汽车行业是全球化程度非常高的产业之一，很多车企将研发中心设置在海外，以实现全球研发资源的充分利用。基于产业的特性，汽车数据的跨境流通已成为诸多车企技术迭代、科技创新的必然选择。

对于中国车企而言，随着智能网联汽车产业的快速发展以及汽车出口量的激增，车企对于数据出境的需求也日益增长。

近年来，我国不断加强对网络安全、数据安全、个人信息的保护力度，先后颁布多项法律法规。不久前，国家互联网信息办公室正式发布《数据出境安全评估办法》，为数据出境安全评估工作提供了具体指引。在这样的背景下，车企该如何做好汽车数据出境的合规准备？如何在发挥汽车数据作用的同时做好安全保障？成为了业内关注的焦点问题。

相关政策，为数据安全加把“锁”

伴随汽车数据安全成为行业和大众的关注热点，国内也是相关政策频发。

2021年8月，网信办、发改委、工信部等五部委联合发布《汽车数据安全管理若干规定（试行）》，倡导汽车数据处理者在开展汽车数据处理活动中应坚持车内处理、默认不收集、脱敏处理等原则。

同时，明确了汽车数据处理者应当履行个人信息保护责任，充分保护个人信息安全和合法权益。

今年3月，工信部印发《车联网网络安全和数据安全标准体系建设指南》，提出到2023年底，初步构建车联网网络安全和数据安全标准体系。

关于数据出境，国家也做出了以下规范标准：

《汽车数据安全管理若干规定（试行）》强调，汽车数据处理者开展重要数据处理活动应当要遵循依法在境内存储的规定，加强重要数据的安全保护，落实风险评估报告制度要求，积极防范数据安全风险。

今年9月份，正式实施的《数据出境安全评估办法》中也明确了4种应当申报数据出境安全评估的情形。

如何保障数据安全？

数据安全需从监管、标准、管理、技术方面共同推进。

汽车数据的价值越来越大，数据交互越来越频繁，涉及到的相关敏感信息也越来越多，这样也导致汽车数据的风险越来越大。智能网联汽车数据安全体系如何构建？国家智能网联汽车创新中心 信息安全部部长 罗承刚 表示：“智能网联汽车数据安全体系的构建，需要以数据全生命周期防护为中心，多元主体共同来参与，同时从监管、标准、管理、技术三个方面去进行推进。

国家层面，需要制定相应的标准法规，建立相应的监管平台；

行业层面，需要去制定行业规范、研制行业相关的防护技术、进行技术瓶颈的突破。企业层面，需要多维度的落实标准法规的贯标；

个人层面，需要加强数据安全防护的意识，履行相关的责任和义务。只有通过国家、行业、企业、个人多个维度，整个产业链上多个主体共同努力，协同建设，才能把智能网联汽车数据安全体系建设好”。

车企数据安全治理建议

车企落实数据安全治理可以通过哪些流程和步骤？北京天空卫士网络安全技术有限公司 北区技术总监 陆明以 《数字化转型趋势下车企数据安全治理最佳实践》为主题，为大家提供了数据安全治理方面的建议，陆明表示：“我们在考虑数据安全治理的时候，一定要选择适合自身发展阶段的办法，并兼顾到安全和业务的平衡。数据安全治理可以分为几个阶段，

首先，要引入数据安全的整体框架；

然后，通过数据的分类分级，在部分位置去引入针对核心数据安全的处理能力；

最后，再开始进行统一的部署，最终实现数据安全的可视化监控，数据流转的可视化追溯，以及安全事件的快速响应，并形成数据安全治理持续化的运营能力。”

关于天空卫士在数据安全治理技术上的落地，陆明进行了介绍，“天空卫士现在推出的数据安全治理体系叫做“数据安全治理自动化平台（DSAG）。平台可以分为三个层次:

第一层是数据安全能力层，天空卫士提供了数据分级分类识别与保护能力，以及对应的数据脱敏、数据标签的能力;

第二层是数据的流转通道管控层，我们通过天空卫士一系列的数据安全产品，对企业不同位置的数据进行安全防护;

第三层可以提供病毒防护、零信任等技术来抵御外界的安全威胁。最终要保护的是企业核心的数据资产，不管企业的数据资产是分布在数据流、云、终端，都可以覆盖到。”

汽车制造企业信息化建设在不断深入，Catia、UG、AutoCAD等得到广泛应用，电子文档和应用系统成为承载知识产权和商业信息的重要形式，核心数据泄密频频发生，因此如何保证研发数据安全和商业数据安全成为汽车制造企业安全防护的重点。

智能汽车安全监管政策将逐步完善

奇安信集团车联网研究院院长许斯亮也认为，信息安全已经成为继主动和被动安全、功能安全之后，汽车的第四大安全问题。“目前的新汽车约涉及上亿行代码，到2030年可以达到3亿行，而在信息安全领域，每1800行代码就会出现一个安全问题。”智能汽车自身代码量越大，出现bug的几率越大，汽车产品内部风险也在同步增加。

此外，许斯亮还提到了汽车供应链的复杂性对信息安全管理的影响。“不仅供应商可能存在安全问题，产品或者说企业还面临外部靶向攻击的安全风险。”

以用户使用较多的车载第三方应用软件为例。中国软件评测中心智能网联汽车测评工程技术中心副主任邹博松介绍，他的团队自2020年至今对市场上24家车企的35款车型做了整车评测，2022年的评测结果显示，通过USB接口连到车端、向车端安装恶意程序等方式，60%的车型都出现了应用安全问题，典型问题包括但不限于木马监听、获得车辆的行驶信息、行驶轨迹、以及用户通讯录等敏感信息。

对此，绿盟科技集团产品副总裁宫智认为，应该以供应链视角寻找保证智能汽车信息安全的突破口，“车企不仅要解决自身产品的安全问题，还有供应链问题。第三方供应商是否满足（信息安全）体系要求，也是在未来体系建设中非常重要的环节。”

产品之外，与会专家也一致认为，智能网联汽车是“车路协同”的重要组成部分，在和云端、智慧的路产生连接时，也极易引发新风险。

宫智表示：“以前车是封闭的，只有物理面暴露，智能网联车不仅需要车和车连接，还需要车和路、车和云的连接，所有连接点都可能存在暴露面。”

奇安信的数据显示，具备一定自动驾驶功能的汽车，每小时产生25GB的数据。上云才能高效地储存和处理数据，满足企业自动驾驶和智能座舱等车联网功能研发时，对海量数据高质量利用需求。车云连接的信息安全也成为当下行业热议的焦点。

360车联网安全首席科学家明亮更是将云端安全视为目前智能网联汽车最大的安全隐患。一方面，汽车的办公、生产、销售甚至运营维护的网络全部都要在云端打通，云端就成为了高价值目标；另一方面，汽车通过云端控制，意味着无条件接受云端的指挥。这两方面带来了车企上云的高价值和高风险。

李岩进一步指出，“车、路、云、环境之间的互通互联，让不同终端对应的面积非常广，这就延伸了车企的责任，导致车企想要做好信息安全无法独善其身。”

也正因为智能网联汽车信息安全涉及到多产业，防护截面多、线长，是一个复杂的安全问题，构建一整套完整的防御体系在当下已经十分必要。

天融信科技集团车联网安全总架构师范雪俭建议，保护数据安全最好的方法是通过一系列管理平台建设，对全业务流程进行管控。在此基础上对数据安全进行全生命周期建设，将整个防护过程分成采集、传输、存储、处理、交换和销毁6个环节，建立完整的车联网数据安全体系。

宫智也强调了体系建设的重要性，“如果真的想实现终极安全，车企在初期规划时就要把安全作为规划的重要环节，一定要体系先行。”此外，他也呼吁有更清晰的规范要求、更明确的标准和管理制度与汽车企业的技术打好配合，真正打造更安全的车联网安全生态和体系。

邹博松则建议监管机构加快、完善、补齐智能网联汽车网络安全发展相关政策、法规体系建设，同时加强安全监督力度，构建网联汽车网络安全监测评估体系。

文章来源： 佛山网警巡查执法，天空卫士，车市睿见