導讀:本文沒有好玩有趣的段子,沒有引發共鳴的吐槽,也沒有撩撥情緒的感慨,有的只是紛繁復雜的法律規范,晦澀難懂的條文解析,盡可能平實準確的文字和力求嚴謹清晰的邏輯,而這些都和閱讀的爽利感和暢快感毫無關系。可以想象,這是一篇注定閱讀量慘淡的推文,但如果能幫助到身處智能網聯汽車行業的讀者搭建一個智能網聯汽車信息安全的大致框架脈絡,那么這篇文章也算有些作用。
時至今日,智能網聯汽車已被稱為“可載人的移動計算機”。它作為終端獲取ICT巨大優勢并轉換為紅利的同時,就不可避免地會沾染到來自移動互聯網的威脅和風險。
數據采集、存儲、使用、轉移、銷毀,應用軟件的訪問控制,調式接口暴露,多余功能權限,協議安全,OS安全,代碼安全,攻擊防護等,這些原本屬于ICT安全風險上的專有名詞,正逐步顯現在智能網聯汽車上,再疊加上其交通工具的屬性,情況就變得更加復雜。
冗長龐雜的產業鏈可以滋生數不清的薄弱環節,海量代碼里藏著能夠被利用或攻擊的漏洞,密布的傳感器帶來的數據上云和隱私保護的挑戰……
用“發展和威脅并存,愿景和風險共生”來形容智能網聯汽車在信息安全方面的現狀,毫不為過。
如何遏制威脅、降低風險,僅是擺在汽車制造商、智能駕駛方案提供商、云平臺服務商面前的問題,更是國家政府需要解決的問題。
既需要規避技術創新帶來的潛在危害和漣漪效應,又要為技術發展預留出足夠的空間,還要保證技術商業化不被政策牽制……
政府手上的“法律政策”之鞭,是緊是松,是監管還是解綁,是明令禁止還是鼓勵促進,政策的一舉一動都會對智能網聯汽車行業發展產生很大的影響,值得所有從業者關注。
(1)信息安全作為智能網聯汽車行業的新事物,具體包含了哪些方面?
(2)我國在智能網聯汽車信息安全方面的立法框架是如何搭建的?
(3)有哪些代表性的政策值得關注?
(4)有哪些立法框架內的階段性成果值得期待?
(5)后續還有哪些方面有待完善?
這些內容,你都可以在本文中找到答案。
一、管什么?智能網聯汽車信息安全具體包含哪些方面?
智能網聯汽車信息安全按對象不同,可大致分為網絡安全、應用安全和數據安全。這三者交叉關聯,互為依托又相互影響,簡單來說,就是你中有我,我中有你。
網絡安全的對象包括網絡系統中的硬件、軟件,以及系統中存儲的數據。
網絡安全的核心要求是硬件和軟件不會遭到更改或破壞,在網絡通信過程中產生的、包含各種重要信息的海量數據不被篡改,數據不會丟失或泄露。
具體指向智能網聯汽車的網絡安全,指的是移動通信網絡、車載通信網絡、路側通信網絡、衛星通訊網絡等不受任何情況影響、不因任何因素中斷,能夠可靠正常地連續運行,智能網聯汽車正常運行所需的數據能夠得到完整性、可用性和實時性的保障。
名詞解釋或許略顯枯燥,這里可以舉個例子。
以現在熱火朝天的V2X為例,城市道路上配置的智能紅綠燈和智能攝像頭就是比較常見的路側智能網聯設備。這些設備實時獲取經過這個路段的智能網聯汽車的動態信息(速度信息、位置信息、駕駛狀態等),上傳到交通運營監管平臺,平臺通過分析擁堵情況、交通違規情況、擁有優先路權的特種車輛所處位置等信息,統籌調整信號燈時長配置,并以無線信號方式向智能網聯汽車推送信號燈切換信息,通過路側單元向車輛提醒前方道路情況,預警諸如結冰或濕滑的危險道路,提示車輛避讓施工區域或交叉路口出現的其他交通參與者等等。
再往大了去看,智能網絡汽車、道路基礎設施、蜂窩網絡設施,甚至是行人佩戴的手機和可穿戴設備……能夠產出數據的交通參與者交織成了一張細密蛛網,數據循著看不見摸不著的蛛絲,源源不斷自智能網聯汽車涌出,又連綿不絕回流。
車輛的通行效率得到了提高、交通參與者的人身安全得到了保障、尾氣排放進一步減少,這一切都是基于安全的網絡。
這一張全局大網的基礎就是包括智能網聯汽車終端在內的各種通信設備,這些通信設備和交通運營監管部門的云平臺之間的實時溝通,依靠的就是網絡安全。
沒有安全的網絡,這一切都無從談起。
要理解什么是應用安全,我們可以從最貼近消費者的App入手。
智能網聯汽車被譽為移動互聯網的新流量入口,要想坐實這個名號,就無可避免地要和手機爭奪流量。幾乎所有汽車廠商都雄心勃勃地想要將車輛打造成“第三生活空間”,不遺余力地想要占有用戶的時間和注意力。
從游戲、微博到電影、電視,從唱吧到Steam,甚至于WPS辦公軟件和學習強國,越來越多手機端App出現在汽車中控大屏上。
當這些偏娛樂屬性App出現宕機時,用戶固然會覺得麻煩和不便,但更多的是延續使用手機端App時包容或忽視的態度,最多無奈地調侃一句“重啟大法好”。
然而,當這種情況出現在智能網聯汽車上,尤其是帶有控制車輛功能的App上時,情況就發生了質的變化,App不受控所帶來的后果也不再是一句吐槽或調侃就可以一筆帶過的。
基于安卓開發的應用App幾乎無一例外的都面臨惡意代碼、二次打包和信息泄露這三大風險。
具備遠程控制功能的應用App在給用戶帶來諸如遠程解鎖啟動、主動召喚、遙控泊車、開啟后備箱等便捷功能的同時,也成為了黑客入侵汽車最常見和最便捷的途徑之一。
如果在使用過程中,這些App遭到非法入侵或攻擊,不能保證輸出指令的安全性和正確性,那么,車輛的動力系統和轉向系統控制權就可能被竊取。用戶一旦失去對車輛的控制權,由此造成的財產損失和安全事故,后果是極其嚴重的。
到時,大量汽車在黑客控制下飛身躍出停車樓的場景,將不再限定于電影中了。
圖源自《速度與激情8》
再來看看數據安全。
和手機App類似,用戶使用車端App,意味著要和車輛分享個人信息、生物特征、網絡瀏覽記錄、消費記錄、地理位置、支付密碼和車內DMS攝像頭所記錄的視頻音頻等等一系列數據。這些就屬于數據安全范疇。
車企和應用App運營者通過分析這些數據,能夠更精準地生成“猜你喜歡”,讓車輛成為繼手機之后,生活中又一個“不可或缺的親密伙伴”。這些“投你所好”的推薦,它的基礎就是用車企和應用App從用戶那里獲得的海量的個人信息。
如果說這些App的目標是用戶的時間、注意力和錢包,是個人數據安全,那么車載傳感器的目標則更貼近駕駛和車輛本身,從信息安全角度而言,是公共數據安全。
在智能網聯汽車運行過程中,激光雷達、毫米波雷達、攝像頭、車輛CAN/以太網網絡會不斷產生和收集與道路信息和駕駛行為信息相關的數據。
這些基于公共道路采集到的數以百萬計的攝像頭片段和標注物體信息被投喂給人工智能訓練計算機,用以訓練智能駕駛算法,使車輛持續進化,能夠更安全地行駛、更可靠地處理復雜情況、更快地適應本土化環境、更好地促進新功能和新技術的研發,從而形成正向循環。
特斯拉為例和它的人工智能訓練計算機Dojo就是“善用數據”最典型的例子。
圖源自網絡
然而,同一個主角,同一種生產要素,帶來了截然相反的影響。
同樣是特斯拉,在早些時候,網傳有官員駕駛特斯拉駛入我國敏感區域,特斯拉前置攝像頭獲取內部道路信息,疑似數據外泄,進而引發不少區域對特斯拉下達了“禁行禁停”令。這也是一個教科書般的案例,只不過,特斯拉在其中搖身一變成了“反面教材”。
數據,作為汽車產業必要的生產要素,就其本身而言,是中立的,是純粹的。
然而,數據如何收集?如何使用、服務于哪些對象、會達成何種目的、造成何種影響,更進一步的,個人私密信息會不會被倒賣給第三方?車內影像會不會被非法傳播?賬戶密碼會不會被非法盜用侵占?日常生活軌跡會不會被偷窺跟蹤?敏感地區和重要設施會不會被非法泄密?
這些問題的答案,我們無法對內,向數據本身討要,只能向外,尋求公正中立的解答。
消費者也好,生產企業也好,運營商也好,都急需緩解和解決隨著智能網聯汽車銷量的節節攀升而被不斷放大的擔憂和顧慮。
我們需要法律法規這頂“緊箍咒”,將數據的過度使用、違規處理和非法濫用問題扼殺在萌芽期,讓數據保持“科技向善”的初心。
二、怎么管?我國在智能網聯汽車信息安全方面是如何搭建立法框架的?
在了解我國在智能網聯汽車信息安全方面的法律法規之前,我們需要大致明確我國的立法框架是如何的。
我國的立法框架一般施行的是兩條腿走路——自上而下的頂層法律設計和自下而上的區域性、試驗性立法。
自上而下的頂層法律設計,邏輯嚴密,覆蓋全面,但對瞬息萬變,日新月異的新技術、新功能和新產物,往往無法迅速調整,也不能提供解決實際問題的具體操作指南,還會出現現行法律法規對技術發展掣肘甚至是沖突的情況。
這時示范區和地方法規就顯現出“小而美”的優勢了。他們就像是“試驗田”,可以在局部小范圍內進行自下而上的嘗試,通過賦予經濟特區特殊立法權之類的“特例”來避免技術和法律之間的沖突,進而順應發展、填補空白。
這種小規模,試點性質的立法好處非常明顯。一來,試點范圍有限,但凡出現意外可以立刻將問題撲滅,控制影響范圍。二來,走“綠色通道”的立法能夠快速應對新增情況,跟上技術發展的速度,對形成切實可行的,具有實際操作意義的法律條款有著非常強的現實參考作用。
而信息安全作為智能網聯汽車發展中極為重要的組成部分,同樣遵循“雙管齊下”+“相向而行”的立法模式。
圖片源自網絡
在頂層設計方面,《中華人民共和國網絡安全法》和《中華人民共和國數據安全法》和《中華人民共和國個人信息保護法》一起構成了我國公民信息安全的法律體系框架。
整理自網絡公開信息
這三部大法是由全國人民代表大會審議通過,面向的是全行業的信息安全。反過來說,全行業的信息安全都必須以這三部大法為前提和基礎,不允許逾越。
可以通俗地理解為,這三部法律為所有行業在信息安全方面搭出骨骼架構,而不同行業就像是不同的骨骼區域,顱骨、軀干骨、四肢骨,他們各自有各自的特點和特性,不同骨骼外的經脈、血肉乃至毛細血管、皮膚紋理都是不同的,那就需要不同等級的立法機構、國家部委、地方政府和行業協會針對不同行業特點頒布有針對性的法律法規、管理規范、標準體系、條例通知,把有形無實的骨骼填滿。
與智能網聯汽車有關的(部分)立法內容 整理自網絡公開信息
去年,滴滴”赴美IPO遭中國國家互聯網信息監管機構調查并下架一事中,有關部門對滴滴開展調查的依據就是《中華人民共和國網絡安全法》。
這部《網絡安全法》以人大立法的形式,規定了國家網絡安全工作的基本原則、主要任務、重大指導思想和理念;明確了部門、企業、社會組織和個人的權利、義務和責任;將成熟的政策規定和措施上升為法律,為政府部門的工作提供了法律依據;建立了國家網絡安全的一系列基本制度。
因此,可以理解為《中華人民共和國網絡安全法》是我國網絡安全的“基本法”。它讓我國的網絡安全工作有了基本的法律框架和基本制度,體現了全局性和基礎性。
整理自《中華人民共和國網絡安全法》
三大法之二的《中華人民共和國數據安全法》則是我國第一部以“數據”“數據安全”命名的法律,首次明確了對“數據”的規制原則。
它的重點內容包括確立了“國家核心數據”的概念,明確將數據安全上升到國家安全范疇;建立數據分級分類管理制度;對違反國家核心數據管理制度或違法向境外提供重要數據等涉及數據安全風險的事件,設置了不允許觸碰的“紅線”。
整理自《中華人民共和國數據安全法》
《中華人民共和國個人信息保護法》則是我國數據安全法律框架的又一塊重要拼圖。
《個人信息保護法》主要圍繞個人信息的處理展開。
從處理規則、跨境提供、個人權利、處理者義務、保護職責部門以及法律責任等不同角度確立了相應規則,并且針對敏感個人信息和國家機關處理活動強調了特別規則。
整理自《中華人民共和國個人信息保護法》
一般也將這三部法律稱為我國公民信息安全的“上位法”,具有面向對象廣,覆蓋范圍全的特點,是體現國家意志的頂層設計。至于另一條相向而行的路,就需要國家部委、地方政府、行業協會、標準團體來共同鋪就。
三、代表性哪些法律法規值得關注?
目前,各部委、各地方政府和行業協會,標準委員會等機構都在積極響應三大上位法,在各自管理范圍和管轄區域內,或是著手召開座談會,邀請各大車企和智能駕駛頭部企業各抒己見,并以此為基礎,修訂修改現有法規條文已適應技術發展;或是基于技術趨勢預測,利用自身立法權,突破上位法局限,出臺專門促進智能網聯汽車準入和商業化落地的管理條例。
以工信部發布的《關于加強智能網聯汽車生產企業及產品準入管理的意見》為例,雖然該《意見》說的是智能網聯汽車的準入管理,并不針對信息安全,但仍為智能網聯汽車在信息安全方面的規定辟出了單獨章節進行詳細說明,可見其對信息安全的重視程度。
整理自《關于加強智能網聯汽車生產企業及產品準入管理的意見》
由此可見,智能網聯汽車信息安全方面的法律法規正在以不同的權責范疇,不同的顆粒度,不同的管轄區域,全方位,成體系地加速形成。
這些正在細密編制的“保護網”里,有諸多具有代表性和突破性,十分值得關注的內容,將網絡安全、數據安全和個人信息安全囊括其中。
網絡安全方面,OTA是風眼。
經過漫長的市場教育,現在的消費者已經完全接受車輛通過OTA的形式來進行功能優化、更迭、新增、補救和更正。甚至認為,只有具備了OTA能力的車輛,才能稱得上是一輛智能網聯汽車。
但也有越來越多的消費者發現,原本用于提升車輛使用感受的OTA卻變了味,夾帶了很多不為用戶所知的“私貨”。
圖源自網絡
悄無聲息地通過OTA對用戶手上的車輛進行“鎖電”,試圖通過限制車輛功率,來擴大安全范圍,提高安全冗余,而由此產生的車輛性能降低,卻要讓無知無覺的車主來承受。
車載App經過OTA更新后,告知用戶如不同意讓車輛記錄并收集用戶個人信息,那么App將直接退出,用戶將不能夠使用車輛遠程控制等功能。
是接受霸王條款還是接受車輛功能限制,仿佛是在問車主是斷左手還是斷右手,沒有選擇權的選擇題成了擺在車主面前如鯁在喉的刺。
OTA變成了裝著薛定諤貓的盒子,消費者不知道這一次的更新是某種功能和體驗的改善,還是某種設計缺陷的掩飾。
本質來說,OTA相對于傳統的技術服務活動,只是更新了技術手段,其本質不變,OTA仍是技術服務活動。不管OTA作為召回措施,還是技術服務活動措施,都要履行備案義務。
換句話說,不管是涉及如導航、車載娛樂、人機互動等軟件升級的SOTA,還是更新轉向、制動、整車控制、智能駕駛相關的FOTA,都需要進行備案。
2020 年 11 月 25 日,國家市場監管總局發布《關于進一步加強汽車遠程升級技術召回監管的通知》 以及2021年6月4日,市場監管總局質量發展局發布《關于汽車遠程升級OTA技術召回備案的補充通知》,讓OTA召回更具有操作性。
兩份通知寫明,如果是通過OTA進行技術服務活動,那么需要提前備案,如果是通過OTA消除產品缺陷,那么就照召回處理,對未消除的缺陷和由此引發的新缺陷,也應該切實依法履行召回主體責任。
換言之,召回就是召回,不再是優化或更新等模棱兩可的描述可以遮掩過去的,OTA不再是召回的“保護傘”和“遮羞布”。
對于OTA過程中出現的車輛被入侵,被遠程控制等事故發生后的規范操作,兩份通知中也有相關規定:要求生產者向市場監管總局報告并開展調查,不允許有隱瞞缺陷或不經備案私下處理的情況出現,如有,就發動群眾力量,歡迎舉報,聯合消費者一起監督企業的行為。
整理自《關于進一步加強汽車遠程升級技術召回監管的通知》
2021年9月13日工業和信息化部裝備中心發布《關于開展汽車數據安全、網絡安全等自查工作的通知》以及2021年9月15日,工業和信息化部發布《工業和信息化部關于加強車聯網網絡安全和數據安全工作的通知》也同樣對智能網聯汽車軟件升級相關工作和要求進行了明確。
引入企業管理、評估驗證、準入測試、過程控制、政府監管五個維度,再次強調升級活動前須主動備案和申報,保證汽車產品生產一致性,不得在未經審批的情況下,通過OTA方式新增或更新汽車自動駕駛功能。
數據安全方面,可以通過解讀由網信辦、發改委、工信部、公安部和交通部在去年10月聯合發布的《汽車數據安全管理若干規定(試行)》文件來了解法律制度對汽車數據安全方面進行的干預、限制和約束內容有哪些。
特別提及該法案的原因在于它是國內首個對汽車行業的數據安全進行保護的法律。
《規定》的內容承接自《網絡安全法》、《數據安全法》和《個人信息保護法》,從管理對象,實際場景,到監管要求,具體措施,能力建設等多個方面提出了要求。
按照慣常思維,汽車制造商是汽車數據安全的主要負責人和主要被監管對象,但《規定》提出了“汽車數據處理者”這一概念,并且把這個概念覆蓋在了汽車行業全鏈條上。不僅是汽車制造商,硬件和軟件供應商、經銷商、維修機構以及出行服務企業也都是汽車數據處理者,這些角色同樣需要被納入到監管范圍內,這也呼應了“汽車數據自生產階段就開始產生”這一現狀。
同樣,“汽車行業重要數據”這一被大家口口相傳的,寬泛而抽象的名詞,也在《規定》中經由實際場景被固定下來——地圖信息,敏感區域和超過10萬人的個人信息等,都被歸類于“重要信息”。
明確了監管范圍(管什么)和監管對象(管誰)兩大要素,接下來自然是向監管對象提要求。
按照“不可避免風險,但可以降低風險”的說法,所有監管對象都應該建立數據安全管理制度和預警處理能力,需要定期提交風險評估報告并對數據安全事故做好應對預案。
至于被滴滴和特斯拉頂上風口浪尖的數據存儲和傳輸問題,在《規定》里說得明明白白——重要數據依法在境內存儲。確實需要跨境傳輸的數據,須提前進行安全評估,數據過審后才能出境。
包括特斯拉在內的很多外資與合資公司,已經或正在國內建立數據中心,并稱“所有用戶數據都將存儲在中國”,就是該規定的直接影響和體現。
可以說,《汽車數據安全管理若干規定(試行)》相較于上位法而言,已經有了極大的細化,對于汽車領域數據安全的標準化,規范化發展來說,具有重大意義。
但同樣需要指出的是,《規定》里所提及的條文仍有大量需要釋疑和細化的內容,對于汽車數據處理者而言,仍存在很多實操層面的難點,需要繼續出臺細則類文件予以說明解釋,才可有效指導汽車數據處理者開展實際工作。
整理自《汽車數據安全管理若干規定(試行)》
個人信息方面,由于貼近個人日常生活,關系到幾乎所有人的切身利益,并且已經有不少車企被爆出種種不合理的利己操作,每次曝光都引起了大范圍的吐槽和抱怨,切身相關和輿論壓力,兩廂疊加的結果,導致大家對智能網聯汽車在個人信息方面的立法尤為關注。
事實上,也確實有非常多的法律法規和管理意見在個人信息方面給出了相關條款。
在眾多法規條款中,我們根據基礎性和高頻性兩個特點,羅列出了以下幾項個人信息立法方面的重點內容:
關于個人信息的定義。
所謂個人信息,通常理解是這輛車的車主或駕乘人員這些坐在車里的人員被車輛通過電子方式(攝像頭、麥克風等)獲取的信息,例如他們的行蹤軌跡,指紋聲紋人臉的生物信息,賬號密碼,社交圈層等,但這些只是狹義的個人信息,《汽車數據安全管理若干規定(試行)》將這個概念進行了外延,除了車內人員,個人信息還包括車外人員,他們的長相(生物信息)和所處位置和行蹤軌跡(地理信息)一樣可以通過車外攝像頭被捕獲,自然也屬于個人信息的范疇。
總結而言,即只要是通過車載攝像頭或其他車載傳感器捕獲到的來自自然人的信息,都被定義為個人信息。
關于收集和處理個人信息的權力和義務。
針對App總是以“背后長眼”的幽靈狀態收集用戶個人信息的問題,《汽車數據安全管理若干規定(試行)》明確提出“默認不收集原則”——除非駕駛人自主設定,每次駕駛時默認設定為不收集狀態。這條規定立竿見影地堵住了汽車數據處理者最喜歡鉆的空子——用“默認開啟收集,須用戶手動關閉”的免責條文來搪塞用戶的質疑。
對于收集信息的后續處理,則采用“告知→同意“方式。汽車信息處理者需要告知用戶有關信息的保存地點、期限、信息的用途和使用方式等內容,并得到用戶的同意,體現了對于用戶處理自身信息權力的尊重。
至于車外的自然人個人信息,雖然無法采用“告知→同意“的方式,但《汽車數據安全管理若干規定(試行)》也補全了這個缺口,即需要對該類信息進行匿名化處理,對視頻/照片中的人臉信息進行輪廓化處理,對于能夠直接識別自然人的畫面需要刪除。
關于推薦和廣告的限制。
針對無時無刻都存在的App推薦和廣告問題,我們則可以從在2022年1月1日施行的《深圳經濟特區數據條例》里了解到相關解決方案。
《數據條例》提出了“數據權益“的概念,強化個人數據的保護,明確要求企業不能強行索要用戶授權,用戶有權拒絕被畫像和被推薦。也就是說用戶可以拒絕各大App湊到你眼前的”猜你喜歡“,可以在不和App分享自己的喜好和習慣的情況下正常使用App功能,保有個人隱私不被窺探和被迫變現。
整理自《深圳經濟特區數據條例》
四、突破性有哪些階段性成果值得期待?
綜上所述,我們可以清晰看到這樣一幅徐徐展開的圖景。
頂層設計,政府部門持續強化智能網聯汽車信息安全政策體系,制定信息安全的發展專項規劃,對智能網聯汽車信息安全進行統一、有效的統籌管理和規范指引。
往下,各職能部門和各地方政府依據各自管轄權限,出臺專門針對智能網聯汽車信息安全的法律法規和類型各異的示范區,松綁限制,緊跟發展,追蹤風險,控制影響。
再往下,行業協會、標準委員會等建立智能網聯汽車網絡安全和數據安全的標準體系,來解決目前信息安全相關標準法規較少,不成體系又難以實操的問題。
整體規劃條理清晰,規劃得當,有條不紊。
徐徐推進的最終目的,是為了掃除智能網聯汽車在生產、上市、上路,商業化落地過程中,有關信息安全方面的障礙和阻滯。
好消息是,我們大概率可以在今年看到成果——《深圳經濟特區智能網聯汽車管理條例》自2021年3月向社會公開征求意見開始,歷經三審,預計將在2022年出爐。
這將是我國首部規范智能網聯汽車管理的法規,它的最終出臺將直接促成智能網聯汽車從示范區域邁向商業化落地。
換句話說,大家大概率可以在今年的深圳街頭看到掛著鐵牌的智能網聯車行使正常路權了。
整理自《深圳經濟特區智能網聯汽車管理條例(征求意見稿)》
《深圳經濟特區智能網聯汽車管理條例》同樣將“網絡安全和數據安全”列為單獨章節,要求智能網聯汽車相關企業取得網絡安全檢測認證,盡早建立網絡安全評估和管理機制,制定數據采集和隱私保護方案。
《管理條例》還特別提到,允許車企獲得與智能網聯汽車產品相關的道路違法、交通事故等脫敏數據信息。這就意味著,車企或智能駕駛解決方案提供商能夠利用海量數據搭建不同類型的仿真場景庫,提升場景庫的數量和質量,訓練智能駕駛系統覆蓋更多極端情況,加速智能駕駛系統的優化和迭代。當然,這一切都必基于“合法合規”四字之上。
作為少數幾個擁有特區立法權且智能網聯汽車產業鏈完備的城市,深圳經濟特區把特區立法權用足用好,結成了第一枚看得見摸得著的果實,為其他城市在智能網聯汽車信息安全方面提供先行先試的寶貴經驗和借鑒,為國家相關立法探索經驗,夯實基礎,意義重大。
五、未完待續,還有哪些方面有待完善?
深圳的立法突破自然值得期待,智能網聯汽車的成功上路更是值得慶賀,但我們更關心何時可以由點及面,大規模適用在全國范圍內。
按照中國汽車工程協會在2020年發布的《技術路線圖2.0》中的說法,高度自動駕駛智能網聯汽車將在2025年開始進入市場,而L2、L3級智能網聯汽車銷售占比將達到50%以上,2030年將上升至70%。
同樣的,國務院辦公廳發布的《新能源汽車產業發展規劃(2021~2035年)》中也將2025年作為高度自動駕駛汽車在限定區域和特定場景下實現商業化應用的目標年限。
這些近在咫尺的時間點和觸手可及的目標,都在表示智能網聯汽車產業正加速向前發展,走向成熟。
目標和路線既已明確,標桿榜樣也呼之欲出,剩下的就是實操層面的任務了。
收集現有的公開信息可得,《汽車軟件升級通用技術要求》作為強標,預計將于今年年底報批。它將進一步對汽車軟件升級管理的相關要求規范化,具體化。
針對智能網聯汽車信息安全方面的法律法規也預計會今年推出,包括軟件升級通用技術要求和整車信息安全技術要求,并在2023年形成強標。
在2025年形成較為完善的車聯網網絡安全和數據安全標準體系。
在2030年底初步構建車聯網網絡安全和數據安全標準體系。
這些通用技術要求、強制標準、推薦標準,標準體系等,都能夠給產業鏈的汽車數據處理者提供實操層面條分縷析的指導,使他們能夠有法可依,有章可循。
車企,或者更準確說是車輛數據處理者需要意識到,數量客觀且成規模成體系的數據已經成為信息時代的“石油和貿易”,相比鉆研如何利用數據創造最大化的經濟價值,遵循國家政策法規,合理合規地處理信息才是更為重要的,需要擺在首位考慮的任務。
持續跟蹤和解讀法律法規的更新和修訂,積極參與行業標準體系討論和制定,對供應鏈上的各個環節和零部件進行管理約束和測試評價,在公司內部建立信息安全的常設領導機構,全面負責數據的存儲、轉移、加密、分析、使用和保障,筑造車輛信息安全的長城,這些都應該羅列在汽車數據處理者的待辦清單之首。
智能網聯汽車的信息安全是一場看不見硝煙的攻防博弈。很多時候,在信息安全方面投入的巨大成本,并不能量化為財報上的收益。但無法計算的價值,不代表零價值,更可能意味著無價。
套用馬斯洛需求理論,將安全需求和享樂需求作比較,孰輕孰重,消費者也會用真金白銀來投票。任何人想要裝鴕鳥,視若無睹,搪塞敷衍,沒關系,法律的鐵拳會教他做人。
[參考資料]:
(1)《智能網聯汽車技術路線圖2.0》
(2)《新能源汽車產業發展規劃(2021~2035年)》
(3)《汽車產業中長期發展規劃》
(4)《中華人民共和國網絡安全法》
(5)《中華人民共和國數據安全法》
(6)《中華人民共和國個人信息保護法》
(7)《網絡安全等級保護條例(征求意見稿)》
(8)《網絡產品安全漏洞管理規定》
(9)《網絡安全審查辦法(修訂草案征求意見稿)》
(10)《汽車數據安全管理若干規定(試行)》
(11)《關于加強智能網聯汽車生產企業及產品準入管理的意見》
(12)《深圳經濟特區人工智能產業促進條例(草案)》
(13)《深圳經濟特區數據條例》
(14)《深圳經濟特區智能網聯汽車管理條例》
(15)《關于汽車遠程升級OTA技術召回備案的補充通知》
(16)《關于進一步加強汽車遠程升級技術召回監管的通知》
(17)《車聯網網絡安全和數據安全標準體系建設指南》
來源:九章智駕 作者:Slight
