近段時間,特斯拉維權事件在大陸也是鬧得愈演愈烈,維權女車主和特斯拉,以及大陸相關部門,都在密切推動、關切維權事宜的進展。與此同時,此次維權事件,也間接或直接推動了大陸智能網聯汽車數據資訊安全的研發和建立,
近日,“第11屆大陸汽車論壇”舉辦,國家工業資訊安全發展研究中心副總工程師兼資訊政策所所長黃鵬發表了演講,
主要是介紹了團隊最新的研究成果——關于智能網聯汽車數據安全的研究,提到將統籌產業創新發展與保障數據安全、盡快出臺數據分類分級指南和管理細則、建立事前風險評估和事后應急響應機制、重點關注跨境數據流動問題等。
黃鵬主要從五個方面做了報告,一是智能網聯汽車的內涵和發展現狀;二是智能網聯汽車數據安全發展態勢;三是車企對智能網聯汽車數據安全的認識不斷加深;
四是網路安全企業在智能網聯汽車數據安全市場 ” 大有可為 “;五是政府積極統籌智能網聯汽車產業發展與數據安全保護,
一、智能網聯汽車的內涵及發展現狀
智能網聯汽車作為一個新興的重要領域和場景,發展已勢不可擋,而且主流國家和行業組織對于智能網聯汽車,已經從系統、產品、裝備、網路等角度都有一些重要布局。
研究認為,智能網聯汽車不同于傳統的汽車裝備,至少有四個顯著特點,
首先是互聯互通,這是基本的特征。
二是軟體定義。從原來的機械驅動發展為未來的數據驅動,這是非常重要的特點。大眾在前幾年就宣布投入35億歐元打造自己的汽車操作系統,而特斯拉軟體成本占整車成本的40%,而且S系列代碼行數超過了4億行,
很多企業都談及已經成立自己的軟體科技企業,開發自己的操作系統和APP,適應軟體定義汽車的大潮。未來智能網聯汽車至少60%的價值來源于軟體,所以未來的智能網聯汽車是新型的資訊技術終端,
三是無人駕駛。剛才朱教授深入的講解了無人駕駛不同級別、不同場景的應用和風險。
四是綠色低碳,未來智能網聯汽車以電動汽車為主,非常適合或者適應國家關于 ” 雙碳 ” 相關的要求和布局,
另外,我們對智能網聯汽車產業鏈也做了初步的分析,從上游的元器件、軟體,到下游相應的內容、平臺、數據以及關于出行、保險、租賃、維修等方面的服務商,整個產業鏈的打造和重塑也不斷演進,
大陸已在產業鏈各個環節均有布局,但是核心系統部件仍較多依賴進口,最近在技術研發方面實現一些突破,但是在市場化量產方面還有一定差距。
二、智能網聯汽車數據安全發展態勢
智能網聯汽車主要的特點是,數據成為驅動汽車發展的重要價值點,這種發展趨勢對于車輛的安全和數據的安全都有新的要求和風險,所以要求一方面從車的全生命周期,另一方面從數據的全生命周期兩個角度考慮智能網聯汽車的安全問題。
基于這兩個維度,我們發現未來智能網聯汽車帶來的數據安全風險還是很大、很突出的,至少涉及四個方面:
首先行業的數據安全意識有待提高,近期一系列相應事件的出現,在一定程度上會影響消費者對智能網聯汽車安全的信心。
二是數據泄露風險巨大,威脅個人隱私安全,由于智能網聯汽車為了更好的實現自動駕駛或者是使乘駕者有更好的體驗,會收集相應的資訊,在我們調研過程中獲知,一輛智能網聯汽車每天至少收集10TB的數據,不僅數量極大,而且涉及到駕乘人員的出行軌跡、習慣、語音、視訊等等,一旦遭受侵害會泄露個人隱私,
三是網路安全漏洞多,威脅個人人身和財產安全,2020年全球相關惡意攻擊超過280萬余次,黑客通過網路攻擊的手段可以控制車輛行駛,也可以利用軟體的漏洞操控智能網聯汽車,所以威脅和風險也是非常大。
四是可能會威脅國家安全,為了更好地實現車與路的互動和周圍基礎設施的互動,智能網聯汽車也會收集周圍的場景和重要地理資訊的數據,如果精度達到一定程度的話,會影響或者威脅國家安全,
我們看到一些國家,尤其是發達國家和行業組織也紛紛出臺了管理規范和舉措。美國、歐盟、以及國際汽車制造協會,已經通過了一些原則性、戰略性的規定,也包括一些比較細化、可操作的指南。
不同的智能網聯汽車制造廠商,由于基因不同,對數據安全的認識或者保護能力也不一樣。我們認為目前最主要的智能網聯汽車制造商來源于三類企業:
第一類是傳統車企,他們的發展模式是漸進式的,包括目前大陸自主品牌的汽車,還有合資品牌的汽車,這類傳統車企在推進相關的新技術開發和應用,以及數字化轉型工作,但總體來講,他們的意識和能力還在發展過程當中,
第二類是資訊技術企業,像百度、阿里、騰訊、華為、滴滴、小米等資訊技術企業,這類企業基于在資訊技術領域強大的能力和生態,大力推廣相應的技術系統、自動駕駛系統等,通過跨越式的方式進軍智能網聯汽車行業。
第三類是造車新勢力,理想、蔚來、小鵬等在發展過程當中是激進式發展過程,他們對于數據安全的考慮和布局也有自身的特點。
全球知名的咨詢機構Guidehouse對于現有智能網聯汽車領域的競爭格局進行分析,發現目前的‘’領導者‘’中,四家企業基本上都是資訊技術企業,在目前這個階段,以資訊技術為背景的企業進入智能網聯汽車行業是具有一定優勢的,
非常有意思的一點是,我們孰知的特斯拉被Guidehouse置于‘’跟隨者‘’中,主要原因是該機構認為特斯拉自動駕駛能力和安全保障能力與其宣傳的相比具有一定的差距,
這三類不同類型的智能網聯汽車制造商對數據安全的認識和保護能力仍有一定的差異,尤其是傳統車企和資訊技術企業以及造車新勢力在相應能力上的布局,包括組織架構的調整,適應新的安全需求方面的能力等,可能都有一定差異。但是我們發現這三類企業也在跨界融合,在相互借鑒,
三、車企對汽車數據安全的理解不斷加深
我們調研了一部分車企,總結了他們對當前數據安全的理解和舉措,車企也越來越重視重視數據安全問題,大陸主流企業通過強化技術手段和管理機制,意在大幅提升數據安全的保障能力,
但是其實風險也是非常突出的:一是核心器件自主可控能力有待進一步提高,比如傳感器、芯片、雷達天線等還屬于智能網聯汽車的 ” 卡脖子 ” 領域。
二是企業管理責任缺失,很多車企往往在 ” 黑盒 ” 的狀態下開展一些數據治理工作,使現有的保護機制和管理舉措很困難,出現滯后問題。
三是實際落地案例較少,缺少具體的指導性和實操性指南,很多企業都是在邊界游走,探索的成本也非常高,所以后續有很多需要進一步明確的地方,
從建議的角度,我們建議車企從兩個角度提升數據安全方面的能力。一是提升核心基礎技術的安全可控能力,即涉及車輛本質上的安全,二是提升數據安全綜合防護能力,利用新一代的資訊技術,包括區塊鏈技術、流量檢測技術、國密技術等,提升綜合防護的能力,
四、網路安全企業在智能網聯汽車數據安全市場 ” 大有可為 “
大陸主流的網路安全企業都在積極布局智能網聯汽車的新賽道,大多基于他們傳統的產品,再根據智能網聯汽車的新場景做一些適應性的調整和優化,包括在數據層面,從云、管、端各個角度等都提出了相應的解決方案,在檢測和服務方面也推出了一些相應的網路安全產品。
我們調研了大陸一家安全廠商——天融信,已經形成了覆蓋車端網關、ECU、T-BOX、以及云端、APP端等全方位的滲透測試工具和服務。下一個案例來自百度,其自動駕駛安全的架構已經涵蓋了整個數據安全的全生命周期,
可以說,智能網聯汽車領域對于網路安全產業,或者網路安全企業來講是一個巨大的市場,但是也存在著很多挑戰,一是現有的網路安全產品和解決方案還不滿足智能網聯汽車的安全需求,
二是安全解決方案的路徑不太一樣,有的網路安全企業側重車端的安全,有的側重云端的安全,雖然這些解決方案沒有哪個更優質,但是也需要相互借鑒。
三是安全產品的應用還存在成本、意識等問題。我們也提了兩個建議,一是建議這些網路安全企業針對智能網聯汽車不同的場景,開發針對性的相關的產品和解決方案,提高推廣的力度。
四是要探索適用智能網聯汽車場景的網路安全保險方案,保險在汽車這個領域是非常常見的,但是數據安全的保險,或者網路安全的保險可以對車企、用戶,以及產業鏈上的諸多資訊技術服務企業提供一體化的保障。
五、政府積極統籌智能網聯汽車產業發展與數據安全保護
首先在政策規劃層面,政府已經出臺了相關的標準指南,包括一些政策文件,加強對整個數據全生命周期的管控,并強調數據分類分級工作。
二是在法律法規層面,《網路安全法》《數據安全法》《個人資訊保護法》(草案),以及網信辦出臺的的《汽車數據安全管理若干規定》(征求意見稿)已經體現了政府的一些針對性考慮,我們支持網信辦和工信部等部門出臺更加細化的管理條例和指南,從法律法規層面給予指引和指南,更好的指導整個產業的實踐,
三是標準體系不斷完善,包括頂層的體系性標準,以及專項的標準都在陸續出臺和不斷地修訂完善,
四是試點應用加速落地,比如上海臨港新片區跨境數據的試點,一些路測、風險評估以及風險管控相關試點的工作也都在推進過程當中,智能網聯汽車本身是一個新生事物,又涉及到很復雜的系統,確實需要政府通過開展試點示范的工作,總結一些優秀的做法,進行后續的推廣,
當然從政府推進產業發展和保障數據安全的角度也面臨重要的挑戰,一是整個法規體系、標準體系還是相對滯后于產業的發展速度。
二是存在多頭監管的問題,還需盡快細化一些行業性的管理要求。從數據安全監管的角度,國家網信部門是牽頭部門,但是涉及到具體行業細則的出臺,還需要行業主管部門,以及一些重要的行業協會去推動相關工作。
三是實操性的舉措還不夠,數據安全監管和治理的一項基礎性工作就是要做到數據分類分級,對于數據既要管,又不能管得太死,哪些要管,哪些需要高強手段的監管,哪些需要在市場上流動,一項非常基礎的工作就是數據分類分級。
我們提的建議包括四個方面:一是統籌產業創新發展與保障數據安全。二是盡快出臺數據分類分級指南和管理細則,在大陸一些重要的行業領域,比如金融、工業互聯網等領域,已經出臺了相應的分類分級指南,智能網聯汽車行業可以予以借鑒,
三是建立事前風險評估和事后應急響應機制,比如國家級的專業技術機構可以探討如何更好的提供服務和支持,
四是重點關注跨境數據流動問題,目前大陸對這個問題比較關注,國家網信部門也在密集調研和研究,希望后續在借鑒全球通用做法的同時,細化相應的數據流動規則。
以上就是我們目前這個報告的主要內容,在報告撰寫過程當中,也得到了一些車企和網路安全企業的支持,后續我們也希望跟在座的企業和專家合作,使我們在智能網聯汽車數據安全領域做得更加深入,
