您是否想浏览中国自主品牌出口车型,可以为您切换到易车国际站。
1ONE
数据安全对车企的重要性日益凸显
数据作为汽车行业战略性资源的地位日益凸显。智能网联时代,汽车已经成为信息采集与数据交互的重要终端,预计到2025年L2级以上辅助驾驶乘用车的新车渗透率将超过70%。同时,在路上行驶的智能汽车每年上传到云端的数据超过7万PB,这些数据共享、流通后,可以形成全链数据池,实现价值裂变,驱动智能技术迭代,提升企业管理水平,甚至催生出新的业态和服务。
构建适应性防护屏障是筑牢企业数据安全能力所必须。车企要打造覆盖“研、产、供、销、服”汽车全生命周期的安全管理和防护能力,需采用类似于人体免疫力的思路,形成持续、动态的安全防护能力体系。一方面,传统的“亡羊补牢”式安全理念和战略已难以满足汽车行业快速发展要求,车企需变被动为主动,从“治已病”发展为“治未病”。另一方面也需要构建多层次纵深的保护机制,及时、有效应对基础设施、网络、数据、业务以及管理领域的组合攻击行为。
不同企业安全免疫力评估
2TWO
不同部门对业务数据安全管理的认知也不统一,导致重要数据的识别和划定与业务贴合度不高,合规工作落地缺乏指导。
另一方面,现行国际通用法规和标准可参考性较低。一是R155法规给出了比较详细的安全威胁清单,但这些威胁因子是否足够支撑建立起一个好的评估基准仍不明确。二是国际标准ISO/SAE21434《道路车辆-网络安全工程》提出了车辆威胁分析与风险评估的工作流程(即TARA分析模型),为车辆识别风险、定量评估结果提供了指导,但车企的使用效果、需改进的地方仍不明确。
存量非智能车安全运营风险改进难度大。目前我国有超过3.0亿辆的存量乘用车不支持OTA升级,企业只能采取线下召回方式进行风险处置,导致企业投入巨大、影响用户用车。例如某合资车企畅销多年车型的汽车钥匙芯片存在缺陷,可在特定场景下通过抓取信号并重放来解锁车辆,通过召回解决该问题对于车主和企业双方都不现实,目前该漏洞仍未解决。
3THREE
但也要注意,细化的管理指导文件应让技术发展适度超前,建议采用分阶段、分周期的策略制定和实施,给企业提供指导的同时,避免监管对智能网联汽车发展造成制约。
加强上下游协同,强化供应链安全管理。将车企的数据安全管理要求向上下游产业链延展,确保供应链的安全管理机制具有持续性。可参考云平台责任共担模型,建立汽车数据安全责任共担机制,将安全责任落实到全产业链各环节,促使各参与主体形成“自我规制”观念;从全面评估潜在风险、确定预警指标、建立监测系统、制定应对策略,形成供应链风险预警机制,减少数据面临的潜在风险和威胁;配套建立信息共享机制。一方面,加强车企与供应商在整车产品数据安全的沟通与协作。另一方面,双方应积极主动跟踪监管方对供应链各环节的网络安全要求,分析预判、及时获取潜在合规需求;加快智能网联汽车核心零部件的国产化替代,强化底层零部件安全防护。借鉴理想和地平线的合作经验,积极鼓励零部件企业和车企“结对子”,促进国产智能化核心零部件的技术发展和推广应用,降低国外零部件可能存在的安全后门。
加强数据安全配套服务供给。依托行业智库、协会等机构的力量,培育和发展检测认证、监测预警等配套机制与技术,支撑国家建立汽车核心数据库、安全事件案例集等公共服务平台。
培育壮大独立的第三方汽车数据安全检测机构,强化车内外感知设备、车载车机系统、车联网关键设备等数据安全检测、评估和准入认证服务。既能为企业进行数据安全检测认证提供便利,又能作为政府监管的有效补充,帮助政府摆脱“信任危机”。
通过试点开展数据安全实践。在政府监管部门指导下,以行业机构为牵引,开展智能汽车试点示范时,将数据安全也纳入其中,大规模进行汽车数据安全防护技术和管理机制的实践应用并总结经验,帮助企业提升安全能力水平。
一方面,拉通整车制造、软硬零部件、安全技术等细分领域企业共同参与汽车数据安全防护技术上车的应用试点,制定技术标准并进行反复测试。
另一方面,在数字贸易实验区和数字经济特区,充分发挥沙盒监管制度提供的试点机制,营造开放、包容环境,为智能网联汽车数据安全合规提供技术创新的训练场。鼓励企业在监管沙盒内探索脱敏计算、隐私计算、区块链等安全技术在车端的创新应用,逐步攻克算力不足、数据接口不统一、软硬件配套不完善等诸多技术难点。
引导企业变被动为主动,加强数据安全合规。引导企业主动加强数据安全合规,能够帮助企业适应不断变化的安全威胁和挑战,营造合规、有序、安全的产业发展环境。
建立通报制度和信息共享机制,及时向企业通报最新的数据安全事件和风险信息,提高企业防范意识;通过政策激励、资金支持等方式,鼓励企业进行数据安全技术创新和合作。例如,设立针对汽车数据安全技术的研发专项,提升企业在数据安全方面投入的积极性;通过媒体、社交平台、公共讲座等方式开展宣传和教育,提高消费者对数据安全的认知和理解,倒逼企业主动加强数据安全能力。
推进消费电子与通讯行业积累的安全技术、合规经验与汽车使用场景深度融合。智能手机、智能设备等行业积累了丰富的数据安全技术与合规经验,在依据汽车行业本身的发展规律基础上,结合汽车行业的具体场景,将安全技术与合规经验引入汽车行业。例如,在保障用户对企业使用个人信息的知情权与同意权时,一方面可参考手机行业的隐私政策,制定汽车产品的隐私政策文件。同时“告知同意”需要考虑汽车的使用环境,在坚持法律法规的基础上创新交互方式,在不影响行车安全的基础上履行告知义务。