近日,工业和信息化部发布《关于加强车联网网络安全和数据安全工作的通知》(以下简称《通知》),《通知》提出,各相关企业要加强汽车、网络、平台、数据等安全保护,监测、防范、及时处置网络安全风险和威胁,确保数据处于有效保护和合法利用状态,保障车联网安全稳定运行。
早在6月23日,国家工信部就发布了《关于加强车联网(智能网联汽车)网络安全工作的通知(征求意见稿)》(以下简称《意见稿》),明确了相关企业在车联网安全当中的主体责任,并对其提出加强车联网网络安全防护,加强平台安全防护,保障数据安全与强化安全漏洞管理四点要求。
而本次工信部发布的通知,除了对原有的征求意见稿的部分表述进行了修改完善外,对相关企业的要求也从四点增加至六点,将“强化安全漏洞管理”拓展为“加强智能网联汽车安全防护”,并新增网络安全和数据安全基本要求以及健全安全标准体系的要求,并在标题中突出了“数据安全”一词。
新增针对车企条款
根据《智能网联路线图 2.0》规划,到 2025 年,L2/L3 级智能网联汽车销量占当年汽车总销量的比例将超过 50%。随着智能网联汽车作为全球新一轮新兴产业的爆发式增长,网络安全问题也随之逐步显现,为当前的汽车领域带来隐患。
国家工业信息安全发展研究中心副总工程师兼信息政策所所长黄鹏曾在接受21世纪经济报道记者采访时表示,“智能网联汽车网络安全漏洞多,2020年全球相关恶意攻击超过280万余次,黑客通过网络攻击的手段可以控制车辆行驶,也可以利用软件的漏洞操控智能网联汽车。”
以特斯拉为例,据360集团工业互联网安全研究院院长张建新介绍,早在2014年,360就发现了特斯拉的第一个漏洞。此后,关于特斯拉系统出现安全漏洞的事件便层出不穷。
2018年,比利时鲁汶大学的研究人员就发现了一种无钥匙进入特斯拉系统的方法。黑客只需与车主擦肩而过、复制其密钥,数秒钟时间就能轻松盗窃特斯拉电动汽车。
但存在问题的企业并不只特斯拉一家。据汽车网络安全公司Upstream Security发布的2021年《汽车网络安全报告》显示,自2019年起,针对汽车服务器的攻击增加了73%,几乎所有智能网联汽车生产企业都被攻击过。按照目前的发展趋势,随着汽车联网率的不断提升,预计未来此类安全问题将更加突出。
对此,《通知》在新增条例“加强智能网联汽车安全防护”中明确提出,智能网联汽车生产企业要落实《网络产品安全漏洞管理规定》有关要求,明确本企业漏洞发现、验证、分析、修补、报告等工作程序。发现或获知汽车产品存在漏洞后,应立即采取补救措施,并向工业和信息化部网络安全威胁和漏洞信息共享平台报送漏洞信息。
同时,《通知》也对智能网联汽车生产企业整车网络安全架构设计提出要求,企业需加强车内系统通信安全保障,强化安全认证、分域隔离、访问控制等措施,防范伪装、重放、注入、拒绝服务等攻击。
加强数据安全防护
今年以来,我国关于车联网数据安全的安全防护制度正在不断完善中。
今年4月,工信部发布了《智能网联汽车生产企业及产品准入管理指南(试行)》,从企业和产品两方面对智能网联汽车网络安全作出了多项要求,其中就包括依法收集、使用和保护个人信息、不得泄露涉及国家安全的敏感信息等。
8月末,国家网信办、国家发改委、工信部、公安部、交通运输部联合发布《汽车数据安全管理若干规定(试行)》,对汽车数据从收集、分析、存储到传输、查询、应用和删除等全流程作了较为详细的规定。
上海交通大学数据法律研究中心执行主任何渊此前接受21世纪经济报道记者采访时谈到,“汽车数据的特殊性在于除了汽车运行时产生的数据,其还需要搜集周边环境的测绘数据,是一个既包含个人信息,也包含地理交通重要数据的集中应用场景,因此在管理与规制中需要特别注意。”何渊表示,汽车数据的管理对我国的国家安全、公共安全和社会稳定都意义重大。
本次发布的《通知》则针对智能网联汽车生产企业、车联网服务平台运营企业提出四点保障数据安全的要求。《通知》提出,企业要采取合法、正当方式收集数据,针对数据全生命周期采取有效技术保护措施,防范数据泄露、毁损、丢失、篡改、误用、滥用等风险。
同时,企业要合理开发利用数据资源,防范在使用自动化决策技术处理数据时,侵犯用户隐私权和知情权,并建立数据管理台账,实施数据分类分级管理,加强个人信息与重要数据保护。
稿源:21世纪经济报道
