汽车信息安全隐患多 筑信息护城河政府责任重大

近段时间，博泰公司、上汽通用五菱与腾讯之间因为“侵权”、“炒作垄断”等纠葛上了新闻，被称为车联网行业第一案。事件背后，实际上还隐藏了车联网信息安全问题。随着更多车辆接口的开放和更多接入方式的引入，车辆信息安全成为关注的焦点。

对于车联网信息安全的众多问题，记者采访企业、行业与法律方面专家，探讨车联网信息安全发展。

汽车信息安全隐患多 需多方协力消除

►《中国汽车报》：车端智能设备与App的增多给驾乘人员带来了更便捷和舒适的体验，但同时也引发了车主对数据隐私的担忧，信息安全问题已经慢慢在潜伏和集聚。汽车信息安全隐患来自哪些方面?对消费者和产业健康发展的不利影响有哪些?

北京大成(上海)律师事务所合伙人陈立彤：车辆的信息安全隐患主要包括三大风险源：一是移动通信网络环境;二是车辆内部的车载网络环境，这些总线网络架构脆弱、带宽较小，在车联网的冲击下使得车辆的信息流结构异常脆弱;三是汽车愈发成为一个高度复杂的移动系统，由于承载更多功能，在黑客面前，它也暴露了更多的系统攻击入口。对于车联网信息来说，自动驾驶的网络安全相当于一台保险柜。我国实行网络安全等级保护制度就在打造可靠的保险柜，来保障公民信息安全。

于万智驾首席技术官刘煜：目前车联网信息安全方面潜在的隐患比较多，比如：不经过用户允许就收集用户使车辆用信息，对于收集信息的类型以及用途也并不明确。对于企业来说，如何保证用户信息的安全以及收集到的信息不被滥用也是一个值得关注的问题。海量的数据信息可能导致被而已收集并滥用，不法分子可能也会利用信息进行诈骗、贩卖等等，从而给用户带来损失。深远来看，有可能会让用户对车联网技术失去信任，不利于产业的整体推广。

中国物联网联盟副秘书长贺思聪：工业制造领域信息安全本身是一个成熟完善的系统工程领域。相关信息安全法规和设计方案一直是横向在各制造业延展，难点在于各行业纵向应用和落地，以及横向跨行业延展的复杂情况。当前智能网联汽车信息安全横向纵向问题同时存在。纵向是针对汽车行业的应用，横向是来自互联网及移动互联网跨界而来的风险。

►《中国汽车报》：汽车信息安全于行业发展而言是一个新课题，那么，保障汽车信息安全将会涉及到哪些不同的产业主体?它们应当如何协同合作?可能存在的障碍会有哪些?

于万智驾首席技术官刘煜：汽车信息安全涉及的领域有很多，以车端为例，有信息的采集设备、应用软件、通信链路、数据存储服务，还有对这些收集到的数据进行分心和挖掘的服务。许多信息的使用环节都存在安全风险，涉及到汽车使用者的隐私信息。

信息使用环节的各个模块需要进行统一的协调，需要行业标准或者政府牵头制定规范，同时还应该建立起健全的监督体制。

中国物联网联盟副秘书长贺思聪：针对信息安全，整车厂在纵向上需要进一步加快自身的数字信息化转型，提升自身的应对能力，比如增加专属职能部门，强化软硬件设备系统。横向上需要依赖专业信息安全方案企业提供最先进的技术，以及贯通产业上下游企业协同设计整体方案。

陈立彤：从资源整合者、平台提供者到技术层、应用层和服务层，都涉及汽车信息安全，常见的有车企、经销商、服务商和零部件供应商。对于这些主体来说，要做好合规风险管控三原则，一是风险穿透，在涵盖直接参与运营项目的利益相关方之外，还应将虽不直接参与运营，但其提供的技术、产品、服务参与运营的间接利益相关方纳入风险管理体系;二是主动管理，侧重主动出击、管理风险，防范于未然;三是联合管理，各直接利益相关方应建立跨组织的联合管理制度，而不是由各利益相关方各自“单打独斗”。

♦国内法律和制度完善与国外有差距

►《中国汽车报》：在汽车信息安全技术的研发，国内和国际是否存在差距?如果有，我国差在哪些方面?如何补足?

陈立彤：是否有差距主要考量三个方面，一是看投入的资金量，投入越大，成果往往越明显;二是看研发的场景，无人驾驶要不断实验测试与实际场景的路测，训练越多，技术也就越好。三是要看商用程度，商用化程度越高整体水平也就越好。从这三个方面来看，国内外各具优势，我国也有表现比较突出的企业。

于万智驾首席技术官刘煜：最主要的差距在于法律和制度。比如美国在信息安全和个人隐私方面的法规相对更加健全。

中国物联网联盟副秘书长贺思聪：纵向问题国内外差距不大，所有整车厂都在进行智能网联汽车产品设计以及内部数字化转型。至于横向，国内的信息安全风险比国外严重，但解决方案更先进。由于我国巨大消费市场和用户应用场景，致使我国信息安全更为迫切棘手，也催生了更多更好的方案和专业企业。

♦筑信息护城河政府责任重大

►《中国汽车报》：缺乏通用标准，是目前智能汽车发展的掣肘。目前，我国对于汽车信息安全标准建设的工作进展到了什么程度?遇到了哪些挑战?最快什么时候能基本成形并实施?国内标准和国际标准能否统一?

中国物联网联盟副秘书长贺思聪：目前我国相关主管单位已经发布了车用信息安全的要求法规意见稿。同时也有多个职能单位从其他领域进行规范要求设计。短期来看国内一定会快速形成信息安全相关法规标准再配合整车厂的企业标准能够最大程度上覆盖大部分问题。

陈立彤：国家先后出台《网络安全法》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》等法律法规，明确数据安全、数据跨境流动管理的基本原则和制度要求。而且工信部也明确表示，将推进车联网网络安全标准制定，一是推动发布车联网网络安全标准体系框架，明确总体与基础、终端与设施、网联与数据、应用服务、安全保障等方向重点标准清单。二是以工业互联网企业网络安全分类分级管理试点为载体，面向整车企业、车联网平台企业部署开展车联网安全贯标试点，加速标准落地。

►《中国汽车报》：汽车信息安全不仅涉及消费者个人信息安全和车辆安全，甚至关乎国家安全。因此，从政府层面上，应当在汽车信息安全上做哪些工作?给予哪些政策支持?制定哪些法规?

于万智驾首席技术官刘煜：需要政府牵头制定法规来规范如下几个问题：一是哪些信息是不经过用户许可就可以采集的，哪些是经过用户许可，就可以采集的，哪些用户使用信息是禁止的(不论用户愿意不愿意);二是谁有资格采集和存储这些收集到的信息，肩负着什么样的责任和义务;三是限制信息收集的处理过程、目的。比如分析驾驶习惯来确定保险保额，这可能是允许的用途。但是分析某个人的行动轨迹、刺探某个人的隐私就是不允许的目的;四是信息被滥用所负的责任;五是信息遭到泄露之后的补救措施;六是建立白名单和黑名单列表。

中国物联网联盟副秘书长贺思聪：信息安全的关键推进更可能依赖客观事件，比如斯诺登事件是互联网信息安全推进的直接动力。目前车载信息安全事件包括客户服务隐私相关的投诉快速增加，此类事件量质变化后会在短期内加速国家法规的落地。目前标准内容已经各方评审了一段时间，只等触发。

陈立彤：政府应该大力扶持企业、智库、研究院等机构进行汽车信息安全方面的调研，并引领制定汽车方面的等级保护。汽车网络安全的建设，仅靠一家企业肯定不行，还需要通过产业政策的引导，整合行业资源，共享研究成果，先做好网络安全的保险箱，才能保护好汽车用户的信息安全。(赵玲玲)