随着汽车行业的智能化进程加速,关于智能汽车的数据安全问题也日益凸显。智能汽车作为移动的数据中心,每天都会收集大量的数据,包括驾乘人员的出行轨迹、驾乘习惯、车内语音图像等敏感信息。这些数据一旦泄露或被黑客攻击,将对用户的隐私安全构成严重威胁,同时也可能给车企带来重大的经济损失和声誉损失。
01 新能源车的数据安全问题堪忧
根据工信部车联网动态监测情况显示,2020 年以来,汽车行业受到超过280万次安全攻击,仅仅在2023年,就有超过20起与车企相关的大规模数据泄露事件,涉及不少知名厂商。泄露的数据不仅涵盖企业内部业务,还涉及车辆驾驶、用户隐私等多个维度。这类数据安全事件为车企带来的损失也非常大。在过去5年里,全球汽车行业因为遭受网络攻击而造成的数据泄露,产生损失超过5000亿美元。
对于消费者而言,新能源车的数据安全问题也是他们关注的焦点。据汽车之家发布的《2024年新能源汽车用户用车焦虑洞察报告》,网络数据安全是消费者感到焦虑的其中一个因素。新能源汽车消费者最不能接受的依次是账户被窃取造成财产损失,车辆被黑客攻击失去对车辆控制,车内行为被车内摄像头捕捉后非法传播或被敲诈、个人信息被采集和转卖第三方。
为保障数据安全,国家也采取了一系列措施,加速出台了相关政策和法规。2021年5月,国家互联网信息办公室发布了《汽车数据安全管理若干规定(征求意见稿)》,从收集、分析、存储、传输、查询、应用、删除等全流程,都对汽车数据做了比较详细的规定;6月,国家工业信息安全发展研究中心参与的《智能网联汽车数据安全共享参考架构》(T/TIAA 020—2021)团体标准正式发布;9月《中华人民共和国数据安全法》正式开始施行。
据统计,在2023年里,国内外汽车网络安全领域相关的政策法规一共就有57条,监管内容包括数据安全、数据跨境流通、整车信息安全、商用密码安全、车联网标准体系建设、个人敏感信息处理、个人信息出境等等。
三项强制性国家标准正式发布(附图解),提升了汽车信息安全防护技术水平,规范了车企软件升级行为,保障了消费者权益。加强测绘地理信息安全,对智能网联汽车的地理信息数据采集和处理需依法进行规范和管理。五部门部署开展“车路云一体化”试点,推动智能网联汽车系统架构设计和多种场景应用,形成统一的技术标准和测试评价体系。
为应对数据安全合规要求,智能网联汽车需有严格的数据安全合规管控措施,处理海量数据时确保安全。同时促进数据分类和流通,智能网联汽车的多源数据可用于车辆状态监测、远程控制升级等新型服务。
02 成为需着手完善的ESG 问题
回顾过去几年,绿色低碳转型发展是汽车行业最核心的ESG机遇。我国的“双碳”目标推动了汽车产业向电动化方向转型。在一系列绿色政策的加持之下,新能源汽车一路高速发展,甚至实现了弯道超车。除了电动化转型之外,头部车企的脱碳行动也不再只是停留在投资光伏和储能设施。他们开始研究和公布达成企业运营和价值链“碳中和”目标的具体实施路径,为此尝试与供应链上下游达成协作,甚至为供应商提供系统性的培训和数字化技术辅助。
虽然汽车行业一直保持高速发展,但过去几年行业在供应链管理方面经历了巨大考验,越来越多车企以及产业链上下游认识到高质量和可持续发展的重要性,对ESG的重视程度与日俱增。新一代消费者对汽车智能化也提出了较多技术需求,如高阶辅助驾驶、自动驾驶、智能座舱等。这不仅对企业研发能力提出了要求,也延伸出智能汽车数据安全管理等一系列企业需着手完善的ESG问题。
智能网联汽车行业企业在目前日渐趋于强监管模式。一方面,相关法律法规明确要求智联网汽车生产企业、车联网服务平台运营企业严格落实网络安全分级防护要求,按照危险程度采取相应的补救措施。另一方面,实施数据分类分级管理,定期开展数据安全风险评估,对需要跨境的数据,及时向所在省(区、市)主管部门报备。
数据安全问题关系到个人、企业,甚至是国家,车企在智能化进程中必须高度重视数据安全问题,并采取切实有效的手段来规避数据安全事件的再次发生。目前多数主机厂都建立了数据安全团队,例如建立数据合规办公室,或在各个业务领域设置专职数据合规岗位,但是由于车企防范网络安全能力不一等原因,数据泄露事件仍时有发生。
03 智能化进程中的数据安全应对
车企应当加强在数据安全方面的管理能力,建立能够覆盖智能网联汽车全生命周期的网络安全运营体系,围绕智能网联汽车网络安全标准规范、攻防技术、安全研发、安全运营等领域进行研究,目标是要保护汽车用户隐私和车企数据安全。
特别是涉及国际跨境业务、为国外企业或人员提供服务时,采取更为审慎和主动的态度,以及细致和全面的应对措施,履行数据安全保护义务,具体可以从以下几个方面入手:
• 全面梳理企业自身业务和数据。企业需首先明晰业务中可能涉及管控的数据类型,主要包括个人信息和重要数据。与此同时,审视各类业务场景中的数据需求和合规要求,明确合规治理以及应急处理机制重点。
• 完善企业数据分级管理保护机制。根据产品或服务采集的数据来源、方式、类型的不同对数据进行划分,分类别、分级对数据管理,建立多元化有效的合规流程。对于具有敏感性、重要性的数据跨境采取谨慎态度,必要时遵循本地化要求;在涉及第三方数据处理时,应以协议明确共享数据的范围、内容、使用方法等权利义务,对第三方供应商提出要求并定期监督和审计,避免对跨境数据的滥用。
• 加强跨境业务的数据安全保障能力。一方面,企业对内部数据跨境场景进行识别,梳理出数据跨境流转情况,包括具体业务场景、涉及部门、数据主体所在地、涉及系统等;并立足自身业务场景、风险偏好等,制定重点国家/地区的数据跨境合规管控策略和控制点,以高中低风险形成适配统一的合规措施,避免陷入法律风险。
另一方面,企业内部制定数据出境风险评估具体要求,包括跨境数据传输的合法性和必要性,数据敏感性、技术措施、以及境外接收方的安全管控能力等;组建涵盖技术、法务、安全等主体的评估小组,负责对数据出境的审核以及使用情况跟踪。
• 定期开展数据安全培训,积极配合监管需求。在企业内部成立一个由技术和业务高级领导人组成的治理机构,结合最新监管趋势制定数据安全培训计划,定期对相关技术和管理人员进行数据、网络安全教育和培训。
04 智能网联汽车数据安全与合规体系入门
智能网联汽车数据的管理和保护难点一在于如何在保障数据安全和隐私的前提下,高效地整合和利用海量数据,提升智能网联汽车的业务效率和用户体验。现有工作主要集中在数据采集、处理、存储和分析等方面,但在数据安全与隐私保护、数据治理框架的构建等方面仍有不足。
难点二在于数据的多样性、复杂性和安全性要求高。智能网联汽车产生的数据量巨大,类型繁多,且在数据的采集、存储、传输和使用过程中,存在诸多安全风险。现有工作主要集中在数据的基本概念和驱动业务流程变革方面,但在数据安全管理和法律法规遵从性方面的研究仍需深入。
智能网联汽车数据在交通管理、环境保护和智能出行等领域具有重要作用,难点三在于如何在确保数据安全的前提下,合法合规地处理和使用大量敏感数据。现有工作主要集中在数据采集、传输和存储的技术层面,但在法律法规遵从性和全面的数据处理合规性方面仍有不足。
为此,数治网院iDigi通过三大模块的体系化课程和实操练习,构建智能网联汽车数据能力体系的同时,养成网络数据安全人员技能,全面掌握数据安全与隐私合规的战略、框架与实践方法,以及在个人信息、重要和核心数据以及地理信息数据处理与合规方面的专业能力和安全意识,提升在行业的竞争力。
数治网院iDigi 内训首期体系课程:《2025智能网联汽车数据安全与合规入门到最佳实践》于1月8日起滚动开班,双师直播即时互动,课后在线自主学习,语音视频详尽讲解。即刻扫码添加 @老邪 企业微信升级成数治Pro个人、企业版助手和学习卡,更多治理、安全与合规体系课程可随到随学。
课程帮助学员全面理解智能网联汽车数据处理的流程和技术方法,熟悉相关法律法规和标准。掌握数据分类与分级防护技能、数据收集与存储合规性、数据传输与提供合规性、安全技术应用能力等关键技能。
通过学习智能网联汽车数据的发展现状和管理策略,学员将掌握智能网联汽车的基本概念、数据驱动的业务流程和数据安全管理等关键知识,为未来的职业发展打下坚实基础。课程有效提升学员的数据安全意识、合规意识和风险防范能力,确保在实际工作中能够合法合规地处理数据,具备从事相关领域工作的能力。
完成本课程后,学员将能够掌握智能网联汽车数据能力体系的基本知识和技能,具备数据采集、处理、分析和应用的能力。学员在数据处理全周期的各个环节中能够有效识别和处理数据安全风险。预计在数据采集、存储和传输的安全实践能力方面提高约30%,在数据分析技能方面约25%,在法律法规遵守意识方面约20%。
通过加密技术、访问控制和备份机制,确保数据的安全性和可用性。数据泄露率能够降低约30%,优化后的业务流程增加约20%的工作效率,客户满意度提升约15%。通过模拟演练,学员能够在突发事件发生时迅速有效地响应和处理,应急处置能力和团队协作水平显著增强。
如《守护智能网联汽车数据安全 从合规与人才培养开始》一篇从智能网联汽车数据安全与合规的重要性、当前现状以及所面临的挑战等多个方面展开,同时讨论如何加强人才技能养成,从而推动智能网联汽车整个行业的可持续发展。
图片:Growtika,Unsplash
