我國汽車行業數據安全現狀、問題及對策研究

【歡迎引用】 薛凱， 文洋. 我國汽車行業數據安全現狀、問題及對策研究[J]. 汽車文摘，2024（XX）： X-XX.

【Cite this paper】 XUE K， WEN Y. Research on the Current Situation， Problems， and Countermeasures of Data Security in China’s Automotive Industry[J]. Automotive Digest （Chinese）， 2024（XX）： X-XX.

【摘要】為了更好地推進汽車行業數據安全管理，建設行業數據安全管理體系，分析了汽車行業數據安全政策、標準，數據安全現狀、企業數據安全合規情況，總結了當前汽車行業數據安全存在數據多重監管、缺乏有效協同，標準規范不統一，供應鏈防護體系薄弱，缺乏專業人才等問題。針對以上問題，提出以下發展建議：統籌建立汽車行業數據安全監管機制，根據不同處理主體明確責任邊界，加快數據分類分級、重要數據管理，提升全產業鏈數據安全管理和防范意識和能力，以及加強行業數據安全綜合人才培養。

關鍵詞：汽車行業；數據安全；政策法規；監管機制

中圖分類號：U461.99 " 文獻標志碼：A "DOI： 10.19822/j.cnki.1671-6329.20240032

Research on the Current Situation， Problems and Countermeasures

of Data Security in Chinese Automotive Industry

Xue Kai， Wen Yang

（China Automotive Engineering Research Institute Co. Ltd.， Chongqing 404100）

【Abstract】 To enhance data security management in the automotive industry and establish a robust industry-wide data security management system， this paper analyzes policies， standards， current state of data security and the compliance of enterprise data security. The following issues are identified： multiple layers of data regulation lacking effective coordination， inconsistent standards and specifications， a weak supply chain protection system， and a shortage of specialized talent. In response to these challenges， the following development suggestions are proposed： Establish a comprehensive regulatory mechanism for data security in the automotive industry. Clearly define the boundaries of responsibility for different processing entities. Accelerate the classification and grading of data， as well as the management of critical data. Enhance data security management and risk prevention awareness and capabilities throughout the entire industry chain. Strengthen the training and development of professionals specializing in comprehensive industry data security.

Key words： Automotive industry， Data security， Development status， Policy and regulation， Regulatory mechanism

0 引言

在智能化、網聯化背景下，汽車行業數據規模也隨之呈現出爆發式增長。隨著數字經濟近兩年被國家和社會廣泛關注，數據安全問題也成為數字經濟在各行業應用管理過程中最重要、最復雜且最具挑戰性的工作。當前，在汽車領域中，數據安全研究主要聚焦在智能網聯汽車領域，在汽車研發、生產、銷售到使用、維護、報廢等各個環節的數據安全問題未得到充分關注。本文從汽車行業全鏈條角度分析行業數據安全發展現狀，總結當前存在的問題，提出對策建議，為汽車行業在數據安全領域的研究提供參考。

1 汽車行業數據安全現狀

1.1 政策法規

自2016年以來，我國發布了若干網絡和數據安全相關政策及法規，為數據安全領域的技術發展和深化應用提供了指導和參考。《網絡安全法》《數據安全法》《個人信息保護法》等數據安全相關上位法相繼頒布，為我國數據安全監管提供了制度支撐和法律依據。

在國家政策法規的指導下，汽車行業也相繼發布了《車聯網（智能網聯汽車）產業發展行動計劃》《智能汽車創新發展戰略》《新能源汽車產業發展規劃（2021-2035年）》等產業發展戰略規劃，加強汽車數據安全管理體系建設。在一系列汽車產業發展戰略規劃的指導下，汽車行業數據安全管理政策法規陸續出臺，全面推動汽車行業數據安全管理體系建設[1]。

當前，除了上位法和宏觀政策，汽車行業數據安全政策法規的重點主要側重于總體安全管理要求、數據分級分類、測繪和地圖管理等方面。

在數據安全管理要求方面，近兩年工信部和網信辦等部委相繼發布《關于加強智能網聯汽車生產企業及產品準入管理的意見》《汽車數據安全管理若干規定（試行）》《關于加強車聯網網絡安全和數據安全工作的通知》等文件對汽車及智能網聯汽車的數據安全管理進行了規范。尤其在《關于加強智能網聯汽車生產企業及產品準入管理的意見》中明確提出強化數據安全管理能力，主要內容包括：企業應當建立健全汽車數據安全管理制度，依法履行數據安全保護義務；建立數據資產管理臺賬，實施數據分類分級管理，加強個人信息與重要數據保護；建設數據安全保護技術措施，落實數據安全風險評估、數據安全事件報告等要求；需要向境外提供的數據，應當通過數據出境安全評估。

在數據分類分級管理方面，《數據安全法》《關于促進數據安全產業發展的指導意見》《網絡數據安全管理條例（征求意見稿）》《智能汽車創新發展戰略》《新能源汽車產業發展規劃（2021—2035年）》《關于加強智能網聯汽車生產企業及產品準入管理的意見》《關于加強車聯網網絡安全和數據安全工作的通知》《工業和信息化領域數據安全管理辦法（試行）》等文件均明確了實施數據分類分級管理，需要制定行業重要數據和核心數據具體目錄，并開展重要數據備案管理工作，加強個人信息與重要數據保護。

在測繪和地圖管理方面，2017年4月，《中華人民共和國測繪法》完成第二次修訂，明確要求從事測繪活動的單位應當依法取得相應等級的測繪資質證書；互聯網地圖服務提供者應當建立地圖數據安全管理制度，采取安全保障措施；不得擅自發布中華人民共和國領域和中華人民共和國管轄的其他海域的重要地理信息數據。2022年8月，自然資源部發布了《關于促進智能網聯汽車發展維護測繪地理信息安全的通知》，明確了測繪活動和測繪活動的行為主體，強調從事相關數據收集、存儲、傳輸和處理的車企、服務商及智能駕駛軟件提供商等應依法取得相應測繪資質或委托具有相應測繪資質的單位開展相應測繪活動，要求存在向境外傳輸測繪地理信息數據行為或計劃的應依法履行對外提供審批或地圖審核程序等。

1.2 標準現狀

2022年3月，工信部辦公廳發布了《車聯網網絡安全和數據安全標準體系建設指南》，為車聯網產業的安全發展提供了支撐。2023年7月，工信部和國家標準委員會聯合發布了《國家車聯網產業標準體系建設指南（智能網聯汽車）（2023版）》。智能網聯汽車標準體系橫向以智能感知與信息通信層、決策控制與執行層、資源管理與應用層為基礎，縱向以功能安全和預期功能安全、網絡安全和數據安全通用規范技術為支撐，形成“三橫兩縱”的核心技術架構。汽車數據安全標準用于確保智能網聯汽車數據處于有效保護和合法利用的狀態并具備保障持續安全狀態的能力，對數據提出明確的安全保護要求，對重要數據和個人信息提出重點安全保護要求。

目前來看，汽車行業智能網聯汽車網絡安全和數據安全標準體系框架已形成，但90%的標準尚未發布，尤其是分類分級、應用數據安全、安全能力評估等亟需的標準還在制定中。同時，汽車行業整個產業鏈的數據安全標準及體系仍然缺失。在生產端，工控安全的標準要求能部分適用于汽車生產過程，而其他環節上的數據安全相關標準目前仍處于空白階段[2]。

1.3 行業數據安全現狀

汽車行業數據存在于汽車研發設計、生產制造、經營管理、運行維護、平臺管理等各個環節[3]。隨著汽車行業數字化變革的不斷深入，汽車行業數據量與日俱增。研發設計環節，智能網聯汽車迅速發展，平臺開發、模塊開發、軟硬件開發的代碼數據在車企和系統集成供應商內部大量增加，智能網聯汽車代碼數量已是傳統汽車的4～5倍，且還在不斷增長。在生產環節，數字化技術的應用大幅提升了數據的采集量，一套AI計算機視覺系統對每輛車的噴漆表面進行拍照和分析，僅100 s就可拍攝10萬張照片。在車輛使用過程中，尤其是智能網聯汽車通過車內外傳感器采集大量行駛數據、環境數據和行為數據，還采集海量操作系統的用戶行為數據，一輛L4級自動駕駛汽車每日會產生約10 TB數據，約為傳統汽車的10倍，已逐漸成為產生與連接海量數據的中樞。此外，在企業日常經營過程中，用戶個人信息、車輛信息、充電信息等數據均以TB級甚至PB級的規模。

汽車行業數據量的激增使數據安全問題越發凸顯。數據安全不僅影響企業品牌和聲譽，核心技術資料、客戶數據、財務數據等敏感信息泄露還將為企業和個人帶來更大的資金風險和安全隱患。近年來，黑客入侵、數據竊取、暗網販賣數據、通過網絡控制企業生產設施逼迫企業停工停產的事件時有發生，包括奔馳、奧迪、寶馬、豐田、大眾、蔚來等知名車企都受到數據安全問題侵襲[4]。統計顯示，2020年12月至2022年底，共有980起車企數據泄露事件在暗網平臺發布，其數據獲取的渠道除了來自車企外，也有可能來自車管所、經銷商以及第三方平臺等。可見，汽車行業數據安全風險問題日趨嚴重。

1.4 企業數據安全合規情況

企業數據安全管理體系建設方面，為降低數據安全風險，車企積極建立數據安全防護管理體系[5]。在流程制度上，構建全面的安全體系管理策略；在體系章程、事件管理、組織人員等數據安全制度上，沿用信息安全管理制度，進行企業內部數據分類分級、數據安全評估、數據共享使用等方面的工作；在安全防護技術手段，從數據全生命周期進行技術能力建設。同時，跨國車企也已在中國建立數據中心，以實現數據存儲的本地化的要求[6]。

企業數據分類分級方面，目前大部分企業已經建立覆蓋企業全部管理范圍和企業行業數據的分類分級相關制度文件，制定依據如表1所示。由表1可以看出，企業的分類分級工作依據來源多樣化。企業綜合考慮上位法律及工業和信息化部、國家互聯網信息辦公室等主管部門的規章，參考車聯網、信息安全、金融等方面的分類分級和分級管理標準及其他地方性、海外相關政策法規等，制定符合企業自身的汽車行業數據分類分級制度。

2 我國汽車行業數據安全存在的問題

2.1 多重監管，缺乏協同

數據安全管理存在于汽車產業全生命周期的各個環節，包括車輛研發、生產、產品準入及測試、使用等，所有環節產生的各種類型數據又同時涉及數據全生命周期安全管理。因此，汽車行業數據現已跨越汽車管理的邊界，在產業鏈各主體之間流轉，車輛全生命周期與數據全生命周期交織疊加，極大地增加了數據安全管理難度。國家網信辦、工信部、自然資源部等多部門均具有汽車行業數據安全監管職責，各部門亟需理清管理邊界和職責范圍。此外，隨著數據合規監管不斷加強，企業需在數據全生命周期做到合規管理，但由于各部門對汽車數據管理職責不明確、缺乏有效協同，出現重復審查等多重監管問題，增加了企業數據安全合規成本和管理難度。

2.2 標準規范不統一

數據標準化是數據環境建設中的重要環節，通過數據標準可以保障基礎數據的一致性和嚴密性。目前，我國數據安全已形成初步標準框架，在數據分類分級、出境安全等方面均有覆蓋，然而現有標準仍然處于探索階段，已規劃標準仍有部分處于未發布狀態，同時在管理體系建設、安全審查、相關標準制定等方面存在缺失。此外，汽標委和通標委都在汽車行業數據安全方面制定了一些標準，但由于起草單位視角不同，要求實現方式也不相同，存在現階段各類標準規范思路和框架不統一的現象。部分標準要求內容交叉，落實指導意見存在差異，暫未形成統一協調的汽車數據安全監管體系，對重要數據識別存在認知不一致，因此難以實現統一監管和企業數據安全合規落地。

2.3 供應鏈防護體系薄弱

企業掌握的數據類型和數據規模不斷增加，需要針對數據的特性進行更加精細化的安全策略保護。但對于大多數企業來說，近年來伴隨著汽車行業的數據安全管理要求逐步完善，數據安全保護意識和數據安全保護能力建設剛起步，無論從人員配置、資金投入、培訓力度等都有待提高。

同時，雖然車企積極建立數據安全防護體系，但是供應鏈其他企業由于成本高、建設難度大、數據安全意識不足等原因，自建數據安全防護體系的積極性不足，僅少數頭部公司有數據安全防護體系。此外，整車企業對供應鏈數據安全管理沒有改進落實，車企對供應商的選擇評估要求，目前依然沿用傳統的質量、價格、響應、交貨、管理、技術能力和設施等方面的選擇評估要求，并沒有涉及對供應商的數據安全管理防護的相關要求，數據安全隱患較大[16-17]。

2.4 缺乏專業人才

隨著政府與企業對數據安全的要求逐步提升，對相關人才的需求也不斷增多。我國每年自高校輸送的數據安全畢業生數量十分有限，汽車行業數據安全的人才缺口大。此外，除了人才短缺，行業還存在人才“不好用”的問題，汽車數據安全領域有很多應聘者都是“半路出家”，往往是從相關領域“轉行”到數據安全工作，對汽車行業本身了解并不深刻，不足以應對汽車行業的數據安全問題。

3 對策及建議

3.1 統籌建立汽車行業數據安全監管機制

我國數據安全法律框架已基本形成，為國家各行業數據安全監管提供制度參考和法律依據。在國家政策法規的指導下，聚焦汽車領域，數據安全被納入汽車產業發展戰略規劃，明確要從政策法規體系、安全管理體系和支撐保障體系三方面發力，加強汽車數據安全管理體系建設，全面推動汽車安全防護進入數據安全監管時代。然而為更好實現產業鏈各企業數據安全合規落地，政府及行業研究機構應當兼顧車輛全生命周期和數據全生命周期的汽車行業數據，全面梳理汽車行業數據資產，并依據汽車管理流程及各部門職責范圍，統籌建立汽車行業數據安全監管機制，提升監管能力，落實規章制度，對企業開展數據安全合規給予明確指導。

3.2 根據不同處理主體明確責任邊界

現行法律法規對數據處理者提出了明確要求，然而隨著汽車數據流轉的復雜性，多方主體在保護汽車行業數據安全方面的權責義務不夠清晰，彼此間的責任難以界定。應當根據汽車制造商、零部件和軟件供應商、出行服務企業等不同責任主體，劃分數據安全合規責任邊界，明確責任主體在處理數據過程中所涉及的數據范圍、處理環節和安全防范措施，明確彼此間的工作邊界以及協作機制。此外，在明確整車企業和零部件供應商責任的基礎上，應進行明顯標識以作為處理事故追責的憑證，開展實行數據安全責任制，實現全產業鏈數據安全防護。

3.3 加快數據分類分級、重要數據管理

充分發揮標準對汽車行業數據安全的支撐作用，加快推動汽車數據安全重點標準研究和制定。著眼標準統一性、協調性、落地性，促進行業數據安全技術、產品、服務和應用標準化，提升數據保護和使用能力，鼓勵科研院所、企事業單位、普通高等院校及職業院校等各類主體積極參與汽車行業數據安全標準制定。同時，政府應牽頭制定汽車行業數據分類分級指南，明確數據分類分級原則和方法，提升企業數據分類分級的可實施性和可操作性，指導企業進行重要數據識別和目錄備案。基于分類分級結果，企業應制定具有針對性的安全策略和措施，積極開展數據安全管控措施落地實踐，為車輛數據安全管理提供支撐。

3.4 提升全產業鏈數據安全管理和防范意識和能力

在數據安全管理意識方面，政府及行業機構應通過多種渠道宣傳數據安全對汽車行業的重要性，做好政策宣貫落實，開展企業數據安全培訓，定期組織召開汽車行業數據安全管理經驗交流會議，加強企業數據安全防護的責任和義務，提高產業鏈各環節主體的數據安全意識。同時，企業應定期開展數據安全培訓，培養數據安全管理能力，并設立專門的安全合規工作組開展定期檢查、抽查等，全面負責產業鏈甚至跨領域的企業相關數據安全管理及合規工作。同時，企業應梳理數據資產，開展數據分類分級管理、重要數據識別和備案，提升數據安全防護技術，強化數據安全監測預警和應急處置能力，建立完善的數據安全管理體系。

3.5 加強行業數據安全綜合人才培養

首先，提升企業現有人才綜合能力：建立健全數據安全人才選拔、培養和激勵機制，立足企業實際數據安全建設需求，明確數據安全崗位能力要求，針對性加快緊缺崗位人才培養。其次，借助高校、企業事業單位和行業機構的力量，通過汽車行業數據安全能力提升培訓平臺等方式，加快單一專業人才向復合型人才的轉變。通過推進職業資格評價、職業技能等級認定、專項職業能力考核等，通過產學研用閉環人才培養機制。最后，推動普通高等院校加強數據安全學科教育。強化課程體系、師資隊伍和實習實訓等，加大精通汽車行業數據安全治理復合型人才的補充。將汽車數據安全測試實際經驗和教學相結合，提高在校學生對汽車行業數據安全治理的專業能力培養。

4 結束語

汽車行業數據安全已經逐漸成為汽車產業高質量發展重要保障，各主體單位都應深刻認識到加快汽車行業數據安全建設的重要性和必然性。對政府而言，加快政策出臺和落實，加強數據安全監管力度，才能更好的保障汽車行業的數字化發展和應用。對整個汽車產業鏈、供應鏈而言，提升各環節主體單位的數據安全保障能力，加強數據安全意識培養，才有可能進一步提升數字化應用對企業及行業的賦能，實現汽車行業數字經濟的高質量、高效率、高水平發展。

參 考 文 獻

[1] 畢馬威中國， 觀韜中茂律師事務所. 車網聯數據安全監管制度研究報告[R/OL].2022（2022.03）. https：//assets.kpmg.com/content/dam/kpmg/cn/pdf/zh/2022/03/data-security-regulations-internet-vehicles-2022.pdf.

[2] 北京車網科技發展有限公司， 國汽（北京）智能網聯汽車研究院有限公司. 北京市高級別自動駕駛測試示范區數據分類分級白皮書2.0[R/OL]. 2023（2023-09）. https：//www.doc88.com/p-74487942050726.html.

[3] 數據安全推進計劃.智能網聯汽車數據分類分級實踐指南[R/OL].2022（2023-01）. https：//mp.weixin.qq.com/s/mpwqXzl0n2qsIoYM-sUeDQ.

[4] 全國信息安全標準化技術委員會.信息安全技術 網絡安全等級保護基本要求： GB/T 22239—2019[S/OL]. （2019-05-10）[2019-05-10]. https：//www.bzwy.cn/details/30c6ea 1c87ff4c4c8f4e94ccad60c90b？bzbh=GB%2FT%2022239-2019amp;bzid=30c6ea1c87ff4c4c8f4e94ccad60c90bamp;uuid=76E 52BE1F9196E7F8476692CC8A369B8.

[5] 全國信息安全標準化技術委員會.信息安全技術 網絡安全等級保護定級指南： GB/T 22240—2020[S/OL]. （2020-04-28）[2020-04-28]. https：//www.bzwy.cn/details/nocgb-gb_bzgg-7597？bzbh=GB%2FT%2022240-2020amp;bzid=nocgb-gb_bzgg-7597amp;uuid=6E0C1110ACF7192B8A742F3AEB3CE131.

[6] 全國信息安全標準化技術委員會.信息安全技術 個人信息安全規范： GB/T 35273—2020 [S/OL]. （2020-03-06）[2020-03-06]. https：//www.bzwy.cn/details/c9f0e6db51104afc862809786c6dcf1e？bzbh=GB%2FT%2035273-2020amp;bzid=c9f0e6db51104afc862809786c6dcf1eamp;uuid=F2801DAFD85770B1D64B4975291463B3.

[7] 全國信息安全標準化技術委員會.信息安全技術 汽車數據處理安全要求： GB/T 41871—2022 [S/OL]. （2022-10-12）[2022-10-12]. https：//www.bzwy.cn/details/eaf076ae6778438c89d73406ec955376？bzbh=GB%2FT%2041871-2022amp;bzid=eaf076ae6778438c89d73406ec955376amp;uuid=AF41FA2C27A7651CEB4A2140FC4627B7.

[8] 全國金融標準化技術委員會.金融數據安全 數據安全分級指南： JR/T 0197—2020 [S/OL]. （2020-09-23）[2020-09-23]. https：//www.bzwy.cn/details/131647cd1f284dfda8c ac4b4ed848b81？bzbh=JR%2FT%200197-2020amp;bzid=131647cd1f284dfda8cac4b4ed848b81amp;uuid=0A9C94D637A815B061F83CE5950BC706.

[9] 中國通信標準化協會.車聯網信息服務 數據安全技術要求： YD/T 3751—2020 [S/OL]. （2020-08-31）[2020-08-31]. https：//www.bzwy.cn/details/3c8c602a32094baf9da92b538529a99d？bzbh=YD%2FT%203751-2020amp;bzid=3c8c602a 32094baf9da92b538529a99damp;uuid=2F89826F725F98EE879D37DB2367E9BB.

[10] 中國通信標準化協會.車聯網信息服務 用戶個人信息保護要求： YD/T3746—2020[S/OL]. （2020-08-31）[2020-08-31]. https：//www.bzwy.cn/details/13576aac35344c97bff006875a4ef5b4？bzbh=YD%2FT%203746-2020amp;bzid=13576aac35344c97bff006875a4ef5b4amp;uuid=C9C6D5026ABB35F42F0595A8A7DD6E9E.

[11] 西班牙標準化和認證協會.信息技術 安全技術 信息安全管理體系要求： ISO/IEC 27001：2017 [S/OL]. （2017-05-24）[2017-05-24]. https：//www.bzwy.cn/details/87cd482f-be80-11ee-a25f-b8599f4d3b32？bzbh=UNE-EN%20ISO%2FIEC%2027001%3A2017amp;bzid=87cd482f-be80-11ee-a25f-b8599f4d3b32amp;uuid=44BEC0C1D4D891754B538D41E006EE29.

[12] 西班牙標準化和認證協會.信息技術 安全技術 信息安全管理實用規則： ISO/IEC 27002： 2017[S/OL]. （2017-05-24）[2017-05-24]. https：//www.bzwy.cn/details/87cd 4be9-be80-11ee-a25f-b8599f4d3b32？bzbh=UNE-EN%20ISO%2FIEC%2027002%3A2017amp;bzid=87cd4be9-be80-11ee-a25f-b8599f4d3b32amp;uuid=C618808557CB9F64AB9BB35344A3D15F.

[13] 《中國工業和信息化》編輯部. 吉利汽車 數據安全治理硬實力[J]. 中國工業和信息化， 2023（11）： 21.

[14] 趙麗梅. 共謀數據安全與治理的高質量發展之道[N]. 中國青年報， 2023-05-30 （005）.

[15] 盧夢琪. 加快制定汽車全生命周期數據安全標準[N]. 中國電子報， 2023-03-10 （003）.

[16] 趙子垚. 車企數據安全風險加劇 [J]. 汽車縱橫， 2023（2）： 18-21.

[17] 楊梓. 新能源車企須系好“數據安全帶”[N]. 中國能源報， 2023-01-02 （012）.

（責任編輯 明慧）