车联网安全标准体系建设指南发布:网络安全和数据安全成为两大重点
原在征求意见稿作为二级指标的“数据安全”一词,在《指南》中被提升到了与网络安全同等重要的地位。
21世纪经济报道记者宋豆豆 报道 随着“软件定义汽车”渐起,从传统车企到造车新势力,以智能网联+自动驾驶为核心的竞赛全面铺开。汽车的核心部件也逐渐由曾经的发动机、变速箱、底盘,转变成了芯片、软件以及数据组成的“汽车大脑”。
而集成了大量的摄像头、雷达、测速仪、导航仪等各类传感器,汽车从原来的信息孤岛变成了一个联网的信息节点。在智能汽车的使用过程中,从数据采集到传输、再到处理使用,全生命周期都有网络安全和数据安全风险的问题。
目前网络安全和数据安全已成为车联网产业持续发展的重要条件,车联网也将迎来行业安全标准体系建设。3月7日,工信部发布《车联网网络安全和数据安全标准体系建设指南》(以下简称《指南》),提出到2023年底,初步构建起车联网网络安全和数据安全标准体系;到2025年,形成较为完善的车联网网络安全和数据安全标准体系。
数据安全重要度大幅提升
值得注意的是,与2021年6月发布的《车联网(智能网联汽车)网络安全标准体系建设指南》(征求意见稿)相比,原在征求意见稿作为二级指标的“数据安全”一词,在《指南》中被提升到了与网络安全同等重要的地位。同时,征求意见稿中“数据安全”共出现26次,《指南》中则出现46次。
车联网是新一代网络通信技术与汽车、电子、道路交通运输等领域深度融合的新兴产业形态,呈现蓬勃发展的良好态势。工信部表示,随着汽车电动化、网联化、智能化交融发展,车辆运行安全、数据安全和网络安全风险交织叠加,安全形势更加复杂严峻,亟需加快建立健全车联网网络安全和数据安全保障体系,为车联网产业安全健康发展提供支撑。
根据《指南》,车联网网络安全和数据安全标准体系包括总体与基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等6个部分共20类标准。
其中数据安全标准主要规范智能网联汽车、车联网平台、车载应用服务等数据安全和个人信息保护要求,包括通用要求、分类分级、出境安全、个人信息保护、应用数据安全等5类标准,后三类尤其值得注意。
数据出境安全标准主要规范车联网行业依法依规落实数据出境安全要求,包括数据出境安全评估要点、评估方法等标准;个人信息保护标准主要规范车联网用户个人信息保护机制及相关技术要求,明确用户敏感数据和个人信息保护的场景、规则、技术方法,包括匿名化、去标识化、数据脱敏、 异常行为识别等标准;应用数据安全标准主要规范车联网相关应用所开展的数据采集和处理使用等活动,包括车联网平台、网约车、车载应用程序等数据安全标准。
近年来关于智能汽车的数据安全纠纷屡见报端。2021年上海车展期间特斯拉女车主维权事件,特斯拉的数据保存与使用安全风险引起激烈讨论,关乎事故定责,最终也涉及到外界对于用户隐私保护的关注。特斯拉方面曾经多次表态会谨慎处理采集到的数据。
“智能网联汽车在使用过程中的风险涉及到很多方面,如果系统地对这个风险进行归纳,可以归纳为三大类风险——汽车的行车安全、用户的隐私安全和国家安全。”此前,清华大学学科办主任、发展规划处处长、车辆与运载学院创院院长杨殿阁在接受21世纪经济报道记者采访时指出,如何保障数据安全、避免数据滥用、如何给数据脱敏,都存在挑战。与此同时,智能汽车的使用还涉及到数据跨境传输的问题,跨境数据的传输涉及到的实际上是国家安全问题。
车联网安全市场为纯增量市场
前瞻产业研究院指出,随着智能交通的发展,我国车联网用户的规模也将逐年提升,行业渗透率将进入加速增长阶段。经过初步估算,车联网市场规模有望在2026年达到8千亿元,2021-2026年平均复合增长率将达到30.36%。
事实上,在《指南》发布前,相关部门已推出多项围绕车联网和汽车数据安全有关的规定和标准。2020年6月1日起《网络安全审查办法》正式实施;2021年7月,工信部、公安部等部门联合发布《汽车数据安全管理若干规定(试行)》,倡导“车内处理”、“默认不收集”、“精度范围适用”、“脱敏处理”等数据处理原则,以及明确汽车数据处理者应当履行个人信息保护责任等;2021年9月,工信部发布《关于加强车联网网络安全和数据安全工作的通知》,对汽车网络安全和数据安全提出了多项要求。
天风证券指出,此次《指南》进一步提出“加快建立健全车联网网络安全和数据安全保障体系”,展现出推进车联网安全在车联网产业建设中的优先级,有利于加速推动车联网安全的落地。
此外《指南》对终端与设施网络安全、网联通信安全也提出了明确的标准要求。
前者主要规范车联网终端和基础设施等相关网络安全要求,包括车载设备网络安全(汽车网关、电子控制单元、车用安全芯片等)、车端网络安全(整车电子电气架构、总线架构等)、路侧通信设备网络安全、网络设施与系统安全等4类标准。
后者主要规范车联网通信网络安全、身份认证等相关安全要求,包括通信安全(蜂窝车联网、以及应用于车联网的蜂窝移动通信、车内无线局域网等)、身份认证等两类标准。
考虑到现阶段车端、路端以及网络端的安全保护基础较为薄弱,天风证券认为,车联网安全市场为纯增量市场。根据中汽协预测,2025年中国汽车销量或将达到3000万,考虑到其中30%的智能网联汽车占比,新增智能网联汽车的销量约为900万,同时考虑到车端、路端以及网络端的安全保护投入,由此带来的市场空间值得期待(根据粗略测算,仅车端每年增量市场在几十亿元量级水平)。
