基于新數據安全法規的汽車企業數據安全建設探析

韋菊梅，張 亮，班定東，陳煉松

（上汽通用五菱汽車股份有限公司廣西汽車新四化重點實驗室，廣西 柳州 545007）

1 當前汽車數據安全現狀

隨著大數據時代的到來以及信息技術的高速發展，傳統汽車行業已逐漸向智能網聯汽車行業的方向邁進。其較為顯著的特征就是汽車的電子化、網聯化和智能化，而一旦與互聯網交互，便不可避免地產生數據安全風險。當前車聯網數據主要包含車輛運行、交互環境和用戶使用等三類信息[1]。通過車輛運行數據即可得到用戶的軌跡信息，通過交互環境數據即可得到用戶所經路途所處位置的位置面貌，通過用戶使用即可得到用戶的基本個人信息，甚至是用戶綁定其他終端平臺的一些敏感信息，通過三類信息的交互，幾乎能得到用戶生活相關的所有關鍵數據。也正因如此，汽車信息安全問題日益嚴峻，近年來已發生了多起汽車信息安全召回事件，引發了行業的高度關注。而今年的焦點問題無疑是特斯拉事件，先是今年年初傳出國內部分政府機關和園區禁止特斯拉進入引發網友熱議，理由是“特斯拉裝有全方位攝像頭、超聲波雷達等一系列能暴露目標位置的技術裝置”，涉及軍事秘密等方面的國家安全；再到上海車展期間發生的“剎車門”維權事件，特斯拉向有關部門提交了相關的行車數據，然而卻因此遭到車主的強烈譴責，稱該數據泄露了自己的個人隱私，更有質疑者表示質疑該數據的真實性，表明是否經過篡改、加工等操作我們也無從得知等等，特斯拉“剎車門”維權事件引發全行業的熱議，而其涉及到的汽車數據安全問題也受到了廣泛關注，據國家工業信息安全發展研究中心發布的《自動駕駛數據安全白皮書2020》顯示，從2015年開始全球范圍內就發生過多起自動駕駛數據安全事件，包括寶馬、大眾、豐田等，重者可以通過偽造指令，遠程操控汽車。從此可以看出，汽車數據安全問題已經成為汽車產業甚至全社會關注的焦點。

2 數據安全建設對于汽車企業發展的重要性

數據泄露有無心之失，更有有意竊取之勢。網聯汽車的出現實現了用戶線上和線下生活的有機結合，這種有機結合而來的數據不僅涵蓋了與車輛安全運行關聯的數據，同時也包括了用戶個人信息（甚至涉及用戶敏感信息）、車聯網應用服務相關的數據，這些數據信息相結合，幾乎可以得出個人生活相關的所有關鍵數據，一旦這些數據被泄露，所有的個人隱私也將無所遁形，暴露在大眾視角中；同時，更為嚴重的是，若車輛或車聯網平臺被黑客非法入侵，可能會面臨車輛被遠程解鎖、遠程開車門、啟動，甚至是轉向系統、動力系統等被非法控制，造成車輛被盜取的財產損失甚至車輛行駛安全事故。更有甚至，汽車數據安全甚至對國家安全帶來威脅，較為典型的無疑是前段時間的滴滴被審查整改下架事件，其造成的數據安全問題已對國家安全造成了一定影響。對于企業來說，若不處理好汽車數據安全問題，不僅無法得到消費者的信任，甚至無底線的過度收集用戶數據，還會受到來自國家層面的監督和“叫停”，據統計，約56%的消費者表示信息安全和隱私保護將成為他們未來購車時的主要考慮因素[2]，由此可見，數據安全建設對于汽車企業未來發展的好與壞，無疑占有極其重要比重。

3 新數據安全法規對數據信息安全建設提出的要求

隨著數字經濟日益成為國際競爭的制高點，數據安全治理、數據安全保護立法也成為大國競爭和爭奪數字經濟領先地位的重要標志。我國也十分重視信息安全的發展，從此前出臺的《中華人民共和國網絡安全法》《中華人民共和國電子簽名法》等一系列法律法規對信息安全相關的規范引導，再到今年以來陸續施行的《中華人民共和國數據安全法》《個人信息保護法》兩部關于數據安全信息安全的律法，可以看到國家對信息安全保護的重視，其中，《數據安全法》是我國第一部有關數據安全保護的律法，將改變長期以來對數據的“重搜集、輕保護”現象，更加注重數據收集方式的嚴厲管控，從數據的收集到開發利用，再到開展數據相關活動等方面都進行了嚴厲約束，同時在制度制定、數據安全保護義務、政務數據的開放和發展都做出了明確的指示，對并對違反數據安全保護相關條例的行為列出具體法律責任，其數據保護范圍涵蓋個人隱私、企業數據安全乃至國家數據安全，樹立起全民數據安全保護的理念，為企業數據安全“保駕護航”，保障國家安全有序發展；《個人信息保護法》則是針對個人信息保護的法規條律，涉及敏感個人信息的處理規則、國家機關處理個人信息的特別規定、個人信息跨境提供規則、個人信息處理者的義務、法律責任等相關規定，為個人信息保駕護航。

4 新數據安全法規給汽車企業帶來的影響

一系列法規的出臺，可以看到國家對于數據安全建設工作重視程度，汽車企業無疑也受到了一定影響，甚至作為涉及國家經濟、裝備制造、金融、交通運輸、生產生活等諸多領域制造企業，汽車企業在新法規要求下面臨的考驗更加嚴峻。2021年8月16日，國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、公安部、交通運輸部聯合發布《汽車數據安全管理若干規定（試行）》（以下簡稱《規定》），對汽車數據處理活動以及汽車數據的開發利用都做出了明確規定，同時《規定》也是第一次對“特定行業”中的“重要數據”進行了定義，并以列舉的方式對汽車行業中的“重要數據”進行規定，這就要求汽車企業對于數據安全管理工作提出了更高的要求。一方面，對于汽車數據處理，企業需對數據收集方式進行管控，只有在駕駛人設定的收集方式下才能進行自動獲取，非必要數據只能在車內進行處理，無需對外面進行提供；同時企業需在所提供功能服務對數據精度的要求確定攝像頭、雷達等的覆蓋范圍、分辨率；對于數據要盡可能進行脫敏處理方能向外公布等；另一方面，對于個人信息處理，要求企業必須進行告知義務，如告知駕駛人數據收集的具體情境和用途等，同時應對敏感信息進行匿名化處理，對于應刪除的信息，也需在規定時間內進行刪除。對于重要數據，企業有責任且有義務制定有力保護措施，強化數據保護力度，并對數據安全問題負責?！兑幎ā返刃路ㄒ幍陌l布，對各行各業也敲起了一個響鐘，對于數據收集處理，企業將不再“俯首可得”，并且在收集、使用、開發和處理過程中都需制定嚴格的規定。對于汽車行業數據安全管理的合規工作，也需提出更高要求。

5 關于汽車企業數據安全建設的建議

新數據安全法規的出臺，表明了對于數據安全管理的管控工作，在未來只會越來越嚴，作為涉及國家經濟、裝備制造、交通運輸、生產生活等諸多領域制造企業，無論是傳統汽車企業，還是智能網聯汽車，對于數據安全管理工作的開展，都亟需開展，在此提出幾點建議：

1）建立健全汽車數據安全管理制度，所謂國有國法，家有家規，無規矩不成方圓，對于企業管理來說同樣如此，數據管理，制度先行，只有明確了數據安全管理的工作職責，明確責任部門和負責人，確定數據保護范圍，規定數據處理工作開展的方式，才能更好的開展數據保護工作。

2）對汽車數據安全嚴格管控和保護，從源頭管理到數據安全售后負責形成一條數據安全管理鏈路。具體可以表現為數據收集有原則，數據利用有方式，數據保護有技術（可通過定期備份、信息加密等方式對數據進行保護），同時需建立數據資產管理臺賬，實施數據分級分類管理工作，汽車數據量動輒幾百上千萬，包含個人信息、車輛數據、行程數據等多種數據，若企業建立數據資產管理臺賬，對數據進行分類分級管理，對于不同安全級別的數據應制定不同的安全管理措施，將能更好進行數據安全管理。

3）建立汽車網絡安全管理制度，隨著汽車智能化網聯化的發展，汽車也離不開網絡的掣肘。汽車網絡系統由使用平臺、互聯網車載系統和終端等多個子系統組成，平臺層還與其他應用服務商的子系統連接。龐大的參與主體使得網絡安全的鏈條更為脆弱，網絡風險激增[3]。因此，企業需建立汽車網絡安全管理制度，采取技術措施和其他必要措施，保障網絡安全、穩定運行，有效應對網絡安全事件，防范網絡違法犯罪活動，維護網絡數據的完整性、保密性和可用性。

4）樹立外防內管的信息安全防御觀[4]。定期對企業員工進行信息安全培訓，樹立全員信息安全保護意識，不斷完善智能網聯汽車安全管理和信息保密制度，建立包括汽車制造企業、零部件供應商等關鍵要素的安全責任體系。同時建立自查機制，加強自查工作的開展，在發現存在數據安全、網絡安全等嚴重問題的，需及時進行整改，從安全管理、數據安全等方面，將安全工作貫穿行業全鏈條全環節。構建防管結合、軟硬件結合的安全防護體系，注重攻擊防御、企業商業秘密保護、個人隱私保護。