董新新

（西南政法大学 民商法学院；重庆401120）

一、CAVs①网联自动驾驶汽车（Connected and Automated Vehicles），又称“智能网联汽车”，简称CAVs。网络安全现状概述

汽车产业正经历基于新一代移动互联技术的变革时期，这种因外界力量导致的变革将引发整个汽车产业的革命，甚至会对社会发展带来重大影响。智能汽车有两个快速发展路径，一个是以传统汽车为主，不断地自动化；另外一个是移动互联，不断地网联化。在自动化的基础上，需要传统的机电技术，需要讲工匠精神、工匠文化，这两种发展结合，我们称之为智能网联汽车。CAVs运营依赖于复杂的软件系统及技术升级，每一辆智能汽车构造包含超过60个嵌入式电子控制单元（ECU）及一系列外部有线②有线接口例如USB,CD/DVD，和SD卡等。/无线③无线接口例如蓝牙，Wi-Fi，无线电频率近场通信（NFC）、全球移动通信系统（GSM）/码分多址（CDMA）和通用移动通信系统（UMTS）等。接口。车联网以“两端一云”为主体，路基设施为补充，包括智能网联汽车、移动智能终端、车联网服务平台等对象，涉及车-云通信、车车通信、车-人通信、车-路通信、车内通信五个通信场景。不断增加的功能集，内部和外部网络的相互连接及复杂的网络数据通信，一方面使得CAVs更具舒适性、便捷性，另一方面也产生网络安全漏洞、信息数据泄露等一系列网络安全问题。

为应对在CAVs的广泛概念下的各种网络安全问题，大多数支持此项科技创新的政府都提出了一种阶段性的防护策略，以支持技术的开发、部署。例如，英国运输部（DfT）及国家基础保护中心（CPNI）于2017年8月6日公布《网联和自动驾驶汽车车辆网络安全的关键原则》（The key principles of vehicle cyber security for connected and automated vehicles）即“自动驾驶汽车网络安全指南”（后文简称《关键原则》），①该指南是英国运输部门（The Department for Transport），与国家基础设施的保护中心（The Centre for the Protection of National Infrastructure）合作，建立的适用于整个汽车行业，CAVs,ITS生态系统及其供应链的关键原则。本指南中的8个原则阐述了汽车行业如何确保在各个级别（从设计和工程师到供应商和高级管理人员）正确地考虑到网络安全。（于2017年8月6日公布）。尝试在当前的立法中制定风险和责任，以及考虑新的方法来管理CAVs运营。［1］美国国家公路交通管理局（NHTSA）采用一种多方面的研究方法，利用国家标准和技术网络安全框架，与汽车行业合作，积极应对汽车网络安全挑战，并不断寻求降低相关安全风险的方法。NHTSA于2016年10月发布《现代汽车的网络安全最佳实践》（Cybersecurity Best Practices for Modern Vehicles）（后文简称《最佳实践》），②NHTSA《现代汽车的网络安全最佳实践》（2016.10）（NO.HS 812 333）。该文件描述了美国国家公路交通安全管理局对汽车工业的非约束性指导，以改进机动车的网络安全。该文件旨在涵盖所有机动车辆的网络安全问题，因此适用于所有制造和设计车辆系统和软件的个人和组织。该文件提出了监管框架，鼓励自动驾驶技术的安全开发、测试、布置，旨在促进CAVs网络安全，提高产业机动性和市场效率。［2］

相较而言，我国目前没有专门针对网联自动驾驶汽车网络安全的监管文件，中国信息通信院发布的《车联网网络安全白皮书（2017年）》［3］，主要从车联网网络安全现状、威胁分析、防护策略等方面进行分析探讨，内容多为技术性规范，旨在针对网联汽车软硬件设定相应技术标准，并未提出相关行业监管措施或安全保障方案。

二、CAVs网络安全法律问题类型

CAVs网络安全风险主要来源于智能网联汽车、③1.T-BOX提供无限网络通信接口，是逆向分析和网络攻击的重要对象。2.CAN总线是汽车控制中枢，是攻击防护的底线。3.OBD接口连接汽车内外，外接设备成为攻击来源。此方面涉及9项内容，此处仅列举3项，其他内容可查阅“《车联网网络安全白皮书（2017年）》”。移动终端、④1.移动APP成为车联网标配，应用破解成为主要威胁。2.智能终端系统安全间接影响车联网安全。车联网服务平台、⑤1.车联网服务云平台面临传统的云平台安全问题。2.弱身份认证使得车联网管理平台暴露给攻击者，面临网络攻击。网络通信、⑥1.通信协议破解和中间人攻击成为车-云同行主要威胁。2.恶意节点成为车-车通信威胁，可信通信面临挑战。3.协议破解及认证是车联网短距离通信主要威胁。数据安全和隐私保护⑦1.传输和存储环节存在数据被窃风险。2.数据过度采集和越界使用成为隐私保护主要问题。3.数据跨境流动问题成为威胁国家安全潜在隐患。五个方面，其中的法律责任主要指因黑客攻击车辆网络系统导致的车辆事故责任纠纷，⑧黑客攻击主要有接触式攻击、非接触式攻击、后装产品攻击三种方式，具体如数据包重放攻击、通信协议逆向破解、内置防护系统失灵等。笔者认为，所涉法律问题可大致归为以下三种类型：［4］

其一，通信协议破解、中间人攻击型。随着CAVs技术快速发展，汽车制造商面临着由传感器制造商、软件开发商和操作系统提供商组成的复杂的供应链。如果依然仅由汽车制造商对CAVs缺陷造成的损害承担责任，则汽车制造商将会为确保所有供应商都符合网络安全的最佳实践而承受巨大负担。在车辆对车辆（V2V）和车辆对基础设施（V2I）交互的情况下，黑客可以利用V2V或V2I通信的故障使CAVs发生事故。这种情况下，第三方CAVs或基础设施提供方是否也要承担责任？尚有疑问。

其二，软件系统更新、后续服务型。在互联的环境中，持续的软件更新、系统修复、固件检测对于网络安全维护而言举足轻重，那么车辆制造商是否应在汽车出售后仍继续承担软件更新、漏洞修补的责任？若答案肯定，那么提供更新的期限、时间如何确定？如何在汽车制造商、软件供应商和硬件供应商之间协调处理？如何合理分配因系统更新导致的事故责任？这些问题应进行慎重的法律思考。

其三，移动终端连接、间接影响型。因网络安全涉及终端用户的切身利益，该群体成为网络安全链条中的关键环节，但其缺乏对于汽车网络风险的充分认识。在此前提下，若某例安全事故的发生是因终端用户在手机或是与汽车连接的设备上安装不安全的软件而导致的，该如何处理事故纠纷？终端用户是否需要为此承担责任？责任的性质又当为何？

三、CAVs网络安全法律问题核心——民事责任的本质变化

不难发现，上述三个法律问题所牵涉的责任主体已不局限于制造商一方，而是包含供应商、软件供应商、软件开发商、电信服务提供商、基础设施提供商、保险公司等在内的多方主体，归责原则也不局限于传统的过错侵权责任。

责任内涵及外延的本质变化，是CAVs网络安全法律问题的核心，这种通过供应链传递的责任承担方式，使得CAVs网络安全责任与传统汽车安全责任大相径庭，究其原因，有以下三个方面：其一，在这种动态的操作环境中，事故的发生可能不是因车辆本身的缺陷所致，而是由网络延迟、带宽受限、通信故障等网络通信安全缺陷导致的；其二，攻击者可能会利用不同实体的组件更新，导致的一些次要漏洞，这些漏洞本身并没有经济价值，但通过网络连接环境，可对车载系统完整性和车辆安全性产生破坏性交互影响；其三，在未来的网络物理运行环境中，CAVs的许多方面较传统汽车而言，都超出了制造商预先的合理预测/测试能力。在这种情况下，仅由汽车制造商对产品缺陷造成的损害承担责任，可能会造成不合理（或不现实）的责任负担。

四、CAVs网络安全法律问题的解决路径——技术规范、个案分析

就上述法律问题的解决路径，可简述为：第一步，鉴于网联自动驾驶汽车的技术高度复杂性、车载固件安全生产、风险控制理论、严格责任等要求，制造商应承担首要责任，供应商、基础设施供应商、通信设备提供商、系统用户等按照过错比例承担责任；［5］第二步，鉴于缺陷与侵害事实之间的因果关系举证极其不易，故对上述责任主体实行举证责任倒置规则；［6］第三步，鉴于在目前责任体系下，生产者之责任承担违背合理原则，故保险公司应基于风险分担考虑承担保险限额责任［7］。

此解决路径，理论上并无太大争议，但能否合理分配法律责任，关键在于举证证明环节能否顺利实现。举证责任之分配，涉及责任主体与事故原因是否存在法定义务之联系，故分配结果究竟为何，须借助于明确的行业标准和严格的监管制度。关于前者，我国《国家车联网产业体系建设指南（智能网联汽车）》（最终指南）于2017年已发布，［8］提出建立95个标准，其中20个标准涉及信息安全。关于后者，我国并没有相关文件可做指导，因此，笔者拟在参考借鉴英国《关键原则》及美国《最佳实践》的基础上，坚持个案分析的方法，尝试探讨上述三种CAVs网络安全事故的责任分配问题。

（一）通信协议破解、中间人攻击型事故责任分配

笔者认为，此类网络安全事故发生之根源在于车内通信设施监控失灵与外部基础设施运行故障，故可从以下两个方面进行分析：一方面，正如NHTSA指出的那样，CAVs制造商应当注重“车辆内部通信控制”设计，①NHTSA《Best Practices》：6.7.8 Control Internal Vehicle Communications.制造商在可能的情况下，须避免车辆通过公共数据总线发送安全信号，应为ECU提供来自关键传感器的专用信息输入通道，避免公共数据总线欺骗问题，②因分离通信总线可减轻不安全车辆内部/外部设备对车辆网络的潜在影响，故如果必须在车辆通信总线上传递关键性安全信息，则该信息应该在与车辆ECU通信总线分离的外部网络接口上进行传输。另一方面，关键的安全消息（特别是通过非分段通信总线的消息），应采用身份验证方式来降低消息欺骗的可能性。

此外，《关键原则》指出，系统应具有应对攻击的弹性功能，当防御或传感器失效时做出适当响应，①Principle8 the system is designed to be resilient to attacks and respond appropriately when its defenses or sensors fail.该系统必须能够承受通过外部和内部接口接收到的损坏、无效或恶意的数据或命令，包括传感器干扰或欺骗，同时仍然可以用于车辆主要用途。汽车行业还应建立快速的检测和补救系统。如果检测到网络攻击，应尽量减少对车辆使用者或周围道路使用者的安全风险，车辆应及时过渡到合理的风险状态。

通过上述分析，可知NHTSA、《关键原则》认为制造商在车辆系统设计方面应充分考虑现实道路环境中的复杂网络通信故障问题，并通过安全消息传输线路设置、关键信息身份验证、系统事故响应弹性设计等措施，降低外部基础设施或第三方车辆对自身驾驶系统的影响。由此可知，在发生此类网络安全事故时，制造商承担无过错责任，但须结合其法律义务，考虑其减责或免责事由，根据事故原因结果分析，确定最终责任主体。

（二）软件系统更新、后续服务型事故责任分配

关于CAVs制造商的售后服务，可大致分为以下三个方面：其一，持续的风险评估。②NHTSA《Best Practices》：6.6.1 Risk Assessment.汽车行业应该考虑在整个运营供应链，开发基于风险评估来预测系统的脆弱性或潜在影响，制定风险管理框架，持续监测系统风险。其二，软件自我更新检测的文档化管理。③NHTSA《Best Practices》：6.6.3 Self-Review.制造商应建立内部审查和网络安全活动记录程序，（这种文档化管理）一方面有助于企业自身更好地了解他们的网络安全实践，并在持续的软件更新、系统修复过程中实现系统升级；另一方面，有助于消费者查询相关软件更新信息，了解系统升级动态。其三，软件/系统定期更新义务。制造商应根据行业情况确定更新时间，但如果出现严重安全威胁，则须在第一时间发布相应的更新程序。

综上所述，笔者认为，若因制造商未及时发布更新程序/软件或未通过足以引起消费者注意的方式提醒其进行系统更新，则因违反及时更新、充分提醒义务承担相应的法律责任。反之，若事故之产生，系消费者自身疏忽所致，则不应追究制造商责任，由消费者自行承担事故责任。

（三）移动终端连接、间接影响型事故责任分配

NHTSA认为，CAVs制造商应当承担售后设备安全维护④NHTSA《Best Practices》：8.Aftermarket Devices.的义务，理由有二：一是，制造商应该考虑到消费者可能会通过有线/无线接口（蓝牙，USB，OBD-II端口等），将售后设备（如保险软件保护器）或个人设备（如手机）与车载系统连接。制造商应考虑这些移动终端设备可能带来风险，并提供合理的网络安全保护；二是，售后设备制造商同样应考虑到其设备与车辆网络物理系统相连接的情况。尽管某些系统的主要目的可能与安全无关（例如搜集车辆运行数据的遥测设备），但若未得到适当的保护，其仍可能对车辆核心安全系统造成间接影响。售后设备制造商可根据汽车驾驶阶段、类型的差异，提供不同程度的安全保护服务。

因此，笔者认为，既然制造商承担售后设备安全维护义务，那么就此类型的网络安全事故而言，制造商应当承担主要责任（同样，其可通过举证证明其已尽到合理注意义务而请求减轻责任或免责），消费者作为汽车实际占有人，也负有一定的安全注意义务，除非有理由相信，在连接售后设备或终端移动设备时，其不（或不应当）知道网络安全风险存在，否则消费者也应承担一定的责任，二者的责任性质为过错责任，即根据过错程度之不同，进行责任大小之分配。

五、我国CAVs网络安全法律制度设计的展望——生命周期管理方法论

CAVs网络安全是现代汽车行业安全防护的重点，我国目前却没有出台专门的法律文件对此加以规制，与此同时，英美、欧盟等先进国家或地区，正在尝试以制造商为责任主体，以“黑盒防护”为主线，逐步建立以“SAE J3061”①J3061《信息物理融合系统网络安全指南》详细定义了一个结构化的网络安全流程框架，用于指导建设安全要求极高的计算机系统。整份标准，始终在强调汽车网络安全的系统工程性，即从项目初始就应将信息安全纳入到系统设计中考量，并在其整个生命周期中提供有效保护，也就是贯穿于车辆产品设计、研发、制造、维修、回收等各环节。安全生命周期管理为基础、以软硬件安全防护为保障的防护体系，抵御攻击破解和逆向分析，保护智能网联汽车安全。

职是之故，建议我国CAVs网络安全法律制度设计应在借鉴英美最佳实践的基础上，采取一种将网络安全视为“系统安全”重要组件的综合治理方法：创建适当嵌套的责任层，及跨越供应链和操作环境的测试/监控制度，要求汽车制造商、供应商和监管机构之间持续对话，以确保车辆网络安全在相关标准中得到整合。具体而言，除前文提及的“制造商法律义务”设置外，还可借鉴以下做法：

（一）策划设计阶段

CAVs前期策划是汽车研发和汽车项目建立的关键环节，汽车行业的安全责任体系是安全生产的灵魂，为明确安全责任，划分（界定）安全管理和具体执行之间的工作职责，我国应建立汽车制造商安全责任制度，根据汽车功能特征进行威胁建模，明确各项功能安全性，并为重要的策略设计分配预算。

1.英国DfT&CPNI《关键原则》相关做法

（1）组织上从董事会层面重视、管理和促进信息安全②Principle1organizational security is owned,governed and promoted at board level.

原则要求制造商企业有一个与组织使命和目标一致的安全计划（security program），在董事会层面实行个人问责制（Personal accountability），旨在实现产品或系统安全，在整个组织中进行正确和清晰的授权。此外，所有的新设计都应采用安全设计（Security by Design）。在开发安全的ITS③智能交通系统（Intelligent Transport System），简称：ITS。/CAV系统时，遵循安全设计原则，并且涉及的所有方面（物理、人员和网络）均被集成到产品和服务开发流程中。

（2）系统采用纵深防御设计④Principle5 Systems are designed using a defense-in-depth approach.

原则指出，系统的安全性不能依赖于单点故障（single points of failure）、隐藏的安全性或任何无法随时更改的内容。安全架构应采用防御深度和分段（defense-in-depth&segmented）的技术，试图通过监控、警报、隔离、减少攻击表面、信任层/边界和其他安全协议等辅助控制来降低风险。

2.美国NHTSA《最佳实践》相关做法

（1）具有明确的网络安全考虑的车辆开发过程⑤NHTSA《Best Practices》：6.1 Vehicle Development Process With Explicit Cybersecurity Considerations.

汽车行业应该遵循一个基于系统工程方法的产品开发过程，目标是设计不存在不合理安全风险的系统，包括潜在的网络安全威胁和漏洞。公司应通过使用系统或程序来评估风险，使网络安全成为优先事项（make cybersecurity a priority）。

（2）以产品网络安全为重点⑥NHTSA《Best Practices》：6.2 Leadership Priority on Product Cybersecurity.

对于汽车行业来说，创造企业优先事项和培养应对复杂网络安全的挑战文化是至关重要的。在这一方面，NHTSA建议汽车制造商将车辆网络安全的重要性放在首位（prioritized vehicle cybersecurity）

（二）生产阶段

在这一阶段，汽车制造商及零部件供应商开始将设计的硬件和软件进行车辆组装，这是信息对策的重要环节。应考虑如何在开发流程中集成安全性，找出关键的安全性对象，尽量提升代码安全性并减少对计划和日程的影响，同时加强供应商产品的质量安全管理。

1.英国DfT&CPNI《关键原则》相关做法

该指南在“所有组织，包括分包商、供应商和潜在的第三方，必须共同合作以加强系统信息安全”①Principle 4all organizations,including sub-contractors,suppliers and potential 3rd parties,work together to enhance the security of the system.部分论述到：包括供应商和第三方在内的组织必须提供生产过程和产品质量的安全保证，例如独立验证或认证；必须确定并确认供应链中所有供应品的真实性和来源；必须计划如何识别和管理外部依赖关系，包括安全地与外部设备进行连接（包括生态系统）、服务（包括维护）、操作或控制等。此外，如果传感器或外部数据的准确性或可用性对自动化功能至关重要，那么相关辅助措施也必须加以使用。

2.美国NHTSA《最佳实践》相关做法

该文件在“6.7基础车辆网络安全保护”②NHTSA《Best Practices》：6.7 Fundamental Vehicle Cybersecurity Protections.部分重点关注生产固件及访问权限问题，主要内容涉及限制开发者/调试生产设备的访问、控制键、控制车辆维修诊断访问、修改固件的限制能力、在车辆使用分割和隔离技术架构设计、控制内部车辆通信等11个方面。

（三）交付使用阶段

这一阶段涉及威胁情报分析预警、智能网联汽车安全运营、安全事件应急响应等三个方面的内容。一方面，制造商应真正做到安全事件提前预警，及时获取安全预警信息的来源，确保信息来源的准确性、全面性，另一方面，应将安全事件预防、发现、处置到威胁情报共享环节打通，踏实落地安全运营，提升数据化监测能力，为后期市场运营奠定基础。

1.英国DfT&CPNI《关键原则》相关做法

指南在“安全风险评估”部分③Principle2 Security risks are assessed and managed appropriately and proportionately.要求制造商在组织机构内部已建立安全风险评估和管理程序，确定识别、分类、优先级化和安全风险处理的明确规则。

2.美国NHTSA《最佳实践》相关做法

（1）漏洞报告/披露政策④NHTSA《Best Practices》：6.4 Vulnerability Reporting/Disclosure Policy.

NHTSA支持信息共享的附加机制，例如漏洞报告/披露程序。汽车行业的成员可考虑制定自身漏洞报告/披露政策，或采用其他部门或技术标准中使用的政策。这些政策将为制造商外部网络安全研究员提供指导，指导其如何设计车辆系统的漏洞披露制度。

（2）漏洞/开发/事件响应程序⑤NHTSA《Best Practices》：6.5 Vulnerability/Exploit/Incident Response Process.

CAVs制造商应该建立漏洞/开发/事件响应程序，包括影响评估、控制、恢复、补救措施及相关测试程序。此程序应清楚地列出组织内每个负责小组的作用和责任，并明确内部和外部协调的要求。

此外，CAVs制造商应定期评估其程序的有效性，并记录每个被识别和报告的漏洞、开发或事件的细节，这些文档应该包括从开始到配置的各种信息。响应程序应及时报告所有事件、漏洞，任何事件也应根据美国CERT联邦事件通知准则US-CERT或工业控制系统CERT报告。

（四）其他相关措施

1.网络安全意识与培训⑥NHTSA《Best Practices》：7.Education.

NHTSA认为，职工的受教育背景对提高CAVs网络安全至关重要。该机构的理念是，网络安全教育活动不应局限于现有的劳动力或技术人员，应涉及未来的劳动力和非技术人员。NHTSA支持包括SAE/Battelle Cyber Auto Challenge在内的网络安全元素教育竞赛，并在2014年的《网络增强法案（PL113-274，Title IV）》和“增强安全性车辆（ESV）学生设计比赛”中提出国家网络安全教育计划（NICE）。

2.数据安全防护①DfT&CPNI《关键原则》：原则7.数据存储与传输的安全控制（The storage and transmission of data is secure and can be controlled）.

数据在存储和传输时必须具有足够的安全性（保密性和完整性），确保只有预期的接收方或系统设备具有接收或访问权限。在验证之前，传入的通信数据应被视为不安全的。

个人可识别的数据（Personally identifiable data）必须妥善管理。这包括：存储的内容（ITS/CAV系统）、传输的内容、数据的使用及数据所有者的控制过程。在某些情况下，发送到其他系统的数据将被及时清理。此外，用户可以删除在系统上保存的敏感数据。

余 论

CAVs网络安全的重要性在未来的汽车发展过程中将逐步凸显，其中涉及的法律问题将是法律工作者不可回避且亟待解决的现实问题，但由于CAVs的高度技术性，法律尤其民法只能提供纠纷解决思路、探索问题解决路径，至于如何通过归责原则划分责任主体，如何通过举证责任倒置规则实现诉讼风险分配，如何通过纠纷解决实现公平正义，尚须借助相关行业标准及监管制度的不断完善。我国政府应积极规划和部署CAVs网络安全建设，以CAVs制造商网络安全义务为基点，构建全链条的综合立体防御体系。相应地，司法实践应将行业标准及监管制度作为责任主体过错与否的客观判断标准及可否免责的说理依据，以此实现科技创新与利益保护的最大平衡。