“没有数据是绝对安全的。”中国工程院院士、北京理工大学教授孙逢春院士于10月22日开幕的新能源汽车国家大数据联盟2021年高峰论坛上如是说。
在他看来,关键在于维护数据,实现“以安全促可行,以可行促发展”,重点是采集、管控数据出口,强化安全监督,建立产业生态,培育商业模式、创新协调发展形成互利共赢的局面。
中国工程院院士、北京理工大学教授孙逢春院士(图片来源:新能源汽车国家大数据联盟2021年高峰论坛)
近年来,随着智能网联汽车的快速发展,在给人们带来更安全、更舒适、更便捷的驾乘体验的同时,也滋生了一些新的安全隐患。
比如智能网联汽车的数据和网络安全,目前已然成了悬在车企和零部件技术提供商上方的达摩克利斯之剑。据Upstream Security此前发布的2020年《汽车信息安全报告》显示,从2016年到2020年1月,4年内汽车信息安全事件的数量增长了605%,其中仅2019年公开报道的针对智能网联汽车信息安全攻击的事件就达到了155起,形势之严峻可见一斑。
孙逢春院士分析指出,由于安装了大量的车载传感器,智能新能源汽车是产生海量数据采集和交互的节点,如果管理无序或者粗放风险极大,主要是表现在危害国家安全、社会安全、经济安全以及泄露个人隐私安全等。
为进一步降低以上风险,进入2021年国家频频发布相关政策,为行业发展保驾护航。今年8月份,工信部和国家网信办分别出台《关于加强智能网联汽车生产企业及产品准入管理的意见》(以下简称“准入管理意见”)和《汽车数据安全管理若干规定(试行)》,为智能网联汽车准入和数据安全管理提供了指导;9月13日,工信部装备中心开始汽车数据安全、网络安全等自查工作;9月16日,工信部又发布《关于加强车联网网络安全和数据安全工作的通知》,进一步强化对汽车网络安全和数据安全的指导。
但在孙逢春院士看来,想要实现汽车数据的绝对安全并非一件易事。“智能网联新能源汽车数据具有面广、量大的特征,其实安全体系是一个复杂的系统工程问题,主要包括四个体系:即法律法规体系、标准规范体系、监管体系、技术体系。”
其中,政策法规层面上,《网络安全法》《数据安全法》和《个人信息保护法》并行成为我国网络治理和数据保护的三驾马车,但是在具体操作层面数据安全法律体系有待完善,在智能网联新能源汽车或者是智能交通领域亟待出台专项实施细则。
在技术标准与规范等支撑体系方面,国家需建立标准完善体系,在标准、部门规范、行业标准、地方标准、企业标准、示范工程多维度同步推进,开展共性基础和通用技术标准的规定。
在技术方面,数据安全主要涉及数据安全采集与分析,数据安全防护、数据安全测评技术等方面:
一是要建立端、管、云立体的威胁态势感知系统,确立数据安全评估机制,制定应急相应四体系,加强安全监督检查。
二是提升软件的安全加固技术能力,加快提升终端设备的安全水平。
三是全面推广车载密码技术开发及生态系统的应用,突破密码上车技术,实现车用商用密码技术产品技术的推广和应用。
四是开发数据隐私与身份鉴别技术,通过通信安全、数据资产加密和安全的数据共享,全方面保护敏感隐私信息,阻止未授权的操作。
基于以上,孙逢春院士呼吁应加快完善数据安全立法及法规体系。综合考虑自动驾驶技术及产品特点,紧密结合我国现有法律体系特征及国内外智能新能源汽车数据安全立法经验,他建议:
一是实现示范区立法先试先行,积累道路测试经验,逐步完善与推广;
二是加强技术配合及改进力度来对立法工作中的难点提供一定支持;
三是融入全新业务发展模式,单纯交通运输工具转变为智能移动空间载体;
四是完善现有法规难以应对智能汽车引发的道路交通事故的政策空白。
其次,他表示应全面推进数据安全标准规范支撑体系建设。
孙逢春院士认为,智能汽车是一项系统工程,涉及部门多、领域广、需要加强跨部门、跨领域协作,推进标准体系建设要加强顶层设计,根据技术和产业发展需要,不断优化完善标准体系,加快基础共性,关键技术标准和重点应用领域标准的制定,需重点做好四个协同:
管理协同,加强汽车、信息通信、公安交通部门的沟通协调,营造有利于推进智能新能源汽车数据安全标准体系建设的政策环境;
行业协同,建立跨行业的智能新能源汽车产业推进组织,推动智能新能源汽车数据安全标准快速推进,为政府决策提供有力支撑;
研发协同,加快智能新能源汽车科技计划间的有机衔接,形成智能新能源汽车数据安全技术研发及产业化的协同效应;
执行协同,建立跨行业标准化协作机制,加快共性标准化体系建设。
另外,还需完善数据安全管理联动机制。汽车数据安全的重点在于数据的规范管理与合规使用,需要完善安全管理联动机制,以加强对数据的监管、确保数据安全。以安全为核心,融合交通、能源、和信息基础、网络数据。
最后,他进一步建议,应加快构建智能新能源汽车数据安全技术架构,设立智能新能源汽车数据安全科技专项,围绕数据安全与芯片、操作系统、人工智能等核心技术攻关,优化传感器、车载等构建的数据处理方式,降低设备被干扰、劫持的概率,为汽车提供备选方案,加固车载网络操作系统,使用车载系统入侵检测技术,构建数据安全防火墙。
同时在国家层面进行顶层设计,多部门协同制定智能汽车数据传输,接入以及使用等关键环节的规范和要求,将车辆用户信息、环境信息、位置信息按照统一要求接入平台进行规范化管理。
值得庆幸的是,2021年的中国迎来了交通数据安全极具里程碑意义的一年。今年以来,我国快速响应了滴滴出行和特斯拉等事件,持续加大在数据治理、数据存储、数据保护、数据加密等方面的法律法规体系建设,更为直观的说,2021年是中国汽车数据安全发展的元年。
面向我国未来5-15年国家、产业对于智能网联汽车发展规划,完善数据安全体系势必将先行一步,且必须加速相关政策、体系机制及标准规范的落地建设,为未来汽车产业、生态构建安全、可靠的发展环境。