车联网安全管理:基于标准的规范体系建设
2021-10-23石涛
石涛
今年,车联网、网联车的数据安全管理规范文件连续出台,参与制订文件的党政机构包括国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部、国家市场监督管理总局、国家标准化管理委员会等。
4月28日,国家标准《信息安全技术 网联汽车 采集数据的安全要求》(草案)完成。标准草案由国家市场监督管理总局、国家标准化管理委员会发布,以征求反馈意见。6月,工业和信息化部组织编制完成《车联网(智能网联汽车)网络安全标准体系建设指南》(征求意见稿)。8月12日,工业和信息化部发布《关于加强智能网联汽车生产企业及产品准入管理的意见》。9月16日,工业和信息化部发出《关于加强车联网网络安全和数据安全工作的通知》。10月1日,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合制订的《汽车数据安全管理若干规定(试行)》开始施行。
设立标准是管理的基础
细读这些规范文件,不难发现各相关主管部门把完善标准作为加强车联网、网联车数据安全管理的基础性工作来安排,同时通过试行若干规定来检验标准规范的有效性。对制订标准本身,也编制了标准体系建设指南。完善标准的任务时段则定在“十四五”期间。10月11日,市场监管总局以“标准促进可持续发展”为主题召开专题新闻发布会,工信部装备工业一司副司长郭守刚在会上简要介绍了汽车信息安全相关4项国家标准的情况。这4项国标是《汽车信息安全通用技术要求》《车载信息交互系统信息安全技术要求及试验方法》《汽车网关信息安全技术要求及试验方法》《电动汽车远程服务与管理系统信息安全技术要求及试验方法》,由工信部和市场监管总局组织制订,经过草案公开广泛征集意见、充分测试验证以确定技术内容等阶段,10月11日正式发布。
郭守刚把4项汽车信息安全国家标准概括为“一项指南、三大典型应用”。《汽车信息安全通用技术要求》是其中的“指南性”标准,考虑汽车信息安全风险危害、诱因,以及系统性防御策略,从保护对象的8个方面——真实性、保密性、完整性、可用性、访问可控性、抗抵赖、可核查性、可预防性,明确了通用技术要求,用于整车及零部件信息安全开发和汽车信息安全事故信息采集、处置。另3项标准则对应车载信息交互、网关信息安全、远程服务与管理系统信息安全等三大典型应用,为汽车尤其是智能网联汽车典型的、易受攻击的应用场景设立信息安全标准。4项国家标准在标准化对象、目的、应用实施等方面各有侧重,是汽车行业在信息安全领域的首批基础性国家标准。
今年4月公布草案,正处于公开广泛征集意见阶段的《信息安全技术 网联汽车 采集数据的安全要求》,规定了网联汽车采集的数据在传输、存储和跨境等环节的安全要求,适用于规范具有联网功能的量产乘用车数据处理相关活动,也适用于相关部门、第三方测评机构等组织开展网联汽车数据处理监管、评估工作。标准草案的基本要求是“不得基于网联汽车所采集数据及经其处理得到的数据开展与车辆管理、行驶安全无关的数据处理活动”,另从数据传输、数据存储、数据跨境三个环节做出规定,保障数据安全,尤其是用户隐私数据安全。
刚刚(10月11日)正式发布的首批汽车信息安全国标,以及正在制订、还将继续制订的汽车信息安全标准,是开展车联网、网联车数据安全管理工作的基础,对于提升我国汽车产品的信息安全防护技术水平,强化风险防范和应对网络攻击能力,保障消费者的数据隐私安全,提高信息安全事故处置能力等都具有重要意义。目前,工信部6月组织编制完成的《车联网(智能网联汽车)网络安全标准体系建设指南》正在公开征求意见,等到《指南》开始实施,“十四五”期间的相关标准建设工作就有了可依据的蓝图。
多项规则各有侧重
在汽车信息安全标准建设之外,还需要适时颁布管理规定、推行管理意见、开展安全工作。考察今年发布的《关于加强智能网联汽车生产企业及产品准入管理的意见》《关于加强车联网网络安全和数据安全工作的通知》《汽车数据安全管理若干规定(试行)》等文件,可以看出多项规则各自的指向性和彼此之间的互补性。
《关于加强智能网联汽车生产企业及产品准入管理的意见》(8月12日工业和信息化部发布)要点是“准入管理”,《意见》明确由工业和信息化部指导有关机构做好智能网联汽车生产企业及产品准入技术审查等工作。准入的意涵在于,智能网联汽车生产企业和智能网联汽车产品都需要经过“有关机构”的产品准入技术审查等工作,否则不具备生产许可(对企业)和上市许可(对产品)。《意见》要求企业依法履行数据安全保护义务,实施数据分类分级管理,加强个人信息与重要数据保护,确保数据持续处于有效保护和合法利用的状态。
《关于加强车联网网络安全和数据安全工作的通知》(9月16日工业和信息化部发出)的目标是加强车联网网络安全和数据安全管理工作,健全完善车联网安全保障体系。《通知》明确了四类管理对象,均为企业:智能网联汽车生产企业、车联网服务平台运营企业、基础电信运营企业、其他相关企业。这样,与车联网、网联车相关的市场主体都被纳入管理。《通知》还给车联网和智能网联汽车做出了精确定义——“车联网是新一代网络通信技术与汽车、电子、道路交通运输等领域深度融合的新兴产业形态。智能网联汽车是搭载先进的车载传感器、控制器、执行器等装置,并融合现代通信与网络技术,实现车与车、路、人、云端等智能信息交换、共享,具备复杂环境感知、智能决策、协同控制等功能,可实现‘安全、高效、舒适、节能行驶的新一代汽车。”
《汽车数据安全管理若干规定(试行)》(国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合制订并于10月1日开始施行)则着眼于对敏感个人信息和重要数据的保护。保护敏感个人信息,是为了保护车主、驾驶人、乘车人、车外人员等的人身、财产安全。保护重要数据,则是为了保护国家安全、公共利益,以及个人、组织的合法权益。
(作者單位:电子工业出版社华信研究院)