車聯(lián)網(wǎng)行業(yè)第一案暴露車聯(lián)網(wǎng)信息安全問題 汽車信息安全護(hù)城河如何建？

近段時間，博泰公司、上汽通用五菱與騰訊之間因為“侵權(quán)”、“炒作壟斷”等糾葛上了新聞，被稱為車聯(lián)網(wǎng)行業(yè)第一案。事件背后，實際上還隱藏了車聯(lián)網(wǎng)信息安全問題。隨著更多車輛接口的開放和更多接入方式的引入，車輛信息安全成為關(guān)注的焦點。

對于車聯(lián)網(wǎng)信息安全的眾多問題，記者采訪企業(yè)、行業(yè)與法律方面專家，探討車聯(lián)網(wǎng)信息安全發(fā)展。

汽車信息安全隱患多 需多方協(xié)力消除

?《中國汽車報》：車端智能設(shè)備與App的增多給駕乘人員帶來了更便捷和舒適的體驗，但同時也引發(fā)了車主對數(shù)據(jù)隱私的擔(dān)憂，信息安全問題已經(jīng)慢慢在潛伏和集聚。汽車信息安全隱患來自哪些方面?對消費(fèi)者和產(chǎn)業(yè)健康發(fā)展的不利影響有哪些?

北京大成(上海)律師事務(wù)所合伙人陳立彤：車輛的信息安全隱患主要包括三大風(fēng)險源：一是移動通信網(wǎng)絡(luò)環(huán)境;二是車輛內(nèi)部的車載網(wǎng)絡(luò)環(huán)境，這些總線網(wǎng)絡(luò)架構(gòu)脆弱、帶寬較小，在車聯(lián)網(wǎng)的沖擊下使得車輛的信息流結(jié)構(gòu)異常脆弱;三是汽車愈發(fā)成為一個高度復(fù)雜的移動系統(tǒng)，由于承載更多功能，在黑客面前，它也暴露了更多的系統(tǒng)攻擊入口。對于車聯(lián)網(wǎng)信息來說，自動駕駛的網(wǎng)絡(luò)安全相當(dāng)于一臺保險柜。我國實行網(wǎng)絡(luò)安全等級保護(hù)制度就在打造可靠的保險柜，來保障公民信息安全。

于萬智駕首席技術(shù)官劉煜：目前車聯(lián)網(wǎng)信息安全方面潛在的隱患比較多，比如：不經(jīng)過用戶允許就收集用戶使車輛用信息，對于收集信息的類型以及用途也并不明確。對于企業(yè)來說，如何保證用戶信息的安全以及收集到的信息不被濫用也是一個值得關(guān)注的問題。海量的數(shù)據(jù)信息可能導(dǎo)致被而已收集并濫用，不法分子可能也會利用信息進(jìn)行詐騙、販賣等等，從而給用戶帶來損失。深遠(yuǎn)來看，有可能會讓用戶對車聯(lián)網(wǎng)技術(shù)失去信任，不利于產(chǎn)業(yè)的整體推廣。

中國物聯(lián)網(wǎng)聯(lián)盟副秘書長賀思聰：工業(yè)制造領(lǐng)域信息安全本身是一個成熟完善的系統(tǒng)工程領(lǐng)域。相關(guān)信息安全法規(guī)和設(shè)計方案一直是橫向在各制造業(yè)延展，難點在于各行業(yè)縱向應(yīng)用和落地，以及橫向跨行業(yè)延展的復(fù)雜情況。當(dāng)前智能網(wǎng)聯(lián)汽車信息安全橫向縱向問題同時存在。縱向是針對汽車行業(yè)的應(yīng)用，橫向是來自互聯(lián)網(wǎng)及移動互聯(lián)網(wǎng)跨界而來的風(fēng)險。

?《中國汽車報》：汽車信息安全于行業(yè)發(fā)展而言是一個新課題，那么，保障汽車信息安全將會涉及到哪些不同的產(chǎn)業(yè)主體?它們應(yīng)當(dāng)如何協(xié)同合作?可能存在的障礙會有哪些?

于萬智駕首席技術(shù)官劉煜：汽車信息安全涉及的領(lǐng)域有很多，以車端為例，有信息的采集設(shè)備、應(yīng)用軟件、通信鏈路、數(shù)據(jù)存儲服務(wù)，還有對這些收集到的數(shù)據(jù)進(jìn)行分心和挖掘的服務(wù)。許多信息的使用環(huán)節(jié)都存在安全風(fēng)險，涉及到汽車使用者的隱私信息。

信息使用環(huán)節(jié)的各個模塊需要進(jìn)行統(tǒng)一的協(xié)調(diào)，需要行業(yè)標(biāo)準(zhǔn)或者政府牽頭制定規(guī)范，同時還應(yīng)該建立起健全的監(jiān)督體制。

中國物聯(lián)網(wǎng)聯(lián)盟副秘書長賀思聰：針對信息安全，整車廠在縱向上需要進(jìn)一步加快自身的數(shù)字信息化轉(zhuǎn)型，提升自身的應(yīng)對能力，比如增加專屬職能部門，強(qiáng)化軟硬件設(shè)備系統(tǒng)。橫向上需要依賴專業(yè)信息安全方案企業(yè)提供最先進(jìn)的技術(shù)，以及貫通產(chǎn)業(yè)上下游企業(yè)協(xié)同設(shè)計整體方案。

陳立彤：從資源整合者、平臺提供者到技術(shù)層、應(yīng)用層和服務(wù)層，都涉及汽車信息安全，常見的有車企、經(jīng)銷商、服務(wù)商和零部件供應(yīng)商。對于這些主體來說，要做好合規(guī)風(fēng)險管控三原則，一是風(fēng)險穿透，在涵蓋直接參與運(yùn)營項目的利益相關(guān)方之外，還應(yīng)將雖不直接參與運(yùn)營，但其提供的技術(shù)、產(chǎn)品、服務(wù)參與運(yùn)營的間接利益相關(guān)方納入風(fēng)險管理體系;二是主動管理，側(cè)重主動出擊、管理風(fēng)險，防范于未然;三是聯(lián)合管理，各直接利益相關(guān)方應(yīng)建立跨組織的聯(lián)合管理制度，而不是由各利益相關(guān)方各自“單打獨(dú)斗”。

♦國內(nèi)法律和制度完善與國外有差距

?《中國汽車報》：在汽車信息安全技術(shù)的研發(fā)，國內(nèi)和國際是否存在差距?如果有，我國差在哪些方面?如何補(bǔ)足?

陳立彤：是否有差距主要考量三個方面，一是看投入的資金量，投入越大，成果往往越明顯;二是看研發(fā)的場景，無人駕駛要不斷實驗測試與實際場景的路測，訓(xùn)練越多，技術(shù)也就越好。三是要看商用程度，商用化程度越高整體水平也就越好。從這三個方面來看，國內(nèi)外各具優(yōu)勢，我國也有表現(xiàn)比較突出的企業(yè)。

于萬智駕首席技術(shù)官劉煜：最主要的差距在于法律和制度。比如美國在信息安全和個人隱私方面的法規(guī)相對更加健全。

中國物聯(lián)網(wǎng)聯(lián)盟副秘書長賀思聰：縱向問題國內(nèi)外差距不大，所有整車廠都在進(jìn)行智能網(wǎng)聯(lián)汽車產(chǎn)品設(shè)計以及內(nèi)部數(shù)字化轉(zhuǎn)型。至于橫向，國內(nèi)的信息安全風(fēng)險比國外嚴(yán)重，但解決方案更先進(jìn)。由于我國巨大消費(fèi)市場和用戶應(yīng)用場景，致使我國信息安全更為迫切棘手，也催生了更多更好的方案和專業(yè)企業(yè)。

♦筑信息護(hù)城河政府責(zé)任重大

?《中國汽車報》：缺乏通用標(biāo)準(zhǔn)，是目前智能汽車發(fā)展的掣肘。目前，我國對于汽車信息安全標(biāo)準(zhǔn)建設(shè)的工作進(jìn)展到了什么程度?遇到了哪些挑戰(zhàn)?最快什么時候能基本成形并實施?國內(nèi)標(biāo)準(zhǔn)和國際標(biāo)準(zhǔn)能否統(tǒng)一?

中國物聯(lián)網(wǎng)聯(lián)盟副秘書長賀思聰：目前我國相關(guān)主管單位已經(jīng)發(fā)布了車用信息安全的要求法規(guī)意見稿。同時也有多個職能單位從其他領(lǐng)域進(jìn)行規(guī)范要求設(shè)計。短期來看國內(nèi)一定會快速形成信息安全相關(guān)法規(guī)標(biāo)準(zhǔn)再配合整車廠的企業(yè)標(biāo)準(zhǔn)能夠最大程度上覆蓋大部分問題。

陳立彤：國家先后出臺《網(wǎng)絡(luò)安全法》、《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》等法律法規(guī)，明確數(shù)據(jù)安全、數(shù)據(jù)跨境流動管理的基本原則和制度要求。而且工信部也明確表示，將推進(jìn)車聯(lián)網(wǎng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)制定，一是推動發(fā)布車聯(lián)網(wǎng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系框架，明確總體與基礎(chǔ)、終端與設(shè)施、網(wǎng)聯(lián)與數(shù)據(jù)、應(yīng)用服務(wù)、安全保障等方向重點標(biāo)準(zhǔn)清單。二是以工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級管理試點為載體，面向整車企業(yè)、車聯(lián)網(wǎng)平臺企業(yè)部署開展車聯(lián)網(wǎng)安全貫標(biāo)試點，加速標(biāo)準(zhǔn)落地。

?《中國汽車報》：汽車信息安全不僅涉及消費(fèi)者個人信息安全和車輛安全，甚至關(guān)乎國家安全。因此，從政府層面上，應(yīng)當(dāng)在汽車信息安全上做哪些工作?給予哪些政策支持?制定哪些法規(guī)?

于萬智駕首席技術(shù)官劉煜：需要政府牽頭制定法規(guī)來規(guī)范如下幾個問題：一是哪些信息是不經(jīng)過用戶許可就可以采集的，哪些是經(jīng)過用戶許可，就可以采集的，哪些用戶使用信息是禁止的(不論用戶愿意不愿意);二是誰有資格采集和存儲這些收集到的信息，肩負(fù)著什么樣的責(zé)任和義務(wù);三是限制信息收集的處理過程、目的。比如分析駕駛習(xí)慣來確定保險保額，這可能是允許的用途。但是分析某個人的行動軌跡、刺探某個人的隱私就是不允許的目的;四是信息被濫用所負(fù)的責(zé)任;五是信息遭到泄露之后的補(bǔ)救措施;六是建立白名單和黑名單列表。

中國物聯(lián)網(wǎng)聯(lián)盟副秘書長賀思聰：信息安全的關(guān)鍵推進(jìn)更可能依賴客觀事件，比如斯諾登事件是互聯(lián)網(wǎng)信息安全推進(jìn)的直接動力。目前車載信息安全事件包括客戶服務(wù)隱私相關(guān)的投訴快速增加，此類事件量質(zhì)變化后會在短期內(nèi)加速國家法規(guī)的落地。目前標(biāo)準(zhǔn)內(nèi)容已經(jīng)各方評審了一段時間，只等觸發(fā)。

陳立彤：政府應(yīng)該大力扶持企業(yè)、智庫、研究院等機(jī)構(gòu)進(jìn)行汽車信息安全方面的調(diào)研，并引領(lǐng)制定汽車方面的等級保護(hù)。汽車網(wǎng)絡(luò)安全的建設(shè)，僅靠一家企業(yè)肯定不行，還需要通過產(chǎn)業(yè)政策的引導(dǎo)，整合行業(yè)資源，共享研究成果，先做好網(wǎng)絡(luò)安全的保險箱，才能保護(hù)好汽車用戶的信息安全。(趙玲玲)