網(wǎng)聯(lián)自動駕駛汽車（CAVs）網(wǎng)絡安全風險及法律問題研究
——以英國、美國最佳實踐為視角

董新新

（西南政法大學 民商法學院；重慶401120）

一、CAVs①網(wǎng)聯(lián)自動駕駛汽車（Connected and Automated Vehicles），又稱“智能網(wǎng)聯(lián)汽車”，簡稱CAVs。網(wǎng)絡安全現(xiàn)狀概述

汽車產(chǎn)業(yè)正經(jīng)歷基于新一代移動互聯(lián)技術的變革時期，這種因外界力量導致的變革將引發(fā)整個汽車產(chǎn)業(yè)的革命，甚至會對社會發(fā)展帶來重大影響。智能汽車有兩個快速發(fā)展路徑，一個是以傳統(tǒng)汽車為主，不斷地自動化；另外一個是移動互聯(lián)，不斷地網(wǎng)聯(lián)化。在自動化的基礎上，需要傳統(tǒng)的機電技術，需要講工匠精神、工匠文化，這兩種發(fā)展結(jié)合，我們稱之為智能網(wǎng)聯(lián)汽車。CAVs運營依賴于復雜的軟件系統(tǒng)及技術升級，每一輛智能汽車構造包含超過60個嵌入式電子控制單元（ECU）及一系列外部有線②有線接口例如USB,CD/DVD，和SD卡等。/無線③無線接口例如藍牙，Wi-Fi，無線電頻率近場通信（NFC）、全球移動通信系統(tǒng)（GSM）/碼分多址（CDMA）和通用移動通信系統(tǒng)（UMTS）等。接口。車聯(lián)網(wǎng)以“兩端一云”為主體，路基設施為補充，包括智能網(wǎng)聯(lián)汽車、移動智能終端、車聯(lián)網(wǎng)服務平臺等對象，涉及車-云通信、車車通信、車-人通信、車-路通信、車內(nèi)通信五個通信場景。不斷增加的功能集，內(nèi)部和外部網(wǎng)絡的相互連接及復雜的網(wǎng)絡數(shù)據(jù)通信，一方面使得CAVs更具舒適性、便捷性，另一方面也產(chǎn)生網(wǎng)絡安全漏洞、信息數(shù)據(jù)泄露等一系列網(wǎng)絡安全問題。

為應對在CAVs的廣泛概念下的各種網(wǎng)絡安全問題，大多數(shù)支持此項科技創(chuàng)新的政府都提出了一種階段性的防護策略，以支持技術的開發(fā)、部署。例如，英國運輸部（DfT）及國家基礎保護中心（CPNI）于2017年8月6日公布《網(wǎng)聯(lián)和自動駕駛汽車車輛網(wǎng)絡安全的關鍵原則》（The key principles of vehicle cyber security for connected and automated vehicles）即“自動駕駛汽車網(wǎng)絡安全指南”（后文簡稱《關鍵原則》），①該指南是英國運輸部門（The Department for Transport），與國家基礎設施的保護中心（The Centre for the Protection of National Infrastructure）合作，建立的適用于整個汽車行業(yè)，CAVs,ITS生態(tài)系統(tǒng)及其供應鏈的關鍵原則。本指南中的8個原則闡述了汽車行業(yè)如何確保在各個級別（從設計和工程師到供應商和高級管理人員）正確地考慮到網(wǎng)絡安全。（于2017年8月6日公布）。嘗試在當前的立法中制定風險和責任，以及考慮新的方法來管理CAVs運營。［1］美國國家公路交通管理局（NHTSA）采用一種多方面的研究方法，利用國家標準和技術網(wǎng)絡安全框架，與汽車行業(yè)合作，積極應對汽車網(wǎng)絡安全挑戰(zhàn)，并不斷尋求降低相關安全風險的方法。NHTSA于2016年10月發(fā)布《現(xiàn)代汽車的網(wǎng)絡安全最佳實踐》（Cybersecurity Best Practices for Modern Vehicles）（后文簡稱《最佳實踐》），②NHTSA《現(xiàn)代汽車的網(wǎng)絡安全最佳實踐》（2016.10）（NO.HS 812 333）。該文件描述了美國國家公路交通安全管理局對汽車工業(yè)的非約束性指導，以改進機動車的網(wǎng)絡安全。該文件旨在涵蓋所有機動車輛的網(wǎng)絡安全問題，因此適用于所有制造和設計車輛系統(tǒng)和軟件的個人和組織。該文件提出了監(jiān)管框架，鼓勵自動駕駛技術的安全開發(fā)、測試、布置，旨在促進CAVs網(wǎng)絡安全，提高產(chǎn)業(yè)機動性和市場效率。［2］

相較而言，我國目前沒有專門針對網(wǎng)聯(lián)自動駕駛汽車網(wǎng)絡安全的監(jiān)管文件，中國信息通信院發(fā)布的《車聯(lián)網(wǎng)網(wǎng)絡安全白皮書（2017年）》［3］，主要從車聯(lián)網(wǎng)網(wǎng)絡安全現(xiàn)狀、威脅分析、防護策略等方面進行分析探討，內(nèi)容多為技術性規(guī)范，旨在針對網(wǎng)聯(lián)汽車軟硬件設定相應技術標準，并未提出相關行業(yè)監(jiān)管措施或安全保障方案。

二、CAVs網(wǎng)絡安全法律問題類型

CAVs網(wǎng)絡安全風險主要來源于智能網(wǎng)聯(lián)汽車、③1.T-BOX提供無限網(wǎng)絡通信接口，是逆向分析和網(wǎng)絡攻擊的重要對象。2.CAN總線是汽車控制中樞，是攻擊防護的底線。3.OBD接口連接汽車內(nèi)外，外接設備成為攻擊來源。此方面涉及9項內(nèi)容，此處僅列舉3項，其他內(nèi)容可查閱“《車聯(lián)網(wǎng)網(wǎng)絡安全白皮書（2017年）》”。移動終端、④1.移動APP成為車聯(lián)網(wǎng)標配，應用破解成為主要威脅。2.智能終端系統(tǒng)安全間接影響車聯(lián)網(wǎng)安全。車聯(lián)網(wǎng)服務平臺、⑤1.車聯(lián)網(wǎng)服務云平臺面臨傳統(tǒng)的云平臺安全問題。2.弱身份認證使得車聯(lián)網(wǎng)管理平臺暴露給攻擊者，面臨網(wǎng)絡攻擊。網(wǎng)絡通信、⑥1.通信協(xié)議破解和中間人攻擊成為車-云同行主要威脅。2.惡意節(jié)點成為車-車通信威脅，可信通信面臨挑戰(zhàn)。3.協(xié)議破解及認證是車聯(lián)網(wǎng)短距離通信主要威脅。數(shù)據(jù)安全和隱私保護⑦1.傳輸和存儲環(huán)節(jié)存在數(shù)據(jù)被竊風險。2.數(shù)據(jù)過度采集和越界使用成為隱私保護主要問題。3.數(shù)據(jù)跨境流動問題成為威脅國家安全潛在隱患。五個方面，其中的法律責任主要指因黑客攻擊車輛網(wǎng)絡系統(tǒng)導致的車輛事故責任糾紛，⑧黑客攻擊主要有接觸式攻擊、非接觸式攻擊、后裝產(chǎn)品攻擊三種方式，具體如數(shù)據(jù)包重放攻擊、通信協(xié)議逆向破解、內(nèi)置防護系統(tǒng)失靈等。筆者認為，所涉法律問題可大致歸為以下三種類型：［4］

其一，通信協(xié)議破解、中間人攻擊型。隨著CAVs技術快速發(fā)展，汽車制造商面臨著由傳感器制造商、軟件開發(fā)商和操作系統(tǒng)提供商組成的復雜的供應鏈。如果依然僅由汽車制造商對CAVs缺陷造成的損害承擔責任，則汽車制造商將會為確保所有供應商都符合網(wǎng)絡安全的最佳實踐而承受巨大負擔。在車輛對車輛（V2V）和車輛對基礎設施（V2I）交互的情況下，黑客可以利用V2V或V2I通信的故障使CAVs發(fā)生事故。這種情況下，第三方CAVs或基礎設施提供方是否也要承擔責任？尚有疑問。

其二，軟件系統(tǒng)更新、后續(xù)服務型。在互聯(lián)的環(huán)境中，持續(xù)的軟件更新、系統(tǒng)修復、固件檢測對于網(wǎng)絡安全維護而言舉足輕重，那么車輛制造商是否應在汽車出售后仍繼續(xù)承擔軟件更新、漏洞修補的責任？若答案肯定，那么提供更新的期限、時間如何確定？如何在汽車制造商、軟件供應商和硬件供應商之間協(xié)調(diào)處理？如何合理分配因系統(tǒng)更新導致的事故責任？這些問題應進行慎重的法律思考。

其三，移動終端連接、間接影響型。因網(wǎng)絡安全涉及終端用戶的切身利益，該群體成為網(wǎng)絡安全鏈條中的關鍵環(huán)節(jié)，但其缺乏對于汽車網(wǎng)絡風險的充分認識。在此前提下，若某例安全事故的發(fā)生是因終端用戶在手機或是與汽車連接的設備上安裝不安全的軟件而導致的，該如何處理事故糾紛？終端用戶是否需要為此承擔責任？責任的性質(zhì)又當為何？

三、CAVs網(wǎng)絡安全法律問題核心——民事責任的本質(zhì)變化

不難發(fā)現(xiàn)，上述三個法律問題所牽涉的責任主體已不局限于制造商一方，而是包含供應商、軟件供應商、軟件開發(fā)商、電信服務提供商、基礎設施提供商、保險公司等在內(nèi)的多方主體，歸責原則也不局限于傳統(tǒng)的過錯侵權責任。

責任內(nèi)涵及外延的本質(zhì)變化，是CAVs網(wǎng)絡安全法律問題的核心，這種通過供應鏈傳遞的責任承擔方式，使得CAVs網(wǎng)絡安全責任與傳統(tǒng)汽車安全責任大相徑庭，究其原因，有以下三個方面：其一，在這種動態(tài)的操作環(huán)境中，事故的發(fā)生可能不是因車輛本身的缺陷所致，而是由網(wǎng)絡延遲、帶寬受限、通信故障等網(wǎng)絡通信安全缺陷導致的；其二，攻擊者可能會利用不同實體的組件更新，導致的一些次要漏洞，這些漏洞本身并沒有經(jīng)濟價值，但通過網(wǎng)絡連接環(huán)境，可對車載系統(tǒng)完整性和車輛安全性產(chǎn)生破壞性交互影響；其三，在未來的網(wǎng)絡物理運行環(huán)境中，CAVs的許多方面較傳統(tǒng)汽車而言，都超出了制造商預先的合理預測/測試能力。在這種情況下，僅由汽車制造商對產(chǎn)品缺陷造成的損害承擔責任，可能會造成不合理（或不現(xiàn)實）的責任負擔。

四、CAVs網(wǎng)絡安全法律問題的解決路徑——技術規(guī)范、個案分析

就上述法律問題的解決路徑，可簡述為：第一步，鑒于網(wǎng)聯(lián)自動駕駛汽車的技術高度復雜性、車載固件安全生產(chǎn)、風險控制理論、嚴格責任等要求，制造商應承擔首要責任，供應商、基礎設施供應商、通信設備提供商、系統(tǒng)用戶等按照過錯比例承擔責任；［5］第二步，鑒于缺陷與侵害事實之間的因果關系舉證極其不易，故對上述責任主體實行舉證責任倒置規(guī)則；［6］第三步，鑒于在目前責任體系下，生產(chǎn)者之責任承擔違背合理原則，故保險公司應基于風險分擔考慮承擔保險限額責任［7］。

此解決路徑，理論上并無太大爭議，但能否合理分配法律責任，關鍵在于舉證證明環(huán)節(jié)能否順利實現(xiàn)。舉證責任之分配，涉及責任主體與事故原因是否存在法定義務之聯(lián)系，故分配結(jié)果究竟為何，須借助于明確的行業(yè)標準和嚴格的監(jiān)管制度。關于前者，我國《國家車聯(lián)網(wǎng)產(chǎn)業(yè)體系建設指南（智能網(wǎng)聯(lián)汽車）》（最終指南）于2017年已發(fā)布，［8］提出建立95個標準，其中20個標準涉及信息安全。關于后者，我國并沒有相關文件可做指導，因此，筆者擬在參考借鑒英國《關鍵原則》及美國《最佳實踐》的基礎上，堅持個案分析的方法，嘗試探討上述三種CAVs網(wǎng)絡安全事故的責任分配問題。

（一）通信協(xié)議破解、中間人攻擊型事故責任分配

筆者認為，此類網(wǎng)絡安全事故發(fā)生之根源在于車內(nèi)通信設施監(jiān)控失靈與外部基礎設施運行故障，故可從以下兩個方面進行分析：一方面，正如NHTSA指出的那樣，CAVs制造商應當注重“車輛內(nèi)部通信控制”設計，①NHTSA《Best Practices》：6.7.8 Control Internal Vehicle Communications.制造商在可能的情況下，須避免車輛通過公共數(shù)據(jù)總線發(fā)送安全信號，應為ECU提供來自關鍵傳感器的專用信息輸入通道，避免公共數(shù)據(jù)總線欺騙問題，②因分離通信總線可減輕不安全車輛內(nèi)部/外部設備對車輛網(wǎng)絡的潛在影響，故如果必須在車輛通信總線上傳遞關鍵性安全信息，則該信息應該在與車輛ECU通信總線分離的外部網(wǎng)絡接口上進行傳輸。另一方面，關鍵的安全消息（特別是通過非分段通信總線的消息），應采用身份驗證方式來降低消息欺騙的可能性。

此外，《關鍵原則》指出，系統(tǒng)應具有應對攻擊的彈性功能，當防御或傳感器失效時做出適當響應，①Principle8 the system is designed to be resilient to attacks and respond appropriately when its defenses or sensors fail.該系統(tǒng)必須能夠承受通過外部和內(nèi)部接口接收到的損壞、無效或惡意的數(shù)據(jù)或命令，包括傳感器干擾或欺騙，同時仍然可以用于車輛主要用途。汽車行業(yè)還應建立快速的檢測和補救系統(tǒng)。如果檢測到網(wǎng)絡攻擊，應盡量減少對車輛使用者或周圍道路使用者的安全風險，車輛應及時過渡到合理的風險狀態(tài)。

通過上述分析，可知NHTSA、《關鍵原則》認為制造商在車輛系統(tǒng)設計方面應充分考慮現(xiàn)實道路環(huán)境中的復雜網(wǎng)絡通信故障問題，并通過安全消息傳輸線路設置、關鍵信息身份驗證、系統(tǒng)事故響應彈性設計等措施，降低外部基礎設施或第三方車輛對自身駕駛系統(tǒng)的影響。由此可知，在發(fā)生此類網(wǎng)絡安全事故時，制造商承擔無過錯責任，但須結(jié)合其法律義務，考慮其減責或免責事由，根據(jù)事故原因結(jié)果分析，確定最終責任主體。

（二）軟件系統(tǒng)更新、后續(xù)服務型事故責任分配

關于CAVs制造商的售后服務，可大致分為以下三個方面：其一，持續(xù)的風險評估。②NHTSA《Best Practices》：6.6.1 Risk Assessment.汽車行業(yè)應該考慮在整個運營供應鏈，開發(fā)基于風險評估來預測系統(tǒng)的脆弱性或潛在影響，制定風險管理框架，持續(xù)監(jiān)測系統(tǒng)風險。其二，軟件自我更新檢測的文檔化管理。③NHTSA《Best Practices》：6.6.3 Self-Review.制造商應建立內(nèi)部審查和網(wǎng)絡安全活動記錄程序，（這種文檔化管理）一方面有助于企業(yè)自身更好地了解他們的網(wǎng)絡安全實踐，并在持續(xù)的軟件更新、系統(tǒng)修復過程中實現(xiàn)系統(tǒng)升級；另一方面，有助于消費者查詢相關軟件更新信息，了解系統(tǒng)升級動態(tài)。其三，軟件/系統(tǒng)定期更新義務。制造商應根據(jù)行業(yè)情況確定更新時間，但如果出現(xiàn)嚴重安全威脅，則須在第一時間發(fā)布相應的更新程序。

綜上所述，筆者認為，若因制造商未及時發(fā)布更新程序/軟件或未通過足以引起消費者注意的方式提醒其進行系統(tǒng)更新，則因違反及時更新、充分提醒義務承擔相應的法律責任。反之，若事故之產(chǎn)生，系消費者自身疏忽所致，則不應追究制造商責任，由消費者自行承擔事故責任。

（三）移動終端連接、間接影響型事故責任分配

NHTSA認為，CAVs制造商應當承擔售后設備安全維護④NHTSA《Best Practices》：8.Aftermarket Devices.的義務，理由有二：一是，制造商應該考慮到消費者可能會通過有線/無線接口（藍牙，USB，OBD-II端口等），將售后設備（如保險軟件保護器）或個人設備（如手機）與車載系統(tǒng)連接。制造商應考慮這些移動終端設備可能帶來風險，并提供合理的網(wǎng)絡安全保護；二是，售后設備制造商同樣應考慮到其設備與車輛網(wǎng)絡物理系統(tǒng)相連接的情況。盡管某些系統(tǒng)的主要目的可能與安全無關（例如搜集車輛運行數(shù)據(jù)的遙測設備），但若未得到適當?shù)谋Ｗo，其仍可能對車輛核心安全系統(tǒng)造成間接影響。售后設備制造商可根據(jù)汽車駕駛階段、類型的差異，提供不同程度的安全保護服務。

因此，筆者認為，既然制造商承擔售后設備安全維護義務，那么就此類型的網(wǎng)絡安全事故而言，制造商應當承擔主要責任（同樣，其可通過舉證證明其已盡到合理注意義務而請求減輕責任或免責），消費者作為汽車實際占有人，也負有一定的安全注意義務，除非有理由相信，在連接售后設備或終端移動設備時，其不（或不應當）知道網(wǎng)絡安全風險存在，否則消費者也應承擔一定的責任，二者的責任性質(zhì)為過錯責任，即根據(jù)過錯程度之不同，進行責任大小之分配。

五、我國CAVs網(wǎng)絡安全法律制度設計的展望——生命周期管理方法論

CAVs網(wǎng)絡安全是現(xiàn)代汽車行業(yè)安全防護的重點，我國目前卻沒有出臺專門的法律文件對此加以規(guī)制，與此同時，英美、歐盟等先進國家或地區(qū)，正在嘗試以制造商為責任主體，以“黑盒防護”為主線，逐步建立以“SAE J3061”①J3061《信息物理融合系統(tǒng)網(wǎng)絡安全指南》詳細定義了一個結(jié)構化的網(wǎng)絡安全流程框架，用于指導建設安全要求極高的計算機系統(tǒng)。整份標準，始終在強調(diào)汽車網(wǎng)絡安全的系統(tǒng)工程性，即從項目初始就應將信息安全納入到系統(tǒng)設計中考量，并在其整個生命周期中提供有效保護，也就是貫穿于車輛產(chǎn)品設計、研發(fā)、制造、維修、回收等各環(huán)節(jié)。安全生命周期管理為基礎、以軟硬件安全防護為保障的防護體系，抵御攻擊破解和逆向分析，保護智能網(wǎng)聯(lián)汽車安全。

職是之故，建議我國CAVs網(wǎng)絡安全法律制度設計應在借鑒英美最佳實踐的基礎上，采取一種將網(wǎng)絡安全視為“系統(tǒng)安全”重要組件的綜合治理方法：創(chuàng)建適當嵌套的責任層，及跨越供應鏈和操作環(huán)境的測試/監(jiān)控制度，要求汽車制造商、供應商和監(jiān)管機構之間持續(xù)對話，以確保車輛網(wǎng)絡安全在相關標準中得到整合。具體而言，除前文提及的“制造商法律義務”設置外，還可借鑒以下做法：

（一）策劃設計階段

CAVs前期策劃是汽車研發(fā)和汽車項目建立的關鍵環(huán)節(jié)，汽車行業(yè)的安全責任體系是安全生產(chǎn)的靈魂，為明確安全責任，劃分（界定）安全管理和具體執(zhí)行之間的工作職責，我國應建立汽車制造商安全責任制度，根據(jù)汽車功能特征進行威脅建模，明確各項功能安全性，并為重要的策略設計分配預算。

1.英國DfT&CPNI《關鍵原則》相關做法

（1）組織上從董事會層面重視、管理和促進信息安全②Principle1organizational security is owned,governed and promoted at board level.

原則要求制造商企業(yè)有一個與組織使命和目標一致的安全計劃（security program），在董事會層面實行個人問責制（Personal accountability），旨在實現(xiàn)產(chǎn)品或系統(tǒng)安全，在整個組織中進行正確和清晰的授權。此外，所有的新設計都應采用安全設計（Security by Design）。在開發(fā)安全的ITS③智能交通系統(tǒng)（Intelligent Transport System），簡稱：ITS。/CAV系統(tǒng)時，遵循安全設計原則，并且涉及的所有方面（物理、人員和網(wǎng)絡）均被集成到產(chǎn)品和服務開發(fā)流程中。

（2）系統(tǒng)采用縱深防御設計④Principle5 Systems are designed using a defense-in-depth approach.

原則指出，系統(tǒng)的安全性不能依賴于單點故障（single points of failure）、隱藏的安全性或任何無法隨時更改的內(nèi)容。安全架構應采用防御深度和分段（defense-in-depth&segmented）的技術，試圖通過監(jiān)控、警報、隔離、減少攻擊表面、信任層/邊界和其他安全協(xié)議等輔助控制來降低風險。

2.美國NHTSA《最佳實踐》相關做法

（1）具有明確的網(wǎng)絡安全考慮的車輛開發(fā)過程⑤NHTSA《Best Practices》：6.1 Vehicle Development Process With Explicit Cybersecurity Considerations.

汽車行業(yè)應該遵循一個基于系統(tǒng)工程方法的產(chǎn)品開發(fā)過程，目標是設計不存在不合理安全風險的系統(tǒng)，包括潛在的網(wǎng)絡安全威脅和漏洞。公司應通過使用系統(tǒng)或程序來評估風險，使網(wǎng)絡安全成為優(yōu)先事項（make cybersecurity a priority）。

（2）以產(chǎn)品網(wǎng)絡安全為重點⑥NHTSA《Best Practices》：6.2 Leadership Priority on Product Cybersecurity.

對于汽車行業(yè)來說，創(chuàng)造企業(yè)優(yōu)先事項和培養(yǎng)應對復雜網(wǎng)絡安全的挑戰(zhàn)文化是至關重要的。在這一方面，NHTSA建議汽車制造商將車輛網(wǎng)絡安全的重要性放在首位（prioritized vehicle cybersecurity）

（二）生產(chǎn)階段

在這一階段，汽車制造商及零部件供應商開始將設計的硬件和軟件進行車輛組裝，這是信息對策的重要環(huán)節(jié)。應考慮如何在開發(fā)流程中集成安全性，找出關鍵的安全性對象，盡量提升代碼安全性并減少對計劃和日程的影響，同時加強供應商產(chǎn)品的質(zhì)量安全管理。

1.英國DfT&CPNI《關鍵原則》相關做法

該指南在“所有組織，包括分包商、供應商和潛在的第三方，必須共同合作以加強系統(tǒng)信息安全”①Principle 4all organizations,including sub-contractors,suppliers and potential 3rd parties,work together to enhance the security of the system.部分論述到：包括供應商和第三方在內(nèi)的組織必須提供生產(chǎn)過程和產(chǎn)品質(zhì)量的安全保證，例如獨立驗證或認證；必須確定并確認供應鏈中所有供應品的真實性和來源；必須計劃如何識別和管理外部依賴關系，包括安全地與外部設備進行連接（包括生態(tài)系統(tǒng)）、服務（包括維護）、操作或控制等。此外，如果傳感器或外部數(shù)據(jù)的準確性或可用性對自動化功能至關重要，那么相關輔助措施也必須加以使用。

2.美國NHTSA《最佳實踐》相關做法

該文件在“6.7基礎車輛網(wǎng)絡安全保護”②NHTSA《Best Practices》：6.7 Fundamental Vehicle Cybersecurity Protections.部分重點關注生產(chǎn)固件及訪問權限問題，主要內(nèi)容涉及限制開發(fā)者/調(diào)試生產(chǎn)設備的訪問、控制鍵、控制車輛維修診斷訪問、修改固件的限制能力、在車輛使用分割和隔離技術架構設計、控制內(nèi)部車輛通信等11個方面。

（三）交付使用階段

這一階段涉及威脅情報分析預警、智能網(wǎng)聯(lián)汽車安全運營、安全事件應急響應等三個方面的內(nèi)容。一方面，制造商應真正做到安全事件提前預警，及時獲取安全預警信息的來源，確保信息來源的準確性、全面性，另一方面，應將安全事件預防、發(fā)現(xiàn)、處置到威脅情報共享環(huán)節(jié)打通，踏實落地安全運營，提升數(shù)據(jù)化監(jiān)測能力，為后期市場運營奠定基礎。

1.英國DfT&CPNI《關鍵原則》相關做法

指南在“安全風險評估”部分③Principle2 Security risks are assessed and managed appropriately and proportionately.要求制造商在組織機構內(nèi)部已建立安全風險評估和管理程序，確定識別、分類、優(yōu)先級化和安全風險處理的明確規(guī)則。

2.美國NHTSA《最佳實踐》相關做法

（1）漏洞報告/披露政策④NHTSA《Best Practices》：6.4 Vulnerability Reporting/Disclosure Policy.

NHTSA支持信息共享的附加機制，例如漏洞報告/披露程序。汽車行業(yè)的成員可考慮制定自身漏洞報告/披露政策，或采用其他部門或技術標準中使用的政策。這些政策將為制造商外部網(wǎng)絡安全研究員提供指導，指導其如何設計車輛系統(tǒng)的漏洞披露制度。

（2）漏洞/開發(fā)/事件響應程序⑤NHTSA《Best Practices》：6.5 Vulnerability/Exploit/Incident Response Process.

CAVs制造商應該建立漏洞/開發(fā)/事件響應程序，包括影響評估、控制、恢復、補救措施及相關測試程序。此程序應清楚地列出組織內(nèi)每個負責小組的作用和責任，并明確內(nèi)部和外部協(xié)調(diào)的要求。

此外，CAVs制造商應定期評估其程序的有效性，并記錄每個被識別和報告的漏洞、開發(fā)或事件的細節(jié)，這些文檔應該包括從開始到配置的各種信息。響應程序應及時報告所有事件、漏洞，任何事件也應根據(jù)美國CERT聯(lián)邦事件通知準則US-CERT或工業(yè)控制系統(tǒng)CERT報告。

（四）其他相關措施

1.網(wǎng)絡安全意識與培訓⑥NHTSA《Best Practices》：7.Education.

NHTSA認為，職工的受教育背景對提高CAVs網(wǎng)絡安全至關重要。該機構的理念是，網(wǎng)絡安全教育活動不應局限于現(xiàn)有的勞動力或技術人員，應涉及未來的勞動力和非技術人員。NHTSA支持包括SAE/Battelle Cyber Auto Challenge在內(nèi)的網(wǎng)絡安全元素教育競賽，并在2014年的《網(wǎng)絡增強法案（PL113-274，Title IV）》和“增強安全性車輛（ESV）學生設計比賽”中提出國家網(wǎng)絡安全教育計劃（NICE）。

2.數(shù)據(jù)安全防護①DfT&CPNI《關鍵原則》：原則7.數(shù)據(jù)存儲與傳輸?shù)陌踩刂疲═he storage and transmission of data is secure and can be controlled）.

數(shù)據(jù)在存儲和傳輸時必須具有足夠的安全性（保密性和完整性），確保只有預期的接收方或系統(tǒng)設備具有接收或訪問權限。在驗證之前，傳入的通信數(shù)據(jù)應被視為不安全的。

個人可識別的數(shù)據(jù)（Personally identifiable data）必須妥善管理。這包括：存儲的內(nèi)容（ITS/CAV系統(tǒng)）、傳輸?shù)膬?nèi)容、數(shù)據(jù)的使用及數(shù)據(jù)所有者的控制過程。在某些情況下，發(fā)送到其他系統(tǒng)的數(shù)據(jù)將被及時清理。此外，用戶可以刪除在系統(tǒng)上保存的敏感數(shù)據(jù)。

余 論

CAVs網(wǎng)絡安全的重要性在未來的汽車發(fā)展過程中將逐步凸顯，其中涉及的法律問題將是法律工作者不可回避且亟待解決的現(xiàn)實問題，但由于CAVs的高度技術性，法律尤其民法只能提供糾紛解決思路、探索問題解決路徑，至于如何通過歸責原則劃分責任主體，如何通過舉證責任倒置規(guī)則實現(xiàn)訴訟風險分配，如何通過糾紛解決實現(xiàn)公平正義，尚須借助相關行業(yè)標準及監(jiān)管制度的不斷完善。我國政府應積極規(guī)劃和部署CAVs網(wǎng)絡安全建設，以CAVs制造商網(wǎng)絡安全義務為基點，構建全鏈條的綜合立體防御體系。相應地，司法實踐應將行業(yè)標準及監(jiān)管制度作為責任主體過錯與否的客觀判斷標準及可否免責的說理依據(jù)，以此實現(xiàn)科技創(chuàng)新與利益保護的最大平衡。