車聯(lián)網(wǎng)行業(yè)第一案暴露車聯(lián)網(wǎng)信息安全問題 汽車信息安全護(hù)城河如何建？

近段時(shí)間，博泰公司、上汽通用五菱與騰訊之間因?yàn)?ldquo;侵權(quán)”、“炒作壟斷”等糾葛上了新聞，被稱為車聯(lián)網(wǎng)行業(yè)第一案。事件背后，實(shí)際上還隱藏了車聯(lián)網(wǎng)信息安全問題。隨著更多車輛接口的開放和更多接入方式的引入，車輛信息安全成為關(guān)注的焦點(diǎn)。

對(duì)于車聯(lián)網(wǎng)信息安全的眾多問題，記者采訪企業(yè)、行業(yè)與法律方面專家，探討車聯(lián)網(wǎng)信息安全發(fā)展。

汽車信息安全隱患多 需多方協(xié)力消除

?《中國(guó)汽車報(bào)》：車端智能設(shè)備與App的增多給駕乘人員帶來了更便捷和舒適的體驗(yàn)，但同時(shí)也引發(fā)了車主對(duì)數(shù)據(jù)隱私的擔(dān)憂，信息安全問題已經(jīng)慢慢在潛伏和集聚。汽車信息安全隱患來自哪些方面?對(duì)消費(fèi)者和產(chǎn)業(yè)健康發(fā)展的不利影響有哪些?

北京大成(上海)律師事務(wù)所合伙人陳立彤：車輛的信息安全隱患主要包括三大風(fēng)險(xiǎn)源：一是移動(dòng)通信網(wǎng)絡(luò)環(huán)境;二是車輛內(nèi)部的車載網(wǎng)絡(luò)環(huán)境，這些總線網(wǎng)絡(luò)架構(gòu)脆弱、帶寬較小，在車聯(lián)網(wǎng)的沖擊下使得車輛的信息流結(jié)構(gòu)異常脆弱;三是汽車愈發(fā)成為一個(gè)高度復(fù)雜的移動(dòng)系統(tǒng)，由于承載更多功能，在黑客面前，它也暴露了更多的系統(tǒng)攻擊入口。對(duì)于車聯(lián)網(wǎng)信息來說，自動(dòng)駕駛的網(wǎng)絡(luò)安全相當(dāng)于一臺(tái)保險(xiǎn)柜。我國(guó)實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度就在打造可靠的保險(xiǎn)柜，來保障公民信息安全。

于萬智駕首席技術(shù)官劉煜：目前車聯(lián)網(wǎng)信息安全方面潛在的隱患比較多，比如：不經(jīng)過用戶允許就收集用戶使車輛用信息，對(duì)于收集信息的類型以及用途也并不明確。對(duì)于企業(yè)來說，如何保證用戶信息的安全以及收集到的信息不被濫用也是一個(gè)值得關(guān)注的問題。海量的數(shù)據(jù)信息可能導(dǎo)致被而已收集并濫用，不法分子可能也會(huì)利用信息進(jìn)行詐騙、販賣等等，從而給用戶帶來損失。深遠(yuǎn)來看，有可能會(huì)讓用戶對(duì)車聯(lián)網(wǎng)技術(shù)失去信任，不利于產(chǎn)業(yè)的整體推廣。

中國(guó)物聯(lián)網(wǎng)聯(lián)盟副秘書長(zhǎng)賀思聰：工業(yè)制造領(lǐng)域信息安全本身是一個(gè)成熟完善的系統(tǒng)工程領(lǐng)域。相關(guān)信息安全法規(guī)和設(shè)計(jì)方案一直是橫向在各制造業(yè)延展，難點(diǎn)在于各行業(yè)縱向應(yīng)用和落地，以及橫向跨行業(yè)延展的復(fù)雜情況。當(dāng)前智能網(wǎng)聯(lián)汽車信息安全橫向縱向問題同時(shí)存在。縱向是針對(duì)汽車行業(yè)的應(yīng)用，橫向是來自互聯(lián)網(wǎng)及移動(dòng)互聯(lián)網(wǎng)跨界而來的風(fēng)險(xiǎn)。

?《中國(guó)汽車報(bào)》：汽車信息安全于行業(yè)發(fā)展而言是一個(gè)新課題，那么，保障汽車信息安全將會(huì)涉及到哪些不同的產(chǎn)業(yè)主體?它們應(yīng)當(dāng)如何協(xié)同合作?可能存在的障礙會(huì)有哪些?

于萬智駕首席技術(shù)官劉煜：汽車信息安全涉及的領(lǐng)域有很多，以車端為例，有信息的采集設(shè)備、應(yīng)用軟件、通信鏈路、數(shù)據(jù)存儲(chǔ)服務(wù)，還有對(duì)這些收集到的數(shù)據(jù)進(jìn)行分心和挖掘的服務(wù)。許多信息的使用環(huán)節(jié)都存在安全風(fēng)險(xiǎn)，涉及到汽車使用者的隱私信息。

信息使用環(huán)節(jié)的各個(gè)模塊需要進(jìn)行統(tǒng)一的協(xié)調(diào)，需要行業(yè)標(biāo)準(zhǔn)或者政府牽頭制定規(guī)范，同時(shí)還應(yīng)該建立起健全的監(jiān)督體制。

中國(guó)物聯(lián)網(wǎng)聯(lián)盟副秘書長(zhǎng)賀思聰：針對(duì)信息安全，整車廠在縱向上需要進(jìn)一步加快自身的數(shù)字信息化轉(zhuǎn)型，提升自身的應(yīng)對(duì)能力，比如增加專屬職能部門，強(qiáng)化軟硬件設(shè)備系統(tǒng)。橫向上需要依賴專業(yè)信息安全方案企業(yè)提供最先進(jìn)的技術(shù)，以及貫通產(chǎn)業(yè)上下游企業(yè)協(xié)同設(shè)計(jì)整體方案。

陳立彤：從資源整合者、平臺(tái)提供者到技術(shù)層、應(yīng)用層和服務(wù)層，都涉及汽車信息安全，常見的有車企、經(jīng)銷商、服務(wù)商和零部件供應(yīng)商。對(duì)于這些主體來說，要做好合規(guī)風(fēng)險(xiǎn)管控三原則，一是風(fēng)險(xiǎn)穿透，在涵蓋直接參與運(yùn)營(yíng)項(xiàng)目的利益相關(guān)方之外，還應(yīng)將雖不直接參與運(yùn)營(yíng)，但其提供的技術(shù)、產(chǎn)品、服務(wù)參與運(yùn)營(yíng)的間接利益相關(guān)方納入風(fēng)險(xiǎn)管理體系;二是主動(dòng)管理，側(cè)重主動(dòng)出擊、管理風(fēng)險(xiǎn)，防范于未然;三是聯(lián)合管理，各直接利益相關(guān)方應(yīng)建立跨組織的聯(lián)合管理制度，而不是由各利益相關(guān)方各自“單打獨(dú)斗”。

♦國(guó)內(nèi)法律和制度完善與國(guó)外有差距

?《中國(guó)汽車報(bào)》：在汽車信息安全技術(shù)的研發(fā)，國(guó)內(nèi)和國(guó)際是否存在差距?如果有，我國(guó)差在哪些方面?如何補(bǔ)足?

陳立彤：是否有差距主要考量三個(gè)方面，一是看投入的資金量，投入越大，成果往往越明顯;二是看研發(fā)的場(chǎng)景，無人駕駛要不斷實(shí)驗(yàn)測(cè)試與實(shí)際場(chǎng)景的路測(cè)，訓(xùn)練越多，技術(shù)也就越好。三是要看商用程度，商用化程度越高整體水平也就越好。從這三個(gè)方面來看，國(guó)內(nèi)外各具優(yōu)勢(shì)，我國(guó)也有表現(xiàn)比較突出的企業(yè)。

于萬智駕首席技術(shù)官劉煜：最主要的差距在于法律和制度。比如美國(guó)在信息安全和個(gè)人隱私方面的法規(guī)相對(duì)更加健全。

中國(guó)物聯(lián)網(wǎng)聯(lián)盟副秘書長(zhǎng)賀思聰：縱向問題國(guó)內(nèi)外差距不大，所有整車廠都在進(jìn)行智能網(wǎng)聯(lián)汽車產(chǎn)品設(shè)計(jì)以及內(nèi)部數(shù)字化轉(zhuǎn)型。至于橫向，國(guó)內(nèi)的信息安全風(fēng)險(xiǎn)比國(guó)外嚴(yán)重，但解決方案更先進(jìn)。由于我國(guó)巨大消費(fèi)市場(chǎng)和用戶應(yīng)用場(chǎng)景，致使我國(guó)信息安全更為迫切棘手，也催生了更多更好的方案和專業(yè)企業(yè)。

♦筑信息護(hù)城河政府責(zé)任重大

?《中國(guó)汽車報(bào)》：缺乏通用標(biāo)準(zhǔn)，是目前智能汽車發(fā)展的掣肘。目前，我國(guó)對(duì)于汽車信息安全標(biāo)準(zhǔn)建設(shè)的工作進(jìn)展到了什么程度?遇到了哪些挑戰(zhàn)?最快什么時(shí)候能基本成形并實(shí)施?國(guó)內(nèi)標(biāo)準(zhǔn)和國(guó)際標(biāo)準(zhǔn)能否統(tǒng)一?

中國(guó)物聯(lián)網(wǎng)聯(lián)盟副秘書長(zhǎng)賀思聰：目前我國(guó)相關(guān)主管單位已經(jīng)發(fā)布了車用信息安全的要求法規(guī)意見稿。同時(shí)也有多個(gè)職能單位從其他領(lǐng)域進(jìn)行規(guī)范要求設(shè)計(jì)。短期來看國(guó)內(nèi)一定會(huì)快速形成信息安全相關(guān)法規(guī)標(biāo)準(zhǔn)再配合整車廠的企業(yè)標(biāo)準(zhǔn)能夠最大程度上覆蓋大部分問題。

陳立彤：國(guó)家先后出臺(tái)《網(wǎng)絡(luò)安全法》、《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》等法律法規(guī)，明確數(shù)據(jù)安全、數(shù)據(jù)跨境流動(dòng)管理的基本原則和制度要求。而且工信部也明確表示，將推進(jìn)車聯(lián)網(wǎng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)制定，一是推動(dòng)發(fā)布車聯(lián)網(wǎng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系框架，明確總體與基礎(chǔ)、終端與設(shè)施、網(wǎng)聯(lián)與數(shù)據(jù)、應(yīng)用服務(wù)、安全保障等方向重點(diǎn)標(biāo)準(zhǔn)清單。二是以工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級(jí)管理試點(diǎn)為載體，面向整車企業(yè)、車聯(lián)網(wǎng)平臺(tái)企業(yè)部署開展車聯(lián)網(wǎng)安全貫標(biāo)試點(diǎn)，加速標(biāo)準(zhǔn)落地。

?《中國(guó)汽車報(bào)》：汽車信息安全不僅涉及消費(fèi)者個(gè)人信息安全和車輛安全，甚至關(guān)乎國(guó)家安全。因此，從政府層面上，應(yīng)當(dāng)在汽車信息安全上做哪些工作?給予哪些政策支持?制定哪些法規(guī)?

于萬智駕首席技術(shù)官劉煜：需要政府牽頭制定法規(guī)來規(guī)范如下幾個(gè)問題：一是哪些信息是不經(jīng)過用戶許可就可以采集的，哪些是經(jīng)過用戶許可，就可以采集的，哪些用戶使用信息是禁止的(不論用戶愿意不愿意);二是誰有資格采集和存儲(chǔ)這些收集到的信息，肩負(fù)著什么樣的責(zé)任和義務(wù);三是限制信息收集的處理過程、目的。比如分析駕駛習(xí)慣來確定保險(xiǎn)保額，這可能是允許的用途。但是分析某個(gè)人的行動(dòng)軌跡、刺探某個(gè)人的隱私就是不允許的目的;四是信息被濫用所負(fù)的責(zé)任;五是信息遭到泄露之后的補(bǔ)救措施;六是建立白名單和黑名單列表。

中國(guó)物聯(lián)網(wǎng)聯(lián)盟副秘書長(zhǎng)賀思聰：信息安全的關(guān)鍵推進(jìn)更可能依賴客觀事件，比如斯諾登事件是互聯(lián)網(wǎng)信息安全推進(jìn)的直接動(dòng)力。目前車載信息安全事件包括客戶服務(wù)隱私相關(guān)的投訴快速增加，此類事件量質(zhì)變化后會(huì)在短期內(nèi)加速國(guó)家法規(guī)的落地。目前標(biāo)準(zhǔn)內(nèi)容已經(jīng)各方評(píng)審了一段時(shí)間，只等觸發(fā)。

陳立彤：政府應(yīng)該大力扶持企業(yè)、智庫(kù)、研究院等機(jī)構(gòu)進(jìn)行汽車信息安全方面的調(diào)研，并引領(lǐng)制定汽車方面的等級(jí)保護(hù)。汽車網(wǎng)絡(luò)安全的建設(shè)，僅靠一家企業(yè)肯定不行，還需要通過產(chǎn)業(yè)政策的引導(dǎo)，整合行業(yè)資源，共享研究成果，先做好網(wǎng)絡(luò)安全的保險(xiǎn)箱，才能保護(hù)好汽車用戶的信息安全。(趙玲玲)