汽车新技术的引入带来了新的风险和新的问题。如何平衡智能联网汽车的数据安全和发展，已经成为一个重要的全球性问题。

智能汽车数据安全有哪些风险

近年来，随着汽车智能化和网络化的快速发展，汽车安全面临着前所未有的复杂挑战，其中最大的挑战是网络化汽车带来的曝光率增加。

360集团工业互联网安全研究院院长张建新在2021中国汽车论坛“智能网联汽车产业发展与安全”主题论坛上指出，软件编程、网联接入、数字化应用成为智能网联汽车安全风险的三大来源。

360集团工业互联网安全研究院院长张建新

"最新的汽车至少有100个电子控制单元，运行6000万行代码."据NSFOCUS科技集团有限公司产品总监刘嘉琦介绍，无人驾驶汽车数量将达到1亿多条线。

刘嘉琦，NSFOCUS科技集团有限公司产品总监

“只要是人写的，就会包含各种错误和漏洞。”张建新指出，虽然在传输协议的设计中已经做了安全设计，也考虑了加密要求，但仍然无法避免可以使用的攻击点。

进入软件定义汽车时代，L3级自动驾驶正在加速。“这些软件没有bug吗？谁能保证一亿多代码的软件是正确的？”同济大学教授朱锡灿问灵魂:我们用Windows和office已经40多年了，但还是有bug。我们如何消除刚刚开发的这么大的汽车软件中的所有bug？

同济大学教授朱锡灿

车级软件是另一个难题，安全问题更令人担忧。

物理接触不是攻击智能联网汽车的唯一方式。从网络安全角度看，智能联网汽车处于“人、车、陆云”组成的复杂网络中，每一个点和暴露面，包括产生的大量数据，都可能成为风险点和“中毒点”。

当汽车进入智能网联时代，数据不仅成为驱动汽车发展的重要价值点，而且深度融入社会生活的方方面面，成为重要的基础资源。例如，在司法领域，据法医学研究所高级研究员郭虹介绍，近年来，越来越多的执法事件涉及电子数据取证。电子数据是新时代的“证据之王”，其收集、提取、审查和判断已成为司法实践中的基础性、普遍性工作。

郭虹，法医学研究所高级研究员

这一发展趋势对车辆安全和数据安全提出了新的要求和风险。近两年，尤其是今年以来，一系列热点事件将智能汽车的数据安全带入大众视野，引起了前所未有的关注和热议。

“智能联网汽车带来的数据安全风险非常高且突出。”国家工业信息安全发展研究中心副总工程师、信息政策研究所所长黄鹏指出，当前行业数据安全意识有待提高，近期一系列相应事件将在一定程度上影响消费者对智能联网汽车安全的信心。

国家工业信息安全发展研究中心副总工程师、信息政策研究所所长黄鹏

智能联网汽车的数据泄露风险巨大，威胁个人隐私。黄鹏担心“一辆智能联网汽车每天至少要采集10TB的数据，这不仅是一笔巨量，还涉及到出行轨迹、习惯、语音、视频等。司机和乘客。一旦被侵犯，就会泄露个人隐私。”

更重要的是，它可能威胁国家安全。为了更好地实现汽车与道路及周边基础设施的交互，智能联网汽车将采集周边场景的数据和重要的地理信息。“如果精度达到一定水平，就会影响或威胁国家安全。”

汽车正在成为智能网联的终端，大量的数据正在产生，可以在行业的各个环节进行采集。

北京理工大学鑫源信息技术有限公司副总经理刘鹏表示，这包括车辆行驶数据、交通环境数据和驾驶员个人行为数据。"如何更好地监管数据逐渐成为一个突出问题."

北京理工大学新源信息技术有限公司副总经理刘鹏

自2016年国家新能源汽车监管平台建立以来，已有近490万辆新能源汽车接入。刘鹏透露，据统计，上半年平台车辆增加100万辆，日均数据量达到6TB。他指出，所有后续数据的安全使用和存储以及如何为公众服务是数据应用过程中的核心安全问题。

管理部门面临的挑战及对策

对于管理部门来说，智能汽车的数据安全已经成为政府监管和推动产业发展的重要挑战。

黄鹏指出，主管部门主要面临三大挑战:一是整个法律体系和标准体系相对滞后于行业发展速度。二是存在长期监管问题，需要尽快细化行业管理要求，尤其是涉及到具体行业规则的出台，也需要行业主管部门和一些重要行业协会推动相关工作。第三，实际措施不够。黄鹏清楚地看到:“对于数据来说，管理它是必要的，但不能太死。哪些需要管理，哪些需要高强度监管，哪些需要市场流动。一项基本工作是数据分类和分级。”

中国汽车工业协会助理秘书长王耀指出这项工作的难度:“不要指望一刀切，哪些数据可以用，哪些数据不能用。这是非常困难的，尤其是涉及到国家安全和公共安全的时候。需要辩证地对待定性和定量问题。”

中国汽车工业协会助理秘书长王耀

放眼全球，“数据治理进入立法高峰期，整体数据监管形势趋严。”据伏羲智库互联网研究所所长付伟介绍，统计数据显示，截至今年5月，全球已有140多个国家和地区制定了与隐私和数据保护相关的法律法规。

伏羲智库互联网研究所所长付伟

国内在政策规划层面，政府出台了相关标准指引，如《汽车数据安全管理若干规定》、《智能联网汽车厂商及产品准入管理指引》等。，通过政策文件加强对数据全生命周期的管控，强调数据的分类分级。

在法律法规层面，网办发布的《网络安全法》、《数据安全法》、《个人信息保护法》和《关于汽车数据安全管理的若干规定》已经体现了政府的针对性考虑，还需要出台更为详细的管理规定和指引。国家工业信息安全发展研究中心副主任董大建表示，国家近期出台的《数据安全法》等一系列相关法律法规，对我国各领域数据安全和信息安全问题进行了明确界定，为工业科技发展指明了渠道和方向。

国家工业信息安全发展研究中心副主任董大建

标准体系也不断完善，包括相继发布或不断修订的顶层系统标准和专项标准。

从应用角度看，以上海临港新区跨境数据试点项目为例，一些与路测、风险评估、风险管控相关的试点项目正在推进。据上海市通信管理局副局长王天光介绍，上海高度重视智能联网汽车安全，在网络技术、试点示范、平台建设、产业融合、体制机制、生态建设等方面认真落实网络安全要求。并立足上海实际，建立安全工作发展长效机制，扎实做好智能联网汽车终端安全、网络安全、数据安全等关键环节的风险防范和化解工作。

上海市通信管理局副局长王天光

从产业管理和产业生态的角度来看，未来智能网联汽车的销售将不再是简单的产权转让关系，更多的是一种长期的服务合同关系。北京数字认证有限公司副总裁王新华指出，在获得汽车所有权后，用户应该签署一系列协议，否则可能无法使用汽车。在使用过程中会产生大量的数据，但是数据的敏感性很高，如果处理不好就会出现大问题。

北京数字认证有限公司副总裁王新华

智能网络化汽车产业生态信息处理的链条越来越长，从供应商、汽车制造商到后期服务商，将有更多的企业参与处理这些数据。与传统行业相比，数据处理和保护难度大大增加，跨行业监管面临重大挑战。

企业的风险与策略

智能联网汽车的数据安全越来越受到相关企业的重视。目前最重要的智能联网汽车厂商来自三类企业，包括传统汽车企业、造车新势力，以及以百度、阿里、腾讯、华为、滴滴、小米为代表的信息技术企业。全球知名咨询机构Guidehouse估计，现阶段有信息技术背景的企业进入智能网联汽车行业有一定优势。

黄鹏指出，这三种不同类型的智能联网汽车厂商对数据安全的理解和保护能力仍存在一定差异，尤其是传统汽车企业、信息技术企业和新型造车力量的相应能力布局，包括组织结构的调整和适应新安全要求的能力。但他们也在跨界融合，互相学习。

对于整车厂商来说，突出的风险主要表现在三个方面:一是传感器、芯片、雷达天线等核心器件的自主可控性有待进一步提升。，这也属于智能联网汽车的“卡脖子”领域。第二，缺乏企业管理责任。很多车企往往在“黑箱”状态下开展一些数据治理工作，现有的保护机制和管理措施比较滞后。三是实际落地案例少，缺乏具体指导和实践指导。很多企业在边境徘徊，勘探成本也很高。后续还有很多地方需要进一步澄清。

黄鹏建议，车企应从两个角度提升数据安全能力:一是提升核心基础技术的安全可控性，即车辆的本质安全。二是提升数据安全综合防护能力，利用包括区块链技术、流量检测技术、国家秘密技术在内的新一代信息技术提升综合防护能力。

近日，引发各方热议的特斯拉车主维权事件，暴露了车企在数据安全方面的诸多困难。例如，汽车公司和用户一样，无法证明自己的数据是“无辜的”。

刘鹏认为，解决这个问题主要有三个挑战:一是智能联网汽车产生的数据量非常大。如果用数据存储来实现监管，会耗费大量的存储成本，而这些存储成本是非常低效和不必要的；二是各车企的数据格式和数据标准不统一，相关数据的定义没有标准，无法实现更好的监管。第三，数据是否被篡改没有好的技术，因为车企的数据一部分存储在车内，一部分同步在云端。至于车内和云端的数据是否被篡改，车企无法证明自己是无辜的。

“区块链技术是数据防篡改和真实性非常好的技术工具，所以我们在4月份发布了汽车数据可信存管平台。”上海能联众合科技有限公司联合创始人兼首席技术官蓝春佳介绍了解决这一问题的重要方案。平台可以存储相关数据的指纹信息。当发生安全事故或需要证明数据未被篡改时，车辆企业可以调用平台数据，验证数据的可信度。该平台的优势之一是部署快速、访问成本低，可以证明数据的真实性和防篡改性，帮助企业证明自己的清白。

上海能联中和科技有限公司

联合创始人兼首席技术官蓝春佳

无论是整车企业，还是涉及智能联网汽车领域的主流企业，都在通过强化技术手段和管理机制，大幅提升保障数据安全的能力。

NavInfo新任副总裁石庆华作为地图业务代表介绍，企业正在深入探索车联网安全风险，努力共同打造数据安全风险监测和追溯能力，打造车联网数据安全风险监测和追溯的数字驾驶舱。比如，目前企业已经建立了全局可视化安全监管，即通过采集终端、流量监测、分类分级系统、日志数据等多维数据。对采集的数据进行相关性分析、知识图谱、数据挖掘和整体综合评价，得到网络当前局部或整体的数据安全态势信息。包括数据安全态势感知、文件流转轨迹分析、文件血缘分析、高危用户画像、部门综合分析、事件综合分析、多维度综合查询等智能分析功能。，帮助安全审核员快速、友好地了解和观察信息内容安全状况，并帮助管理者实时控制全局和及时采取控制措施。

纳维丰副总裁石庆华

关于数据安全治理和合规响应的建议

数据应用潜力不可逆转。智能联网汽车在发展过程中如何使用数据，如何保证数据安全，如何兼顾国家、公民和行业的利益，是未来发展的重要课题。所有相关方的代表都提出了自己的重要建议。

对于企业，尤其是车企来说，“企业未来要主动有选择地整理自己的数据，整理出真正能为企业所用的东西。”工业信息安全发展研究中心评估鉴定所所长潘燕表示，国家法律法规保护企业和行业的发展。

工业信息安全发展研究中心评估鉴定所所长潘燕

德国汽车工业协会副会长张林建议，打造集团，汽车企业要打造生态合作伙伴集团，其中安全公司将发挥越来越重要的作用；二是尽快构建企业级系统的网络安全架构要求；第三，尽快尝试新的商业模式和技术手段。

德国汽车工业协会副会长张林

“只有合规才能共享，只有合规才能真正体现我们的产业价值。因为不合规是不安全的，更容易被攻击。”北京京木律师事务所合规业务部负责人宁从法律角度向企业建议，每一个设计都要代入合规的理念，不仅涉及产品和服务的设计，还涉及服务模式和服务创新的设计，以及所有要做的范围和目标。因为智能网联汽车的数据会以现象级爆发，所以当时的合规成本非常高。

宁，北京市金都律师事务所合规业务部负责人

“每个汽车集团在数据安全上都要有自上而下的组织架构，突破来自不同二三级企业的规则、法规、技术手段和应用场景，形成安全链。”北京安华金禾科技有限公司解决方案部主任孟建议，在设计C端业务时，车企在第一次采集和存储时，应删除个人信息，包括匿名和隐私。风险在于，如果整个后台应用仍然按照传统的应用安全架构和数据结构设计，公民删除数据的权利目前无法行使，未来个人隐私保护法生效后，车企将很难再次处理。

孟，北京安华金禾科技有限公司解决方案部主任

作为汽车企业代表，长城汽车股份有限公司数字中心大数据平台总监王觉华提出，要在政府主管部门的领导下，建立健全全行业体系。《数据安全法》已经颁布，行业内仍有明确的法律规定，确保汽车智能化、网络化走得更远、更稳。

长城汽车股份有限公司数字中心大数据平台

王觉华导演

从政府管理的角度来看，“数据就像流水，所以应该是治理而不是管理。治理的核心是引导和引导。”张林表示，数据监管不仅要建立全新的监管框架和跨部门治理，还要覆盖企业之间、企业与政府之间、政府内部的数据治理，建立准入和应用框架，鼓励数据共享和应用。

黄鹏从未来产业发展角度提出四点建议:一是统筹产业创新发展，保障数据安全。第二，应尽快发布数据分类指南和管理规则。智能联网汽车行业可以借鉴金融、工业互联网领域发布的相应分类指引。三是建立事前风险评估和事后应急机制。第四，关注跨境数据流，希望在借鉴全球通用做法的同时，细化相应的数据流规则。

从全球范围来看，有一个先例是安全问题导致产业链逆全球化，数据安全问题也有可能导致这种结果。付伟认为，数据带来的问题必须回归到数据本身，而数据安全是一个全球性的问题，因此需要用全局思维来解决。

他建议，应建立一个全球协作数据治理框架，以避免行业的反向全球化。应遵循三个基本原则:平衡安全与发展；制定汽车数据治理规则时考虑国际溢出效益，符合国际标准；多党合作和治理。

“安全和发展是相辅相成的。在智能网联汽车快速发展的今天，我们必须高度重视安全问题，变‘被动应对’为‘主动应对’，主动打第一。”董大建说，信息技术安全必须从底层设计。在实现其功能的同时，必须将安全风险作为设计和开发过程中的一个重要问题来关注。按照国家整体安全发展理念要求，要坚持统筹发展，发展与安全并重，实现汽车产业高质量可持续发展。