由五部門發(fā)布的《汽車數據安全管理若干規(guī)定（試行）》10月起正式施行。這是繼數據安全法出臺之后，汽車行業(yè)數據安全規(guī)定的率先推動施行，其重要程度可見一斑。

　　事實上，今年已有四部以上的汽車數據安全、智能網聯汽車管理規(guī)定相繼出臺。政策密集發(fā)布背后有何緣由？《規(guī)定》有哪些細節(jié)和亮點值得關注？為跟上合規(guī)驅動的新階段，相關企業(yè)又該有何行動？基于以上問題，10月19日騰訊安全車聯網安全專家張康、騰訊安全數據安全專家劉海洋、上汽集團赤霄網絡空間信息安全實驗室負責人陳寧博士為大家詳解法規(guī)內容、提供行動思路。

數據安全管理迫在眉睫《規(guī)定》有哪些新要求？

　　“新四化”的趨勢下，汽車運轉產生的數據量非常大，未來僅一輛車的數據都將以“G”，甚至以“T”為單位，但是如此龐大的數據應當如何進行合理開發(fā)利用，行業(yè)認知和探索仍處于起步階段。騰訊安全車聯網安全專家張康提道，過去很多企業(yè)都遵循著自己的標準，行業(yè)整體處于“千企千面”的狀態(tài)，產業(yè)鏈上的協作、數據通訊也常常因為各自協議標準不統(tǒng)一，無法有效地保證數據安全、共享使用。

　　而另一方面，安全事件頻發(fā)，嚴峻的數據安全挑戰(zhàn)成為行業(yè)發(fā)展的核心痛點。據報道，2020年1-9月，針對整車企業(yè)車聯網信息服務提供商等相關企業(yè)和平臺的惡意攻擊達280余萬次；今年6月的某次信息安全事件中，約有330萬汽車的車主和潛在客戶的個人信息遭到泄露。

　　數據安全管理到了刻不容緩的時候，而《規(guī)定》的出臺讓汽車行業(yè)的數據安全有了遵循依據，更給了廣大用戶一顆安心駕駛的定心丸。

　　《規(guī)定》界定了汽車數據和監(jiān)管主體，提出了4項推薦的數據處理原則，同時明確了數據處理者的義務，并制定跨境數據傳輸規(guī)則，初步建立起中國汽車數據安全的合規(guī)框架。

　　騰訊安全數據安全專家劉海洋認為，《規(guī)定》首次對“汽車數據處理者”和“重要數據”類型等內容做了清晰的界定。如“汽車數據處理者”不僅限于慣性認知中的汽車制造商、零部件和軟件供應商等，還包括經銷商、維修機構以及出行服務企業(yè)。同時，《規(guī)定》落實了年度報告制度，汽車數據處理者應當按時主動報送年度汽車數據安全管理情況，這意味著國家的監(jiān)管力度已經更強，向系統(tǒng)化管理邁出重要一步。

從事件驅動轉為合規(guī)驅動 安全能力提升勢在必行

　　“在過去，車聯網安全其實還處于行業(yè)教育階段，更多由事件驅動，只有當漏洞被發(fā)現或者出現安全事故，相關方才會采取行動，而《規(guī)定》的施行讓行業(yè)轉變?yōu)楹弦?guī)驅動，汽車數據處理者必須安全合規(guī)，否則就將違法�！睆埧堤岬�。

　　早在2015年，騰訊就開始研究車聯網的安全問題并推動行業(yè)教育。2016年發(fā)布了關于特斯拉的安全研究案例，實現了遠程控制車輛的狀態(tài)，包括在行駛狀態(tài)下的剎車、折疊后視鏡等。自2016年至2021年，實驗室每年發(fā)布智能網聯汽車的研究案例，研究特斯拉、寶馬、豐田及奔馳的網聯、高級輔助駕駛等功能和架構，驗證了騰訊在車聯網安全的研究能力，幫助車企解決現有問題，并告誡車聯網安全的重要性。張康認為，今年作為車聯網法規(guī)的元年，對于車企而言，更多需要能力建設，成立自己的信息安全團隊，由專門負責車聯網信息安全的團隊統(tǒng)一整改、牽頭，從而加強車輛網絡安全和數據安全。

　　目前，政府仍在逐步補齊和完善汽車數據監(jiān)管體系和方法，在《數據安全法》《個人信息保護法》等上位法的框架下，進一步推動完善《智能網聯汽車生產企業(yè)及產品準入管理指南》、《汽車數據安全管理若干規(guī)定》等規(guī)則制度的相關實施細則，明確企業(yè)的數據安全保護責任，完善汽車數據安全保護體系。

　　當然，合規(guī)非最終目的，它將原先漫長的行業(yè)教育進程加快，極速形成了普遍的認知共識，而這只是邁向真正實現車聯網數據安全的起點。對于當下的車企而言，自身安全能力的提升也同樣重要，適配智駕環(huán)境的技術手段的缺乏（如采集圖像及視頻的模糊化、匿名化處理）、車載系統(tǒng)及外部組件的未知風險漏洞等諸多問題，都在制約著數據安全的發(fā)展進程。

堅守安全底線 四部曲建設安全能力

　　車企如何更好地應對合規(guī)時代的要求？在自主建設安全能力框架方面，劉海洋拋出了“提升四部曲”的建議：

　　1.數據資產和數據場景的梳理：梳理企業(yè)的數據資產和數據場景（如大數據處理加工分析、智駕數據的標注、第三方委托處理等）的重要內容，為技術管控、合規(guī)應對、管理體系建設做好基礎鋪墊；

　　2.企業(yè)自身合規(guī)的評估分析：正如《個人信息保護法》《數據安全法》當中所提到的，作為數據處理者要定期開展合規(guī)審計，評估自身的數據管控狀態(tài)和合規(guī)狀態(tài)，并進行合規(guī)差距分析；

　　3.查漏補缺，提升安全硬實力：針對性地對所缺乏的安全技術做提升，一般包括數據加解密、數據脫敏、電子認證等核心內容；

　　4.管理制度與稽核流程的建立：建立企業(yè)的數據安全管理制度，對數據安全保護義務進行落實，并通過稽核的手段保證汽車數據運轉處于合規(guī)狀態(tài)。

　　同時，車聯網的數據量級大、主體多、鏈條長，也意味著單點風險解決方式收效甚微。而通過車聯網安全技術的聯合深度共建，形成全流程一體化的解決方案，將能夠有效、全面地加快車企安全能力的提升。

探索車企合作新模式 主動建設網絡安全能力新標桿

　　以上汽集團為例，其正在積極探索車聯網安全能力建設之道。今年4月，上汽集團和騰訊宣布共建網絡安全聯合實驗室。雙方將共同打造網絡安全產品，建立覆蓋智能網聯汽車全生命周期的網絡安全運營體系，并通過深度融入整車研發(fā)制造流程的方式提升汽車云管端一體化的網絡安全水平。

　　上汽集團赤霄網絡空間信息安全實驗室負責人陳寧博士在分享中提到，上汽注重汽車安全的投入。到今天為止，上汽集團成立了“1+3”的安全管理體系，包含對智能網聯汽車的要求，如總體安全管理要求，整車開發(fā)的GVDP的融合，測試要求、運營要求，風險評估方法等。在技術團隊建設上，建立了縱深防御的體系，從接入層、運營層、主機層、數據層到物理層，形成了每層對應的防護體系，確保云上的應用，尤其是與車相關應用的安全可靠。在檢測方面，基于全生命周期管理流程，建立相關的技術平臺，如應急響應中心平臺，不僅能監(jiān)測一些海外車輛的行駛數據，還覆蓋了上汽大概100家下屬企業(yè)的相關網站、應用，每天自動化執(zhí)行掃描，發(fā)現漏洞。同時結合車輛工具化檢測，重點運營及關注汽車網絡安全及售后市場應用的安全問題。隨著國家法律的出臺，上汽對于數據安全的過濾、提取以及敏感數據的存儲和脫敏的工作也逐漸展開。

　　法規(guī)的出臺進一步推動行業(yè)加快數據安全布局進程，挑戰(zhàn)與機遇共存。面向未來的新征程上，騰訊安全愿與更多企業(yè)合作，加強技術研發(fā)與數據安全技術應用、提升安全可控能力、構建完善的數據安全管理體系，筑牢合規(guī)時代的“汽車網絡安全底座”，共同探索汽車網絡安全行業(yè)新標桿。