tǒng)。整份標(biāo)準(zhǔn)，始終在強(qiáng)調(diào)汽車網(wǎng)絡(luò)安全的系統(tǒng)工程性，即從項(xiàng)目初始就應(yīng)將信息安全納入到系統(tǒng)設(shè)計(jì)中考量，并在其整個(gè)生命周期中提供有效保護(hù)，也就是貫穿于車輛產(chǎn)品設(shè)計(jì)、研發(fā)、制造、維修、回收等各環(huán)節(jié)。安全生命周期管理為基礎(chǔ)、以軟硬件安全防護(hù)為保障的防護(hù)體系，抵御攻擊破解和逆向分析，保護(hù)智能網(wǎng)聯(lián)汽車安全。

職是之故，建議我國(guó)CAVs網(wǎng)絡(luò)安全法律制度設(shè)計(jì)應(yīng)在借鑒英美最佳實(shí)踐的基礎(chǔ)上，采取一種將網(wǎng)絡(luò)安全視為“系統(tǒng)安全”重要組件的綜合治理方法：創(chuàng)建適當(dāng)嵌套的責(zé)任層，及跨越供應(yīng)鏈和操作環(huán)境的測(cè)試/監(jiān)控制度，要求汽車制造商、供應(yīng)商和監(jiān)管機(jī)構(gòu)之間持續(xù)對(duì)話，以確保車輛網(wǎng)絡(luò)安全在相關(guān)標(biāo)準(zhǔn)中得到整合。具體而言，除前文提及的“制造商法律義務(wù)”設(shè)置外，還可借鑒以下做法：

（一）策劃設(shè)計(jì)階段

CAVs前期策劃是汽車研發(fā)和汽車項(xiàng)目建立的關(guān)鍵環(huán)節(jié)，汽車行業(yè)的安全責(zé)任體系是安全生產(chǎn)的靈魂，為明確安全責(zé)任，劃分（界定）安全管理和具體執(zhí)行之間的工作職責(zé)，我國(guó)應(yīng)建立汽車制造商安全責(zé)任制度，根據(jù)汽車功能特征進(jìn)行威脅建模，明確各項(xiàng)功能安全性，并為重要的策略設(shè)計(jì)分配預(yù)算。

1.英國(guó)DfT&CPNI《關(guān)鍵原則》相關(guān)做法

（1）組織上從董事會(huì)層面重視、管理和促進(jìn)信息安全②Principle1organizational security is owned,governed and promoted at board level.

原則要求制造商企業(yè)有一個(gè)與組織使命和目標(biāo)一致的安全計(jì)劃（security program），在董事會(huì)層面實(shí)行個(gè)人問責(zé)制（Personal accountability），旨在實(shí)現(xiàn)產(chǎn)品或系統(tǒng)安全，在整個(gè)組織中進(jìn)行正確和清晰的授權(quán)。此外，所有的新設(shè)計(jì)都應(yīng)采用安全設(shè)計(jì)（Security by Design）。在開發(fā)安全的ITS③智能交通系統(tǒng)（Intelligent Transport System），簡(jiǎn)稱：ITS。/CAV系統(tǒng)時(shí)，遵循安全設(shè)計(jì)原則，并且涉及的所有方面（物理、人員和網(wǎng)絡(luò)）均被集成到產(chǎn)品和服務(wù)開發(fā)流程中。

（2）系統(tǒng)采用縱深防御設(shè)計(jì)④Principle5 Systems are designed using a defense-in-depth approach.

原則指出，系統(tǒng)的安全性不能依賴于單點(diǎn)故障（single points of failure）、隱藏的安全性或任何無法隨時(shí)更改的內(nèi)容。安全架構(gòu)應(yīng)采用防御深度和分段（defense-in-depth&segmented）的技術(shù)，試圖通過監(jiān)控、警報(bào)、隔離、減少攻擊表面、信任層/邊界和其他安全協(xié)議等輔助控制來降低風(fēng)險(xiǎn)。

2.美國(guó)NHTSA《最佳實(shí)踐》相關(guān)做法

（1）具有明確的網(wǎng)絡(luò)安全考慮的車輛開發(fā)過程⑤NHTSA《Best Practices》：6.1 Vehicle Development Process With Explicit Cybersecurity Considerations.

汽車行業(yè)應(yīng)該遵循一個(gè)基于系統(tǒng)工程方法的產(chǎn)品開發(fā)過程，目標(biāo)是設(shè)計(jì)不存在不合理安全風(fēng)險(xiǎn)的系統(tǒng)，包括潛在的網(wǎng)絡(luò)安全威脅和漏洞。公司應(yīng)通過使用系統(tǒng)或程序來評(píng)估風(fēng)險(xiǎn)，使網(wǎng)絡(luò)安全成為優(yōu)先事項(xiàng)（make cybersecurity a priority）。

（2）以產(chǎn)品網(wǎng)絡(luò)安全為重點(diǎn)⑥NHTSA《Best Practices》：6.2 Leadership Priority on Product Cybersecurity.

對(duì)于汽車行業(yè)來說，創(chuàng)造企業(yè)優(yōu)先事項(xiàng)和培養(yǎng)應(yīng)對(duì)復(fù)雜網(wǎng)絡(luò)安全的挑戰(zhàn)文化是至關(guān)重要的。在這一方面，NHTSA建議汽車制造商將車輛網(wǎng)絡(luò)安全的重要性放在首位（prioritized vehicle cybersecurity）

（二）生產(chǎn)階段

在這一階段，汽車制造商及零部件供應(yīng)商開始將設(shè)計(jì)的硬件和軟件進(jìn)行車輛組裝，這是信息對(duì)策的重要環(huán)節(jié)。應(yīng)考慮如何在開發(fā)流程中集成安全性，找出關(guān)鍵的安全性對(duì)象，盡量提升代碼安全性并減少對(duì)計(jì)劃和日程的影響，同時(shí)加強(qiáng)供應(yīng)商產(chǎn)品的質(zhì)量安全管理。

1.英國(guó)DfT&CPNI《關(guān)鍵原則》相關(guān)做法

該指南在“所有組織，包括分包商、供應(yīng)商和潛在的第三方，必須共同合作以加強(qiáng)系統(tǒng)信息安全”①Principle 4all organizations,including sub-contractors,suppliers and potential 3rd parties,work together to enhance the security of the system.部分論述到：包括供應(yīng)商和第三方在內(nèi)的組織必須提供生產(chǎn)過程和產(chǎn)品質(zhì)量的安全保證，例如獨(dú)立驗(yàn)證或認(rèn)證；必須確定并確認(rèn)供應(yīng)鏈中所有供應(yīng)品的真實(shí)性和來源；必須計(jì)劃如何識(shí)別和管理外部依賴關(guān)系，包括安全地與外部設(shè)備進(jìn)行連接（包括生態(tài)系統(tǒng)）、服務(wù)（包括維護(hù)）、操作或控制等。此外，如果傳感器或外部數(shù)據(jù)的準(zhǔn)確性或可用性對(duì)自動(dòng)化功能至關(guān)重要，那么相關(guān)輔助措施也必須加以使用。

2.美國(guó)NHTSA《最佳實(shí)踐》相關(guān)做法

該文件在“6.7基礎(chǔ)車輛網(wǎng)絡(luò)安全保護(hù)”②NHTSA《Best Practices》：6.7 Fundamental Vehicle Cybersecurity Protections.部分重點(diǎn)關(guān)注生產(chǎn)固件及訪問權(quán)限問題，主要內(nèi)容涉及限制開發(fā)者/調(diào)試生產(chǎn)設(shè)備的訪問、控制鍵、控制車輛維修診斷訪問、修改固件的限制能力、在車輛使用分割和隔離技術(shù)架構(gòu)設(shè)計(jì)、控制內(nèi)部車輛通信等11個(gè)方面。

（三）交付使用階段

這一階段涉及威脅情報(bào)分析預(yù)警、智能網(wǎng)聯(lián)汽車安全運(yùn)營(yíng)、安全事件應(yīng)急響應(yīng)等三個(gè)方面的內(nèi)容。一方面，制造商應(yīng)真正做到安全事件提前預(yù)警，及時(shí)獲取安全預(yù)警信息的來源，確保信息來源的準(zhǔn)確性、全面性，另一方面，應(yīng)將安全事件預(yù)防、發(fā)現(xiàn)、處置到威脅情報(bào)共享環(huán)節(jié)打通，踏實(shí)落地安全運(yùn)營(yíng)，提升數(shù)據(jù)化監(jiān)測(cè)能力，為后期市場(chǎng)運(yùn)營(yíng)奠定基礎(chǔ)。

1.英國(guó)DfT&CPNI《關(guān)鍵原則》相關(guān)做法

指南在“安全風(fēng)險(xiǎn)評(píng)估”部分③Principle2 Security risks are assessed and managed appropriately and proportionately.要求制造商在組織機(jī)構(gòu)內(nèi)部已建立安全風(fēng)險(xiǎn)評(píng)估和管理程序，確定識(shí)別、分類、優(yōu)先級(jí)化和安全風(fēng)險(xiǎn)處理的明確規(guī)則。

2.美國(guó)NHTSA《最佳實(shí)踐》相關(guān)做法

（1）漏洞報(bào)告/披露政策④NHTSA《Best Practices》：6.4 Vulnerability Reporting/Disclosure Policy.

NHTSA支持信息共享的附加機(jī)制，例如漏洞報(bào)告/披露程序。汽車行業(yè)的成員可考慮制定自身漏洞報(bào)告/披露政策，或采用其他部門或技術(shù)標(biāo)準(zhǔn)中使用的政策。這些政策將為制造商外部網(wǎng)絡(luò)安全研究員提供指導(dǎo)，指導(dǎo)其如何設(shè)計(jì)車輛系統(tǒng)的漏洞披露制度。

（2）漏洞/開發(fā)/事件響應(yīng)程序⑤NHTSA《Best Practices》：6.5 Vulnerability/Exploit/Incident Response Process.

CAVs制造商應(yīng)該建立漏洞/開發(fā)/事件響應(yīng)程序，包括影響評(píng)估、控制、恢復(fù)、補(bǔ)救措施及相關(guān)測(cè)試程序。此程序應(yīng)清楚地列出組織內(nèi)每個(gè)負(fù)責(zé)小組的作用和責(zé)任，并明確內(nèi)部和外部協(xié)調(diào)的要求。

此外，CAVs制造商應(yīng)定期評(píng)估其程序的有效性，并記錄每個(gè)被識(shí)別和報(bào)告的漏洞、開發(fā)或事件的細(xì)節(jié)，這些文檔應(yīng)該包括從開始到配置的各種信息。響應(yīng)程序應(yīng)及時(shí)報(bào)告所有事件、漏洞，任何事件也應(yīng)根據(jù)美國(guó)CERT聯(lián)邦事件通知準(zhǔn)則US-CERT或工業(yè)控制系統(tǒng)CERT報(bào)告。

（四）其他相關(guān)措施

1.網(wǎng)絡(luò)安全意識(shí)與培訓(xùn)⑥NHTSA《Best Practices》：7.Education.

NHTSA認(rèn)為，職工的受教育背景對(duì)提高CAVs網(wǎng)絡(luò)安全至關(guān)重要。該機(jī)構(gòu)的理念是，網(wǎng)絡(luò)安全教育活動(dòng)不應(yīng)局限于現(xiàn)有的勞動(dòng)力或技術(shù)人員，應(yīng)涉及未來的勞動(dòng)力和非技術(shù)人員。NHTSA支持包括SAE/Battelle Cyber Auto Challenge在內(nèi)的網(wǎng)絡(luò)安全元素教育競(jìng)賽，并在2014年的《網(wǎng)絡(luò)增強(qiáng)法案（PL113-274，Title IV）》和“增強(qiáng)安全性車輛（ESV）學(xué)生設(shè)計(jì)比賽”中提出國(guó)家網(wǎng)絡(luò)安全教育計(jì)劃（NICE）。

2.數(shù)據(jù)安全防護(hù)①DfT&CPNI《關(guān)鍵原則》：原則7.數(shù)據(jù)存儲(chǔ)與傳輸?shù)陌踩刂疲═he storage and transmission of data is secure and can be controlled）.

數(shù)據(jù)在存儲(chǔ)和傳輸時(shí)必須具有足夠的安全性（保密性和完整性），確保只有預(yù)期的接收方或系統(tǒng)設(shè)備具有接收或訪問權(quán)限。在驗(yàn)證之前，傳入的通信數(shù)據(jù)應(yīng)被視為不安全的。

個(gè)人可識(shí)別的數(shù)據(jù)（Personally identifiable data）必須妥善管理。這包括：存儲(chǔ)的內(nèi)容（ITS/CAV系統(tǒng)）、傳輸?shù)膬?nèi)容、數(shù)據(jù)的使用及數(shù)據(jù)所有者的控制過程。在某些情況下，發(fā)送到其他系統(tǒng)的數(shù)據(jù)將被及時(shí)清理。此外，用戶可以刪除在系統(tǒng)上保存的敏感數(shù)據(jù)。

余 論

CAVs網(wǎng)絡(luò)安全的重要性在未來的汽車發(fā)展過程中將逐步凸顯，其中涉及的法律問題將是法律工作者不可回避且亟待解決的現(xiàn)實(shí)問題，但由于CAVs的高度技術(shù)性，法律尤其民法只能提供糾紛解決思路、探索問題解決路徑，至于如何通過歸責(zé)原則劃分責(zé)任主體，如何通過舉證責(zé)任倒置規(guī)則實(shí)現(xiàn)訴訟風(fēng)險(xiǎn)分配，如何通過糾紛解決實(shí)現(xiàn)公平正義，尚須借助相關(guān)行業(yè)標(biāo)準(zhǔn)及監(jiān)管制度的不斷完善。我國(guó)政府應(yīng)積極規(guī)劃和部署CAVs網(wǎng)絡(luò)安全建設(shè)，以CAVs制造商網(wǎng)絡(luò)安全義務(wù)為基點(diǎn)，構(gòu)建全鏈條的綜合立體防御體系。相應(yīng)地，司法實(shí)踐應(yīng)將行業(yè)標(biāo)準(zhǔn)及監(jiān)管制度作為責(zé)任主體過錯(cuò)與否的客觀判斷標(biāo)準(zhǔn)及可否免責(zé)的說理依據(jù)，以此實(shí)現(xiàn)科技創(chuàng)新與利益保護(hù)的最大平衡。