案 由:關于加強智能網聯汽車生產制造安全與數據安全標準建設的提案
審查意見:建議工信部、交通部、科技部、公安部研究辦理
提案人:嚴望佳
主題詞:智能網聯汽車安全、工業互聯網安全
提案形式:個人提案
內 容:
一、問題及原因分析
當前大量具有輔助駕駛(L2級)功能的車輛已進入市場,根據《交通強國建設綱要》及《智能汽車創新發展戰略》,中共中央、國務院明確要求加強智能網聯汽車研發,形成完整自主可控產業鏈,到2025年實現有條件自動駕駛(L3級)汽車達到規模化生產,高度自動駕駛(L4級)汽車在特定環境下市場化應用。
伴隨汽車智能化應用場景不斷豐富,智能網聯汽車安全問題呈擴大趨勢。近年來汽車網絡與數據安全事件頻發,主要體現在非授權濫采數據、用戶隱私泄露、車輛遠程非法控制、汽車功能失效等。一旦大范圍聯網車輛及數據遭遇攻擊、竊取和濫用等安全問題,會給國家安全、交通安全和用戶隱私安全等造成重大影響,當前智能網聯汽車安全主要存在以下難題:
(一)智能網聯汽車生產制造安全相關標準缺乏統籌協調
從國內協調看,智能網聯汽車相關安全標準規范豐富,但起草單位視角不同,要求實現方式也不盡相同。例如安全行業與汽車工業界提出標準,多是從自身產業角度出發,其中部分標準要求內容交叉,落實指導意見存在較大差異,結果是導致安全企業與智能網聯汽車生產制造企業標準執行難,相關標準公信力下降。
從國際國內協調看,聯合國世界車輛法規協調論壇作為國際汽車技術法規的協調與統一機構,已制定智能網聯汽車安全條例,對信息安全、軟件升級、自動車道保持等提出要求,對于我國出口境外的車型車輛,自2022年7月起即要滿足該標準,但目前國內尚未形成符合我國國情的,能夠與我國法律法規相適應的權威安全強制標準。
(二)智能網聯汽車數據安全標準落地實施困難
區別于傳統汽車僅有本身車輛數據的情況,智能網聯汽車通過車內外傳感器采集大量行駛數據、環境數據和行為數據,還采集海量操作系統的用戶行為數據,已逐漸成為產生與連接海量數據的中樞。一輛L4高等級自動駕駛汽車每日產生約10TB數據,是傳統汽車的近10倍。
目前針對智能網聯汽車數據安全,多部門數據安全監管側重點不同,使車企在合規時面臨資源重復投入。現行法律法規尚未規范不同數據處理者的責任邊界,由車企背負了較重的汽車數據安全合規主體責任。在企業執行層也面臨諸多難題,如“數據脫敏處理原則”影響自動駕駛技術進步,“車內處理原則”實現難度高,“個人單獨授權原則”給用戶使用帶來不便等。
二、具體建議
平衡發展與安全,統籌協調汽車研發、生產、通信、安全監管、信息化等各領域主管部門和業內優秀企業,從汽車設計、電子系統零部件生產、集成、通信、網絡、虛擬化等行業領域,形成覆蓋智能汽車應用場景下的權威安全標準體系及建設指南。
(一)統籌制定智能網聯汽車生產制造權威安全標準
(二)兼顧創新與安全形成智能網聯汽車數據安全標準
著眼標準統一性、協調性、落地性,建設適合汽車行業的數據分類分級標準,特別是在具體場景當中涉及到的身份數據、服務內容數據、信息安全數據等,為車輛數據安全管理提供支撐。建立覆蓋各類數據處理活動全生命周期的具體技術標準。當前信安標準發布了TC260—001《汽車采集數據處理安全指南》,但在數據供給、開發利用、流通等環節存在缺失。