3月7日,工信部发布《车联网网络安全和数据安全标准体系建设指南》(以下简称《指南》)。与2021年6月的《车联网(智能网联汽车)网络安全标准体系建设指南》(征求意见稿)相比,此次正式版的《指南》最大变化,在于“数据安全”指标的重要度大幅提升,与“网络安全”指标获得了同等地位。
围绕车联网安全标准体系建设的目标,征求意见稿中的表述为“到2023年底,初步构建起车联网(智能网联汽车)网络安全标准体系”,“数据安全”只是文件中的一个二级指标。而《指南》中的表述变成了“到 2023 年底,初步构建起车联网网络安全和数据安全标准体系”,“数据安全”得以与“网络安全”并列。此外,征求意见稿中“数据安全”一词出现27次,而《指南》中出现达43次。
随着汽车产品智能化水平的不断提升,关于汽车数据安全的纠纷也越来越频繁出现。2021年曾获得舆论关注的河南安阳特斯拉女车主维权事件,让智能网联汽车数据保存与使用安全问题进入公众视线。汽车数据不仅牵涉个人隐私,也关乎事故定责,但数据究竟归属于谁,目前还没有清晰定义,导致隐私和定责之间出现矛盾。
针对汽车数据安全问题,2021年7月,工信部、公安部等部门联合发布《汽车数据安全管理若干规定(试行)》,倡导“匿名化”、“去标识化”、“脱敏处理”等汽车数据处理原则。2021年9月,工信部又发布《关于加强车联网网络安全和数据安全工作的通知》,对汽车数据提出了多项安全要求,包括加强个人信息保护。
值得注意的是,此前出台的政策文件虽然倡导“匿名化”、“去标识化”、“脱敏处理”等汽车数据处理原则,但并未就这些原则的实施方法和具体要求提供进一步的说明。行业分析人士表示,《指南》的正式发布,意味着这一问题,即将通过建设行业标准的方式加以解决。
《指南》提出,个人信息保护标准要明确用户敏感数据和个人信息保护的场景、规则、技术方法,包括“匿名化”、“去标识化”、“数据脱敏”、异常行为识别等标准。根据《指南》,与个人信息保护标准相关的两个标准项目,即《基于移动互联网的汽车用户数据应用与保护技术要求》和《基于移动互联网的汽车用户数据应用与保护评估方法》,均已在制定中。
不仅是个人信息保护,《指南》还提到了应用数据安全的问题,并点名了网约车。《指南》提出,应用数据安全标准主要规范车联网相关应用所开展的数据采集和处理使用等活动,包括车联网平台、网约车、车载应用程序等数据安全标准。
实际上,汽车应用数据也时常涉及个人信息保护问题。2021年7月,工信部发布《关于侵害用户权益行为的APP通报》,万顺叫车位列其中,所涉问题为违规收集、使用个人信息。同月,“滴滴出行”APP因存在严重违法违规收集使用个人信息问题,被国家网信办通知下架。
除了数据安全标准,《指南》还针对终端与设施网络安全、网联通信安全提出了明确了标准建设方向,其中前者包括汽车网关、电子控制单元、车用安全芯片、车载计算平台等安全标准,后者则用于规范蜂窝车联网(C-V2X),以及应用于车联网的4G/5G、卫星通信、车内无线局域网等安全防护与检测要求。
与数据安全相比,网络硬件层面的安全直接涉及智能网联汽车用户的人身安全。数据显示,2020年,全球车联网相关的恶意攻击超过280余万次。据了解,黑客通过网络攻击可以控制车辆行驶,也能利用软件漏洞操控智能网联汽车,给车辆行驶带来极大安全隐患。