01

汽車數據安全問題日趨嚴峻

隨著智能網聯汽車的發展，汽車已經從傳統代步工具演化為一臺擁有數據中心架構的移動終端。智能汽車領域信息化程度大幅提升，網絡數據安全攻擊事件也隨之增加，越來越多的攻擊者將攻擊目標從傳統終端轉向智能網聯汽車。以汽車數據為核心的新安全問題日益凸顯，汽車數據安全事件頻發。2022年下半年，某車企的部分用戶基本信息和車輛銷售信息被黑客竊取，并以此遭受巨額勒索。車聯網數據安全形勢日趨嚴峻，智能網聯汽車的數據安全防護亟需重點關注。同時，木馬攻擊、隱私竊取等網絡威脅，正從傳統網絡逐漸向智能網聯汽車領域滲透。據《2022年全球汽車網絡安全報告》顯示，2021年車聯網攻擊事件相比2018年增長了225%。與傳統網絡攻擊不同，車聯網的安全可能直接威脅駕駛或乘坐汽車人員的生命安全，擾亂社會穩定、波及國家安全。

02

兩會上雷軍的汽車數據安全問題建議

3月4日，全國人大代表，小米集團創始人、董事長兼CEO雷軍在兩會上針對“構建完善汽車數據安全管理體系”提出具體建議。

在汽車數據安全管理體系方面，雷軍認為智能網聯汽車作為車輪上的數據中心，其承載的行駛軌跡、生物特征等敏感個人信息，及地理信息、車外影像等，既是數字經濟發展的重要要素資產，也給個人隱私、國家公共利益與安全帶來了挑戰。

在《關于構建完善汽車數據安全管理體系的建議》中，雷軍指出：目前國家已發布若干汽車相關的數據安全推薦性國家標準，規范了網約車服務及汽車數據采集等部分場景要求，尚無法覆蓋到研產供銷全業務領域。為此雷軍建議，由主管部門牽頭，定義汽車數據分類分級規則，加快制定圍繞汽車生命周期和數據生命周期兩條主線的數據安全標準，指導產業發展。同時建立智能網聯汽車數據安全認證制度、數據安全評級及公示制度，提升行業透明度與可信度。

另外，雷軍還指出，當前各車企間數據尚未實現有效安全流通，數據孤島普遍存在，數據價值無法充分發揮。他建議，應當在保障數據安全的前提下，構建汽車數據共享機制及平臺，讓各車企間的數據實現流通，將數據轉化為社會生產力。

03

小米汽車的數據安全挑戰

目前，小米汽車研發團隊已經召集超過了2300人，力爭2024年一季度小米汽車將正式量產。但是小米正在緊鑼密鼓全力攻克汽車技術的敏感時期，小米汽車卻遭遇數據泄露。

今年1月，某博主在網上發布小米汽車首款車型小米MS11的外觀以及保險杠、裝飾件等設計圖片，以及小米與北汽模塑相關合作細節等，引發網絡熱議。

對此，小米集團公關部回應稱，泄密的文件確是二級供應商保密的設計文件。2月2日，小米官方微博通報該數據泄露事件處理結果：小米汽車合作方北京某模塑科技有限公司因對其下游供應商管理不善，泄露了汽車的早期設計稿。

小米集團表示，已依據《保密協議》對涉事合作方進行了嚴肅處理，包括：依照《保密協議》處以100萬元的經濟賠償；責成其對下游供應商加強信息安全管理，并對泄密肇事人進行嚴肅處理；責成供應商制定詳細整改方案，全面升級保密措施。

在汽車尚未正式量產之前，小米已經面臨嚴峻的企業數據安全問題，而后續大量汽車入市后，每輛汽車每天都可能會不斷收集各類數據，如何確保大量數據的安全問題，將是小米汽車面臨的巨大挑戰。

我們認為汽車數據安全問題，已經不只是智能汽車必須攻克的技術問題，更是相關法律法規要求下的合規挑戰，比如數據收集處理、數據跨境、企業的安全合規管理流程等，需要常態化建設、持續監管投入及技術革新。據悉，小米汽車安全團隊也在不斷招兵買馬，逐步構建汽車數據安全防線。

04

國內外汽車網絡數據安全法律法規

國內外高度關注汽車智能化、網聯化發展的潛在安全隱患，多個國家和地區加快推進網絡安全、數據安全等相關工作。2020年6月，聯合國世界車輛法規協調論壇通過了《汽車網絡安全和網絡安全管理》法規，明確車輛制造商滿足汽車網絡安全強制認證要求。2022年6月后，歐盟依據《一般數據保護條例》（GDPR）法規，對汽車企業使用個人信息和數據跨境傳輸進行監管。美國先后出臺了《聯邦自動駕駛汽車政策》《自動駕駛系統：安全愿景2.0》《自動駕駛汽車綜合規劃》等，提出采取防護措施應對自動駕駛汽車的網絡威脅和漏洞、隱私和數據保護風險等具體要求。

近年來，我國已經制定并實施《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》以及《中華人民共和國個人信息保護法》等數據保護領域的重要法律。汽車行業相關部委也在不斷加強監管和保護，2021年7月，國家互聯網信息辦公室公布《汽車數據安全管理若干規定（試行）》，首次清晰界定了“汽車數據處理者”和“重要數據”類型等內容，同年8月，工業和信息化部發布《關于加強智能網聯汽車生產企業及產品準入管理的意見》，明確企業應當建立健全汽車數據安全管理制度，建立數據資產管理臺賬，實施數據分類分級管理，建設數據安全保護技術措施，確保數據持續處于有效保護和合法利用的狀態，依法依規落實數據安全風險評估、數據安全事件報告等要求。企業需要滿足相關部委合規監管要求，健康合理發展產業。

智能汽車行業中的數據安全問題是新生事物，諸多難點包括數據分類分級問題、重要數據的處理、存儲和出境問題和主體責任分配問題等，解決這些問題需要上下游產業鏈企業、車企、政府多方協力，細化行業要求、加強政府監管、加速試點落地。行業主管部門、市場安全監管部門、交通運輸部門以及網絡信息主管機構等多部門多機構的協同聯動，明確職責劃分，定期交流，將進一步促進汽車數據安全監管與智能汽車的蓬勃發展和安全落地。

審核編輯 ：李倩