随着智能网联汽车的发展,汽车产业链不断重构,价值链也得到充分延伸。在数据安全问题愈发重要的当下,智能网联汽车的数据安全问题成为各方关切。智能网联汽车数据安全有何特点?智能网联汽车发展过程中,创新发展、安全成本又该如何平衡多方利益?
近日,中国电动汽车百人会联合腾讯云举办汽车数据安全报告发布暨主题研讨活动。研讨活动设置圆桌论坛部分,邀请来自学界、业界的专家,就汽车数据安全的核心问题展开讨论。
拆解数据安全:关切车、人、平台和云端
汽车是国家经济产业发展主力军,历经70余年发展,中国汽车制造业逐步壮大。智能网联汽车是汽车产业的下半场,各方纷纷入局抢注新赛道。值得注意的是,一辆智能网联汽车每天能产生TB级海量数据,在数据安全问题愈发重要的当下,如何保障汽车数据安全成为智能网联汽车企业发展的重要命题。
什么是汽车数据?根据2021年10月施行的《汽车数据安全管理若干规定(试行)》,汽车数据,包括汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据。
具体在安全层面,腾讯安全数据安全产品总监徐展表示,汽车数据安全,一是车辆本身的数据安全,二是车和人交互,涉及人的安全,三是涉及车辆服务平台和云端,包括基础设施服务平台相关安全。
腾讯智慧出行解决方案总经理姚振表示,从数字化安全角度出发,用户的安全维度不仅是在买车之后,从用户旅程的曝光到私域、到店试乘试驾、小定大定乃至贷款都可能面临各种安全问题;从车辆维度中,研产供销服过程中的车联网、自动驾驶以及多域融合都会带来各种各样的安全问题。
从更宏观的角度来看,智能网联汽车不单单是汽车,代表着先进技术和智能制造,更是一种面向未来智慧出行方式。在此背景之下,智能网联汽车的数据安全问题又该如何回应?
值得注意的是,此前国家数据局等17部门联合印发《“数据要素×”三年行动计划(2024—2026年)》以发挥数据要素乘数效应,交通运输部分提及要推进智能网联汽车创新发展。汽车和数据安全的流通利用二者又该如何平衡?
中国法学会网络与信息法学研究会常务副秘书长、《人工智能示范法》首席专家周辉表示,智慧出行大背景之下,车可能是未来新的产业和社会发展平台,车企或许会基于数据利用考量数据安全的方案设计和具体操作细节,既满足法律的合规需求,同时又能促进数据要素更好发挥价值。
“汽车不同于笔记本、手机等设备,在社会空间中,不仅会对车内乘客、驾驶人的权益产生影响,还会间接影响周边行人、车辆,甚至因为汽车采集数据方式的不同,在特殊情况下还会影响到社会安定和国家安全,车企需要从整体出发考量安全。”周辉说道。
数据合规挑战:多方平衡及场景灵活适用
随着三法一条例(《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》)相继出台,我国关于网络安全和数据安全的顶层设计业已完善。
车企数据不仅要安全,更要合规。数据合规在车企,满足安全是底线,满足更多法律法规的相关要求和法益保护更是重中之重。具体在数据合规之上,车企又是如何实践?
“智能网联车的显著特点在于丰富的场景,较长的生产、供应链,全链路的数字化生活体验。当下产业变革后,智能网联车与用户的交互和服务从车辆交付才刚刚开始。”蔚来数据合规及反垄断法务负责人王诗笋说道。
在她看来,“车企整体的数据合规是法律、技术、管理学三位一体相融合的科学。落地要抓三点:横向底层搭建,组织管理维度的跨部门联通和数据底层维度的溯源、控制以及分级分类;纵向关键业务把握,高敏业务、创新业务、企业核心业务的重点合规点识别与方案设计;三位一体横纵管理,在安全和发展并重原则下,形成企业自上而下、适应不同法域、不同行业和监管发展阶段的动态数据合规管理机制和前瞻工作方式”。
分域以满足数据合规。星纪魅族集团数据合规执行总监朱玲凤介绍,通过分域完善对应分工,管理体系上的责任可以落实到部门和人。此外,分域可以清晰梳理数据流向,确定数据流向之后,便可以从架构整体设计的角度,对智能网联汽车中的云、管、边、TSP(汽车远程服务提供商)、车端、APP之间的互联架构进行完善,如寻找最合理的架构、最小面的攻击,同时也能看到具体细节。
对于智能网联汽车企业而言,数据合规的挑战来自什么地方?多方利益的平衡以及适应产业发展。
“核心还是如何将用户的体验、成本和合规三者做到有效的平衡,业务单纯做合规是非常容易的,但是如果只考虑合规,要么是用户体验不好,要么会造成成本投入的上涨。”姚振说道。
王诗笋表示要关注两方面平衡,一是,一个不确定的国际环境和监管下的平衡。二是,发展与安全之间的平衡,即实现产品创新性和安全成本的平衡。
在朱玲凤看来,数据合规最大的挑战在于,如何把数据合规和场景深度融合,而不是僵化适用。如用户知情权的实现,车企首先要保障行车安全,传统的通过多次弹窗的方式无法回应安全要求,则需要根据法益寻找更合适的方案。
合规国际展望:期待中国标准的国际贡献
出海是2023年各行业的关键词之一,汽车亦是如此。来自海关总署的消息,2023年中国汽车出口522.1万辆,同比增加57.4%。这意味着,中国汽车2023年出口量首次全球第一。在此背景之下,智能网联汽车产业强化国际接轨、满足国际合规要求也成为关键。国内、国际相关监管规则有何不同?
从监管主体来看,除工信部的用户数据安全合规体系之外,还需搭建符合自然资源部相关要求的合规体系。如测绘资质、离线的合规数据处理中心等。“从去年开始,智能网联的TSP系统因涉及GPS采集,也被考虑到纳入自然资源部的监管草案,目前我们也与一些主机厂探讨落地了TSP合规业务,以提前应对。”姚振说道。
数据合规底层设计上,国内、国外侧重亦有所不同。王诗笋发言时表示,“安全是车辆用户的自然期待,是底线,在此基础上欧盟的GDPR以隐私保护驱动,中国数据合规还偏重公共安全和国家安全。”
“美国强大的集体诉讼制度,对于车企而言,在没有标准和规则背书的情况下,需要考虑如何把个案风险控制在可控范围内。”周辉说道。
国际化的背景,也为智能网联汽车标准提出更高要求。2023年5月,工业和信息化部装备工业一司组织全国汽车标准化技术委员会开展了《汽车整车信息安全技术要求》《智能网联汽车自动驾驶数据记录系统》《乘用车外部凸出物》《商用车驾驶室外部凸出物》四项强制性国家标准的制修订,面向公众征求意见。当前,上述四项强标即将发布。
“上述四条标准,参照了欧盟UNECER155/R156标准以及国际标准ISO/SAE21434,涉及网络安全、信息安全、软件安全等内容。目前,国内智能网联汽车标准已向国际看齐”。徐展补充。
面对如此庞大的市场和生产规模,周辉表示,一是考虑将中国的标准变成一个更加合理、科学的标准;二是期待中国标准成为其他国家和地区认可、甚至共同推行的标准,参考欧盟“布鲁塞尔效应”,做出中国的贡献和突破。