关于构建完善汽车数据安全管理体系的建议

关于构建完善汽车数据安全管理

体系的建议

01

汽车数据安全问题日趋严峻

随着智能网联汽车的发展，汽车已经从传统代步工具演化为一

台拥有数据中心架构的移动终端。智能汽车领域信息化程度大

幅提升，网络数据安全攻击事件也随之增加，越来越多的攻击

者将攻击目标从传统终端转向智能网联汽车。以汽车数据为核

心的新安全问题日益凸显，汽车数据安全事件频发。2022年

下半年，某车企的部分用户基本信息和车辆销售信息被黑客窃

取，并以此遭受巨额勒索。车联网数据安全形势日趋严峻，智

能网联汽车的数据安全防护亟需重点关注。同时，木马攻击、

隐私窃取等网络威胁，正从传统网络逐渐向智能网联汽车领域

渗透。据《2022年全球汽车网络安全报告》显示，2021年车

联网攻击事件相比2018年增长了225%。与传统网络攻击不

同，车联网的安全可能直接威胁驾驶或乘坐汽车人员的生命安

全，扰乱社会稳定、波及。

02

两会上雷军的汽车数据安全问题建议

3月4日，全国人大代表，小米集团创始人、董事长兼CEO雷

军在两会上针对“构建完善汽车数据安全管理体系”提出具体

建议。

在汽车数据安全管理体系方面，雷军认为智能网联汽车作为

车轮上的数据中心，其承载的行驶轨迹、生物特征等敏感个人

信息，及地理信息、车外影像等，既是数字经济发展的重要要

素资产，也给个人隐私、国家公共利益与安全带来了挑战。

在《关于构建完善汽车数据安全管理体系的建议》中，雷军指

出：目前国家已发布若干汽车相关的数据安全推荐性国家标

准，规范了网约车服务及汽车数据采集等部分场景要求，尚无

法覆盖到研产供销全业务领域。为此雷军建议，由主管部门牵

头，定义汽车数据分类分级规则，加快制定围绕汽车生命周期

和数据生命周期两条主线的数据安全标准，指导产业发展。同

时建立智能网联汽车数据安全认证制度、数据安全评级及公示

制度，提升行业透明度与可信度。

另外，雷军还指出，当前各车企间数据尚未实现有效安全流

通，数据孤岛普遍存在，数据价值无法充分发挥。他建议，应

当在保障数据安全的前提下，构建汽车数据共享机制及平台，

让各车企间的数据实现流通，将数据转化为社会生产力。

03

小米汽车的数据安全挑战

目前，小米汽车研发团队已经召集超过了2300人，力争

2024年一季度小米汽车将正式量产。但是小米正在紧锣密鼓

全力攻克汽车技术的敏感时期，小米汽车却遭遇数据泄露。

今年1月，某博主在网上发布小米汽车首款车型小米MS11的

外观以及保险杠、装饰件等设计图片，以及小米与北汽模塑相

关合作细节等，引发网络热议。

对此，小米集团公关部回应称，泄密的文件确是二级供应商

保密的设计文件。2月2日，小米官方微博通报该数据泄露事

件处理结果：小米汽车合作方北京某模塑科技因对其下游供应

商管理不善，泄露了汽车的早期设计稿。

小米集团表示，已依据《保密协议》对涉事合作方进行了严肃

处理，包括：依照《保密协议》处以100万元的经济赔偿；责

成其对下游供应商加强信息安全管理，并对泄密肇事人进行严

肃处理；责成供应商制定详细整改方案，全面升级保密措施。

在汽车尚未正式量产之前，小米已经面临严峻的企业数据安

全问题，而后续大量汽车入市后，每辆汽车每天都可能会不断

收集各类数据，如何确保大量数据的安全问题，将是小米汽车

面临的巨大挑战。

我们认为汽车数据安全问题，已经不只是智能汽车必须攻克

的技术问题，更是相关法律法规要求下的合规挑战，比如数据

收集处理、数据跨境、企业的安全合规管理流程等，需要常态

化建设、持续监管投入及技术革新。据悉，小米汽车安全团队

也在不断招兵买马，逐步构建汽车数据安全防线。

04

国内外汽车网络数据安全法律法规

国内外高度关注汽车智能化、网联化发展的潜在安全隐患，多

个国家和地区加快推进网络安全、数据安全等相关工作。2020

年6月，联合国世界车辆法规协调论坛通过了《汽车网络安全

和网络安全管理》法规，明确车辆制造商满足汽车网络安全强

制认证要求。2022年6月后，欧盟依据《一般数据保护条

例》（GDPR）法规，对汽车企业使用个人信息和数据跨境传输

进行监管。美国先后出台了《联邦自动驾驶汽车政策》《自动

驾驶系统：安全愿景2.0》《自动驾驶汽车综合规划》等，提

出采取防护措施应对自动驾驶汽车的网络威胁和漏洞、隐私和

数据保护风险等具体要求。

近年来，我国已经制定并实施《中华人民共和国网络安全

法》、《中华人民共和国数据安全法》以及《中华人民共和国

个人信息保护法》等数据保护领域的重要法律。汽车行业相关

部委也在不断加强监管和保护，2021年7月，国家互联网信

息办公室公布《汽车数据安全管理若干规定（试行）》，首次

清晰界定了“汽车数据处理者”和“重要数据”类型等内容，

同年8月，工业和信息化部发布《关于加强智能网联汽车生产

企业及产品准入管理的意见》，明确企业应当建立健全汽车数

据安全管理制度，建立数据资产管理台账，实施数据分类分级

管理，建设数据安全保护技术措施，确保数据持续处于有效保

护和合法利用的状态，依法依规落实数据安全风险评估、数据

安全事件报告等要求。企业需要满足相关部委合规监管要求，

健康合理发展产业。

智能汽车行业中的数据安全问题是新生事物，诸多难点包括

数据分类分级问题、重要数据的处理、存储和出境问题和主体

责任分配问题等，解决这些问题需要上下游产业链企业、车

企、政府多方协力，细化行业要求、加强政府监管、加速试点

落地。行业主管部门、市场安全监管部门、交通运输部门以及

网络信息主管机构等多部门多机构的协同联动，明确职责划

分，定期交流，将进一步促进汽车数据安全监管与智能汽车的

蓬勃发展和安全落地。

审核编辑 ：李倩