車企上云，數據的合規使用和安全防范將是重中之重！

嚴格意義上來說，汽車數字化的基礎是各種數據集成，數據集成所被表現出來的，則是軟件的大量應用。而車內的車機系統、智能駕駛座艙、自動駕駛功能等，都是汽車數字化的具體呈現，同時也是車內最容易出現網絡安全漏洞的部分。一旦這些部分出現網絡安全問題，將會對用戶造成比較嚴重的影響。

相比智能手機，汽車數據網絡安全問題給人帶來的威脅以及損失更大，這也注定車企需要花費更多的精力來投入到車上數據網絡安全的建設。

近日，騰訊智慧出行與汽車之心聯合策劃了「行者有云」系列沙龍第二期《車企上云，如何構筑云上安全防線》正式播出。本期沙龍邀請了上海帆一尚行科技有限公司網絡安全總監、上汽騰訊網絡安全實驗室聯合負責人陳寧，以及騰訊安全策略發展中心總經理呂一平。此次沙龍主要圍繞數據安全和風險防御問題，共同探討了車企在系列新規背景下，將采用怎樣的新手段、新模式來保證數據的合理開發利用，并有效防范潛在網絡安全風險。

3 類數據、5 方面舉措車企需合規使用數據

在智能網聯汽車發展早期階段，數據的收集和應用，并沒有明確的相關法律法規進行規定，相比于被強制監管數十年的金融領域，汽車數據安全防護還是“新兵”。去年 8 月，國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、公安部、交通運輸部聯合發布《汽車數據安全管理若干規定（試行）》，自 2021 年 10 月 1 日開始實施。與汽車數據安全法前后發布的法規，還有《個人信息保護法》《數據安全法》等，多項關于數據的法規密集發布，都讓車企們意識到，數據合法合規使用，是必然趨勢。

畢竟，智能汽車每天收集到的數據非常龐大，除駕駛員的個人信息數據之外，更重要的一點是，智能網聯汽車的傳感器能夠實時收集到高精度地圖數據，這涉及到很多敏感的地理位置信息。因此，車企想要合法合規使用數據，首先需要對這些數據進行分類。

騰訊安全策略發展中心總經理呂一平

對此，呂一平認為汽車行業主要有 3 大類數據比較重要：

汽車研發過程中車輛狀態的相關數據，這一類數據一直被車企所收集，并留作自用。與用戶相關的隱私數據，當前國家有明確的法律法規要求車企對這類數據進行保護，并對不同的使用場景，對數據要進行明確的分類分級，并依據法規使用用戶隱私相關數據。敏感數據的使用，比如傳感器收集到的地理位置數據、高精度地圖數據，這一塊主要涉到國家安全部分，是車企需要非常關注的點。數據分類分級之后，則是數據的合規使用問題。

海帆一尚行科技有限公司網絡安全總監、上汽騰訊網絡安全實驗室聯合負責人陳寧

對此，陳寧根據目前的相關法規，總結了 5 方面舉措：

在使用數據前，車企的相關車輛應用服務必須要通過等保測評，并建立起相關的網絡安全或數據安全的配套防護措施和防范的管理體系。當前法規明確要求，默認車企不得收集用戶上車數據，如果需要收集，則必須告知用戶，以及需要收集的數據信息。在收集數據狀態中，讓用戶知道正在收集其數據，如果有些信息用戶不希望被收集，則需要允許用戶進行屏蔽。

車企要盡量將車內敏感數據模糊化處理，防止通過數據清晰定義用戶的情況出現。在數據流通和共享上，按照數據安全法和汽車數據安全法相關規定，車企每年 12 月份要上報數據安全報告。同時，汽車在向海外發展的過程中，如果數據要向境外輸出，則需要經過相關評審。建立數據的分級分類，并合法合規使用，僅僅是建立數據安全防護的基礎。在分級分類防護數據之后，更為重要的是，車企要建立針對網絡安全問題的應對和響應機制，以及相對應的處理技術能力。

此前，傳統的汽車產業中，如果汽車出現了某些安全問題，車企一般都會通過召回的方式解決這些問題，但召回的周期很長，很難適應網絡安全問題的節奏變化。

陳寧表示：“如果車企能夠建立起針對網絡安全問題的 48 小時之內的安全補丁或修復能力，這將是未來車企很大的競爭力。”

加大研發投入車企要加速建立網絡安全防護體系

不過，現階段車企針對汽車數據網絡安全防護仍處于探索初期，其想要逐漸構建自己的安全防護網絡體系，將是一個相當漫長的過程。

一方面，數據安全僅僅是車企網絡安全建設中一部分內容，想要做好數據安全，車企還要打好很多地基工作。如云上安全，技術架構安全等，還包括很多相關網絡安全建設，如云上的邊界防護、安全監測、網絡安全的漏洞或者網絡安全響應的能力等。另一方面，人才問題也是影響汽車網絡安全建設進程的一個重要因素。陳寧表示，在網絡安全領域，中國高校每年輸送的畢業生大概是 10 萬人左右，但自去年開始，出現非常大的缺口，未來的趨勢也是缺口逐漸變大，相對應的，涉及到汽車網絡安全的人才缺口，將會更大。

雖然汽車數據網絡安全建設是一個長周期的持續投入，但在當前各項法規要求的倒逼下，車企也應該逐漸加快自身在網絡安全防護體系的建設。

從車企本身汽車網絡安全建設進程來說，陳寧以上汽為例，闡述了上汽的汽車產品從研發，到生產，再到交付以及交付之后的相關防御措施。在汽車投產之前，對于產品的零件或者整車，會在技術和流程上，從安全設計、滲透測試、投產運營等方面做一系列的測試研發。針對車內安全網絡防護，上汽現階段所建立的防御體系主要是從云管邊端逐層防護，同時，傳統云驅動安全內容也適用于當下。

通道方面，則主要是從云端到車端的通訊鏈路，用加密方法進行加密，確保上汽的鏈路不會被截斷或者被中間人截取掉。同時，上汽也對車與車之間進行傳輸的信息給予加密保護，保證數據的安全性和唯一性。在車輛交付之后，上汽也會建立相關的防御措施，比如網關或者 IDPS 等，通過它將車輛相關的模塊或者相關的服務隔開，確保車輛在行駛過程中關鍵通信和關鍵指令不會被人惡意篡改掉。

除了車企本身的自我網絡安全防護體系建設外，車企也會尋求外部網絡安全公司的合作。其中，騰訊一直是將自己定位為汽車行業助手的角色，助力汽車行業在安全方面形成自身的能力。

騰訊在與車企的合作過程中，主要為車企提供 4 方面的能力，幫助車企構建數據網絡安全：

騰訊云助力車企云上安全，幫助車企在云服務端構建安全防護體系，形成有效的安全防護能力。

針對車端存在的 security 和 safety 風險問題，騰訊具備研發和測試等合規的品牌和工具，助力車企在這方面的能力建設。在數字化營銷場景下可能存在的“黑產”問題，騰訊可以提供相對應的解決方案，保證車企在營銷過程中更好的觸達用戶，大大降低”黑產”薅羊毛的機率。而騰訊能夠通過自身能力幫助車企對數據進行分類分級，界定清楚各類數據的重要性，并在此基礎上助力車企構建數據安全保護方案。

在實際的合作案例中，此前騰訊已經與上汽組建了聯合實驗室，上汽在設計了相關防御測試后，需要建立自己的驗證和測試體系。而騰訊則參與到了上汽部分車輛中智能座艙的設計和規劃工作，在設計和研發早期，基于安全防護方面的能力，助力上汽產品的研發。

前文也有所言，在數字化網絡安全防護方面，汽車行業還是“新兵”，車企雖然逐漸在加強對這方面的重視，但目前仍是處于早期投入階段。呂一平表示，在金融行業，一般在網絡安全方面的研發投入可能是在 6%-8% 之間，而當前汽車行業的投入則普遍在 2% 左右。

事實上，從法規密集發布情況來看，網絡安全給汽車行業做響應時間并不多了。如果車企不能夠加快節奏，逐漸提高在該領域的研發投入，極有可能面臨著極大的風險，一旦出現大規模的網絡安全事件，則將是對整個行業的重大打擊。