車聯(lián)網安全管理：基于標準的規(guī)范體系建設

石濤

今年，車聯(lián)網、網聯(lián)車的數據安全管理規(guī)范文件連續(xù)出臺，參與制訂文件的黨政機構包括國家互聯(lián)網信息辦公室、國家發(fā)展和改革委員會、工業(yè)和信息化部、公安部、交通運輸部、國家市場監(jiān)督管理總局、國家標準化管理委員會等。

4月28日，國家標準《信息安全技術 網聯(lián)汽車 采集數據的安全要求》（草案）完成。標準草案由國家市場監(jiān)督管理總局、國家標準化管理委員會發(fā)布，以征求反饋意見。6月，工業(yè)和信息化部組織編制完成《車聯(lián)網（智能網聯(lián)汽車）網絡安全標準體系建設指南》（征求意見稿）。8月12日，工業(yè)和信息化部發(fā)布《關于加強智能網聯(lián)汽車生產企業(yè)及產品準入管理的意見》。9月16日，工業(yè)和信息化部發(fā)出《關于加強車聯(lián)網網絡安全和數據安全工作的通知》。10月1日，國家互聯(lián)網信息辦公室、國家發(fā)展和改革委員會、工業(yè)和信息化部、公安部、交通運輸部聯(lián)合制訂的《汽車數據安全管理若干規(guī)定（試行）》開始施行。

設立標準是管理的基礎

細讀這些規(guī)范文件，不難發(fā)現各相關主管部門把完善標準作為加強車聯(lián)網、網聯(lián)車數據安全管理的基礎性工作來安排，同時通過試行若干規(guī)定來檢驗標準規(guī)范的有效性。對制訂標準本身，也編制了標準體系建設指南。完善標準的任務時段則定在“十四五”期間。10月11日，市場監(jiān)管總局以“標準促進可持續(xù)發(fā)展”為主題召開專題新聞發(fā)布會，工信部裝備工業(yè)一司副司長郭守剛在會上簡要介紹了汽車信息安全相關4項國家標準的情況。這4項國標是《汽車信息安全通用技術要求》《車載信息交互系統(tǒng)信息安全技術要求及試驗方法》《汽車網關信息安全技術要求及試驗方法》《電動汽車遠程服務與管理系統(tǒng)信息安全技術要求及試驗方法》，由工信部和市場監(jiān)管總局組織制訂，經過草案公開廣泛征集意見、充分測試驗證以確定技術內容等階段，10月11日正式發(fā)布。

郭守剛把4項汽車信息安全國家標準概括為“一項指南、三大典型應用”。《汽車信息安全通用技術要求》是其中的“指南性”標準，考慮汽車信息安全風險危害、誘因，以及系統(tǒng)性防御策略，從保護對象的8個方面——真實性、保密性、完整性、可用性、訪問可控性、抗抵賴、可核查性、可預防性，明確了通用技術要求，用于整車及零部件信息安全開發(fā)和汽車信息安全事故信息采集、處置。另3項標準則對應車載信息交互、網關信息安全、遠程服務與管理系統(tǒng)信息安全等三大典型應用，為汽車尤其是智能網聯(lián)汽車典型的、易受攻擊的應用場景設立信息安全標準。4項國家標準在標準化對象、目的、應用實施等方面各有側重，是汽車行業(yè)在信息安全領域的首批基礎性國家標準。

今年4月公布草案，正處于公開廣泛征集意見階段的《信息安全技術 網聯(lián)汽車 采集數據的安全要求》，規(guī)定了網聯(lián)汽車采集的數據在傳輸、存儲和跨境等環(huán)節(jié)的安全要求，適用于規(guī)范具有聯(lián)網功能的量產乘用車數據處理相關活動，也適用于相關部門、第三方測評機構等組織開展網聯(lián)汽車數據處理監(jiān)管、評估工作。標準草案的基本要求是“不得基于網聯(lián)汽車所采集數據及經其處理得到的數據開展與車輛管理、行駛安全無關的數據處理活動”，另從數據傳輸、數據存儲、數據跨境三個環(huán)節(jié)做出規(guī)定，保障數據安全，尤其是用戶隱私數據安全。

剛剛（10月11日）正式發(fā)布的首批汽車信息安全國標，以及正在制訂、還將繼續(xù)制訂的汽車信息安全標準，是開展車聯(lián)網、網聯(lián)車數據安全管理工作的基礎，對于提升我國汽車產品的信息安全防護技術水平，強化風險防范和應對網絡攻擊能力，保障消費者的數據隱私安全，提高信息安全事故處置能力等都具有重要意義。目前，工信部6月組織編制完成的《車聯(lián)網（智能網聯(lián)汽車）網絡安全標準體系建設指南》正在公開征求意見，等到《指南》開始實施，“十四五”期間的相關標準建設工作就有了可依據的藍圖。

多項規(guī)則各有側重

在汽車信息安全標準建設之外，還需要適時頒布管理規(guī)定、推行管理意見、開展安全工作?？疾旖衲臧l(fā)布的《關于加強智能網聯(lián)汽車生產企業(yè)及產品準入管理的意見》《關于加強車聯(lián)網網絡安全和數據安全工作的通知》《汽車數據安全管理若干規(guī)定（試行）》等文件，可以看出多項規(guī)則各自的指向性和彼此之間的互補性。

《關于加強智能網聯(lián)汽車生產企業(yè)及產品準入管理的意見》（8月12日工業(yè)和信息化部發(fā)布）要點是“準入管理”，《意見》明確由工業(yè)和信息化部指導有關機構做好智能網聯(lián)汽車生產企業(yè)及產品準入技術審查等工作。準入的意涵在于，智能網聯(lián)汽車生產企業(yè)和智能網聯(lián)汽車產品都需要經過“有關機構”的產品準入技術審查等工作，否則不具備生產許可（對企業(yè)）和上市許可（對產品）?！兑庖姟芬笃髽I(yè)依法履行數據安全保護義務，實施數據分類分級管理，加強個人信息與重要數據保護，確保數據持續(xù)處于有效保護和合法利用的狀態(tài)。

《關于加強車聯(lián)網網絡安全和數據安全工作的通知》（9月16日工業(yè)和信息化部發(fā)出）的目標是加強車聯(lián)網網絡安全和數據安全管理工作，健全完善車聯(lián)網安全保障體系?！锻ㄖ访鞔_了四類管理對象，均為企業(yè)：智能網聯(lián)汽車生產企業(yè)、車聯(lián)網服務平臺運營企業(yè)、基礎電信運營企業(yè)、其他相關企業(yè)。這樣，與車聯(lián)網、網聯(lián)車相關的市場主體都被納入管理。《通知》還給車聯(lián)網和智能網聯(lián)汽車做出了精確定義——“車聯(lián)網是新一代網絡通信技術與汽車、電子、道路交通運輸等領域深度融合的新興產業(yè)形態(tài)。智能網聯(lián)汽車是搭載先進的車載傳感器、控制器、執(zhí)行器等裝置，并融合現代通信與網絡技術，實現車與車、路、人、云端等智能信息交換、共享，具備復雜環(huán)境感知、智能決策、協(xié)同控制等功能，可實現‘安全、高效、舒適、節(jié)能行駛的新一代汽車?！?/p>

《汽車數據安全管理若干規(guī)定（試行）》（國家互聯(lián)網信息辦公室、國家發(fā)展和改革委員會、工業(yè)和信息化部、公安部、交通運輸部聯(lián)合制訂并于10月1日開始施行）則著眼于對敏感個人信息和重要數據的保護。保護敏感個人信息，是為了保護車主、駕駛人、乘車人、車外人員等的人身、財產安全。保護重要數據，則是為了保護國家安全、公共利益，以及個人、組織的合法權益。

（作者單位：電子工業(yè)出版社華信研究院）