由五部門發(fā)布的《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》10月起正式施行。這是繼數(shù)據(jù)安全法出臺之后,汽車行業(yè)數(shù)據(jù)安全規(guī)定的率先推動施行,其重要程度可見一斑。
事實上,今年已有四部以上的汽車數(shù)據(jù)安全、智能網(wǎng)聯(lián)汽車管理規(guī)定相繼出臺。政策密集發(fā)布背后有何緣由?《規(guī)定》有哪些細節(jié)和亮點值得關(guān)注?為跟上合規(guī)驅(qū)動的新階段,相關(guān)企業(yè)又該有何行動?基于以上問題,10月19日騰訊安全車聯(lián)網(wǎng)安全專家張康、騰訊安全數(shù)據(jù)安全專家劉海洋、上汽集團赤霄網(wǎng)絡(luò)空間信息安全實驗室負責(zé)人陳寧博士為大家詳解法規(guī)內(nèi)容、提供行動思路。
數(shù)據(jù)安全管理迫在眉睫《規(guī)定》有哪些新要求?
“新四化”的趨勢下,汽車運轉(zhuǎn)產(chǎn)生的數(shù)據(jù)量非常大,未來僅一輛車的數(shù)據(jù)都將以“G”,甚至以“T”為單位,但是如此龐大的數(shù)據(jù)應(yīng)當如何進行合理開發(fā)利用,行業(yè)認知和探索仍處于起步階段。騰訊安全車聯(lián)網(wǎng)安全專家張康提道,過去很多企業(yè)都遵循著自己的標準,行業(yè)整體處于“千企千面”的狀態(tài),產(chǎn)業(yè)鏈上的協(xié)作、數(shù)據(jù)通訊也常常因為各自協(xié)議標準不統(tǒng)一,無法有效地保證數(shù)據(jù)安全、共享使用。
而另一方面,安全事件頻發(fā),嚴峻的數(shù)據(jù)安全挑戰(zhàn)成為行業(yè)發(fā)展的核心痛點。據(jù)報道,2020年1-9月,針對整車企業(yè)車聯(lián)網(wǎng)信息服務(wù)提供商等相關(guān)企業(yè)和平臺的惡意攻擊達280余萬次;今年6月的某次信息安全事件中,約有330萬汽車的車主和潛在客戶的個人信息遭到泄露。
數(shù)據(jù)安全管理到了刻不容緩的時候,而《規(guī)定》的出臺讓汽車行業(yè)的數(shù)據(jù)安全有了遵循依據(jù),更給了廣大用戶一顆安心駕駛的定心丸。
《規(guī)定》界定了汽車數(shù)據(jù)和監(jiān)管主體,提出了4項推薦的數(shù)據(jù)處理原則,同時明確了數(shù)據(jù)處理者的義務(wù),并制定跨境數(shù)據(jù)傳輸規(guī)則,初步建立起中國汽車數(shù)據(jù)安全的合規(guī)框架。
騰訊安全數(shù)據(jù)安全專家劉海洋認為,《規(guī)定》首次對“汽車數(shù)據(jù)處理者”和“重要數(shù)據(jù)”類型等內(nèi)容做了清晰的界定。如“汽車數(shù)據(jù)處理者”不僅限于慣性認知中的汽車制造商、零部件和軟件供應(yīng)商等,還包括經(jīng)銷商、維修機構(gòu)以及出行服務(wù)企業(yè)。同時,《規(guī)定》落實了年度報告制度,汽車數(shù)據(jù)處理者應(yīng)當按時主動報送年度汽車數(shù)據(jù)安全管理情況,這意味著國家的監(jiān)管力度已經(jīng)更強,向系統(tǒng)化管理邁出重要一步。
從事件驅(qū)動轉(zhuǎn)為合規(guī)驅(qū)動 安全能力提升勢在必行
“在過去,車聯(lián)網(wǎng)安全其實還處于行業(yè)教育階段,更多由事件驅(qū)動,只有當漏洞被發(fā)現(xiàn)或者出現(xiàn)安全事故,相關(guān)方才會采取行動,而《規(guī)定》的施行讓行業(yè)轉(zhuǎn)變?yōu)楹弦?guī)驅(qū)動,汽車數(shù)據(jù)處理者必須安全合規(guī),否則就將違法。”張康提道。
早在2015年,騰訊就開始研究車聯(lián)網(wǎng)的安全問題并推動行業(yè)教育。2016年發(fā)布了關(guān)于特斯拉的安全研究案例,實現(xiàn)了遠程控制車輛的狀態(tài),包括在行駛狀態(tài)下的剎車、折疊后視鏡等。自2016年至2021年,實驗室每年發(fā)布智能網(wǎng)聯(lián)汽車的研究案例,研究特斯拉、寶馬、豐田及奔馳的網(wǎng)聯(lián)、高級輔助駕駛等功能和架構(gòu),驗證了騰訊在車聯(lián)網(wǎng)安全的研究能力,幫助車企解決現(xiàn)有問題,并告誡車聯(lián)網(wǎng)安全的重要性。張康認為,今年作為車聯(lián)網(wǎng)法規(guī)的元年,對于車企而言,更多需要能力建設(shè),成立自己的信息安全團隊,由專門負責(zé)車聯(lián)網(wǎng)信息安全的團隊統(tǒng)一整改、牽頭,從而加強車輛網(wǎng)絡(luò)安全和數(shù)據(jù)安全。
目前,政府仍在逐步補齊和完善汽車數(shù)據(jù)監(jiān)管體系和方法,在《數(shù)據(jù)安全法》《個人信息保護法》等上位法的框架下,進一步推動完善《智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準入管理指南》、《汽車數(shù)據(jù)安全管理若干規(guī)定》等規(guī)則制度的相關(guān)實施細則,明確企業(yè)的數(shù)據(jù)安全保護責(zé)任,完善汽車數(shù)據(jù)安全保護體系。
當然,合規(guī)非最終目的,它將原先漫長的行業(yè)教育進程加快,極速形成了普遍的認知共識,而這只是邁向真正實現(xiàn)車聯(lián)網(wǎng)數(shù)據(jù)安全的起點。對于當下的車企而言,自身安全能力的提升也同樣重要,適配智駕環(huán)境的技術(shù)手段的缺乏(如采集圖像及視頻的模糊化、匿名化處理)、車載系統(tǒng)及外部組件的未知風(fēng)險漏洞等諸多問題,都在制約著數(shù)據(jù)安全的發(fā)展進程。
堅守安全底線 四部曲建設(shè)安全能力
車企如何更好地應(yīng)對合規(guī)時代的要求?在自主建設(shè)安全能力框架方面,劉海洋拋出了“提升四部曲”的建議:
1.數(shù)據(jù)資產(chǎn)和數(shù)據(jù)場景的梳理:梳理企業(yè)的數(shù)據(jù)資產(chǎn)和數(shù)據(jù)場景(如大數(shù)據(jù)處理加工分析、智駕數(shù)據(jù)的標注、第三方委托處理等)的重要內(nèi)容,為技術(shù)管控、合規(guī)應(yīng)對、管理體系建設(shè)做好基礎(chǔ)鋪墊;
2.企業(yè)自身合規(guī)的評估分析:正如《個人信息保護法》《數(shù)據(jù)安全法》當中所提到的,作為數(shù)據(jù)處理者要定期開展合規(guī)審計,評估自身的數(shù)據(jù)管控狀態(tài)和合規(guī)狀態(tài),并進行合規(guī)差距分析;
3.查漏補缺,提升安全硬實力:針對性地對所缺乏的安全技術(shù)做提升,一般包括數(shù)據(jù)加解密、數(shù)據(jù)脫敏、電子認證等核心內(nèi)容;
4.管理制度與稽核流程的建立:建立企業(yè)的數(shù)據(jù)安全管理制度,對數(shù)據(jù)安全保護義務(wù)進行落實,并通過稽核的手段保證汽車數(shù)據(jù)運轉(zhuǎn)處于合規(guī)狀態(tài)。
同時,車聯(lián)網(wǎng)的數(shù)據(jù)量級大、主體多、鏈條長,也意味著單點風(fēng)險解決方式收效甚微。而通過車聯(lián)網(wǎng)安全技術(shù)的聯(lián)合深度共建,形成全流程一體化的解決方案,將能夠有效、全面地加快車企安全能力的提升。
探索車企合作新模式 主動建設(shè)網(wǎng)絡(luò)安全能力新標桿
以上汽集團為例,其正在積極探索車聯(lián)網(wǎng)安全能力建設(shè)之道。今年4月,上汽集團和騰訊宣布共建網(wǎng)絡(luò)安全聯(lián)合實驗室。雙方將共同打造網(wǎng)絡(luò)安全產(chǎn)品,建立覆蓋智能網(wǎng)聯(lián)汽車全生命周期的網(wǎng)絡(luò)安全運營體系,并通過深度融入整車研發(fā)制造流程的方式提升汽車云管端一體化的網(wǎng)絡(luò)安全水平。
上汽集團赤霄網(wǎng)絡(luò)空間信息安全實驗室負責(zé)人陳寧博士在分享中提到,上汽注重汽車安全的投入。到今天為止,上汽集團成立了“1+3”的安全管理體系,包含對智能網(wǎng)聯(lián)汽車的要求,如總體安全管理要求,整車開發(fā)的GVDP的融合,測試要求、運營要求,風(fēng)險評估方法等。在技術(shù)團隊建設(shè)上,建立了縱深防御的體系,從接入層、運營層、主機層、數(shù)據(jù)層到物理層,形成了每層對應(yīng)的防護體系,確保云上的應(yīng)用,尤其是與車相關(guān)應(yīng)用的安全可靠。在檢測方面,基于全生命周期管理流程,建立相關(guān)的技術(shù)平臺,如應(yīng)急響應(yīng)中心平臺,不僅能監(jiān)測一些海外車輛的行駛數(shù)據(jù),還覆蓋了上汽大概100家下屬企業(yè)的相關(guān)網(wǎng)站、應(yīng)用,每天自動化執(zhí)行掃描,發(fā)現(xiàn)漏洞。同時結(jié)合車輛工具化檢測,重點運營及關(guān)注汽車網(wǎng)絡(luò)安全及售后市場應(yīng)用的安全問題。隨著國家法律的出臺,上汽對于數(shù)據(jù)安全的過濾、提取以及敏感數(shù)據(jù)的存儲和脫敏的工作也逐漸展開。
法規(guī)的出臺進一步推動行業(yè)加快數(shù)據(jù)安全布局進程,挑戰(zhàn)與機遇共存。面向未來的新征程上,騰訊安全愿與更多企業(yè)合作,加強技術(shù)研發(fā)與數(shù)據(jù)安全技術(shù)應(yīng)用、提升安全可控能力、構(gòu)建完善的數(shù)據(jù)安全管理體系,筑牢合規(guī)時代的“汽車網(wǎng)絡(luò)安全底座”,共同探索汽車網(wǎng)絡(luò)安全行業(yè)新標桿。