文／中國汽車技術(shù)研究中心有限公司 王金明 劉宇 張怡凡

隨著智能化、網(wǎng)聯(lián)化程度不斷提升，智能網(wǎng)聯(lián)汽車信息安全問題日益嚴峻，特別是近年來發(fā)生多起汽車信息安全召回事件，引發(fā)了行業(yè)高度關(guān)注。智能網(wǎng)聯(lián)汽車的信息安全問題不僅能夠造成個人隱私泄露、企業(yè)經(jīng)濟損失，還可能造成車毀人亡的嚴重后果，甚至上升成為國家公共安全問題。盡管當前智能網(wǎng)聯(lián)汽車的安全漏洞尚未被廣泛利用，但是據(jù)統(tǒng)計，約56%的消費者表示信息安全和隱私保護將成為他們未來購買車輛時主要考慮的因素。由此可見，智能網(wǎng)聯(lián)汽車信息安全已經(jīng)成為汽車產(chǎn)業(yè)甚至全社會共同關(guān)注的焦點。

一、智能網(wǎng)聯(lián)汽車信息安全概述

智能網(wǎng)聯(lián)汽車信息安全主要包含四個方面：終端安全、網(wǎng)絡安全、云平臺安全以及信息數(shù)據(jù)安全。其中，終端安全主要指信息交互過程中來源于通信終端本身的威脅。以智能網(wǎng)聯(lián)汽車為例，通信過程會涉及到TBOX、路側(cè)設備、手機等多種終端設備，其本身的信息安全防護能力將對智能網(wǎng)聯(lián)汽車信息安全產(chǎn)生影響；網(wǎng)絡安全主要指車內(nèi)、車－人、車－車、車－路、車－平臺之間的信息網(wǎng)絡安全，主要涉及車內(nèi)網(wǎng)絡、車際網(wǎng)絡和車載移動互聯(lián)網(wǎng)絡等安全內(nèi)容；云平臺安全主要指提供車輛管理與信息內(nèi)容服務的云端平臺安全，其負責車輛及相關(guān)設備信息的匯聚、計算、監(jiān)控和管理，是車聯(lián)網(wǎng)數(shù)據(jù)匯聚與遠程管控的核心；信息數(shù)據(jù)安全主要指智能網(wǎng)聯(lián)汽車系統(tǒng)在運行過程中的數(shù)據(jù)采集、傳輸、開發(fā)利用、存儲、備份與恢復、刪除等過程安全，也包括但不僅限于用戶信息、車輛信息及軟件信息等內(nèi)容安全。

二、智能網(wǎng)聯(lián)汽車信息安全法律法規(guī)體系現(xiàn)狀

我國長期重視信息安全領域發(fā)展，目前已出臺了一系列法律法規(guī)進行規(guī)范引導，包括《中華人民共和國網(wǎng)絡安全法》、《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《中華人民共和國電子簽名法》等。此外，備受關(guān)注的《個人信息保護法》、《數(shù)據(jù)安全法》等也已列入2020年度全國人大立法計劃。由于目前尚未出臺專門的智能網(wǎng)聯(lián)汽車信息安全法律法規(guī)，相關(guān)要求散見于多部法律法規(guī)中，總體實現(xiàn)了對終端安全、網(wǎng)絡安全、云平臺安全、信息數(shù)據(jù)安全等方面的管理覆蓋。

在終端安全環(huán)節(jié)，我國對網(wǎng)絡關(guān)鍵設備及網(wǎng)絡安全專用產(chǎn)品實施安全認證/檢測制度。符合安全標準的產(chǎn)品設備是保障信息安全的基礎，為此我國在《中華人民共和國網(wǎng)絡安全法》第二十三條中提出網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品應當按照國家相關(guān)標準的強制性要求，由具備資格的機構(gòu)認證或檢測符合要求后，方可銷售或者提供。此外，國家互聯(lián)網(wǎng)信息辦公室會同工信部、公安部、認監(jiān)委制定和發(fā)布了《網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄》，加強了網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品安全管理，推動安全認證和安全檢測結(jié)果互認，避免重復認證、檢測。

在網(wǎng)絡安全環(huán)節(jié)，《中華人民共和國網(wǎng)絡安全法》規(guī)定我國全面實施網(wǎng)絡安全等級保護制度，《GB/T 25058-2019 信息安全技術(shù) 網(wǎng)絡安全等級保護實施指南》則明確了對等級保護對象實施網(wǎng)絡安全等級保護的過程。同時，由于網(wǎng)絡運營者事實上能夠掌握網(wǎng)絡運行過程中的大量關(guān)鍵信息數(shù)據(jù)，是數(shù)據(jù)信息傳遞和安全保障的關(guān)鍵角色，我國對其提出了包括缺陷補救、及時告知、安全維護等在內(nèi)的嚴格的管理要求，有效保障了網(wǎng)絡安全。

在云平臺安全環(huán)節(jié)，我國全面開展信息系統(tǒng)安全等級保護工作?！吨腥A人民共和國計算機信息系統(tǒng)安全保護條例》規(guī)定我國對計算機信息系統(tǒng)實行安全等級保護，《信息安全等級保護管理辦法》則將信息系統(tǒng)的安全保護分為五個等級。由于云平臺服務器受到破壞后，會對國家安全、社會秩序和公共利益造成嚴重損害，故其應該屬于第三級或更高級，其運營、使用單位應當依據(jù)國家管理規(guī)范和技術(shù)標準進行保護，網(wǎng)信辦對其信息安全等級保護工作進行監(jiān)督、檢查。

表1 智能網(wǎng)聯(lián)汽車信息安全相關(guān)法律法規(guī)概況

在信息數(shù)據(jù)安全環(huán)節(jié)，全國人大、工信部、網(wǎng)信辦等管理部門相繼出臺多部法律法規(guī)持續(xù)加強對個人信息及重要數(shù)據(jù)的管理。全國人大頒布了《中華人民共和國網(wǎng)絡安全法》，明確網(wǎng)絡運營者應當對收集的用戶信息嚴格保密，并建立健全用戶信息保護制度；關(guān)鍵信息基礎設施運營者在我國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應當在境內(nèi)存儲。國務院也出臺了《中華人民共和國計算機信息系統(tǒng)安全保護條例》，明確要求公安部負責針對計算機病毒及危害社會公共安全的其他有害數(shù)據(jù)開展防治研究工作。（見表1）

三、法律法規(guī)問題點分析

1、產(chǎn)品準入管理環(huán)節(jié)缺少信息安全防護能力審查

我國對汽車產(chǎn)品實施準入管理，在產(chǎn)品獲得準入資格前需滿足相關(guān)檢測要求。根據(jù)現(xiàn)行《道路機動車輛產(chǎn)品準入審查要求》，汽車產(chǎn)品準入需要滿足安全、環(huán)保、節(jié)能、防盜等國家標準，其中安全要求主要包括一般安全、主動安全、被動安全三方面內(nèi)容。由于目前適用標準多集中于汽車產(chǎn)品性能、零部件質(zhì)量等方面，缺少信息安全防護類標準，將導致目前已上市及未來一段時間內(nèi)將上市的智能網(wǎng)聯(lián)汽車產(chǎn)品信息安全防護能力良莠不齊，存在發(fā)生信息安全事故的隱患。

2、信息數(shù)據(jù)直接出境受到限制

智能網(wǎng)聯(lián)汽車運行所需網(wǎng)絡及相關(guān)設施屬于重要行業(yè)領域的關(guān)鍵信息基礎設施，同時其又具有“一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益”的屬性，按照《中華人民共和國網(wǎng)絡安全法》第三十七條規(guī)定，關(guān)鍵信息基礎設施運營者在我國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應當在境內(nèi)存儲。因業(yè)務需要，確需向境外提供的，應當按照國家網(wǎng)信部門會同國務院有關(guān)部門制定的辦法進行安全評估。因此，外資品牌汽車企業(yè)在我國境內(nèi)收集產(chǎn)生的數(shù)據(jù)將無法直接向境外母公司傳輸，該規(guī)定對此類業(yè)務具有重要影響。

3、未明確智能網(wǎng)聯(lián)汽車網(wǎng)絡安全等級保護具體實施要求

智能網(wǎng)聯(lián)汽車網(wǎng)絡生態(tài)體系正在快速發(fā)展，其對網(wǎng)絡安全高要求、零容忍的特點使得貫徹落實網(wǎng)絡安全等級保護制度成為保障信息安全的重中之重。《中華人民共和國網(wǎng)絡安全法》提出網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度的要求履行安全義務，保障網(wǎng)絡免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡數(shù)據(jù)泄露或者被竊取、篡改。但由于目前我國尚未出臺針對智能網(wǎng)聯(lián)汽車網(wǎng)絡安全等級保護的具體實施文件，在智能網(wǎng)聯(lián)汽車相關(guān)網(wǎng)絡系統(tǒng)定級、安全規(guī)劃設計、安全實施/實現(xiàn)、安全運行管理與系統(tǒng)終止等執(zhí)行層面缺乏操作指導，保護要求落實存在不充分、不到位的情況，不利于智能網(wǎng)聯(lián)汽車網(wǎng)絡安全保護工作開展。

四、發(fā)展建議

1、推動落實智能網(wǎng)聯(lián)汽車網(wǎng)絡安全保護工作。出臺指導開展智能網(wǎng)聯(lián)汽車網(wǎng)絡安全等級保護工作的具體實施文件，定期組織開展安全監(jiān)督檢查，完善安全事件通報、應急處置和責任認定等安全管理制度。同時推動企業(yè)、研究機構(gòu)等加大網(wǎng)絡安全技術(shù)研發(fā)力度，完善技術(shù)標準，保障智能網(wǎng)聯(lián)汽車網(wǎng)絡安全。

2、建立智能網(wǎng)聯(lián)汽車產(chǎn)品信息安全能力審查制度。出臺包含信息安全防護能力審查要求的智能網(wǎng)聯(lián)汽車產(chǎn)品準入管理制度，從源頭上保障汽車產(chǎn)品具備基本的信息安全防護能力，減少信息安全事故發(fā)生。同時，加快相關(guān)檢測標準的研究制定，為信息安全能力審查提供依據(jù)。

3、加強個人信息及重要數(shù)據(jù)安全管控。加速出臺個人信息和重要數(shù)據(jù)出境安全評估管理制度及具體措施，明確管理范圍及過程，對于涉及國家安全等重要事項的數(shù)據(jù)繼續(xù)實施嚴格管理；推動建立智能網(wǎng)聯(lián)汽車相關(guān)個人信息及數(shù)據(jù)安全管理體系，加快制定智能網(wǎng)聯(lián)汽車數(shù)據(jù)使用及管理辦法，制定數(shù)據(jù)分類管理標準，明確相關(guān)主體責任及要求，實現(xiàn)個人信息及數(shù)據(jù)的合規(guī)、合理利用。