2022年12月7日，智能網(wǎng)聯(lián)汽車(chē)數(shù)據(jù)治理和發(fā)展論壇成功召開(kāi)。中汽研軟件測(cè)評(píng)（天津）有限公司軟件與信息安全測(cè)試研究部副部長(zhǎng)邵學(xué)彬發(fā)表“汽車(chē)網(wǎng)絡(luò)安全與數(shù)據(jù)安全測(cè)試評(píng)估研究與實(shí)踐”主題報(bào)告。

邵學(xué)彬表示，隨著汽車(chē)智能化、網(wǎng)聯(lián)化的發(fā)展，智能網(wǎng)聯(lián)汽車(chē)引發(fā)的網(wǎng)絡(luò)安全和數(shù)據(jù)安全問(wèn)題日益凸顯。針對(duì)智能網(wǎng)聯(lián)汽車(chē)的數(shù)據(jù)安全問(wèn)題，數(shù)據(jù)分級(jí)分類(lèi)保護(hù)是先決條件，數(shù)據(jù)全生命周期保障體系是核心，產(chǎn)業(yè)鏈上下游統(tǒng)籌協(xié)調(diào)是關(guān)鍵；同時(shí)要依法依規(guī)開(kāi)展數(shù)據(jù)安全檢測(cè)評(píng)估，推動(dòng)企業(yè)安全水平能力的提升。

以下為演講摘要：

報(bào)告主要從四個(gè)方面展開(kāi)，第一部分是標(biāo)準(zhǔn)政策的建設(shè)進(jìn)展，第二部分是合規(guī)的要點(diǎn)以及應(yīng)對(duì)的建議，第三部分是數(shù)據(jù)安全合規(guī)方案，最后一個(gè)部分是數(shù)據(jù)安全測(cè)試方案。

一、標(biāo)準(zhǔn)政策的建設(shè)進(jìn)展

汽車(chē)智能化、網(wǎng)聯(lián)化的快速發(fā)展既帶來(lái)了機(jī)遇，也帶來(lái)了更多的數(shù)據(jù)安全挑戰(zhàn)，數(shù)據(jù)安全問(wèn)題日益凸顯。為了保障汽車(chē)數(shù)據(jù)安全，汽車(chē)網(wǎng)絡(luò)安全與數(shù)據(jù)安全領(lǐng)域相關(guān)法律法規(guī)和政策密集出臺(tái)，如國(guó)外的GDPR，國(guó)內(nèi)的《關(guān)于加強(qiáng)智能網(wǎng)聯(lián)汽車(chē)生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理的意見(jiàn)》《關(guān)于加強(qiáng)車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全工作的通知》等法律法規(guī)，國(guó)內(nèi)外數(shù)據(jù)安全監(jiān)管力度逐步加強(qiáng)。不僅僅是法律法規(guī)，汽車(chē)數(shù)據(jù)安全的標(biāo)準(zhǔn)體系也在持續(xù)完善中，以指導(dǎo)行業(yè)全面性落實(shí)法律法規(guī)要求，如GB/T《智能網(wǎng)聯(lián)汽車(chē) 數(shù)據(jù)通用要求》（公開(kāi)征求意見(jiàn)）、GB/T 41871《信息安全技術(shù) 汽車(chē)數(shù)據(jù)處理安全要求》等等。

二、合規(guī)的要點(diǎn)以及應(yīng)對(duì)的建議

面對(duì)日益凸顯的數(shù)據(jù)安全問(wèn)題，報(bào)告提出了幾點(diǎn)合規(guī)要點(diǎn)以及應(yīng)對(duì)建議：第一是建立數(shù)據(jù)分類(lèi)分級(jí)保護(hù)制度。智能網(wǎng)聯(lián)汽車(chē)數(shù)據(jù)面臨的安全風(fēng)險(xiǎn)較高，除涉及種類(lèi)更為繁雜的車(chē)內(nèi)數(shù)據(jù)，還涉及車(chē)云通信、車(chē)與設(shè)備通信、車(chē)車(chē)/車(chē)路通信過(guò)程中產(chǎn)生和收集的數(shù)據(jù)，應(yīng)建立數(shù)據(jù)分類(lèi)分級(jí)保護(hù)制度。第二是汽車(chē)數(shù)據(jù)處理鏈中各環(huán)節(jié)技術(shù)復(fù)雜，各數(shù)據(jù)處理環(huán)節(jié)都會(huì)引入不同的數(shù)據(jù)安全問(wèn)題，保護(hù)難度大。第三是汽車(chē)產(chǎn)業(yè)鏈較長(zhǎng)，并涉及整車(chē)企業(yè)、元器件供應(yīng)商、網(wǎng)絡(luò)運(yùn)營(yíng)商、內(nèi)容和服務(wù)供應(yīng)商等眾多的參與方，數(shù)據(jù)流通大、安全風(fēng)險(xiǎn)難以把控。第四是要提升企業(yè)數(shù)據(jù)安全管理能力，總體思路是以數(shù)據(jù)資產(chǎn)管理為基礎(chǔ)，與產(chǎn)品研發(fā)相結(jié)合，以合規(guī)為主要導(dǎo)向。最后是強(qiáng)化數(shù)據(jù)安全技術(shù)能力，針對(duì)數(shù)據(jù)收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)、刪除等全生命周期，采取相應(yīng)的安全技術(shù)措施等，通過(guò)關(guān)閉相應(yīng)數(shù)據(jù)傳輸通道、訪(fǎng)問(wèn)建立數(shù)據(jù)出境接口動(dòng)態(tài)監(jiān)管、建立結(jié)構(gòu)化保護(hù)模塊等措施避免數(shù)據(jù)不知情出境。

三、數(shù)據(jù)安全合規(guī)方案

針對(duì)數(shù)據(jù)安全合規(guī)的解決方案，首先需要進(jìn)行數(shù)據(jù)資產(chǎn)盤(pán)點(diǎn)，其次需要依托現(xiàn)行政策法規(guī)要求，列舉智能網(wǎng)聯(lián)汽車(chē)可能引發(fā)的數(shù)據(jù)安全風(fēng)險(xiǎn)，剖析風(fēng)險(xiǎn)點(diǎn)、風(fēng)險(xiǎn)原因、風(fēng)險(xiǎn)表現(xiàn)等，分門(mén)別類(lèi)進(jìn)行歸納分析，總結(jié)行業(yè)、企業(yè)的普遍做法及應(yīng)對(duì)方案。再次，需要監(jiān)管部門(mén)建立滿(mǎn)足國(guó)內(nèi)、GDPR數(shù)據(jù)安全監(jiān)管要求的管理體系。此外，還需要進(jìn)行數(shù)據(jù)安全測(cè)試，對(duì)車(chē)外人臉/車(chē)牌數(shù)據(jù)進(jìn)行匿名化測(cè)試，對(duì)車(chē)輛數(shù)據(jù)出境、個(gè)人信息的處理進(jìn)行測(cè)試。最后，需要構(gòu)建國(guó)內(nèi)首個(gè)汽車(chē)數(shù)據(jù)安全與個(gè)人信息保護(hù)自愿性認(rèn)證（CADP），依托相關(guān)標(biāo)準(zhǔn)規(guī)定，從體系、產(chǎn)品測(cè)試兩個(gè)維度提出要求。

四、數(shù)據(jù)安全測(cè)試方案

最后，報(bào)告針對(duì)上文方案中提到的數(shù)據(jù)安全測(cè)試方案做出具體解讀。

1、針對(duì)車(chē)外人臉信息等匿名化處理測(cè)試，車(chē)外人臉或車(chē)牌信息在無(wú)法征得個(gè)人同意，且需向車(chē)外提供的情況，檢測(cè)是否對(duì)圖片/視頻中的人臉及車(chē)牌信息進(jìn)行了匿名化處理且是否達(dá)到要求，通過(guò)自動(dòng)化檢測(cè)與人工核驗(yàn)結(jié)合的方式，對(duì)檢出率、誤檢率、交并比等指標(biāo)進(jìn)行計(jì)算，驗(yàn)證匿名化處理的效果。報(bào)告還列舉了車(chē)牌和人臉的匿名化案例。

2、需要開(kāi)展個(gè)人信息處理測(cè)試，測(cè)試驗(yàn)證個(gè)人信息處理的合法性、安全性以及是否存在個(gè)人信息過(guò)度采集的情況。

3、針對(duì)車(chē)輛向外傳輸?shù)臄?shù)據(jù)，利用自研工具分析通信流量是否存在境外IP，檢測(cè)是否存在數(shù)據(jù)出境情況。

審核編輯 ：李倩