文／中国汽车技术研究中心有限公司 王金明 刘宇 张怡凡

随着智能化、网联化程度不断提升，智能网联汽车信息安全问题日益严峻，特别是近年来发生多起汽车信息安全召回事件，引发了行业高度关注。智能网联汽车的信息安全问题不仅能够造成个人隐私泄露、企业经济损失，还可能造成车毁人亡的严重后果，甚至上升成为国家公共安全问题。尽管当前智能网联汽车的安全漏洞尚未被广泛利用，但是据统计，约56%的消费者表示信息安全和隐私保护将成为他们未来购买车辆时主要考虑的因素。由此可见，智能网联汽车信息安全已经成为汽车产业甚至全社会共同关注的焦点。

一、智能网联汽车信息安全概述

智能网联汽车信息安全主要包含四个方面：终端安全、网络安全、云平台安全以及信息数据安全。其中，终端安全主要指信息交互过程中来源于通信终端本身的威胁。以智能网联汽车为例，通信过程会涉及到TBOX、路侧设备、手机等多种终端设备，其本身的信息安全防护能力将对智能网联汽车信息安全产生影响；网络安全主要指车内、车－人、车－车、车－路、车－平台之间的信息网络安全，主要涉及车内网络、车际网络和车载移动互联网络等安全内容；云平台安全主要指提供车辆管理与信息内容服务的云端平台安全，其负责车辆及相关设备信息的汇聚、计算、监控和管理，是车联网数据汇聚与远程管控的核心；信息数据安全主要指智能网联汽车系统在运行过程中的数据采集、传输、开发利用、存储、备份与恢复、删除等过程安全，也包括但不仅限于用户信息、车辆信息及软件信息等内容安全。

二、智能网联汽车信息安全法律法规体系现状

我国长期重视信息安全领域发展，目前已出台了一系列法律法规进行规范引导，包括《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国电子签名法》等。此外，备受关注的《个人信息保护法》、《数据安全法》等也已列入2020年度全国人大立法计划。由于目前尚未出台专门的智能网联汽车信息安全法律法规，相关要求散见于多部法律法规中，总体实现了对终端安全、网络安全、云平台安全、信息数据安全等方面的管理覆盖。

在终端安全环节，我国对网络关键设备及网络安全专用产品实施安全认证/检测制度。符合安全标准的产品设备是保障信息安全的基础，为此我国在《中华人民共和国网络安全法》第二十三条中提出网络关键设备和网络安全专用产品应当按照国家相关标准的强制性要求，由具备资格的机构认证或检测符合要求后，方可销售或者提供。此外，国家互联网信息办公室会同工信部、公安部、认监委制定和发布了《网络关键设备和网络安全专用产品目录》，加强了网络关键设备和网络安全专用产品安全管理，推动安全认证和安全检测结果互认，避免重复认证、检测。

在网络安全环节，《中华人民共和国网络安全法》规定我国全面实施网络安全等级保护制度，《GB/T 25058-2019 信息安全技术 网络安全等级保护实施指南》则明确了对等级保护对象实施网络安全等级保护的过程。同时，由于网络运营者事实上能够掌握网络运行过程中的大量关键信息数据，是数据信息传递和安全保障的关键角色，我国对其提出了包括缺陷补救、及时告知、安全维护等在内的严格的管理要求，有效保障了网络安全。

在云平台安全环节，我国全面开展信息系统安全等级保护工作。《中华人民共和国计算机信息系统安全保护条例》规定我国对计算机信息系统实行安全等级保护，《信息安全等级保护管理办法》则将信息系统的安全保护分为五个等级。由于云平台服务器受到破坏后，会对国家安全、社会秩序和公共利益造成严重损害，故其应该属于第三级或更高级，其运营、使用单位应当依据国家管理规范和技术标准进行保护，网信办对其信息安全等级保护工作进行监督、检查。

表1 智能网联汽车信息安全相关法律法规概况

在信息数据安全环节，全国人大、工信部、网信办等管理部门相继出台多部法律法规持续加强对个人信息及重要数据的管理。全国人大颁布了《中华人民共和国网络安全法》，明确网络运营者应当对收集的用户信息严格保密，并建立健全用户信息保护制度；关键信息基础设施运营者在我国境内运营中收集和产生的个人信息和重要数据应当在境内存储。国务院也出台了《中华人民共和国计算机信息系统安全保护条例》，明确要求公安部负责针对计算机病毒及危害社会公共安全的其他有害数据开展防治研究工作。（见表1）

三、法律法规问题点分析

1、产品准入管理环节缺少信息安全防护能力审查

我国对汽车产品实施准入管理，在产品获得准入资格前需满足相关检测要求。根据现行《道路机动车辆产品准入审查要求》，汽车产品准入需要满足安全、环保、节能、防盗等国家标准，其中安全要求主要包括一般安全、主动安全、被动安全三方面内容。由于目前适用标准多集中于汽车产品性能、零部件质量等方面，缺少信息安全防护类标准，将导致目前已上市及未来一段时间内将上市的智能网联汽车产品信息安全防护能力良莠不齐，存在发生信息安全事故的隐患。

2、信息数据直接出境受到限制

智能网联汽车运行所需网络及相关设施属于重要行业领域的关键信息基础设施，同时其又具有“一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益”的属性，按照《中华人民共和国网络安全法》第三十七条规定，关键信息基础设施运营者在我国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。因此，外资品牌汽车企业在我国境内收集产生的数据将无法直接向境外母公司传输，该规定对此类业务具有重要影响。

3、未明确智能网联汽车网络安全等级保护具体实施要求

智能网联汽车网络生态体系正在快速发展，其对网络安全高要求、零容忍的特点使得贯彻落实网络安全等级保护制度成为保障信息安全的重中之重。《中华人民共和国网络安全法》提出网络运营者应当按照网络安全等级保护制度的要求履行安全义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。但由于目前我国尚未出台针对智能网联汽车网络安全等级保护的具体实施文件，在智能网联汽车相关网络系统定级、安全规划设计、安全实施/实现、安全运行管理与系统终止等执行层面缺乏操作指导，保护要求落实存在不充分、不到位的情况，不利于智能网联汽车网络安全保护工作开展。

四、发展建议

1、推动落实智能网联汽车网络安全保护工作。出台指导开展智能网联汽车网络安全等级保护工作的具体实施文件，定期组织开展安全监督检查，完善安全事件通报、应急处置和责任认定等安全管理制度。同时推动企业、研究机构等加大网络安全技术研发力度，完善技术标准，保障智能网联汽车网络安全。

2、建立智能网联汽车产品信息安全能力审查制度。出台包含信息安全防护能力审查要求的智能网联汽车产品准入管理制度，从源头上保障汽车产品具备基本的信息安全防护能力，减少信息安全事故发生。同时，加快相关检测标准的研究制定，为信息安全能力审查提供依据。

3、加强个人信息及重要数据安全管控。加速出台个人信息和重要数据出境安全评估管理制度及具体措施，明确管理范围及过程，对于涉及国家安全等重要事项的数据继续实施严格管理；推动建立智能网联汽车相关个人信息及数据安全管理体系，加快制定智能网联汽车数据使用及管理办法，制定数据分类管理标准，明确相关主体责任及要求，实现个人信息及数据的合规、合理利用。