基于新數(shù)據(jù)安全法規(guī)的汽車企業(yè)數(shù)據(jù)安全建設(shè)探析

韋菊梅，張 亮，班定東，陳煉松

（上汽通用五菱汽車股份有限公司廣西汽車新四化重點實驗室，廣西 柳州 545007）

1 當前汽車數(shù)據(jù)安全現(xiàn)狀

隨著大數(shù)據(jù)時代的到來以及信息技術(shù)的高速發(fā)展，傳統(tǒng)汽車行業(yè)已逐漸向智能網(wǎng)聯(lián)汽車行業(yè)的方向邁進。其較為顯著的特征就是汽車的電子化、網(wǎng)聯(lián)化和智能化，而一旦與互聯(lián)網(wǎng)交互，便不可避免地產(chǎn)生數(shù)據(jù)安全風險。當前車聯(lián)網(wǎng)數(shù)據(jù)主要包含車輛運行、交互環(huán)境和用戶使用等三類信息[1]。通過車輛運行數(shù)據(jù)即可得到用戶的軌跡信息，通過交互環(huán)境數(shù)據(jù)即可得到用戶所經(jīng)路途所處位置的位置面貌，通過用戶使用即可得到用戶的基本個人信息，甚至是用戶綁定其他終端平臺的一些敏感信息，通過三類信息的交互，幾乎能得到用戶生活相關(guān)的所有關(guān)鍵數(shù)據(jù)。也正因如此，汽車信息安全問題日益嚴峻，近年來已發(fā)生了多起汽車信息安全召回事件，引發(fā)了行業(yè)的高度關(guān)注。而今年的焦點問題無疑是特斯拉事件，先是今年年初傳出國內(nèi)部分政府機關(guān)和園區(qū)禁止特斯拉進入引發(fā)網(wǎng)友熱議，理由是“特斯拉裝有全方位攝像頭、超聲波雷達等一系列能暴露目標位置的技術(shù)裝置”，涉及軍事秘密等方面的國家安全；再到上海車展期間發(fā)生的“剎車門”維權(quán)事件，特斯拉向有關(guān)部門提交了相關(guān)的行車數(shù)據(jù)，然而卻因此遭到車主的強烈譴責，稱該數(shù)據(jù)泄露了自己的個人隱私，更有質(zhì)疑者表示質(zhì)疑該數(shù)據(jù)的真實性，表明是否經(jīng)過篡改、加工等操作我們也無從得知等等，特斯拉“剎車門”維權(quán)事件引發(fā)全行業(yè)的熱議，而其涉及到的汽車數(shù)據(jù)安全問題也受到了廣泛關(guān)注，據(jù)國家工業(yè)信息安全發(fā)展研究中心發(fā)布的《自動駕駛數(shù)據(jù)安全白皮書2020》顯示，從2015年開始全球范圍內(nèi)就發(fā)生過多起自動駕駛數(shù)據(jù)安全事件，包括寶馬、大眾、豐田等，重者可以通過偽造指令，遠程操控汽車。從此可以看出，汽車數(shù)據(jù)安全問題已經(jīng)成為汽車產(chǎn)業(yè)甚至全社會關(guān)注的焦點。

2 數(shù)據(jù)安全建設(shè)對于汽車企業(yè)發(fā)展的重要性

數(shù)據(jù)泄露有無心之失，更有有意竊取之勢。網(wǎng)聯(lián)汽車的出現(xiàn)實現(xiàn)了用戶線上和線下生活的有機結(jié)合，這種有機結(jié)合而來的數(shù)據(jù)不僅涵蓋了與車輛安全運行關(guān)聯(lián)的數(shù)據(jù)，同時也包括了用戶個人信息（甚至涉及用戶敏感信息）、車聯(lián)網(wǎng)應(yīng)用服務(wù)相關(guān)的數(shù)據(jù)，這些數(shù)據(jù)信息相結(jié)合，幾乎可以得出個人生活相關(guān)的所有關(guān)鍵數(shù)據(jù)，一旦這些數(shù)據(jù)被泄露，所有的個人隱私也將無所遁形，暴露在大眾視角中；同時，更為嚴重的是，若車輛或車聯(lián)網(wǎng)平臺被黑客非法入侵，可能會面臨車輛被遠程解鎖、遠程開車門、啟動，甚至是轉(zhuǎn)向系統(tǒng)、動力系統(tǒng)等被非法控制，造成車輛被盜取的財產(chǎn)損失甚至車輛行駛安全事故。更有甚至，汽車數(shù)據(jù)安全甚至對國家安全帶來威脅，較為典型的無疑是前段時間的滴滴被審查整改下架事件，其造成的數(shù)據(jù)安全問題已對國家安全造成了一定影響。對于企業(yè)來說，若不處理好汽車數(shù)據(jù)安全問題，不僅無法得到消費者的信任，甚至無底線的過度收集用戶數(shù)據(jù)，還會受到來自國家層面的監(jiān)督和“叫?！?，據(jù)統(tǒng)計，約56%的消費者表示信息安全和隱私保護將成為他們未來購車時的主要考慮因素[2]，由此可見，數(shù)據(jù)安全建設(shè)對于汽車企業(yè)未來發(fā)展的好與壞，無疑占有極其重要比重。

3 新數(shù)據(jù)安全法規(guī)對數(shù)據(jù)信息安全建設(shè)提出的要求

隨著數(shù)字經(jīng)濟日益成為國際競爭的制高點，數(shù)據(jù)安全治理、數(shù)據(jù)安全保護立法也成為大國競爭和爭奪數(shù)字經(jīng)濟領(lǐng)先地位的重要標志。我國也十分重視信息安全的發(fā)展，從此前出臺的《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國電子簽名法》等一系列法律法規(guī)對信息安全相關(guān)的規(guī)范引導，再到今年以來陸續(xù)施行的《中華人民共和國數(shù)據(jù)安全法》《個人信息保護法》兩部關(guān)于數(shù)據(jù)安全信息安全的律法，可以看到國家對信息安全保護的重視，其中，《數(shù)據(jù)安全法》是我國第一部有關(guān)數(shù)據(jù)安全保護的律法，將改變長期以來對數(shù)據(jù)的“重搜集、輕保護”現(xiàn)象，更加注重數(shù)據(jù)收集方式的嚴厲管控，從數(shù)據(jù)的收集到開發(fā)利用，再到開展數(shù)據(jù)相關(guān)活動等方面都進行了嚴厲約束，同時在制度制定、數(shù)據(jù)安全保護義務(wù)、政務(wù)數(shù)據(jù)的開放和發(fā)展都做出了明確的指示，對并對違反數(shù)據(jù)安全保護相關(guān)條例的行為列出具體法律責任，其數(shù)據(jù)保護范圍涵蓋個人隱私、企業(yè)數(shù)據(jù)安全乃至國家數(shù)據(jù)安全，樹立起全民數(shù)據(jù)安全保護的理念，為企業(yè)數(shù)據(jù)安全“保駕護航”，保障國家安全有序發(fā)展；《個人信息保護法》則是針對個人信息保護的法規(guī)條律，涉及敏感個人信息的處理規(guī)則、國家機關(guān)處理個人信息的特別規(guī)定、個人信息跨境提供規(guī)則、個人信息處理者的義務(wù)、法律責任等相關(guān)規(guī)定，為個人信息保駕護航。

4 新數(shù)據(jù)安全法規(guī)給汽車企業(yè)帶來的影響

一系列法規(guī)的出臺，可以看到國家對于數(shù)據(jù)安全建設(shè)工作重視程度，汽車企業(yè)無疑也受到了一定影響，甚至作為涉及國家經(jīng)濟、裝備制造、金融、交通運輸、生產(chǎn)生活等諸多領(lǐng)域制造企業(yè)，汽車企業(yè)在新法規(guī)要求下面臨的考驗更加嚴峻。2021年8月16日，國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)展和改革委員會、工業(yè)和信息化部、公安部、交通運輸部聯(lián)合發(fā)布《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》（以下簡稱《規(guī)定》），對汽車數(shù)據(jù)處理活動以及汽車數(shù)據(jù)的開發(fā)利用都做出了明確規(guī)定，同時《規(guī)定》也是第一次對“特定行業(yè)”中的“重要數(shù)據(jù)”進行了定義，并以列舉的方式對汽車行業(yè)中的“重要數(shù)據(jù)”進行規(guī)定，這就要求汽車企業(yè)對于數(shù)據(jù)安全管理工作提出了更高的要求。一方面，對于汽車數(shù)據(jù)處理，企業(yè)需對數(shù)據(jù)收集方式進行管控，只有在駕駛?cè)嗽O(shè)定的收集方式下才能進行自動獲取，非必要數(shù)據(jù)只能在車內(nèi)進行處理，無需對外面進行提供；同時企業(yè)需在所提供功能服務(wù)對數(shù)據(jù)精度的要求確定攝像頭、雷達等的覆蓋范圍、分辨率；對于數(shù)據(jù)要盡可能進行脫敏處理方能向外公布等；另一方面，對于個人信息處理，要求企業(yè)必須進行告知義務(wù)，如告知駕駛?cè)藬?shù)據(jù)收集的具體情境和用途等，同時應(yīng)對敏感信息進行匿名化處理，對于應(yīng)刪除的信息，也需在規(guī)定時間內(nèi)進行刪除。對于重要數(shù)據(jù)，企業(yè)有責任且有義務(wù)制定有力保護措施，強化數(shù)據(jù)保護力度，并對數(shù)據(jù)安全問題負責。《規(guī)定》等新法規(guī)的發(fā)布，對各行各業(yè)也敲起了一個響鐘，對于數(shù)據(jù)收集處理，企業(yè)將不再“俯首可得”，并且在收集、使用、開發(fā)和處理過程中都需制定嚴格的規(guī)定。對于汽車行業(yè)數(shù)據(jù)安全管理的合規(guī)工作，也需提出更高要求。

5 關(guān)于汽車企業(yè)數(shù)據(jù)安全建設(shè)的建議

新數(shù)據(jù)安全法規(guī)的出臺，表明了對于數(shù)據(jù)安全管理的管控工作，在未來只會越來越嚴，作為涉及國家經(jīng)濟、裝備制造、交通運輸、生產(chǎn)生活等諸多領(lǐng)域制造企業(yè)，無論是傳統(tǒng)汽車企業(yè)，還是智能網(wǎng)聯(lián)汽車，對于數(shù)據(jù)安全管理工作的開展，都亟需開展，在此提出幾點建議：

1）建立健全汽車數(shù)據(jù)安全管理制度，所謂國有國法，家有家規(guī)，無規(guī)矩不成方圓，對于企業(yè)管理來說同樣如此，數(shù)據(jù)管理，制度先行，只有明確了數(shù)據(jù)安全管理的工作職責，明確責任部門和負責人，確定數(shù)據(jù)保護范圍，規(guī)定數(shù)據(jù)處理工作開展的方式，才能更好的開展數(shù)據(jù)保護工作。

2）對汽車數(shù)據(jù)安全嚴格管控和保護，從源頭管理到數(shù)據(jù)安全售后負責形成一條數(shù)據(jù)安全管理鏈路。具體可以表現(xiàn)為數(shù)據(jù)收集有原則，數(shù)據(jù)利用有方式，數(shù)據(jù)保護有技術(shù)（可通過定期備份、信息加密等方式對數(shù)據(jù)進行保護），同時需建立數(shù)據(jù)資產(chǎn)管理臺賬，實施數(shù)據(jù)分級分類管理工作，汽車數(shù)據(jù)量動輒幾百上千萬，包含個人信息、車輛數(shù)據(jù)、行程數(shù)據(jù)等多種數(shù)據(jù)，若企業(yè)建立數(shù)據(jù)資產(chǎn)管理臺賬，對數(shù)據(jù)進行分類分級管理，對于不同安全級別的數(shù)據(jù)應(yīng)制定不同的安全管理措施，將能更好進行數(shù)據(jù)安全管理。

3）建立汽車網(wǎng)絡(luò)安全管理制度，隨著汽車智能化網(wǎng)聯(lián)化的發(fā)展，汽車也離不開網(wǎng)絡(luò)的掣肘。汽車網(wǎng)絡(luò)系統(tǒng)由使用平臺、互聯(lián)網(wǎng)車載系統(tǒng)和終端等多個子系統(tǒng)組成，平臺層還與其他應(yīng)用服務(wù)商的子系統(tǒng)連接。龐大的參與主體使得網(wǎng)絡(luò)安全的鏈條更為脆弱，網(wǎng)絡(luò)風險激增[3]。因此，企業(yè)需建立汽車網(wǎng)絡(luò)安全管理制度，采取技術(shù)措施和其他必要措施，保障網(wǎng)絡(luò)安全、穩(wěn)定運行，有效應(yīng)對網(wǎng)絡(luò)安全事件，防范網(wǎng)絡(luò)違法犯罪活動，維護網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性和可用性。

4）樹立外防內(nèi)管的信息安全防御觀[4]。定期對企業(yè)員工進行信息安全培訓，樹立全員信息安全保護意識，不斷完善智能網(wǎng)聯(lián)汽車安全管理和信息保密制度，建立包括汽車制造企業(yè)、零部件供應(yīng)商等關(guān)鍵要素的安全責任體系。同時建立自查機制，加強自查工作的開展，在發(fā)現(xiàn)存在數(shù)據(jù)安全、網(wǎng)絡(luò)安全等嚴重問題的，需及時進行整改，從安全管理、數(shù)據(jù)安全等方面，將安全工作貫穿行業(yè)全鏈條全環(huán)節(jié)。構(gòu)建防管結(jié)合、軟硬件結(jié)合的安全防護體系，注重攻擊防御、企業(yè)商業(yè)秘密保護、個人隱私保護。