由五部門釋出的《汽車資料安全管理若干規定(試行)》今天起正式施行。這是繼資料安全法出臺之後,汽車行業資料安全規定的率先推動施行,其重要程度可見一斑。
事實上,今年已有四部以上的汽車資料安全、智慧網聯汽車管理規定相繼出臺。政策密集釋出背後有何緣由?《規定》有哪些細節和亮點值得關注?為跟上合規驅動的新階段,相關企業又該有何行動?基於以上問題,我們邀請到了騰訊安全車聯網安全專家張康、騰訊安全雲鼎實驗室資料安全專家劉海洋為大家詳解法規內容、提供行動思路。
4月29日,全國資訊保安標準化技術委員會發布《資訊保安技術網聯汽車採集資料的安全要求(草案)》。
6月21日,工信部發布《車聯網(智慧網聯汽車)網路安全標準體系建設指南》並公開徵求意見。
8月12日,工信部發布《關於加強智慧網聯汽車生產企業及產品准入管理的意見》。
8月16日,網信辦、發改委、工信部、公安部、交通運輸部公佈《汽車資料安全管理若干規定(試行)》。
資料安全管理迫在眉睫
《規定》有哪些新要求?
“新四化”的趨勢下,汽車運轉產生的資料量非常大,未來僅一輛車的資料都將以“G”,甚至以“T”為單位,但是如此龐大的資料應當如何進行合理開發利用,行業認知和探索仍處於起步階段。騰訊安全車聯網安全專家張康提道,過去很多企業都遵循著自己的標準,行業整體處於“千企千面”的狀態,產業鏈上的協作、資料通訊也常常因為各自協議標準不統一,無法有效地保證資料安全、共享使用。
而另一方面,安全事件頻發,嚴峻的資料安全挑戰成為行業發展的核心痛點。據報導,2020年1-9月,針對整車企業車聯網資訊服務提供商等相關企業和平臺的惡意攻擊達280餘萬次;今年6月的某次資訊保安事件中,約有330萬汽車的車主和潛在客戶的個人資訊遭到洩露。
資料安全管理到了刻不容緩的時候,而《規定》的出臺讓汽車行業的資料安全有了遵循依據,更給了廣大使用者一顆安心駕駛的定心丸。
《規定》界定了汽車資料和監管主體,提出了4項推薦的資料處理原則,同時明確了資料處理者的義務,並制定跨境資料傳輸規則,初步建立起中國汽車資料安全的合規框架。
騰訊安全雲鼎實驗室資料安全專家劉海洋認為,《規定》首次對“汽車資料處理者”和“重要資料”型別等內容做了清晰的界定。如“汽車資料處理者”不僅限於慣性認知中的汽車製造商、零部件和軟體供應商等,還包括經銷商、維修機構以及出行服務企業。同時,《規定》落實了年度報告制度,汽車資料處理者應當按時主動報送年度汽車資料安全管理情況,這意味著國家的監管力度已經更強,向系統化管理邁出重要一步。
從事件驅動轉為合規驅動
安全能力提升勢在必行
“在過去,車聯網安全其實還處於行業教育階段,更多由事件驅動,只有當漏洞被發現或者出現安全事故,相關方才會採取行動,而《規定》的施行讓行業轉變為合規驅動,汽車資料處理者必須安全合規,否則就將違法。”張康提道。
目前,政府仍在逐步補齊和完善汽車資料監管體系和方法,在《資料安全法》《個人資訊保護法》等上位法的框架下,進一步推動完善《智慧網聯汽車生產企業及產品准入管理指南》、《汽車資料安全管理若干規定》等規則制度的相關實施細則,明確企業的資料安全保護責任,完善汽車資料安全保護體系。
當然,合規非最終目的,它將原先漫長的行業教育程式加快,極速形成了普遍的認知共識,而這只是邁向真正實現車聯網資料安全的起點。對於當下的車企而言,自身安全能力的提升也同樣重要,適配智駕環境的技術手段的缺乏(如採集影像及影片的模糊化、匿名化處理)、車載系統及外部元件的未知風險漏洞等諸多問題,都在制約著資料安全的發展程式。
堅守安全底線
主動建設網路安全能力新標杆
車企如何更好地應對合規時代的要求?在自主建設安全能力框架方面,劉海洋丟擲了“提升四部曲”的建議:
1.資料資產和資料場景的梳理:梳理企業的資料資產和資料場景(如大資料處理加工分析、智駕資料的標註、第三方委託處理等)的重要內容,為技術管控、合規應對、管理體系建設做好基礎鋪墊;
2.企業自身合規的評估分析:正如《個人資訊保護法》《資料安全法》當中所提到的,作為資料處理者要定期開展合規審計,評估自身的資料管控狀態和合規狀態,並進行合規差距分析;
3.查漏補缺,提升安全硬實力:針對性地對所缺乏的安全技術做提升,一般包括資料加解密、資料脫敏、電子認證等核心內容;
4.管理制度與稽核流程的建立:建立企業的資料安全管理制度,對資料安全保護義務進行落實,並透過稽核的手段保證汽車資料運轉處於合規狀態。
同時,車聯網的資料量級大、主體多、鏈條長,也意味著單點風險解決方式收效甚微。而透過車聯網安全技術的聯合深度共建,形成全流程一體化的解決方案,將能夠有效、全面地加快車企安全能力的提升。
以上汽集團為例,其正在積極探索車聯網安全能力建設之道。今年4月,上汽集團和騰訊宣佈共建網路安全聯合實驗室。雙方將共同打造網路安全產品,建立覆蓋智慧網聯汽車全生命週期的網路安全運營體系,並透過深度融入整車研發製造流程的方式提升汽車雲管端一體化的網路安全水平。
法規的出臺進一步推動行業加快資料安全佈局程式,挑戰與機遇共存。面向未來的新徵程上,騰訊安全願與更多企業合作,加強技術研發與資料安全技術應用、提升安全可控能力、構建完善的資料安全管理體系,築牢合規時代的“汽車網路安全底座”,共同探索汽車網路安全行業新標杆。