智能網(wǎng)聯(lián)汽車信息安全發(fā)展報告（2021）

一、智能網(wǎng)聯(lián)汽車信息安全具備三重重要意義

· 國家安全的重要防線

· 行業(yè)可持續(xù)健康發(fā)展

· 與個人隱私保護(hù)相關(guān)

1、智能網(wǎng)聯(lián)汽車信息安全是國家安全的重要防線

統(tǒng)籌安全與發(fā)展是新時期我國經(jīng)濟(jì)社會發(fā)展的指導(dǎo)思想，而網(wǎng)絡(luò)空間安全已上升為國家安全戰(zhàn)略。

習(xí)近平總書記指出：沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化

近年來，我國陸續(xù)出臺《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個人信息保護(hù)法》等法律法規(guī)。中央網(wǎng)信辦、工信部、公安部、交通部等相關(guān)主管部門從產(chǎn)業(yè)經(jīng)濟(jì)發(fā)展的各環(huán)節(jié)進(jìn)行規(guī)章制度、標(biāo)準(zhǔn)體系的制修訂、開展專項(xiàng)審查整治行動等工作部署。

2、智能網(wǎng)聯(lián)汽車信息安全事關(guān)行業(yè)的可持續(xù)健康

汽車安全領(lǐng)域的三大技術(shù)為信息安全、功能安全和預(yù)期功能安全，它們共同構(gòu)成了汽車的安全基線。

隨著汽車智能化、網(wǎng)聯(lián)化水平的提升以及各界對整體網(wǎng)絡(luò)環(huán)境安全的日益重視，信息安全技術(shù)正在占據(jù)越來越重要的地位，逐漸成為汽車安全的基本屬性之一。如果信息安全無法有效保障，智能網(wǎng)聯(lián)汽車的產(chǎn)業(yè)發(fā)展和市場化推進(jìn)都將面臨巨大阻礙。隨著智能網(wǎng)聯(lián)汽車行業(yè)的發(fā)展駛上“快車道”，信息安全逐漸成為研發(fā)與商業(yè)化的核心難題。因此，提升汽車信息安全、加強(qiáng)數(shù)據(jù)安全監(jiān)管、加大數(shù)據(jù)隱私保護(hù)，成為了“兩會”的熱議話題和行業(yè)訴求。

3、智能網(wǎng)聯(lián)汽車信息安全與個人隱私保護(hù)息息相關(guān)

智能網(wǎng)聯(lián)汽車所產(chǎn)生的數(shù)據(jù)既涵蓋了與車輛信息安全運(yùn)行關(guān)聯(lián)的數(shù)據(jù)，也包括了用戶數(shù)據(jù)、汽車應(yīng)用服務(wù)相關(guān)數(shù)據(jù)。這些數(shù)據(jù)將用戶的線上和線下信息結(jié)合，因此一旦其數(shù)據(jù)出現(xiàn)泄露，汽車用戶的個人隱私將難以得到保障。同時，智能網(wǎng)聯(lián)汽車或TSP云平臺一旦遭受非法入侵和攻擊，將會導(dǎo)致車輛被遠(yuǎn)程解鎖以及啟動，甚至其動力系統(tǒng)和轉(zhuǎn)向系統(tǒng)都可能會被惡意控制，從而造成車輛行駛安全事故或車輛被竊取的嚴(yán)重后果。

二、智能網(wǎng)聯(lián)汽車信息安全新形勢

1、智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)發(fā)展邁向新速度

2021年自主品牌L3級自動駕駛汽車陸續(xù)量產(chǎn)，小鵬汽車、蔚來、威馬汽車等造車新勢力不斷升級自動駕駛技術(shù)，基于智能汽車的“出行服務(wù)”、代客泊車、無人低速配送等特定場景成為量產(chǎn)切入點(diǎn)，百度、小馬智行、滴滴等公司開展RoboTaxi示范運(yùn)行工作，百度、阿里巴巴、騰訊、華為等互聯(lián)網(wǎng)與ICT企業(yè)深入?yún)⑴c，汽車與相關(guān)產(chǎn)業(yè)加速跨界融合和深度協(xié)同，產(chǎn)業(yè)鏈重構(gòu)，價值鏈不斷擴(kuò)展延伸，智能網(wǎng)聯(lián)汽車市場規(guī)模日益增加。

到2025年、2030年，部分自動駕駛、有條件自動駕駛智能網(wǎng)聯(lián)汽車銷量占當(dāng)年汽車總銷量的比例分別為50%、70%。

2、智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)發(fā)展面臨新風(fēng)險

在傳統(tǒng)交通工具時代，汽車處于信息孤島狀態(tài)，其信息安全需求主要體現(xiàn)在娛樂、連接、導(dǎo)航等車載信息娛樂系統(tǒng)。

智能網(wǎng)聯(lián)汽車的信息安全風(fēng)險主要包括以下七個方面：車外網(wǎng)絡(luò)安全風(fēng)險（包括短距離無線網(wǎng)絡(luò)、遠(yuǎn)距離移動網(wǎng)絡(luò)、V2X網(wǎng)絡(luò)、OTA、TSP云平臺、APP）、車內(nèi)網(wǎng)絡(luò)安全風(fēng)險（包括CAN總線、T-BOX 、OBD、IVI）和其他網(wǎng)絡(luò)安全風(fēng)險（充電電樁安全風(fēng)險、數(shù)據(jù)泄露風(fēng)險）。

三、智能網(wǎng)聯(lián)汽車信息安全最新進(jìn)展

1、各國正加快體系化政策的制定

聯(lián)合國方面：為積極應(yīng)對車輛的智能化、網(wǎng)聯(lián)化技術(shù)的快速發(fā)展，UN WP.29啟動了自1952年成立以來最大力度的改革，整合重組并設(shè)立了新的自動駕駛車輛工作組（GRVA），目的是加快推進(jìn)功能要求、測試方法和信息安全等相關(guān)法規(guī)的制定與國際協(xié)調(diào)。2019年6月，日內(nèi)瓦召開的第178次全體會議審議通過的《自動駕駛汽車框架文件》，明確了L3及更高級別自動駕駛的安全性和安全防護(hù)的關(guān)鍵原則，其中原則七、八分別是“信息安全”和“軟件更新”。2021年1月UN WP.29 宣布 CS/OTA及ALKS三項(xiàng)法規(guī)正式在1958《協(xié)議國》正式生效。

國內(nèi)：2021年，工信部及公安部分別發(fā)布了《關(guān)于加強(qiáng)智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理的意見》及《中華人民共和國道路交通安全法》征求意見稿，進(jìn)一步加速產(chǎn)品準(zhǔn)入及豁免機(jī)制建設(shè)，推動我國智能駕駛產(chǎn)業(yè)的商業(yè)化落地。2021年8月20日，國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)展改革委、工業(yè)和信息化部、公安部、交通運(yùn)輸部近日聯(lián)合發(fā)布了《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》，規(guī)范汽車數(shù)據(jù)使用管理。

2、各國正加快健全合規(guī)體系

聯(lián)合國方面：2020年6月24日，聯(lián)合國（WP.29）第181次全體會議上，投票表決通過了信息安全（Cybersecurity）、軟件更新（Software Updates）以及自動車道保持系統(tǒng)（Automotive lane Keeping Systems, ALKS）3項(xiàng)智能網(wǎng)聯(lián)汽車領(lǐng)域的重要法規(guī)。聯(lián)合國“信息安全”與“軟件升級”兩項(xiàng)新法規(guī)將通過為汽車制造商建立明確的性能和審核要求，幫助解決這些安全風(fēng)險。

國內(nèi)：近期，先后出臺《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國網(wǎng)絡(luò)安全法》、《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》、《中華人民共和國個人信息保護(hù)法》。

2021年，四部門聯(lián)合發(fā)布《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》，旨在落實(shí)《中華人民共和國網(wǎng)絡(luò)安全法》關(guān)于個人信息收集合法、正當(dāng)、必要的原則，規(guī)范移動互聯(lián)網(wǎng)應(yīng)用程序（App）個人信息收集行為，保障公民個人信息安全?！兑?guī)定》明確了地圖導(dǎo)航、網(wǎng)絡(luò)約車、即時通信、網(wǎng)絡(luò)購物等39類常見類型移動應(yīng)用程序必要個人信息范圍，要求其運(yùn)營者不得因用戶不同意提供非必要個人信息，而拒絕用戶使用App基本功能服務(wù)。

3、OTA正成為行業(yè)關(guān)注熱點(diǎn)

根據(jù)SBD Automotive 統(tǒng)計(jì)，2020年全球銷售車輛具備車內(nèi)置聯(lián)網(wǎng)功能占比約48%?！豆?jié)能與新能源汽車技術(shù)路線圖2.0》預(yù)計(jì)到2025年，我國部分自動駕駛、有條件自動駕駛智能網(wǎng)聯(lián)汽車的銷量占當(dāng)年汽車總銷量的比例超過50%，高度自動駕駛智能網(wǎng)聯(lián)汽車開始進(jìn)入市場，C-V2X終端新車裝配率達(dá)50%。隨著汽車智能化、網(wǎng)聯(lián)化技術(shù)快速發(fā)展，OTA技術(shù)作為汽車產(chǎn)品軟件更新的主要手段，將成為智能網(wǎng)聯(lián)車標(biāo)配。

汽車廠商目前對OTA的需求主要包括減少網(wǎng)絡(luò)攻擊、滿足生產(chǎn)中刷寫時間限制、降低車輛召回和維保成本、更新應(yīng)用服務(wù)、提供增值服務(wù)、持續(xù)提升與車主之間的粘性關(guān)系等。

圖  OTA實(shí)施流程

截至2020年，部門整車廠已經(jīng)進(jìn)行了數(shù)十次OTA活動，未來隨著自動駕駛和車聯(lián)網(wǎng)等技術(shù)發(fā)展，未來汽車質(zhì)量問題將主要集中在軟件，OTA活動將更加頻繁。

表 2020年主機(jī)廠OTA升級重要事件

資料來源：車云網(wǎng)

4、汽車信息安全事件頻發(fā)

根據(jù)Upstream報告統(tǒng)計(jì)，2010-2020年間車聯(lián)網(wǎng)信息安全攻擊前四項(xiàng)分別為：服務(wù)器攻擊、數(shù)字鑰匙攻擊、APP攻擊、OBD攻擊。當(dāng)前，汽車信息安全攻擊手段多元化、范圍更廣，危害面更大，已造成部分品牌產(chǎn)品召回。

圖 2010-2019年全球信息安全問題導(dǎo)致的汽車召回統(tǒng)計(jì)

5、安全檢測成為行業(yè)新需求

車輛成為移動互聯(lián)終端后，其安全檢測除了需要覆蓋車輛本身相關(guān)的智能交互、智能體驗(yàn)、輔助駕駛、自動駕駛、OTA等相關(guān)方面之外、還需考慮整個車聯(lián)網(wǎng)涵蓋的全生態(tài)圈的安全防護(hù)和檢測。

目前，智能網(wǎng)聯(lián)汽車技術(shù)相關(guān)企業(yè)大多通過挖掘漏洞的方式建立安全防護(hù)知識庫，發(fā)布智能網(wǎng)聯(lián)汽車安全防護(hù)情報等手段提升智能網(wǎng)聯(lián)汽車威脅預(yù)警、安全防護(hù)和應(yīng)急處置能力。然而該方式存在技術(shù)力量不足、安全支撐能力較弱的問題。因此需要行業(yè)第三方機(jī)構(gòu)針對性的建設(shè)智能網(wǎng)聯(lián)汽車檢測評價體系，保障智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)的持續(xù)健康發(fā)展，落實(shí)國家智能網(wǎng)聯(lián)汽車發(fā)展戰(zhàn)略。

6、隱私保護(hù)成為重要訴求

近年來，隨著汽車智能化網(wǎng)聯(lián)化的發(fā)展，汽車產(chǎn)生與關(guān)聯(lián)的數(shù)據(jù)量呈爆發(fā)式增長。然而車載數(shù)據(jù)的過度采集和越界使用，也給用戶造成嚴(yán)重影響。多款主流車載移動應(yīng)用存在未經(jīng)用戶許可獲取隱私數(shù)據(jù)、超業(yè)務(wù)范圍獲取隱私數(shù)據(jù)以及強(qiáng)行捆綁推廣應(yīng)用軟件等違規(guī)行為。

面對隱私保護(hù)不當(dāng)造成的數(shù)據(jù)泄漏、財(cái)產(chǎn)損失、監(jiān)管處罰等風(fēng)險，汽車生產(chǎn)商在隱私合規(guī)方面挑戰(zhàn)重重。一是對車載移動應(yīng)用隱私保護(hù)相關(guān)的合規(guī)性要求理解不深、尺度把握不好；二是缺乏評估車載移動應(yīng)用隱私信息安全的專業(yè)能力，對第三方外包的開發(fā)情況了解不清晰；三是車載移動應(yīng)用被通報后可能存在整改不到位的情況，而面臨更嚴(yán)厲處罰。

因此，對車輛移動應(yīng)用進(jìn)行全方位的數(shù)據(jù)隱私安全合規(guī)檢測，提前發(fā)現(xiàn)合規(guī)隱患，避免由此帶來的數(shù)據(jù)泄漏、資產(chǎn)損失、監(jiān)管處罰等風(fēng)險，已成為汽車信息安全領(lǐng)域的迫切需求。