我國智能網聯汽車信息安全法律法規(guī)體系現狀及發(fā)展建議

文／中國汽車技術研究中心有限公司 王金明 劉宇 張怡凡

隨著智能化、網聯化程度不斷提升，智能網聯汽車信息安全問題日益嚴峻，特別是近年來發(fā)生多起汽車信息安全召回事件，引發(fā)了行業(yè)高度關注。智能網聯汽車的信息安全問題不僅能夠造成個人隱私泄露、企業(yè)經濟損失，還可能造成車毀人亡的嚴重后果，甚至上升成為國家公共安全問題。盡管當前智能網聯汽車的安全漏洞尚未被廣泛利用，但是據統(tǒng)計，約56%的消費者表示信息安全和隱私保護將成為他們未來購買車輛時主要考慮的因素。由此可見，智能網聯汽車信息安全已經成為汽車產業(yè)甚至全社會共同關注的焦點。

一、智能網聯汽車信息安全概述

智能網聯汽車信息安全主要包含四個方面：終端安全、網絡安全、云平臺安全以及信息數據安全。其中，終端安全主要指信息交互過程中來源于通信終端本身的威脅。以智能網聯汽車為例，通信過程會涉及到TBOX、路側設備、手機等多種終端設備，其本身的信息安全防護能力將對智能網聯汽車信息安全產生影響；網絡安全主要指車內、車－人、車－車、車－路、車－平臺之間的信息網絡安全，主要涉及車內網絡、車際網絡和車載移動互聯網絡等安全內容；云平臺安全主要指提供車輛管理與信息內容服務的云端平臺安全，其負責車輛及相關設備信息的匯聚、計算、監(jiān)控和管理，是車聯網數據匯聚與遠程管控的核心；信息數據安全主要指智能網聯汽車系統(tǒng)在運行過程中的數據采集、傳輸、開發(fā)利用、存儲、備份與恢復、刪除等過程安全，也包括但不僅限于用戶信息、車輛信息及軟件信息等內容安全。

二、智能網聯汽車信息安全法律法規(guī)體系現狀

我國長期重視信息安全領域發(fā)展，目前已出臺了一系列法律法規(guī)進行規(guī)范引導，包括《中華人民共和國網絡安全法》、《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《中華人民共和國電子簽名法》等。此外，備受關注的《個人信息保護法》、《數據安全法》等也已列入2020年度全國人大立法計劃。由于目前尚未出臺專門的智能網聯汽車信息安全法律法規(guī)，相關要求散見于多部法律法規(guī)中，總體實現了對終端安全、網絡安全、云平臺安全、信息數據安全等方面的管理覆蓋。

在終端安全環(huán)節(jié)，我國對網絡關鍵設備及網絡安全專用產品實施安全認證/檢測制度。符合安全標準的產品設備是保障信息安全的基礎，為此我國在《中華人民共和國網絡安全法》第二十三條中提出網絡關鍵設備和網絡安全專用產品應當按照國家相關標準的強制性要求，由具備資格的機構認證或檢測符合要求后，方可銷售或者提供。此外，國家互聯網信息辦公室會同工信部、公安部、認監(jiān)委制定和發(fā)布了《網絡關鍵設備和網絡安全專用產品目錄》，加強了網絡關鍵設備和網絡安全專用產品安全管理，推動安全認證和安全檢測結果互認，避免重復認證、檢測。

在網絡安全環(huán)節(jié)，《中華人民共和國網絡安全法》規(guī)定我國全面實施網絡安全等級保護制度，《GB/T 25058-2019 信息安全技術 網絡安全等級保護實施指南》則明確了對等級保護對象實施網絡安全等級保護的過程。同時，由于網絡運營者事實上能夠掌握網絡運行過程中的大量關鍵信息數據，是數據信息傳遞和安全保障的關鍵角色，我國對其提出了包括缺陷補救、及時告知、安全維護等在內的嚴格的管理要求，有效保障了網絡安全。

在云平臺安全環(huán)節(jié)，我國全面開展信息系統(tǒng)安全等級保護工作?！吨腥A人民共和國計算機信息系統(tǒng)安全保護條例》規(guī)定我國對計算機信息系統(tǒng)實行安全等級保護，《信息安全等級保護管理辦法》則將信息系統(tǒng)的安全保護分為五個等級。由于云平臺服務器受到破壞后，會對國家安全、社會秩序和公共利益造成嚴重損害，故其應該屬于第三級或更高級，其運營、使用單位應當依據國家管理規(guī)范和技術標準進行保護，網信辦對其信息安全等級保護工作進行監(jiān)督、檢查。

表1 智能網聯汽車信息安全相關法律法規(guī)概況

在信息數據安全環(huán)節(jié)，全國人大、工信部、網信辦等管理部門相繼出臺多部法律法規(guī)持續(xù)加強對個人信息及重要數據的管理。全國人大頒布了《中華人民共和國網絡安全法》，明確網絡運營者應當對收集的用戶信息嚴格保密，并建立健全用戶信息保護制度；關鍵信息基礎設施運營者在我國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。國務院也出臺了《中華人民共和國計算機信息系統(tǒng)安全保護條例》，明確要求公安部負責針對計算機病毒及危害社會公共安全的其他有害數據開展防治研究工作。（見表1）

三、法律法規(guī)問題點分析

1、產品準入管理環(huán)節(jié)缺少信息安全防護能力審查

我國對汽車產品實施準入管理，在產品獲得準入資格前需滿足相關檢測要求。根據現行《道路機動車輛產品準入審查要求》，汽車產品準入需要滿足安全、環(huán)保、節(jié)能、防盜等國家標準，其中安全要求主要包括一般安全、主動安全、被動安全三方面內容。由于目前適用標準多集中于汽車產品性能、零部件質量等方面，缺少信息安全防護類標準，將導致目前已上市及未來一段時間內將上市的智能網聯汽車產品信息安全防護能力良莠不齊，存在發(fā)生信息安全事故的隱患。

2、信息數據直接出境受到限制

智能網聯汽車運行所需網絡及相關設施屬于重要行業(yè)領域的關鍵信息基礎設施，同時其又具有“一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益”的屬性，按照《中華人民共和國網絡安全法》第三十七條規(guī)定，關鍵信息基礎設施運營者在我國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業(yè)務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。因此，外資品牌汽車企業(yè)在我國境內收集產生的數據將無法直接向境外母公司傳輸，該規(guī)定對此類業(yè)務具有重要影響。

3、未明確智能網聯汽車網絡安全等級保護具體實施要求

智能網聯汽車網絡生態(tài)體系正在快速發(fā)展，其對網絡安全高要求、零容忍的特點使得貫徹落實網絡安全等級保護制度成為保障信息安全的重中之重?！吨腥A人民共和國網絡安全法》提出網絡運營者應當按照網絡安全等級保護制度的要求履行安全義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改。但由于目前我國尚未出臺針對智能網聯汽車網絡安全等級保護的具體實施文件，在智能網聯汽車相關網絡系統(tǒng)定級、安全規(guī)劃設計、安全實施/實現、安全運行管理與系統(tǒng)終止等執(zhí)行層面缺乏操作指導，保護要求落實存在不充分、不到位的情況，不利于智能網聯汽車網絡安全保護工作開展。

四、發(fā)展建議

1、推動落實智能網聯汽車網絡安全保護工作。出臺指導開展智能網聯汽車網絡安全等級保護工作的具體實施文件，定期組織開展安全監(jiān)督檢查，完善安全事件通報、應急處置和責任認定等安全管理制度。同時推動企業(yè)、研究機構等加大網絡安全技術研發(fā)力度，完善技術標準，保障智能網聯汽車網絡安全。

2、建立智能網聯汽車產品信息安全能力審查制度。出臺包含信息安全防護能力審查要求的智能網聯汽車產品準入管理制度，從源頭上保障汽車產品具備基本的信息安全防護能力，減少信息安全事故發(fā)生。同時，加快相關檢測標準的研究制定，為信息安全能力審查提供依據。

3、加強個人信息及重要數據安全管控。加速出臺個人信息和重要數據出境安全評估管理制度及具體措施，明確管理范圍及過程，對于涉及國家安全等重要事項的數據繼續(xù)實施嚴格管理；推動建立智能網聯汽車相關個人信息及數據安全管理體系，加快制定智能網聯汽車數據使用及管理辦法，制定數據分類管理標準，明確相關主體責任及要求，實現個人信息及數據的合規(guī)、合理利用。