車聯網安全管理：基于標準的規范體系建設

石濤

今年，車聯網、網聯車的數據安全管理規范文件連續出臺，參與制訂文件的黨政機構包括國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、公安部、交通運輸部、國家市場監督管理總局、國家標準化管理委員會等。

4月28日，國家標準《信息安全技術 網聯汽車 采集數據的安全要求》（草案）完成。標準草案由國家市場監督管理總局、國家標準化管理委員會發布，以征求反饋意見。6月，工業和信息化部組織編制完成《車聯網（智能網聯汽車）網絡安全標準體系建設指南》（征求意見稿）。8月12日，工業和信息化部發布《關于加強智能網聯汽車生產企業及產品準入管理的意見》。9月16日，工業和信息化部發出《關于加強車聯網網絡安全和數據安全工作的通知》。10月1日，國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、公安部、交通運輸部聯合制訂的《汽車數據安全管理若干規定（試行）》開始施行。

設立標準是管理的基礎

細讀這些規范文件，不難發現各相關主管部門把完善標準作為加強車聯網、網聯車數據安全管理的基礎性工作來安排，同時通過試行若干規定來檢驗標準規范的有效性。對制訂標準本身，也編制了標準體系建設指南。完善標準的任務時段則定在“十四五”期間。10月11日，市場監管總局以“標準促進可持續發展”為主題召開專題新聞發布會，工信部裝備工業一司副司長郭守剛在會上簡要介紹了汽車信息安全相關4項國家標準的情況。這4項國標是《汽車信息安全通用技術要求》《車載信息交互系統信息安全技術要求及試驗方法》《汽車網關信息安全技術要求及試驗方法》《電動汽車遠程服務與管理系統信息安全技術要求及試驗方法》，由工信部和市場監管總局組織制訂，經過草案公開廣泛征集意見、充分測試驗證以確定技術內容等階段，10月11日正式發布。

郭守剛把4項汽車信息安全國家標準概括為“一項指南、三大典型應用”。《汽車信息安全通用技術要求》是其中的“指南性”標準，考慮汽車信息安全風險危害、誘因，以及系統性防御策略，從保護對象的8個方面——真實性、保密性、完整性、可用性、訪問可控性、抗抵賴、可核查性、可預防性，明確了通用技術要求，用于整車及零部件信息安全開發和汽車信息安全事故信息采集、處置。另3項標準則對應車載信息交互、網關信息安全、遠程服務與管理系統信息安全等三大典型應用，為汽車尤其是智能網聯汽車典型的、易受攻擊的應用場景設立信息安全標準。4項國家標準在標準化對象、目的、應用實施等方面各有側重，是汽車行業在信息安全領域的首批基礎性國家標準。

今年4月公布草案，正處于公開廣泛征集意見階段的《信息安全技術 網聯汽車 采集數據的安全要求》，規定了網聯汽車采集的數據在傳輸、存儲和跨境等環節的安全要求，適用于規范具有聯網功能的量產乘用車數據處理相關活動，也適用于相關部門、第三方測評機構等組織開展網聯汽車數據處理監管、評估工作。標準草案的基本要求是“不得基于網聯汽車所采集數據及經其處理得到的數據開展與車輛管理、行駛安全無關的數據處理活動”，另從數據傳輸、數據存儲、數據跨境三個環節做出規定，保障數據安全，尤其是用戶隱私數據安全。

剛剛（10月11日）正式發布的首批汽車信息安全國標，以及正在制訂、還將繼續制訂的汽車信息安全標準，是開展車聯網、網聯車數據安全管理工作的基礎，對于提升我國汽車產品的信息安全防護技術水平，強化風險防范和應對網絡攻擊能力，保障消費者的數據隱私安全，提高信息安全事故處置能力等都具有重要意義。目前，工信部6月組織編制完成的《車聯網（智能網聯汽車）網絡安全標準體系建設指南》正在公開征求意見，等到《指南》開始實施，“十四五”期間的相關標準建設工作就有了可依據的藍圖。

多項規則各有側重

在汽車信息安全標準建設之外，還需要適時頒布管理規定、推行管理意見、開展安全工作。考察今年發布的《關于加強智能網聯汽車生產企業及產品準入管理的意見》《關于加強車聯網網絡安全和數據安全工作的通知》《汽車數據安全管理若干規定（試行）》等文件，可以看出多項規則各自的指向性和彼此之間的互補性。

《關于加強智能網聯汽車生產企業及產品準入管理的意見》（8月12日工業和信息化部發布）要點是“準入管理”，《意見》明確由工業和信息化部指導有關機構做好智能網聯汽車生產企業及產品準入技術審查等工作。準入的意涵在于，智能網聯汽車生產企業和智能網聯汽車產品都需要經過“有關機構”的產品準入技術審查等工作，否則不具備生產許可（對企業）和上市許可（對產品）。《意見》要求企業依法履行數據安全保護義務，實施數據分類分級管理，加強個人信息與重要數據保護，確保數據持續處于有效保護和合法利用的狀態。

《關于加強車聯網網絡安全和數據安全工作的通知》（9月16日工業和信息化部發出）的目標是加強車聯網網絡安全和數據安全管理工作，健全完善車聯網安全保障體系。《通知》明確了四類管理對象，均為企業：智能網聯汽車生產企業、車聯網服務平臺運營企業、基礎電信運營企業、其他相關企業。這樣，與車聯網、網聯車相關的市場主體都被納入管理。《通知》還給車聯網和智能網聯汽車做出了精確定義——“車聯網是新一代網絡通信技術與汽車、電子、道路交通運輸等領域深度融合的新興產業形態。智能網聯汽車是搭載先進的車載傳感器、控制器、執行器等裝置，并融合現代通信與網絡技術，實現車與車、路、人、云端等智能信息交換、共享，具備復雜環境感知、智能決策、協同控制等功能，可實現‘安全、高效、舒適、節能行駛的新一代汽車。”

《汽車數據安全管理若干規定（試行）》（國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、公安部、交通運輸部聯合制訂并于10月1日開始施行）則著眼于對敏感個人信息和重要數據的保護。保護敏感個人信息，是為了保護車主、駕駛人、乘車人、車外人員等的人身、財產安全。保護重要數據，則是為了保護國家安全、公共利益，以及個人、組織的合法權益。

（作者單位：電子工業出版社華信研究院）