凤凰网汽车

随着智能化和网联化在汽车上的渗透率越来越高，汽车安全又增加了新的内涵，它更强烈地指向了网络安全与数据安全。在近期召开的2021年全国两会上，多位代表提到了强化智能网联汽车产生的数据安全监管。其中，上汽全国人大代表、上汽集团董事长陈虹建议，加强用户的数据隐私保护，同时，企业也需要提升软件的安全性。

在软件定义汽车的时代，数据被盗、隐私泄露、远程操控汽车、刹车突然失灵等场景将不再是科幻电影里出现的情节，而是与每一个用户息息相关的网络安全问题。当汽车正成为可移动、可交互的智能网络终端，智能网联汽车的安全问题成为公众关注的焦点。

“我们也为一些汽车企业提供过软件和数据安全方面的服务，目前国内在数据安全方面整体是不容乐观的。智能汽车现在就像一个移动的大号手机，但是它收集来的数据有没有得到妥善保护，还是个未知数。”数据安全专家、美国CA软件公司原中国区高管、美天网络科技总经理曹峰博士在接受本报记者采访时如是说。

01

汽车安全的内涵亟待丰富

随着车辆的智能网联程度增加，在用户使用过程中，车辆不断产生新数据。数据产生出来会在车辆内部传递、使用、销毁，有的数据则会被上传到网络中的某台服务器，后者包括：车上应用数据、车内网络数据、车辆特征数据、新能源国标要求的数据、车辆诊断、升级等业务数据。这些数据中，有的包含用户的隐私，有的包含车辆安全相关的关键信息，有的包含车辆生产商的知识产权。因此，一旦出现信息泄露或者安全漏洞，不法之徒可能会利用数据产生利益，或者对汽车用户及厂家产生威胁。

曹峰告诉本报记者，具体来说，智能汽车的数据安全风险主要体现在两个方面，一个是外部对于车辆系统的攻击；另一个是车辆内部数据和信息的泄露。

这并非危言耸听，公开报道显示，2015年，国外的两位安全专家演示了通过ModelS存在的安全漏洞打开车门、启动并成功开走的全过程。此外还能向ModelS发送“自杀”命令，在车辆正常行驶中突然关闭系统引擎让车辆停下来；2017年，菲亚特克莱斯勒宣布在美国召回含Jeep自由光在内的140万辆汽车，原因是车辆搭载的Uconnect车载系统存在软件漏洞，可能被黑客趁虚而入控制汽车。这也是汽车行业首次因黑客侵入风险而大规模召回车辆；2019年11月，360 SKY-GO安全研究团队宣布，他们和梅赛德斯-奔驰共同发现并修复了19个安全漏洞。通过这些漏洞，黑客能实现批量远程开启车门、启动引擎等控车操作，影响涉及奔驰已经售出的200多万辆汽车。

在今年两会期间，全国政协委员、360集团董事长周鸿祎谈到智能汽车的数据安全问题时说，“数字时代新的网络威胁比过去严重很多，越先进就越脆弱，所有网络空间的虚拟攻击都能变成物理伤害。”除了影响行车安全，智能汽车对普通用户来说，还可能存在泄露隐私的风险。“比如在车内，它可能会收集用户的音频信息，在车外会收集用户的行驶轨迹。”曹峰指出，智能汽车应该像智能手机一样，在使用某个程序时，企业有义务告知用户可能存在的隐私风险，在获得用户同意的指令后，才能收集和使用数据。

“除此之外，数据安全对发展自动驾驶来说也至关重要。如果黑客通过远程技术对车辆发出危险的指令，它将直接影响人身安全与用户安全。”曹峰补充道，传统汽车时代，我们用主动安全和被动安全的标准来定义汽车的安全性。但是到智能汽车时代，汽车安全的内涵还应包括网络安全与数据安全，而这恰恰是容易被忽视的地方。就好比国家有认证的第三方机构通过碰撞试验的方式，检测车身的安全性，却少有在数据安全方面提供检测或认证的正规机构。

周鸿祎也在今年两会中提到，“应把网络安全系统像‘安全带’一样列为智能汽车的标配，像汽车做碰撞试验一样，数字化的车需要不断进行网络安全检查和安全测试。”

02

数据信息需要第三方监管

国家工业信息安全发展研究中心曾作报告指出，智能网联汽车是汽车、电子、信息通信、道路交通运输等行业深度融合的新兴产业形态。数据安全直接关系到个人的切身利益，乃至国家的信息安全。但当前我国智能网联汽车数据安全保障体系建设工作还处于摸索阶段，数据采集、存储、传输、使用和跨境流动等环节均存在安全风险。

去年2月，国家发改委和中央网信办等11部门联合发布《智能汽车创新发展战略》，其中明确提到，完善数据安全管理制度，加强监督检查，开展数据风险、数据出境安全等评估。然而，现有的国家级监控平台如新能源汽车国家大数据联盟对智能网联汽车汽车的监管还十分有限，尤其对像特斯拉这样独资的车企。

2月8日，特斯拉被市场监管总局、中央网信办、工业与信息化部、交通运输部以及应急管理部救援局五个部门约谈。约谈的原因是，特斯拉旗下产品出现了异常加速、电池起火、车辆远程升级(OTA)等问题。值得注意的是，这是中央网信办第一次约谈汽车企业。其实，围绕着特斯拉，一直有“数据主权”和“数据监管”的争议。

根据我国法律规定，狭义数据主权不属于运营商，而属于国家。跨国企业在中国取得的数据，不得存储于境外，也不可以用于非商业目的。苹果等科技公司也均在贵州省拥有数据中心，而特斯拉的服务器目前则仍在美国。另一方面，多位车主因“刹车失灵”、“制动异常”等事故陷入与特斯拉的责任纠纷之中。然而每当面临投诉时，特斯拉回复几乎都是 “后台数据没问题”这种“自证无罪”的方式。这也引出来一系列问题，比如，车辆行驶的真实数据记录是否需要第三方监管？特斯拉提取车辆数据的行为是否需要第三方规范？这些都是与用户利益和社会利益直接相关的问题。

03

呼吁更完善的法律法规

“不管是国际品牌还是本土企业 ，核心数据一定要放在国内才能实现数据安全。但最重要的还是要在立法层面推动。”曹峰补充道，这在国际上有成功的案例值得借鉴。美国2017年通过了《自动驾驶法案》，对信息安全及用户的隐私保护都做了明确规定；欧盟于2018年出台《通用数据保护条例》（GDPR），这部条例对欧盟国家的数据安全产生了深远影响，特别是在保护个人的数据隐私方面。中国也在2020 年7月公布了《数据安全法（草案）》，全面构建数字保护体系，但是里面并没有具体涉及到关于汽车数据方面的内容。

中国电动汽车百人会副理事长张永伟直言，当前车联网安全监管问题突出，缺乏数据安全保障和管理机制，如何确保车主信息和隐私的安全，避免受到病毒攻击和恶意破坏，防止个人信息、业务信息和财产丢失或被他人盗用，都将是车联网发展过程中需要突破的重大课题。

除了在立法层面的推动，业内人士还倡导对智能汽车的数据进行分级管理。目前，智能汽车的数据存储方式主要是云端存储和本地存储两种，主要以云端存储为主。一方面云平台对不同级别的数据没有相应的细粒度访问控制机制，存在访问权限过大的问题，从而导致数据遭到滥用的风险。另一方面，大数据存储通常采用分布式存储技术，对于不同级别和不同类型的数据物理上采用混合存储的方式，不利于进行分类隔离和分级防护。

“企业可以根据数据的重要程度，对相关数据进行不同级别的保护，尤其是涉及到软件和代码的核心数据，增加其防护级别。”曹峰在接受本报记者采访时还强调，提升智能汽车的数据安全是一个系统性工程，它需要从国家立法层面牵头，再到企业层面提升自身的数字化能力，还需要普通用户提高数据安全的意识。现在有越来越多的车企选择与科技公司联合作战，好比奔驰与360通过合作的方式，为用户数据及车辆系统提供保障。“数据安全是全社会都要面临的问题，跨界合作是十分明智的选择。随着汽车智能网联化程度越来越高，数据安全有朝一日或许会成为像碰撞测试一样的强制性安全措施。”