在“软件定义汽车”时代,智能网联已是大势所趋。随着越来越多的通信和应用场景在汽车这一载体中实现,车联网安全的重要性日益凸显。
近日,工信部接连发布两份文件,强调车联网安全。6月11日,工信部就《关于加强车联网卡实名登记管理的通知(征求意见稿)》公开征求意见,其中提出,道路机动车辆生产企业应按照行业主管部门有关要求,负责本企业生产、销售车辆所载车联网卡的实名登记工作,包括建立严格的车联网卡采购、使用、实名登记、信息安全保护等管理制度,建设车联网卡实名登记管理平台,与电信企业共同做好车联网卡实名登记工作。
就在上述文件发布前一天,即6月10日,工信部还发布了《关于开展车联网身份认证和安全信任试点工作的通知》,要求试点单位通过基于商用密码的数字证书、数字签名、数据加密、安全芯片、软件模块等技术和组件,构建车联网身份认证和安全信任体系,推动商用密码应用,保障蜂窝车联网(C-V2X)通信安全,从而加快推进车联网网络安全保障能力建设。
这是国家层面强化车联网安全的最新举措,尤其是试点项目围绕车与云安全通信、车与车安全通信、车与路安全通信、车与设备安全通信四个方面展开,涉及到车辆定位及感知数据的可信采集、汽车远程升级可信验证、基于安全通信的辅助驾驶和有条件自动驾驶应用、车路协同、车辆远程控制、无钥匙进入、新能源汽车充电应用等大量应用场景。这些也是互联网企业、车企乃至各大车联网及智能网联示范区正在普遍测试的场景。
当前,以大数据、云计算、人工智能为代表的数字技术与移动出行服务加速融合,受消费者体验需求、厂商主动优化等多因素驱动,我国车联网产业规模不断扩大。不过,我国车联网建设还处在引导和发展阶段,各方面标准和法律规范都不够完善,车辆端、通信安全、基础设施等都存在一定的安全风险。今年全国两会期间,代表委员有十余份议案提案和建议涉及车联网安全风险,可见这一问题的重要性。
《车联网网络安全白皮书(2020年)》显示,随着我国智能网联汽车渗透率逐渐升高,网络安全事件频发,2019年因网络安全问题导致的汽车安全事件占比高达57%。在去年9月召开的泰达论坛上,工信部有关领导透露,从2020年年初到9月,网络上针对整车企业、车联网信息服务提供商等相关企业和平台的恶意攻击达到280万余次,平台漏洞、通信劫持、隐私泄露等风险十分突出。
国家已经意识到了车联网安全问题的重要性和紧迫性,也采取了一些措施,尤其是进入今年以来,一系列相关文件陆续出台。除了本文开头提到的两份文件外,今年4月7日,工信部发布了《智能网联汽车生产企业及产品准入管理指南(试行)》(征求意见稿),从企业和产品两方面,对智能网联汽车网络安全作出了多项要求,包括依法收集、使用和保护个人信息,不得泄露涉及国家安全的敏感信息等;4月28日,全国信息安全标准化技术委员会发布了《信息安全技术网联汽车采集数据的安全要求》标准草案;5月,国家互联网信息办公室会同有关部门起草了《汽车数据安全管理若干规定(征求意见稿)》,这是国内汽车数据领域的一次立法尝试,对汽车数据从收集、分析、存储到传输、查询、应用和删除等全流程作了较为详细的规定。
就在6月10日,全国人大常委会表决通过了《数据安全法》,可见数据安全已经上升到了国家安全层面。这也有助于推动汽车行业建立更完善的汽车数据安全监管机制、监管技术和监管平台。
不过,强化车联网安全既不能只靠政府,也不能只盯着汽车企业,还需要相关行业企业协同发展,包括电信企业、互联网企业、电子零部件企业、网络安全企业等都需要进一步加大对车联网安全的投入,从而共同完善车联网安全保护体系,提升车联网安全能力和水平。应该看到,在政策密集出台的背景下,有些企业特别是跨国企业已经行动起来,除了引发众多争议的特斯拉近期宣布在中国建立数据中心以实现数据存储本土化外,福特、大众、宝马、戴姆勒等车企也已经或打算在中国建立数据中心。可以说,为了实现车联网安全,既要立法先行、监管到位,还需要鼓励行业企业自律,以及与外部相关企业之间进行开放合作。
