企业动态

    4月28日，中国汽车工业协会联合国家计算机网络应急技术处理协调中心发布了《关于汽车数据处理4项安全要求检测情况的通报（第一批）》（以下简称“通报”）。

    根据通报，比亚迪、理想、路特斯、合众新能源、特斯拉、蔚来等6家企业的76款车型符合汽车数据安全4项合规要求，位列首批检测合规车型名单。

    本次通报依据《汽车数据安全管理若干规定（试行）》、GB/T 41871-2022《信息安全技术 汽车数据处理安全要求》等法规标准有关规定，按照企业自愿送检原则，2023年11月起组织对汽车制造商2022-2023年度新上市智能网联汽车数据安全合规情况（车外人脸信息等匿名化处理、默认不收集座舱数据、座舱数据车内处理、处理个人信息显著告知等4项合规要求）进行检测，旨在规范汽车数据处理活动，确保用户权益得到切实保障，并鼓励行业领军企业发挥示范作用，共同营造一个全社会关注汽车数据安全和促进行业健康发展的环境。

    首批数据安全合规检测，聚焦于个人信息保护

    奇安信集团数据安全首席科学家刘前伟表示，从这四项合规要求来看，包括人脸信息、座舱数据、处理个人信息显著告知等，主要集中在个人信息保护层面。这说明通过检测的6家车企，在个人信息保护方面工作落实较好，符合国家合规要求。

    刘前伟认为，在由燃油车向智能网联汽车/自动驾驶汽车的转变过程中，汽车的本质已经发生改变，当前汽车在技术上已经基本完成电动化与网联化，正在加速推进实现智能化。汽车正成为继手机之后的最大移动智能终端，车辆运行过程中的行驶轨迹、采集的车周环境数据、车内司机人员及车外人员的信息、座舱数据等，都对公民个人安全、公共安全甚至国防安全带来一定的隐患。因此，在个人信息保护越来越重视的今天，加强数据安全合规已经成为车企发展的“必选项”。

    图源于网络

    近年来，汽车行业数据安全事件不断发生，对产业良性发展带来了隐患。如2022年末，国内某新势力车企数百万条用户数据遭泄露，被黑客组织勒索上百万美元，泄露数据涉及车主个人身份信息、紧急联系人信息、家庭住址、亲密关系等隐私信息，一旦被不法分子利用，可能危害用户个人财产安全甚至生命安全。2023年2月，丰田汽车的全球供应商信息管理系统被黑客入侵，超过1.4万家供应商的电子邮件账户、相关机密文件、供应商信息等读写权限暴露，不法分子可通过该后门删改数据以破坏丰田在全球的运营活动，或进行针对性网络钓鱼攻击，带来极大的安全威胁。

    不久前，奇安信《2023中国政企机构数据安全风险分析报告》通过对各个行业API数据安全研究发现，汽车制造业的“潜在”数据安全风险最大，其API接口传输的个人信息也最多，平均每天涉及1.5万多个自然人，是金融、能源、医疗等行业的30~70倍。汽车行业严峻的数据安全风险情况可见一斑。

    推动数据安全合规，利好汽车产业高质量发展

    我国一直高度重视智能网联汽车行业的网络安全和数据安全，保障产业健康良性发展，并先后出台了《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等法律法规，压实平台主体责任，推动数据安全合规建设，有效防范化解各类数据安全风险。

    早在 2021年10月1日，《汽车数据安全管理若干规定(试行)》正式施行，该法规由国家网信办、发改委、工信部、公安部、交通运输部联合发布，是我国首部针对汽车数据安全制定的法规，旨在规范汽车数据处理活动，保护个人、组织的合法权益，维护国家安全和社会公共利益。《规定》倡导汽车数据处理者在开展汽车数据处理活动中坚持“车内处理”、“默认不收集”、“精度范围适用”、“脱敏处理”等数据处理原则。

    2023年11月，工业和信息化部等四部门出台《关于开展智能网联汽车准入和上路通行试点工作的通知》，提出汽车生产企业网络安全和数据安全保障能力、产品网络和数据安全要求、使用主体网络和数据安全保障能力要求，通过开展试点工作，引导智能网联汽车生产企业和车辆使用主体加强能力建设。2024年1月，工业和信息化部等五部门出台《关于开展智能网联汽车“车路云一体化”应用试点的通知》，在申报条件中明确试点城市应具备省级或市级智能网联汽车安全监测能力、汽车网络安全和数据安全管理能力，提升城市安全保障能力。

    为了助力汽车企业加强数据安全和合规保障，奇安信基于在汽车网络安全和数据安全的积累，设计了覆盖数据安全生命周期和全流程的智能网联汽车数据安全防护体系，其中包括法律法规等指导文件要求、标准体系、组织建设的管理体系、产品体系、技术体系，持续的运营体系等。

    2023年5月，奇安信正式发布了奇安天盾数据安全保护系统，它基于奇安信多年的数据安全实践，以数据识别、风险分析、数据保护为核心竞争力，将“事件监测、风险分析、策略调整、访问控制”融为一套完整闭环体系，为客户提供看清数据安全风险、管好内部数据违规、防住外部数据威胁的一体化产品解决方案，帮助广大车企客户解决数据要素及相关流动过程中风险难看清、内鬼难管好、攻击难防住的难题，避免重蹈某车企大规模数据泄露的覆辙，为智能网联车产业的高速发展保驾护航。

    分析人士认为，包括特斯拉等6家车企通过国家数据安全合规检测，不仅为特斯拉等多款新能源车型的数据安全性提供了官方背书，也为整个行业树立了数据安全的新标准。未来将有助于增强公众对数据应用的信任，促进汽车企业和整个行业的数据安全水平持续提升，更有利于加大汽车企业对产品数据处理合规性的重视，更好地应用数据资源，推动产业良性健康发展。

    封面图来源于网络