智能网联汽车是当前国内外技术产业创新发展的重点领域。国外领军企业持续加大投入,我国传统汽车企业和网络信息技术企业也纷纷投身其中,推动智能网联汽车领域不断取得创新突破,具备不同等级驾驶自动化功能的汽车逐渐被大众所接受,该领域加速发展势头愈发显现。汽车的智能化、网联化发展需要以大量数据为支撑,才能驱动自动驾驶算法的改进与完善,进而实现智能网联汽车的功能完善、性能优化、安全加固。随着数据的重要性日益凸显,以及近期频频出现的智能网联汽车数据安全事件,使得智能网联汽车的数据安全问题引发了越来越多关注,并已成为事关智能网联汽车产业高质量发展的基础性因素。在此背景下,工业和信息化部近日印发了《关于加强智能网联汽车生产企业及产品准入管理的意见》(以下简称《意见》),其中就加强智能网联汽车数据安全管理提出明确要求。
《意见》明确企业应建立健全数据安全管理制度,依法履行数据安全保护义务。智能网联汽车在设计、研发、运维过程中,会收集、产生、存储、传输、利用大量数据。这些数据既包括传统的汽车设计参数、电子系统诊断数据和日志数据、车辆的行为数据等,也包括自动驾驶系统采集到的环境感知数据和产生的大量系统调试日志数据等。正常情况下,这些数据可以用于汽车功能、性能、环保、安全方面的优化改进,起到积极作用。但这些数据特别是可能涉及国家重要领域和个人隐私的数据一旦被窃取和滥用,就可能给国家安全和个人安全带来重大问题。因此,有效管理智能网联汽车相关数据,对维护国家安全、保护个人信息安全有着十分重要的作用,不可或缺。汽车生产企业对智能网联汽车相关数据最为了解,也是收集、存储、使用这些数据的最主要主体,天然肩负着保障数据安全的义务和责任。安全保障,制度先行。为此,《意见》从制度建立入手,要求“企业应当建立健全汽车数据安全管理制度,依法履行数据安全保护义务,明确责任部门和负责人”,并进一步强调要求企业应该“建立数据资产管理台账,实施数据分类分级管理”,以此作为加强个人信息与重要数据保护的必要工作。这些要求,为企业如何建立数据安全管理制度提供了指导依据。未来,智能网联汽车生产企业应从制度着手,加强数据安全管理体系的建设,夯实企业的主体责任,自顶向下建立管理制度,制定数据分类分级规范,依法划分数据重要程度,加强分类分级保护,做到数据有类有级、数据有人负责、数据有人担责、数据流转合法合规。
《意见》明确企业应建设数据安全保护技术措施,落实数据安全保护法规要求。智能网联汽车及其相关数据,都是技术创新发展的产物。要加强数据安全管理与保护,除了良好的管理体系外,还应紧紧依靠技术手段和行动措施。我国已出台的《网络安全法》《数据安全法》《个人信息保护法(草案)》,都在明确对数据安全的针对性考虑的同时,也从多方面就数据安全保护技术的研发与应用提出了要求。要加强智能网联汽车的安全保护,也必须落实这些法律法规的相关要求。为此,《意见》明确要求企业“建设数据安全保护技术措施,确保数据持续处于有效保护和合法利用的状态,依法依规落实数据安全风险评估、数据安全事件报告等要求”。企业应按照要求,研发和应用相关的保护技术,将数据安全风险防范于未然。同时必须注意到的是,汽车生产企业过去对数据安全重点关注的是防止商业机密、设计参数和知识产权等数据被篡改、破坏、泄露或非法获取,通常采取权限管理、访问控制、数据加密等措施。在智能网联汽车发展的大环境下,汽车企业应将重点转移到合法利用数据(特别是运行时收集和产生的数据)方面,充分认识到违法利用数据对社会公共安全、国家安全产生的严重危害。在此基础上,企业应在数据安全管理体系下,主动积极开展数据安全测评、风险识别、风险控制、风险防御措施等活动,对数据安全事件进行实时监测,发生安全事件后,采取应急预案并及时处置。
《意见》明确企业应落实数据在境内存储要求,必要时开展数据出境安全评估。数据资源已成为数字时代新的战略性资源。与此同时,互联网的跨地域特征又会带来数据跨境流动的新情况,进而带来新的问题和挑战。“网联化”是智能网联汽车的重要特征之一,在增强汽车智能化功能的同时,也给相关数据流动保护提出了新要求。若是涉及公共安全、个人信息和国家安全的关键数据或敏感数据的存储、流动不规范,被任意转移、共享、使用,就很可能损害社会利益、个人利益乃至威胁国家安全。类似情况近年来在互联网服务、云服务、智能手机终端等领域已经被多次讨论,智能网联汽车也会面临同样的问题。为此,《意见》中明确提出“在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当按照有关法律法规规定在境内存储。需要向境外提供数据的,应当通过数据出境安全评估”。这是落实相关法律法规内容的明确要求,也是智能网联汽车生产企业必须坚定遵循的行业规范。
总体而言,确保数据安全是智能网联汽车产业、企业、产品、服务发展的基本前提,也是保障生命安全、公共安全、国家安全的重要内容。《意见》关于强化数据安全管理的要求为智能网联汽车生产企业在管理数据、保护数据、合法利用数据方面指明了方向,有利于加快智能网联汽车数据安全保障体系建设,提升数据安全保障能力,推动制造强国、网络强国和交通强国建设。未来,智能网联汽车生产企业及领域内相关单位和从业者必须认真落实《意见》要求,既要合理利用数据,又要认真保护数据,以更全面的作为促进智能网联汽车产业高质量发展之路行稳致远。
(作者系中国电子信息产业发展研究院副院长黄子河)