行业 | 汽车数据安全新规10月起施行,车企如何安全合规?
2021-10-21
来源: 中国信息安全
由五部门发布的《汽车数据安全管理若干规定(试行)》(以下简称《规定》)10月起正式施行。这是继数据安全法出台之后,汽车行业数据安全的具体落地行动。
目前,今年已有四部以上的汽车数据安全、智能网联汽车管理规定相继出台。4月29日,全国信息安全标准化技术委员会发布《信息安全技术网联汽车采集数据的安全要求(草案)》。6月21日,工信部发布《车联网(智能网联汽车)网络安全标准体系建设指南》并公开征求意见。8月12日,工信部发布《关于加强智能网联汽车生产企业及产品准入管理的意见》。8月16日,网信办、发改委、工信部、公安部、交通运输部公布《汽车数据安全管理若干规定(试行)》。
政策密集发布背后有何缘由?《规定》有哪些细节和亮点值得关注?为跟上合规驱动的新阶段,相关企业又该如何应对?基于以上问题,10月19日,腾讯安全车联网安全专家张康、腾讯安全数据安全专家刘海洋、上汽集团赤霄网络空间信息安全实验室负责人陈宁博士,在线上沟通会上详解了法规内容、提供行动思路。
认识新规,汽车数据安全管理迫在眉睫
“新四化”的趋势下,汽车运转产生的数据量非常大,未来一辆车的数据将以“G”,甚至以“T”为单位,但是如此庞大的数据应当如何进行合理开发利用,行业认知和探索仍处于起步阶段。腾讯安全车联网安全专家张康提道,过去很多企业都遵循着自己的标准,行业整体处于“千企千面”的状态,产业链上的协作、数据通讯也常常因为各自协议标准不统一,无法有效地保证数据安全、共享使用。
而另一方面,安全事件频发,严峻的数据安全挑战成为行业发展的核心痛点。据报道,2020年1-9月,针对整车企业车联网信息服务提供商等相关企业和平台的恶意攻击达280余万次;今年6月的某次信息安全事件中,约有330万汽车的车主和潜在客户的个人信息遭到泄露。
数据安全管理到了刻不容缓的时候,而《规定》的出台让汽车行业的数据安全有了遵循依据,更给了广大用户一颗安心驾驶的定心丸。
《规定》界定了汽车数据和监管主体,提出了4项推荐的数据处理原则,同时明确了数据处理者的义务,并制定跨境数据传输规则,初步建立起中国汽车数据安全的合规框架。
腾讯安全数据安全专家刘海洋认为,《规定》首次对“汽车数据处理者”和“重要数据”类型等内容做了清晰的界定。如“汽车数据处理者”不仅限于惯性认知中的汽车制造商、零部件和软件供应商等,还包括经销商、维修机构以及出行服务企业。同时,《规定》落实了年度报告制度,汽车数据处理者应当按时主动报送年度汽车数据安全管理情况,这意味着国家的监管力度已经更强,向系统化管理迈出重要一步。
从事件驱动转为合规驱动,安全能力提升势在必行
“在过去,车联网安全其实还处于行业教育阶段,更多由事件驱动,只有当漏洞被发现或者出现安全事故,相关方才会采取行动,而《规定》的施行让行业转变为合规驱动,汽车数据处理者必须安全合规,否则就将违法。”张康提道。
早在2015年,腾讯就开始研究车联网的安全问题并推动行业教育。2016年发布了关于特斯拉的安全研究案例,实现了远程控制车辆状态,包括在行驶状态下的刹车、折叠后视镜等。2016年至2021年,实验室每年发布智能网联汽车的研究案例,研究特斯拉、宝马、丰田及奔驰的网联、高级辅助驾驶等功能和架构,验证了腾讯在车联网安全的研究能力,帮助车企解决现有问题,并警示车联网安全的重要性。张康认为,今年作为车联网法规的元年,对于车企而言,更多需要能力建设,成立自己的信息安全团队,由专门负责车联网信息安全的团队统一整改、牵头,从而加强车辆网络安全和数据安全。
目前,政府仍在逐步补齐和完善汽车数据监管体系和方法,在《数据安全法》《个人信息保护法》等上位法的框架下,进一步推动完善《智能网联汽车生产企业及产品准入管理指南》、《汽车数据安全管理若干规定》等规则制度的相关实施细则,明确企业的数据安全保护责任,完善汽车数据安全保护体系。
当然,合规非最终目的,它将原先漫长的行业教育进程加快,极速形成了普遍的认知共识,而这只是迈向真正实现车联网数据安全的起点。对于当下的车企而言,自身安全能力的提升也同样重要,适配智驾环境的技术手段的缺乏(如采集图像及视频的模糊化、匿名化处理)、车载系统及外部组件的未知风险漏洞等诸多问题,都在制约着数据安全的发展进程。
坚守安全底线,四部曲建设安全能力
车企如何更好地应对合规时代的要求?在自主建设安全能力框架方面,刘海洋给出了“提升四部曲”的建议:
1.数据资产和数据场景的梳理:梳理企业的数据资产和数据场景(如大数据处理加工分析、智驾数据的标注、第三方委托处理等)的重要内容,为技术管控、合规应对、管理体系建设做好基础铺垫;
2.企业自身合规的评估分析:正如《个人信息保护法》《数据安全法》当中所提到的,作为数据处理者要定期开展合规审计,评估自身的数据管控状态和合规状态,并进行合规差距分析;
3.查漏补缺,提升安全硬实力:针对性地对所缺乏的安全技术做提升,一般包括数据加解密、数据脱敏、电子认证等核心内容;
4.管理制度与稽核流程的建立:建立企业的数据安全管理制度,对数据安全保护义务进行落实,并通过稽核的手段保证汽车数据运转处于合规状态。
同时,车联网的数据量级大、主体多、链条长,也意味着单点风险解决方式收效甚微。而通过车联网安全技术的联合深度共建,形成全流程一体化的解决方案,将能够有效、全面地加快车企安全能力的提升。
探索车企合作新模式,建设网络安全新能力
以上汽集团为例,其正在积极探索车联网安全能力建设之道。今年4月,上汽集团和腾讯宣布共建网络安全联合实验室。双方将共同打造网络安全产品,建立覆盖智能网联汽车全生命周期的网络安全运营体系,并通过深度融入整车研发制造流程的方式提升汽车云管端一体化的网络安全水平。
上汽集团赤霄网络空间信息安全实验室负责人陈宁博士在分享中提到,上汽注重汽车安全的投入。到今天为止,上汽集团成立了“1+3”的安全管理体系,包含对智能网联汽车的要求,如总体安全管理要求,整车开发的GVDP的融合,测试要求、运营要求,风险评估方法等。在技术团队建设上,建立了纵深防御的体系,从接入层、运营层、主机层、数据层到物理层,形成了每层对应的防护体系,确保云上的应用,尤其是与车相关应用的安全可靠。在检测方面,基于全生命周期管理流程,建立相关的技术平台,如应急响应中心平台,不仅能监测一些海外车辆的行驶数据,还覆盖了上汽大概100家下属企业的相关网站、应用,每天自动化执行扫描,发现漏洞。同时结合车辆工具化检测,重点运营及关注汽车网络安全及售后市场应用的安全问题。随着国家法律的出台,上汽对于数据安全的过滤、提取以及敏感数据的存储和脱敏的工作也逐渐展开。
法规的出台进一步推动行业加快数据安全布局进程,挑战与机遇共存。面向未来的新征程上,腾讯安全愿与更多企业合作,加强技术研发与数据安全技术应用、提升安全可控能力、构建完善的数据安全管理体系,筑牢合规时代的“汽车网络安全底座”,共同探索汽车网络安全行业新标杆。