正式明確汽車網絡安全要求，四部門調整新能源汽車推廣應用財政補貼政策

1月，財政部、工業和信息化部、科技部、發展改革委近日聯合印發《關于2022年新能源汽車推廣應用財政補貼政策的通知》，明確2022年新能源汽車補貼標準在2021年基礎上退坡30%；城市公交、道路客運、出租（含網約車）、環衛、城市物流配送、郵政快遞、民航機場以及黨政機關公務領域符合要求的車輛，補貼標準在2021年基礎上退坡20%。2022年新能源汽車購置補貼政策于2022年12月31日終止，2022年12月31日之后上牌的車輛不再給予補貼。工業和信息化部聯合相關部門建立跨部門信息共享機制，定期匯總起火及重大事故信息，加快建立車輛事故報告制度，對于隱瞞事故信息、不配合調查的，視情節輕重暫?；蛉∠媸萝囆脱a貼資格。

工信部正式印發中國汽車網絡安全和數據安全標準體系建設指南

2月，工業和信息化部印發《車聯網網絡安全和數據安全標準體系建設指南》，提出到2023年底，初步構建起車聯網網絡安全和數據安全標準體系。重點研究基礎共性、終端與設施網絡安全、網聯通信安全、數據安全、應用服務安全、安全保障與支撐等標準，完成50項以上急需標準的研制。到2025年，形成較為完善的車聯網網絡安全和數據安全標準體系。完成100項以上標準的研制，提升標準對細分領域的覆蓋程度，加強標準服務能力，提高標準應用水平，支撐車聯網產業安全健康發展。

遭網絡攻擊，豐田宣布日本所有工廠停工一天

3月1日，日本豐田汽車公司因零部件供應商受到“勒索軟件”攻擊，公布停止日本國內14家工廠、28條生產線的運轉，能否在3月2日恢復正常運行，豐田方面表示仍在研究中。本次遭受網絡攻擊的供應商是為豐田提供重要零配件的小島工業（Kojima Industries）。小島工業的零配件是汽車生產中的關鍵環節。停產導致供應鏈中斷，僅周二一天將影響約 1.3 萬輛汽車的生產，大約占豐田在日本月產量的 4% 至 5%。

本田汽車曝重放攻擊漏洞，可讓黑客擊解鎖并啟動汽車

3月，研究人員披露了一個影響部分本田和謳歌車型的“重放攻擊”漏洞，該漏洞允許附近的黑客解鎖用戶的汽車，甚至可以在很短的距離內啟動它的引擎。攻擊包括威脅行為者捕獲從用戶的遙控鑰匙發送到汽車的射頻信號，并重新發送這些信號以控制汽車的遠程無鑰匙進入系統。該漏洞在舊車型中基本上仍未修復。但本田車主或許可以采取一些行動來保護自己免受這種攻擊。該漏洞被跟蹤為 CVE-2022-27254，是一種中間人(MitM)攻擊，或者更具體地說是一種重放攻擊，其中攻擊者攔截通常從遠程遙控鑰匙發送到汽車的射頻信號，操縱這些信號，并在以后重新發送這些信號以隨意解鎖汽車。研究人員建議是用戶選擇被動無鑰匙進入 (PKE) 而不是遠程無鑰匙進入 (RKE)，這將使攻擊者“由于距離很近而更難克隆/讀取信號。

通用汽車遭撞庫攻擊被暴露車主個人信息

通用汽車表示他們在4月11日至29日期間檢測到了惡意登錄活動，經調查后發現黑客在某些情況下將客戶獎勵積分兌換為禮品卡，針對此次事件，通用汽車也及時給受影響的客服發郵件并告知客戶。為了彌補客戶所受損失，通用汽車表示，他們將為所有受此事件影響的客戶恢復獎勵積分。但根據調查，這些違規行為并不是通用汽車被黑客入侵的結果，而是由針對其平臺上的客戶的一波撞庫攻擊引起的。

網信辦對滴滴作出網絡安全審查，罰款80.26億元

7月21日，國家互聯網信息辦公室公布對滴滴全球股份有限公司依法作出網絡安全審查相關行政處罰的決定。

經查實，滴滴全球股份有限公司存在違法收集用戶人臉識別、年齡段、職業等個人信息，頻繁索取無關的“電話權限”，未準確、清晰說明個人信息處理目的等違法行為，事實清楚、證據確鑿、情節嚴重、性質惡劣，依據《網絡安全法》《數據安全法》《個人信息保護法》《行政處罰法》等法律法規，對滴滴全球股份有限公司處人民幣80.26億元罰款，對滴滴全球股份有限公司董事長兼CEO程維、總裁柳青各處人民幣100萬元罰款。

《汽車傳輸視頻及圖像脫敏技術要求與方法》團體標準正式發布

據中國汽車工業協會消息，8月18日，由中國汽車工業協會數據分會組織制定的團體標準T/CAAMTB 77-2022《汽車傳輸視頻及圖像脫敏技術要求與方法》正式發布。

該標準規定了車輛向車外提供收集的車外視頻、圖像時應滿足的有關人臉、車牌信息的格式要求、樣本質量要求，脫敏功能要求、脫敏性能要求以及測試評估方法。該標準的發布與實施填補了我國汽車行業對車外視頻、圖像進行匿名化處理時技術標準缺失的問題，對于我國汽車企業落實《中華人民共和國個人信息保護法》和《汽車數據安全管理若干規定》中個人信息保護的要求有著指導意義。

《汽車傳輸視頻及圖像脫敏技術要求與方法》作為智能網聯汽車領域重要的基礎性標準，將為規范全行業匿名化等數據脫敏處理技術的開發和測試提供重要依據，幫助企業更好地實現車外數據收集的合規性，對推動個人隱私保護和提升行業數據安全水平有重要意義。

標準立項∣汽車遠程升級（OTA）信息安全測試規范

8月，由中國智能網聯汽車產業創新聯盟（CAICV）提出，國汽（北京）智能網聯汽車研究院有限公司牽頭的CSAE標準《汽車遠程升級（OTA）信息安全測試規范》已按《中國汽車工程學會標準（CSAE）制修訂管理辦法》有關規定通過立項審查，正式列入中國汽車工程學會標準研制計劃。

國內首個自動駕駛示范區數據分類分級白皮書在京發布

9月18日，《北京市高級別自動駕駛測試示范區數據分類分級白皮書》于2022世界智能網聯汽車大會正式發布，填補了國內自動駕駛示范區數據分級分類領域的空白，為行業數據安全管理提供“北京經驗”。

年度產業盛會：為期3天的AutoSec第六屆中國汽車網絡安全周順利落幕

9月21日-23日，由談思實驗室Taas Labs主辦的“AutoSec 2022第六屆中國汽車網絡安全周暨第三屆汽車數據安全展”在上海隆重舉行。作為國內最早、連續6年業內規模最大的年度品牌盛會，AutoSec China Week第六屆中國汽車網絡安全周進行了為期3天的技術干貨內容，有超過60家領先汽車廠商出席，600余名專業參會嘉賓參與，聚焦2大主題峰會（第三屆中國功能安全及預期功能安全峰會&第六屆中國汽車網絡安全峰會）及1場獨家AutoSec Expo中國汽車數據安全展的形式向大家多方位呈現，吸引業內近百家汽車及安全企業共同參與。同時，首屆中國汽車網絡安全女性領導者論壇及首屆中國汽車網絡安全未來獨角獸論壇也在汽車網絡安全周活動中順利舉行。作為國內唯一的汽車數據安全專業展，AutoSec Expo技術展區向業內同仁們全面展示了汽車功能安全、網絡安全及數據安全各類前沿創新技術，全方位、多維度帶給大家豐富多彩的活動體驗，深入理解汽車網絡安全防護技術及合規要求。

同時，備受關注的“AutoSec Awards 安全之星”第三屆中國汽車網絡安全行業頒獎盛典有100多個創新方案和優秀汽車網絡安全產品參選，經過初選和權威專家的層層評審，最終有上汽赤霄網絡信息安全實驗室、國汽智聯、中汽創智、奇安信有限公司等15家單位收獲殊榮！

吉利網絡安全實驗室正式揭牌啟用，并率先組織“汽車網絡安全日”活動

10月，中汽氣數據有限公司、騰訊云、安恒信息(簡稱:中汽數據) 助力吉利汽車研究院(寧波)有限公司建設的網絡安全實驗室正式揭牌推投入使用。吉利汽車研究院院長康國旺，中汽數據總經理馮屹，中汽數據副總經理杜志彬，中汽中心首席專家、中汽數據車聯網業務部部長張亞楠、騰訊安全策略發展中心總經理呂一平等領導共同出席并見證了吉利網絡安全實驗室啟動儀式。

同期，吉利集團聯合談思實驗室共同主辦“AutoSec中國行-吉利汽車網絡安全日”活動，于寧波杭州灣新區吉利汽車研究院成功舉辦。吉利集團作為主機廠先鋒代表率先開展安全文化日建設，從集團層面進行汽車安全意識培訓等，活動匯聚了中汽數據、中國汽車工程院、博世、亞馬遜云等行業頭部單位大咖，集中分享了汽車安全最新政策合規、汽車網絡安全體系建設、數據隱私保護、云安全、HSM硬件安全、安全工具、汽車攻防、CSMS平臺等熱點話題。另外技術展區以汽車網絡安全、信息安全實踐為主題，進行了專業技術展示和交流。吉利汽車研究院副院長任向飛、工程發布中心主任劉旭及相關吉利汽車網絡安全領導出席了此次活動。

易特馳網絡安全實驗室正式投入運營

易特馳網絡安全實驗室Cyber Security Lab（以下簡稱“實驗室”）于2022年11月1日在上海正式投入運營。該實驗室可為智能汽車提供網絡安全整體滲透測試解決方案覆蓋整車、ECU以及云端應用系統等。易特馳汽車技術（上海）有限公司總裁李波、易特馳中國網絡安全業務總監湯易、實驗室技術總監李曉帆以及技術專家代表共同出席并見證了實驗室揭牌儀式。

芯馳科技與云馳未來達成戰略合作，共同打造車規級信息安全產品

11月，國內領先的車規芯片企業芯馳科技與智能汽車信息安全領跑企業云馳未來宣布達成戰略合作，雙方將依托各自的技術優勢、產品能力和量產經驗，重點圍繞智能車載域控制器領域和智能汽車信息安全領域開展深度合作，為智能網聯汽車行業用戶提供高可靠的車規級信息安全產品和車載網絡整體解決方案。

雙方將基于云馳未來下一代智能汽車5G安全網絡域控制器平臺L3000，以及芯馳科技網關芯片“網之芯”G9等車規芯片，面向高等級自動駕駛和智能網聯汽車開發車載安全網絡域控制器產品和信息安全技術解決方案，包括硬件平臺產品、軟件中間件、開發工具鏈和VSOC云平臺等。

華誠認證為一汽紅旗頒發汽車數據安全與個人信息保護認證證書

2022年11月14日，中國第一汽車集團有限公司獲頒國內首張華誠認證在國家認監委備案的汽車數據安全與個人信息保護認證證書。

2022年，華誠認證發布了國內首個汽車數據安全與個人信息保護CATARC標志認證。該認證基于相關法規、標準和技術規范，主要從“合規性審查”與“汽車數據安全與隱私保護測試”兩大板塊進行驗證，包含車外人臉信息匿名化處理測試、座艙數據車內處理測試、個人信息的顯著告知處理測試等幾個方面。

一汽集團充分發揮產品研發的綜合優勢，展現出智能安全配置的不凡實力，在汽車數據安全管理和保障方面以較高水平一馬當先，全新紅旗H5憑借出色的表現，彰顯了在加強個人信息和重要數據保護，規范汽車數據處理活動方面的軟硬件能力，于2022年11月14日成為第一批獲得該認證證書的車型。

《中國汽車基礎軟件信息安全研究報告1.0》正式發布，并進行深度解讀

11月22日，《中國汽車基礎軟件信息安全研究報告1.0》正式發布。中國汽車工業協會軟件分會理事長單位、AUTOSEMO輪值主席單位、中汽創智信息安全首席技術官胡紅星博士代表AUTOSEMO發布了《中國汽車基礎軟件信息安全研究報告1.0》?！吨袊嚮A軟件信息安全研究報告1.0》是行業中首個將汽車基礎軟件將信息安全聯合的課題研究，初步提出汽車基礎軟件與信息安全密不可分，基礎軟件是用于實現汽車系統軟硬件解耦，雖然與用戶應用功能無關，但提供汽車系統服務的支撐集合，是一個開發汽車控制及應用功能的嵌入式軟件平臺。作為汽車應用的基礎支撐系統，汽車基礎軟件的信息安全對于保障整車系統的穩定運行起著至關重要的作用。

同時，胡紅星博士聯合電子科技大學高級工程師陳麗蓉女士及豆莢科技咨詢顧問孫智超先生，做客AutoSec汽車安全直播課針對中國汽車軟件生態委員會(Autosemo)發布的《中國汽車基礎軟件信息安全研究報告》進行深度解讀。(點擊下方閱讀全文即可收看直播回放)

《智能網聯汽車網絡安全與數據安全發展報告（2022）》正式發布

11月24日，由中國汽車工程研究院股份有限公司（以下簡稱“中國汽研”）、車聯網安全聯合實驗室牽頭，聯合行業優勢資源編寫，由社會科學文獻出版社出版的《智能網聯汽車網絡安全與數據安全發展報告（2022）》（以下簡稱“藍皮書”）正式發布。

藍皮書以“智能網聯汽車網絡安全與數據安全”為主題，由總報告、安全芯片篇、數據安全篇、網絡安全篇、在線升級篇、檢測篇、技術篇、標準篇、及附錄十部分組成，展現了智能網聯汽車網絡安全與數據安全產業發展現狀，分析了安全薄弱點和威脅來源，介紹了多種安全架構設計方案和相關技術，探討了我國多頭標準的快速進展和未來標準體系統一的難度，同時基于智能網聯汽車市場狀況和典型投資項目剖析了投資風險并提出相應建議，旨在為智能網聯汽車網絡安全與數據安全發展提供智庫支撐。

中共中央、國務院發布“數據二十條”

2022年12月19日，《中共中央?國務院關于構建數據基礎制度更好發揮數據要素作用的意見》（“數據二十條”）正式發布。

數據作為新型生產要素，是數字化、網絡化、智能化的基礎，已快速融入生產、分配、流通、消費和社會服務管理等各環節，深刻改變著生產方式、生活方式和社會治理方式。數據基礎制度建設事關國家發展和安全大局。為加快構建數據基礎制度，充分發揮我國海量數據規模和豐富應用場景優勢，激活數據要素潛能，做強做優做大數字經濟，增強經濟發展新動能，構筑國家競爭新優勢，遂發布“數據二十條”。

蔚來數據泄露被勒索！官方回應實錘，21年的車主要遭殃

12月20日，網絡上有人稱破解了蔚來大量數據，包括蔚來內部員工數據22800條、車主用戶身份證數據399000條。隨后，蔚來官方發布《關于數據安全事件的聲明》：2022年12月11日，蔚來公司收到外部郵件，聲稱擁有蔚來內部數據，并以泄露數據勒索225萬美元等額比特幣。在收到勒索郵件后，公司當天即成立專項小組進行調查與應對，并第一時間向有關監管部門報告此事件。

經初步調查,被竊取數據為2021年8月之前的部分用戶基本信息和車輛銷售信息。蔚來對于此次事件對用戶造成的影響深表歉意，并鄭重承諾，對因本次事件給用戶造成的損失承擔責任。竊娶買賣此類數據是違法犯罪行為，對此予以嚴厲譴責，也堅決不會向網絡犯罪行為低頭。將協同有關執法部門深入調查此次事件，并依法堅決打擊相關的數據竊娶買賣行為。

國內首個汽車信息安全研究中心正式揭幕

2022年12月22日，中汽信息安全研究中心揭幕儀式暨第四屆車聯網網絡安全十大風險發布會在津成功舉行。工業和信息化部網絡安全管理局局長隋靜，中汽中心黨委委員、副總經理吳志新，中國工程院院士鄔江興，天津市通信管理局副局長卞春榮出席會議，中汽數據有限公司總經理馮屹主持會議。

未來，中汽中心將在汽車信息安全領域持續發力，以中汽信息安全研究中心為平臺，促進建設互融、互通、互助的汽車安全生態，激活更多的社會效益、生態效益和經濟效益，從安全治理、安全技術、安全產品、安全服務四個維度，形成汽車信息安全中汽模式，為我國汽車產業健康發展保駕護航。

沃爾沃再遭數據竊取，泄露200GB用

戶數據

2022 年 12 月 31 日，論壇上一位昵稱為 IntelBroker 的成員宣布，VOLVO CARS 成為勒索軟件攻擊的受害者。他聲稱該公司遭到 Endurance 勒索軟件團伙的襲擊，攻擊者竊取了 200GB 的敏感數據，這些數據現在正在出售。

目前沃爾沃公司并未對此事件進行回應，因此尚無法確定被泄數據的真實性。但是在2021 年 12 月，瑞典汽車制造商沃爾沃汽車公司透露攻擊者從其系統中竊取了研發數據，此后數據并未公開，也沒有收到任何勒索信息。因此，此次公開出售的數據尚不清楚是否是2021 年數據泄露事件中的數據，或者是新的數據泄露事件。

編輯：黃飛

?