智能網聯汽車數據安全評估指南發布 風險防范再升級

日前，中國汽車工業協會(以下簡稱“中汽協”)日前發布了由國家工業信息安全發展研究中心牽頭編制的《智能網聯汽車數據安全評估指南(征求意見稿)》(以下簡稱《評估指南》”)。《評估指南》從數據安全級別的界定、數據安全評估團隊人員構成與職責、數據安全評估的實施過程等多方面對數據安全評估進行了指導。在汽車數據安全漏洞越來越多的當下，《評估指南》的制定可謂恰逢其時。

旗幟性引導　為更高標準做鋪墊

目前，數字經濟是國家經濟增長的新動能，也是經濟轉型、推動人類經濟形態轉變的重要突破口，數據已成為重要的生產要素。汽車產業進入大數據時代，智能網聯汽車是一種高度數字化的產品，在實際運行中需要采集大量車內外數據，這些數據的分析與使用使汽車產品更加智能的同時，也給數據安全的監管帶來了挑戰。國家陸續出臺了多項數據安全相關法律法規，然而目前缺乏實施細則，各企業缺乏依據和指導。

據悉，中汽協數據分會正是秉著團標先行、按需制定、注重實用、服務產業的原則，牽頭組織了各會員企業共同研究智能網聯汽車數據安全評估的實施方法與流程，并制定團體標準。

《評估指南》項目旨在建立智能網聯汽車數據安全評估的實施方法與流程，適用于智能網聯汽車相關企業自行開展數據安全評估工作，也可為主管監管部門、第三方測評機構等組織開展智能網聯汽車相關企業數據采集與處理情況的監督、檢查、管理、評估等工作提供參考。

一位不愿透露姓名的智能網聯領域專家指出，此時各單位、機構共同研究的《評估指南》，對整個行業有著重要的意義。他表示：“國標的制定是比較困難的，尤其像智能網聯等還不成熟、技術密集型的領域，更適合制定團體標準，先行先試。所以國家也在鼓勵各個機構以團標的形式，盡快推出行業的示范性參考。”

同時，《數據安全法》、《網絡數據安全管理條例(征求意見)》等法律法規也鼓勵行業組織依法制定數據安全行為規范和團體標準，加強行業自律，因此制定研究該團體標準是符合數據安全法律法規要求和產業發展需求的。此標準有利于汽車產業保證數據合規，進而促進汽車企業在數據安全基礎上開展數據價值挖掘，助力智能網聯汽車數據生態的形成。

該專家還指出，標準實質是一種技術性文本，是一種自下而上的邏輯體系，由各個企業和組織機構自發提出，然后碰撞探討，這樣得出來的標準，一方面更具有專業性，同時也具有更強的可操作性。

業內人士表示，通過這種方式形成的團體標準，不具有強制約束的作用，更多是作為標準推薦，期待為后期相關國家標準的制定奠定基礎。

三大數據安全成重點

《評估指南》中對數據安全評估分為數據安全風險評估、數據安全合規性評估和數據出境安全評估三種類型。其中數據風險評估是指通過分析數字資產的重要程度、所面臨的威脅和脆弱性，對企業數據安全風險進行評價的過程。數據安全合規性評估是針對智能網聯汽車數據處理活動，判斷其是否符合相關法律、法規、標準和管理要求，評估企業數據安全管理措施合理有效的過程。數據出境安全評估在《評估指南》中沒有單獨介紹，將參照后續法規標準執行。

中科院創業投資管理有限公司研究總監邵元駿告訴記者：“目前涉及數據安全的問題主要就是這三類，圍繞什么數據能采集、采集的數據怎么通信、采集完的數據怎么存儲、應用等問題是需要探討的重點。有關具體內容，中資和外資企業存在一定的差異。所以這更需要整個行業的主要參與者和龍頭企業代表一起研究相關標準。”

“許多研發機構，包括一些國際公司，對數據跨境流動有切實需求，所以共同構建標準來進行規范，是非常有必要的。”智能網聯領域專家鄒鳴說。

具體來看，《評估指南》對智能網聯汽車、汽車數據、一般數據和重要數據等概念都做了清晰定義，還針對數據安全風險評估和數據安全合規評估制定了詳細的流程。

數據安全風險評估主要針對智能網聯汽車數據處理活動，預判影響數據保密性、完整性、可用性的安全風險，分析數據面臨的威脅、威脅利用脆弱性導致數據安全事件的可能性、一旦發生安全事件對組織造成的影響，評估數據安全潛在風險。

數據安全合規評估則是以保護數據安全性、提升數據處理者數據安全的保障能力為目的，給出數據處理者數據安全保障措施的基礎要求并判斷其是否符合并遵守相關法律、法規、標準和管理要求，評估企業數據安全管理措施合規性。

同時，由于數據存儲有著時間和空間性，還有相應的數據存證平臺，可為汽車數據收集及傳輸等活動的溯源與管理提供有效支撐，并可服務于數據安全監管、審查評估、企業合規體系建設等。

標準在動態中走向完善

據悉，團標的編制工作也有諸多老牌車企參與，如：廣汽集團、長安汽車、長城汽車、上汽通用五菱等;許多新勢力企業積極響應，如：蔚來汽車、小鵬汽車、特斯拉、地平線等。

根據《評估指南》的風險評估報告，企業應制定相應的風險處理計劃，明確風險處理方式，確定風險處理措施，以規避相應的數據安全風險。同時，應對風險評估工作進行記錄，并定期開展評估、驗證工作，以確定風險處理措施是否有效、是否存在新的風險，對評估工作、處理措施進行持續改進。

按照邏輯，此次《評估指南》的推出，似乎為智能網聯車企的未來發展起到明晰的指引。但鄒鳴認為，這件事情應該從“一體兩面”去看待，“雖然從宏觀上來看，標準的制定是為了規范、統一、指引，但具體到個體來看，對每家企業帶來的影響卻是不一樣的。”他說。

鄒鳴認為，對于初創企業，它們剛進入這個行業，尚不清楚技術方向和規劃目標時，標準可以起到指引作用;對于一些已經在這個行業耕耘多年的企業，一些標準與其現行的技術方向不同的話，就可能會對它們造成困擾。

“但是我們一再強調的是，《評估指南》這類推薦性標準不具有強制性和約束性，更傾向于企業自愿性遵從。”鄒鳴表示。

智能網聯汽車領域研究者熊淇也認為，這類標準看起來極具引領性，但仔細推敲，其實際指導意義似乎并不大。“企業最關注的是轉入問題，如果這些標準不與企業遇到的實際問題掛鉤，那么其能引起企業的重視其實是非常有限的。畢竟它不是國標，不能要求企業嚴格遵守。”他說。

對此，鄒鳴也十分贊同。“目前行業成熟度不夠，作為一個新興領域，大家都在盡可能地向最優解靠近，但是因為基于行業本身發展程度和諸多因素，不同的主體離最優解的距離可能是不一樣的。在這種背景下商議出來的解決方案會受很多因素影響，隨機性比較大。我們希望不同的企業、機構團體，和它們制定的不同標準之間可以相互學習和競爭，碰撞摩擦，形成更好的標準，這也是一個市場機制的做法。”他說。

可以預見的是，無論是哪一方構建的標準，都會持續迭代、修訂，在動態中走向成熟和完善，助力智能網聯汽車數據生態的形成。(記者 張雅慧)