3月7日，工信部发布《车联网网络安全和数据安全标准体系建设指南》（以下简称《指南》）。与2021年6月的《车联网（智能网联汽车）网络安全标准体系建设指南》（征求意见稿）相比，此次正式版的《指南》最大变化，在于“数据安全”指标的重要度大幅提升，与“网络安全”指标获得了同等地位。

围绕车联网安全标准体系建设的目标，征求意见稿中的表述为“到2023年底，初步构建起车联网（智能网联汽车）网络安全标准体系”，“数据安全”只是文件中的一个二级指标。而《指南》中的表述变成了“到 2023 年底，初步构建起车联网网络安全和数据安全标准体系”，“数据安全”得以与“网络安全”并列。此外，征求意见稿中“数据安全”一词出现27次，而《指南》中出现达43次。

随着汽车产品智能化水平的不断提升，关于汽车数据安全的纠纷也越来越频繁出现。2021年曾获得舆论关注的河南安阳特斯拉女车主维权事件，让智能网联汽车数据保存与使用安全问题进入公众视线。汽车数据不仅牵涉个人隐私，也关乎事故定责，但数据究竟归属于谁，目前还没有清晰定义，导致隐私和定责之间出现矛盾。

针对汽车数据安全问题，2021年7月，工信部、公安部等部门联合发布《汽车数据安全管理若干规定（试行）》，倡导“匿名化”、“去标识化”、“脱敏处理”等汽车数据处理原则。2021年9月，工信部又发布《关于加强车联网网络安全和数据安全工作的通知》，对汽车数据提出了多项安全要求，包括加强个人信息保护。

值得注意的是，此前出台的政策文件虽然倡导“匿名化”、“去标识化”、“脱敏处理”等汽车数据处理原则，但并未就这些原则的实施方法和具体要求提供进一步的说明。行业分析人士表示，《指南》的正式发布，意味着这一问题，即将通过建设行业标准的方式加以解决。

《指南》提出，个人信息保护标准要明确用户敏感数据和个人信息保护的场景、规则、技术方法，包括“匿名化”、“去标识化”、“数据脱敏”、异常行为识别等标准。根据《指南》，与个人信息保护标准相关的两个标准项目，即《基于移动互联网的汽车用户数据应用与保护技术要求》和《基于移动互联网的汽车用户数据应用与保护评估方法》，均已在制定中。

不仅是个人信息保护，《指南》还提到了应用数据安全的问题，并点名了网约车。《指南》提出，应用数据安全标准主要规范车联网相关应用所开展的数据采集和处理使用等活动，包括车联网平台、网约车、车载应用程序等数据安全标准。

实际上，汽车应用数据也时常涉及个人信息保护问题。2021年7月，工信部发布《关于侵害用户权益行为的APP通报》，万顺叫车位列其中，所涉问题为违规收集、使用个人信息。同月，“滴滴出行”APP因存在严重违法违规收集使用个人信息问题，被国家网信办通知下架。

除了数据安全标准，《指南》还针对终端与设施网络安全、网联通信安全提出了明确了标准建设方向，其中前者包括汽车网关、电子控制单元、车用安全芯片、车载计算平台等安全标准，后者则用于规范蜂窝车联网（C-V2X），以及应用于车联网的4G/5G、卫星通信、车内无线局域网等安全防护与检测要求。

与数据安全相比，网络硬件层面的安全直接涉及智能网联汽车用户的人身安全。数据显示，2020年，全球车联网相关的恶意攻击超过280余万次。据了解，黑客通过网络攻击可以控制车辆行驶，也能利用软件漏洞操控智能网联汽车，给车辆行驶带来极大安全隐患。

互联网汽车有多“脆弱”

所谓V2X，即将车辆与一切事物相连接的新一代信息通信技术，其中V代表车辆，X代表任何与车交互信息的对象，当前X主要包含车、人、交通路侧基础设施和网络。V2X交互的信息模式包括车与车之间、车与路之间、车与人之间、车与网络之间。

据冀磊介绍，以黑客组织为代表的网络攻击者主要通过以下三种途径对车联网网络发起网络攻击：

第一，利用 PC5 无线接口的开放性，攻击者可以通过合法终端及用户身份接入系统，构造并对外恶意发布虚假信息。比如，攻击者可以监听获取广播发送的用户标识、位置等敏感信息，进而造成用户身份、位置等隐私信息泄露，严重时，用户车辆可能被非法跟踪，直接威胁用户人身安全。

第二，蜂窝通信接口场景下，攻击者主要利用假冒终端、伪基站、信令/数据窃听、信令/数据篡改/重放等方式对车联网业务或业务发起攻击。比如，攻击者部署虚假的网络基站并通过发射较强的无线信号导致终端发起重选或脱网，造成网络数据连接中断，或者使用5.9G 频段信号干扰V2X 消息收发，直接危害车联网业务安全。

第三，以蜂窝通信为基础，基于云平台的应用发起攻击，包括假冒用户、假冒业务服务器、非授权访问、威胁数据安全等。比如，在未经认证的情况下，攻击者可以假冒车联网合法用户身份接入业务服务器，获取业务服务。

但目前，车联网V2X安全市场呈现碎片化、界线强等特点，数据难以打通，传统互联网安全已经无法应对车联网安全风险，亟需一种包括安全咨询、产品设计、安全开发、安全测试、运营监管等在内的一体化、可持续、闭环生态式的安全保障体系。

一辆智能汽车每天会收集多少数据？

调研显示，至少收集10TB数据，大约相当于6800个人在同时上网。不仅数量极大，而且涉及到驾乘人员的出行轨迹、习惯、语音、视频等等，一旦遭受侵害会泄露个人隐私。

那么，车企如何在汽车数据处理过程中做好用户隐私保护？蔚来汽车董事长兼CEO李斌在2021年国家网络安全宣传周上接受记者采访时表示，数据处理对于汽车行业来说仍旧是一个未成熟的领域，但保护用户隐私是“基本原则”。

李斌认为，在万物互联的时代，汽车本身就是一个移动的超级终端，包括自动驾驶在内的系统运行都需要用到车端的数据，汽车联网已经变成了一件非常自然的事情。由于汽车的数据处理仍旧处于早期阶段，各项规范不够完善，但最主要的还是要遵守保护用户隐私这些最基本的原则。

保护汽车数据安全，政策层面也在发力。近日，国家网信办、国家发改委、工信部、公安部、交通运输部联合发布《汽车数据安全管理若干规定（试行）》，要求汽车数据处理者在开展汽车数据处理活动中坚持“车内处理”“默认不收集”“精度范围适用”“脱敏处理”等数据处理原则，减少对汽车数据的无序收集和违规滥用。

李斌表示，在汽车数据处理过程中，保障用户的知情权也非常重要。以最近大家都在关注的部分手机APP频繁获取用户信息的事件为例，“在汽车这方面的话，我觉得这个标准肯定要更高一些。我们遵守国家相关的规定，在用户的隐私保护和知情权方面，我们希望能够让用户都知道他的数据用来做什么了，这一点是非常重要的”。

智能网联汽车发展需要“安全”引导

智能网联汽车蓬勃发展，但数据安全和用户隐私如何保护？全国人大代表、长安汽车党委书记、董事长朱华荣在2022全国两会期间支招，需要有效整合政府、企业、市场、技术等资源，加速产业生态建设，发展与安全缺一不可。

当前，汽车的智能化、网联化的融合发展正在加速，智能网联汽车已不再只是交通运载工具，也是大型智能终端、计算中心，还是中国汽车行业实现弯道超车的良机，更是支撑构建智能交通和智慧城市的关键节点。在国家各部委的大力支持下，智能网联汽车产业发展成果显著。

今年参加全国人代会，朱华荣提交了《关于统筹智能网联汽车发展和安全的建议》《关于使用车辆电子合格证取代纸质合格证，提升国家信息化管理能力的建议》《关于股比放宽后对地方政府引入外资车企的相关建议》等四项建议。

在他看来，当前智能网联汽车行业仍存在问题，如汽车数据安全与隐私保护的具体条款缺失，不利于智能网联汽车的健康发展；网联融合应用不充分，多数靠单一行业单打独斗，数据未有效融合；在系统数据方面，缺乏统一标准的数据中枢，人、车、路、场(停车场)、信号系统整合不够，存在数据壁垒，孤岛效应；智能网联汽车法规还需进一步研讨完善，包括智能网联汽车产品安全责任认定、交通事故责任认定、自动驾驶责任主体认定、自动驾驶伦理等方面法律条款内容缺失等，不利于智能网联汽车的健康发展。

对此，朱华荣建议，完善法律法规体系，在安全可控的范围内，包容新兴产业发展；政府引导、法规保障、标准统一，加速行业合作，打破数据壁垒；合理制定汽车数据安全与隐私保护要求，建立可信汽车数据流通渠道，在满足数据安全要求的同时，进一步促进智能网联汽车发展。

文章来源：中工网，中国新闻网，经济观察报