汽车数据安全监管趋严 OTA升级将戴上“紧箍咒”

智能网联汽车在为社会生活带来方便快捷的同时正处于技术快速演进、产业加速布局的商业化前期阶段。而汽车智能化、网联化发展在为生活带来便利的同时，也会产生诸如未经授权的个人信息和重要数据采集、利用等数据安全问题，网络攻击、网络侵入等网络安全问题，驾驶自动化系统随机故障、功能不足等引发的道路交通安全问题等。这也引起了国家的高度重视，越来越多的相应政策法规相继出台，为智能汽车发展注入“强心剂”。

工业和信息化部(下称“工信部”)日前印发了《关于加强智能网联汽车生产企业及产品准入管理的意见》(下称《意见》)。其中对汽车数据安全及网络安全管理、规范软件升级、加强产品管理等多项当下备受关注的新技术提出了11项具体意见。

“通过制定《意见》，逐步探索开展准入管理，加快产品推广应用，是推动汽车产业创新发展的需要。”工业和信息化部装备工业一司相关负责人表示。

汽车数据安全监管仍是重中之重

在强化数据汽车安全管理能力上，《意见》明确了企业应当建立健全汽车数据安全管理制度，建立数据资产管理台账，建设数据安全保护技术措施等。《意见》提出，一是企业应当建立健全汽车数据安全管理制度，二是要建立数据资产管理台账，实施数据分类分级管理;三是建立数据安全保护技术措施，确保数据持续处于有效保护和合法利用的状态;四是在中国境内运营中收集和产生的个人信息和重要数据应当按照有关法律法规规定在境内存储，向境外提供数据应通过数据出境安全评估。

在网络安全方面，要求企业应当建立汽车网络安全管理制度，要具备保障汽车电子电气系统、组件和功能免受网络威胁的技术措施等。

据Upstream Security此前发布的2020年《汽车信息安全报告》显示，从2016年到2020年1月，4年内汽车信息安全事件的数量增长了605%，其中仅2019年公开报道的针对智能网联汽车信息安全攻击的事件就达到了155起。由此可见汽车数据安全的规范管理至关重要。

中国并购公会信用管理专委会专家安光勇向《华夏时报》记者表示：“汽车数据安全的管理至关重要。通过汽车传感器能收集到的数据，远比通过手机收集到的数据要多。理论上这些传感器，能够收集到大量车内人员的个人隐私信息，此外，还能够收集大量的车外地理位置信息。仅以行车记录仪为例，它可以收集到所有路过地区的信息。如果一辆车行驶路过敏感的地区(如军事管制区)就能获取到大量的敏感信息，包括路过周围的各种装备和人员的部署情况等等。如果我们考虑到辆汽车强制报废限制是60万公里，在其生命周期内，能够覆盖的区域可想而知。”

如今汽车数据安全已成为现在监管智能网联汽车发展的重要一环，我国高度重视对网络和信息数据安全方面的立法，为了规范行业发展，此类政策正在密集出台。包括4月底发布的《信息安全技术网联汽车采集数据的安全要求(草案)》、5月份发布的《汽车数据安全管理若干规定(征求意见稿)》等等。

安光勇认为，汽车数据是一把双刃剑，在提供便利的同时，如果这些数据流入其他不授权的领域，就会变成可怕的“凶器”，不管是从个人隐私层面，还是国家安全层面，汽车数据安全问题非常重要，因此，我们不仅要从数据流通层面进行监管，还要从数据收集层面进行限制，这样才能双管齐下从真正意义上保证数据安全。

如今汽车行业正处于变革关键期，涌入者众多。而各种政策法规的出台也对传统汽车企业、境外云服务商以及像360、百度、OPPO 等入局造车的科技公司起到了一定的影响及规范作用。独立经济学家王赤坤告诉记者：“这也促进了企业自律。企业作为市场主体，不仅仅要追求经济效益，也要追求社会效益，在法律法规的基础上，在行业规范的约束下企业应该有更高的治理规范和治理标准，为社会发展树立良好典范。”

OTA升级将戴上“紧箍咒”

除了强化了汽车数据安全管理，《意见》还要求强化对自动驾驶功能产品的数据安全管理能力，特别规范了OTA升级(软件在线升级)功能。

《意见》指出，企业生产具有OTA升级功能的汽车产品的，应当建立与汽车产品及升级活动相适应的管理能力，具有在线升级安全影响评估、测试验证、实施过程保障、信息记录等能力，确保车辆进行在线升级时处于安全状态，并向车辆用户告知在线升级的目的、内容、所需时长、注意事项、升级结果等信息。并进一步强调了当企业实施OTA升级时，应向工业和信息化部备案，涉及安全、节能、环保、防盗等技术参数变更的应提前向工业和信息化部申报，保证汽车产品生产一致性。未经审批，不得通过在线等软件升级方式新增或更新汽车自动驾驶功能。

这意味着，我国正在为汽车OTA升级戴上“紧箍咒”，未来企业再使用该项功能时将不能随心所欲。

如今汽车正在被软件定义，OTA升级作为一项关键的技术，可以不断为车辆增加新功能，快速修复漏洞，让车主拥有更完善的用车体验，因此消费者和企业逐渐对OTA升级表现出了极大的兴趣，甚至部分造车企业已经实现了OTA升级盈利。但在OTA的快速普及过程中，也面临一系列的发展痛点。工信部指出，利用OTA升级改变车辆功能、性能也可能引入安全风险。

汽车行业分析师张翔告诉《华夏时报》记者：“在软件远程升级的过程需要让用户提前知情，了解升级的目的、内容和时长;《意见》进一步加强软件升级管理，增强功能安全性，避免软件升级引发的安全隐患。”

自动驾驶产品准入趋严

此外，在自动驾驶方面，《意见》指出企业生产具有驾驶辅助和自动驾驶功能的汽车产品的，应当明确告知车辆功能及性能限制、驾驶员职责、人机交互设备指示信息、功能激活及退出方法和条件等信息;企业生产具有组合驾驶辅助功能的汽车产品时，应采取脱手检测等技术措施，保障驾驶员始终在执行相应的动态驾驶任务。并提出具备自动驾驶功能的汽车产品应满足功能安全、预期功能安全、网络安全等过程保障要求，以及模拟仿真、封闭场地、实际道路、网络安全、软件升级、数据记录等测试要求，避免车辆在设计运行条件内发生可预见且可预防的安全事故。

因自动驾驶造成的事故近年来频频发生，在中国人工智能学会智能驾驶专业委员会常务副秘书长王羽看来，当前自动驾驶技术的发展大家都还处在“摸着石头过河”阶段。车企让自动驾驶相关功能量产上车，应经过长时间的可靠性测试后，才走向安全性测试，最后推向市场。

而近年来，国内外车企在车上搭载的自动驾驶功能，并没有统一的规格和检测标准，而是各自研发、完成内部测试后就将其推向市场，这也在无形中增加了车辆使用辅助驾驶和自动驾驶功能过程中的隐患。《意见》的制定，改善了自动驾驶发展过程中标准滞后的问题，指导企业加强能力建设，严把产品质量安全关，切实维护公民生命、财产安全和公共安全。

张翔表示：“《意见》的出台对智能网联汽车起到一个规范作用，能够帮助智能网联汽车市场走向一个健康、快速发展的道路。另一个层面则让车企对包括控制策略、软件架构等方面的安全更加注重，进一步提高企业承担公众责任的能力，让消费者更加信赖汽车产品。”