國內自動駕駛的信息安全相關法律法規調研

劉盈江 王娟 趙陽

摘 要：隨著網絡的發展和汽車制造技術的進步，智能汽車已經逐漸成為汽車產業發展的未來趨勢，其安全性也日益重要。然而，調研發現目前還沒有專門為自動駕駛的信息安全制定的法律法規。本文對國內現有信息安全相關法律、國外現有對自動駕駛技術相關條款進行了調研和總結，并對我國自動駕駛技術相關條款制定提出建議。

關鍵詞：自動駕駛技術;信息安全;法律法規

1 自動駕駛技術所面臨安全威脅

自動駕駛技術伴隨著種類繁多的安全威脅，根據攻擊對象的不同攻擊手段分為三種：

1）針對自動駕駛云端服務器攻擊：通過對自動駕駛云端服務器的攻擊從而非法獲取用戶信息，車輛信息等，也可造成自動駕駛車輛組網混亂甚至癱瘓的后果。

2）針對云端、路邊設備、車輛之間通信攻擊：以篡改、偽造、竊聽、重放、抵賴、DDOS（分布式拒絕服務）攻擊等方式對自動駕駛車輛組網中各單位進行攻擊，從而造成道路交通隱患及數據安全危機。

3）針對車輛本體攻擊：通過尋找車輛防護不足的部件作為入口，包括車載娛樂系統、藍牙、wifi、特殊功能ecu等，對這些入口進行篡改監聽等操作或通過這些入口以ecu作為跳板，對CAN總線發起攻擊并獲取車輛系統權限。

2 國內現有法律條款約束

經調研未發現國內已有自動駕駛信息安全相關法律法規，下面就信息安全領域對自動駕駛領域有借鑒意義的法律法規進行總結。

2.1 《信息安全等級保護管理辦法（試行）》

《信息安全等級保護管理辦法（試行）》第12條中明確規定：在信息系統建設過程中，運營、使用單位應當按照GB17859-1999、《信息系統安全等級保護基本要求》等技術標準，參照GB/T20271-2006、GB/T20270-2006、GB/T20272-2006、GB/T20273-2006、《信息安全技術 服務器技術要求》、GA/T671-2006等技術標準同步建設符合該等級要求的信息安全設施，現有標準已對安全信息系統的建立提出了指導和要求。

2.2《中華人民共和國網絡安全法》

《中華人民共和國網絡安全法》在第二十二條中指出：網絡產品、服務應當，符合相關國家標準的強制性要求。網絡產品、服務的提供者不得設置惡意程序;發現其網絡產品、服務存在安全缺陷、漏洞等風險時，應當立即采取補救措施，按照規定及時告知用戶并向有關主管部門報告。網絡產品、服務具有收集用戶信息功能的，其提供者應當向用戶明示并取得同意;涉及用戶個人信息的，還應當遵守本法和有關法律、行政法規關于個人信息保護的規定。本條規定為產品安全及用戶隱私提供了有力保障。

2.3 《國家車聯網產業體系建設指南（智能網聯汽車）》

近年發布的《國家自動駕駛產業體系建設指南》是國家針對蓬勃發展的自動駕駛產業提出的意見和指導，在通用規范中也提出了對信息安全的要求：信息安全標準在遵從信息安全通用要求的基礎上，以保障車輛安全、穩定、可靠運行為核心，主要針對車輛及車載系統通信、數據、軟硬件安全，從整車、系統、關鍵節點以及車輛與外界接口等方面提出風險評估、安全防護與測試評價要求，防范對車輛的攻擊、侵入、干擾、破壞和非法使用以及意外事故。

2.4 《智能汽車創新發展戰略》（征求意見稿）

2018年發改委發布的《智能汽車創新發展戰略》第三節第六段中明確提出了對構建智能高效的智能汽車信息安全體系要求：1）完善信息安全管理聯動機制;2）加強信息安全系統防護能力;3）加強數據安全防護管理。

3 國外自動駕駛相關法律條款

3.1 《國際道路交通公約（維也納）》

聯合國于2016年頒布的新修正案規定，在全面符合聯合國車輛管理條例或者駕駛員可以人工選擇關閉該功能的情況下，將駕駛的職責交給車輛的自動駕駛技術可以明確地被應用到交通運輸當中。這是世界范圍內第一次在法律層面上將自動駕駛的車輛認定為責任主體，人也就是駕駛者在特定情況下可以免責的可能。

3.2 《道路交通法》

德國于2017年修訂的《道路交通法》引入了自動駕駛相關概念及規定，規定在特定時間和條件下，高度或全自動化駕駛系統可接管駕駛人對汽車的控制。但是要求駕駛員不可離開駕駛位，必須時刻保持對車輛的可控制權，但對于數據安全該法規并沒有提出一個明確的要求。

3.3 《自動駕駛法案》

2017年7月27日美國眾議院一致通過的《自動駕駛法案》是美國第一部針對自動駕駛汽車的聯邦法律，法案于第五章明確要求自動駕駛車輛廠商必須制作出網絡安全計劃，包括如何對網絡攻擊、非法入侵以及惡意控制指令等行為的應對策略，并以此來保證整個自動駕駛系統及通信系統的安全。

4 總結與建議

在自動駕駛技術一日千里的當下，國內仍未有一部關于自動駕駛汽車信息安全的硬性法律條款。北京、上海、重慶等地推出的自動駕駛汽車試行的地方性法規中也極少涉及自動駕駛信息安全保護的內容，只有一些寬泛的描述。而信息安全問題對聯網的自動駕駛車輛來說是及其嚴峻的，需要相關法律法規硬性規范。建議應當從車輛到路邊單元到云端，通過制定相關法規，厘清廠商、運維、用戶等各方的責任，構建完整的自動駕駛信息安全防護體系，以保護車輛通信安全，用戶隱私安全，車輛網絡安全為自動駕駛產業的快速發展掃清障礙。

參考文獻

[1]工業和信息化部，國家標準委.國家車聯網產業體系建設指南（智能網聯汽車）[Z].2017.

[2]國家發展和改革委員會產業協調司.智能汽車創新發展戰略（征求意見稿）[Z].2018.

[3]化存卿.物聯網安全檢測與防護機制綜述[J].上海交通大學學報，2018，52（10）：1307-1313.

[4]Zhou J ， Cao Z ， Dong X ， et al. Security and Privacy for Cloud-Based IoT： Challenges[J]. IEEE Communications Magazine， 2017， 55（1）：26-33.

[5]Kahkashan Tabassum ， Ahmed Ibrahim ， Sahar A. El Rahman， “ Security Issues and Challenges in IoT”， 2019 International Conference on Computer and Information Sciences （ICCIS）， 2019.

[6]佚名.歐洲網絡與信息安全局《關鍵信息基礎設施領域的物聯網安全基線指南》[J].信息安全與通信保密，2018（1）：80-95.

[7]張緒旺.無人駕駛國標在路上[J].中國產業經濟動態，2017（11）：34.