汽車網路安全趨勢

㈠ 專家：車企網路和數據安全將照「章」操作

中新經緯4月2日電 (孫慶陽)近期，工信部印發《車聯網網路安全和數據安全標准體系建設指南》(下稱《指南》)，明確了中國車聯網網路安全和數據安全標准體系的發展時間表，以及階段性任務。

當下，聯網數據被過度採集和濫用、數據被竊取和篡改造成安全事件頻發。大數據安全即掌握核心技術又關系國計民生，車聯網網路安全如何從中突圍，最終實現高質量發展？

消費者對車聯網信息安全仍存顧慮

自2021年9月中國第一部《數據安全法》正式出台以來，車聯網數據安全領域已逐漸出現業務落地場景，整個車聯網數據安全行業處於快速起步時期。但隨著智能網聯技術發展， 汽車 智能化正成為「移動智能終端」。當下，越來越多的 汽車 企業在後台收集並使用這些海量用戶數據，這也對個人隱私帶來了潛在的風險。

對此，全國乘用車市場信息聯席會秘書長崔東樹也給出了「整體信心一般」的類似觀點，他表示，隱私信息「安全感」的缺失主要是有些功能需要許可權，進而被濫用，用戶卻無法專業判斷。

補足標准才能推動新技術發展

《指南》將車聯網網路安全和數據安全標准體系劃分為六大部分共20類標准，幾乎涵蓋網安領域所有細分小項，其中重點涉及到的安全領域包括為數字證書、密碼應用、物聯網安全、通信安全、身份認證、數據安全等。

崔東樹對中新經緯研究院表示，標准應對了智能化、網聯化發展新趨勢，加速測試應用的環境保障和法規支持，有利於智能網聯 汽車 的發展。

《指南》提出到2023年底，初步構建起車聯網網路安全和數據安全標准體系，完成50項以上急需標準的研製；到2025年，形成較為完善的車聯網網路安全和數據安全標准體系，完成100項以上標準的研製。

「以建立安全標準的方式，來維護車聯網網路安全和數據安全」，盤和林總結出《指南》的三方面亮點：一是堅持需求導向，產學研用融合，共同來推動網路安全和數據安全標準的建立；二是堅持市場主體企事業單位的參與，讓車聯網企業參與到標准制定上來，而非一刀切的推進；三是重點、急用先行，在標准制定上區分輕重緩急，而非所有標准一起推進，有側重的推出一部分標准以推動車聯網快速發展。

盤和林進一步強調，車聯網、自動駕駛系統研發企業將獲益，當前中國自動駕駛企業蓬勃發展，但距離自動駕駛技術應用場景落地尚有距離，其主要原因是當前缺乏自動駕駛普及的軟環境，而網路安全和數據安全標準是自動駕駛、車聯網落地的重要一環，只有補足了標准，才能推動新技術的發展。

前瞻產業研究院指出，中國車聯網市場規模有望在2026年達到8千億元人民幣，2021-2026年平均復合增長率將達到30.36%。另據中汽協預測，2025年中國 汽車 銷量或將達到3000萬，新增智能網聯 汽車 的銷量約為900萬。

車企數據安全管理需合法合規

值得注意的是，與2021年6月發布的《車聯網(智能網聯 汽車 )網路安全標准體系建設指南》(徵求意見稿)相比，「數據安全」在《指南》中被提升到了與網路安全同等重要的地位。但近年來有關智能 汽車 數據安全糾紛屢現。2021年上海車展期間特斯拉女車主維權事件，特斯拉的數據保存與使用安全風險曾引起激烈討論。

企業意圖利用數據「金礦」，來改善產品性能，進而提升用戶體驗。但用戶在讓渡隱私與獲得便利性的同時，企業卻屢現數據處理問題。針對此類情況，盤和林給出建議：首先要透明。「採用哪些數據，哪些敏感，存放在哪，平台有哪些信息保護規則？」都需要告知消費者，未經同意則不得隨意收集相關數據；其次要監管。數據使用規則需要遞交監管備案，而監管也要驗證企業的數據安全措施是否到位；再次要標准。數據使用、儲存、處理等，都要建立安全標准，不符合標準的企業不得使用用戶信息數據；最後要技術。比如通過隱名化和匿名化來打包數據，比如完善數據安全技術，比如利用分布式數據存儲。

那麼， 汽車 廠商該如何完善數據安全管理？盤和林表示，可以通過組建數據信息安全管理部門來應對數據安全和網路安全，亦可考慮通過合格第三方，將數據存放和管理的責任進行外包，「專業的人做專業的事」。同時也要增加相關方面的人才儲備，建設安全團隊。

南開大學競爭法研究中心主任、法學院教授陳兵則表示， 汽車 廠商需要積極跟進國內外車聯網數據安全、數據出境方面的標准、法律及監管規范的最新要求，在堅決維護國家安全和用戶安全的基礎上合法合規經營。同樣，演算法治理作為整個數字經濟整體治理與系統治理的關鍵環節，不僅涉及到市場治理，還涉及到 社會 治理與國家總體安全。

中國隨著《數據安全法》《網路安全法》《關鍵信息基礎設施安全保護條例》等法律法規的出台，從持續開展違法違規收集使用個人信息專項治理，到國家安全機關等協同配合做好網路安全防範工作，各地各部門不斷加大對相關違法犯罪活動的整治打擊力度。如今的網路安全，不僅關乎個人和企業安全，也關乎國家安全。「築牢數字安全屏障」已成為國家發展的重要議題。(中新經緯APP)

㈡ 如何看待汽車智能聯網聯未來發展有什麼樣的趨勢

智能互聯汽車是未來汽車技術發展的重要方向。特別是隨著汽車保有量的快速增長，具有智能化、網路化、可控化、數據化等特點的智能互聯汽車將有效改善我國目前的交通和出行條件。

一、無人駕駛技術應用

現階段，很多汽車研究機構和汽車廠商都在大力發展無人駕駛技術。無人駕駛也將成為未來人們乘車出行的主要駕駛方式之一。隨著無人駕駛技術的逐漸成熟，車輛上配備的無人駕駛輔助設備，結合網路定位和衛星定位數據，將實現對駕駛過程中諸多信息的快速獲取和判斷，並及時實施相關駕駛決策。與人工駕駛相比，無人駕駛技術在理論上具有更高的可靠性。

㈢ 《智能網聯汽車數據安全研究》：重點關注跨境數據流動問題等

我國主流的網路安全企業都在積極布局智能網聯汽車的新賽道，大多基於他們傳統的產品，再根據智能網聯汽車的新場景做一些適應性的調整和優化，包括在數據層面，從雲、管、端各個角度等都提出了相應的解決方案，在檢測和服務方面也推出了一些相應的網路安全產品。

我們調研了國內一家安全廠商——天融信，已經形成了覆蓋車端網關、ECU、T-BOX、以及雲端、APP端等全方位的滲透測試工具和服務。下一個案例來自網路，其自動駕駛安全的架構已經涵蓋了整個數據安全的全生命周期。

可以說，智能網聯汽車領域對於網路安全產業，或者網路安全企業來講是一個巨大的市場，但是也存在著很多挑戰，一是現有的網路安全產品和解決方案還不滿足智能網聯汽車的安全需求。二是安全解決方案的路徑不太一樣，有的網路安全企業側重車端的安全，有的側重雲端的安全，雖然這些解決方案沒有哪個更優質，但是也需要相互借鑒。三是安全產品的應用還存在成本、意識等問題。我們也提了兩個建議，一是建議這些網路安全企業針對智能網聯汽車不同的場景，開發針對性的相關的產品和解決方案，提高推廣的力度。二是要探索適用智能網聯汽車場景的網路安全保險方案，保險在汽車這個領域是非常常見的，但是數據安全的保險，或者網路安全的保險可以對車企、用戶，以及產業鏈上的諸多信息技術服務企業提供一體化的保障。

五、政府積極統籌智能網聯汽車產業發展與數據安全保護

首先在政策規劃層面，政府已經出台了相關的標准指南，包括一些政策文件，加強對整個數據全生命周期的管控，並強調數據分類分級工作。

二是在法律法規層面，《網路安全法》《數據安全法》《個人信息保護法》（草案），以及網信辦出台的的《汽車數據安全管理若干規定》（徵求意見稿）已經體現了政府的一些針對性考慮，我們支持網信辦和工信部等部門出台更加細化的管理條例和指南，從法律法規層面給予指引和指南，更好的指導整個產業的實踐。

三是標准體系不斷完善，包括頂層的體系性標准，以及專項的標准都在陸續出台和不斷地修訂完善。

四是試點應用加速落地，比如上海臨港新片區跨境數據的試點，一些路測、風險評估以及風險管控相關試點的工作也都在推進過程當中。智能網聯汽車本身是一個新生事物，又涉及到很復雜的系統，確實需要政府通過開展試點示範的工作，總結一些優秀的做法，進行後續的推廣。

當然從政府推進產業發展和保障數據安全的角度也面臨重要的挑戰。一是整個法規體系、標准體系還是相對滯後於產業的發展速度。二是存在多頭監管的問題，還需盡快細化一些行業性的管理要求。從數據安全監管的角度，國家網信部門是牽頭部門，但是涉及到具體行業細則的出台，還需要行業主管部門，以及一些重要的行業協會去推動相關工作。三是實操性的舉措還不夠，數據安全監管和治理的一項基礎性工作就是要做到數據分類分級，對於數據既要管，又不能管得太死，哪些要管，哪些需要高強手段的監管，哪些需要在市場上流動，一項非常基礎的工作就是數據分類分級。

我們提的建議包括四個方面：一是統籌產業創新發展與保障數據安全。二是盡快出台數據分類分級指南和管理細則，在國內一些重要的行業領域，比如金融、工業互聯網等領域，已經出台了相應的分類分級指南，智能網聯汽車行業可以予以借鑒。三是建立事前風險評估和事後應急響應機制，比如國家級的專業技術機構可以探討如何更好的提供服務和支持。四是重點關注跨境數據流動問題，目前國內對這個問題比較關注，國家網信部門也在密集調研和研究，希望後續在借鑒全球通用做法的同時，細化相應的數據流動規則。

以上就是我們目前這個報告的主要內容，在報告撰寫過程當中，也得到了一些車企和網路安全企業的支持，後續我們也希望跟在座的企業和專家合作，使我們在智能網聯汽車數據安全領域做得更加深入。

㈣ 五部門發文要求新能源車企保障數據安全，分類管理個人信息等或有挑戰

4月8日，工業和信息化部、公安部、交通運輸部、應急管理部、市場監管總局（以下統稱「五部門」）聯合發布了《關於進一步加強新能源 汽車 企業安全體系建設的指導意見》（以下簡稱《意見》）。

受訪專家表示，在車輛進入智能網聯時代以後，網路安全、數據安全和個人信息安全已成為支撐智能網聯 汽車 發展的重要一環，是未來的趨勢。此次《意見》中，「對個人信息實行分類管理」和「對已銷售的新能源 汽車 產品的運行安全狀態進行監測」或是企業存在落實難點之處。

近年來，我國新能源 汽車 產業發展取得顯著成效，產銷量連續7年位居全球首位、產品技術水平快速提升、產業生態體系逐步建立、配套環境不斷完善。

根據上述規劃，我國將健全新能源 汽車 網路安全管理制度，構建統一的 汽車 身份認證和安全信任體系，推動密碼技術深入應用，加強車載信息系統、服務平台及關鍵電子零部件安全檢測，強化新能源 汽車 數據分級分類和合規應用管理，完善風險評估、預警監測、應急響應機制，保障「車端—傳輸管網—雲端」各環節信息安全。

在此背景之下，為進一步壓實新能源 汽車 企業主體責任，建立健全產品安全保障體系，切實提升產品安全水平，推動新能源 汽車 產業高質量發展，五部門於2021年10月形成《意見》徵求意見稿，並於日前聯合制定發布了最終版的《意見》。

其中在網路安全方面，《意見》提出加強網路安全防護。企業要依法落實關鍵信息基礎設施安全保護、網路安全等級保護、車聯網卡實名登記、 汽車 產品安全漏洞管理等要求。對車輛網路安全狀態進行監測，採取有效措施防範網路攻擊、入侵等危害網路安全的行為。

事實上，今年以來監管部門對於 汽車 網路安全愈發重視。就在4月1日，國家市場監督管理總局等五部門聯合發布《關於試行 汽車 安全沙盒監管制度的通告》。據羅承剛此前介紹，網路安全、預期功能安全等新技術已經超出了傳統監管范圍，沙盒監管是面向新技術監管很好的方式。

《意見》提出強化數據安全保護，要求企業建立健全全流程數據安全管理制度，採取相應的技術措施和其他必要措施，保障數據安全。同時，企業要按照法律、行政法規的有關規定進行數據收集、存儲、使用、加工、傳輸、提供、公開等處理活動，以及數據出境安全管理。

《個人信息保護法》自去年11月起落地，施行至今已近半年。《意見》強調落實個人信息安全防護，要求企業按照《個人信息保護法》以及相關法律法規的規定處理個人信息，制定內部管理和操作規程，對個人信息實行分類管理，並採取相應的加密、去標識化等安全技術措施，防止未經授權的訪問以及個人信息泄露、篡改、丟失。

《意見》還要求企業落實安全監測主體責任，自建或委託第三方建立新能源 汽車 產品運行安全狀態監測平台（簡稱企業監測平台）。企業要按照與新能源 汽車 產品用戶的協議，對已銷售的新能源 汽車 產品的運行安全狀態進行監測，並按照相關標准要求上傳監測數據，確保上傳數據的及時性、真實性和有效性。

羅承剛表示，「對個人信息實行分類管理」和「對已銷售的新能源 汽車 產品的運行安全狀態進行監測」恰恰是此次《意見》中企業存在落實難點之處。

「《個人信息保護法》及部分相關配套措施在去年才出台，即使是國外，歐盟《通用數據保護條例》亦僅在2018年才實施，對於個人信息分類並未有具體的細化規則。車輛運行產生大量的數據，這些數據雖然大都集中存儲於企業數據中心，但是由各部門、各子公司相關的業務系統採集並使用，需要將這些數據集中進行分類管理，在管理層面而非技術層面上實現難度較大。」羅承剛解釋，而車輛運行安全狀態的監測難度，則體現在需將車端、網路、雲端等多維度數據集中分析，數據量大且雜。

《意見》強調「監測數據不得違法違規使用」，在附件《企業監測平台建設指南》（下稱《指南》）中亦有體現。《指南》明確，企業監測平台建設指南應具有數據接入、數據存儲、數據計算、數據檢索，以及穩定性及安全性的性能，要求平台具有網路安全、數據安全防護能力，具有完整的安全訪問日誌記錄、預警、審計等功能，同時建立網路安全和數據安全管理制度等。

工信部官網顯示，下一步，工信部等五部門將督促企業參照《意見》開展自查，整改存在的問題，加快構建系統、科學、規范的安全體系，全面提升在安全管理機制、產品質量、運行監測、售後服務、事故響應處置、網路安全等方面的保障能力；同時，五部門將形成工作合力，加強部門、地方之間的協同和銜接，強化信息共享和事中事後監管，共同加強對新能源 汽車 安全管理工作的指導和監督等。

更多內容請下載21 財經 APP

㈤ 如何看待智能網聯汽車未來研究趨勢

目前，國內對智能聯網車輛的研究基本上是從5G或CAN匯流排的單一方面展開的，大多數公共研究都是被動的，白帽黑客、業余愛好者和研究人員通常都沒有發現潛在的漏洞。網路安全挑戰日益嚴峻，網路犯罪迅速蔓延。以下是一些需要解決的問題以及在未來應該解決的問題。

三、V2X通信安全

對ICV的攻擊可能會擴散到智能基礎設施。例如，對電動汽車的攻擊可以通過充電設備擴散到電網基礎設施，直到公用事業系統。該領域的未來研究包括安全通信和防禦機制的發展。另一方面，車聯網安全還涉及到V2X安全認證證書體系及其頒發流程，包括根證書、車場證書、車載單位使用證書、未來各種V2X消息證書等。基於國家機密演算法的V2x安全晶元將成為解決V2x安全問題的核心密鑰。

㈥ 萬字干貨|新規下，車企如何建設數據安全體系

隨著智能網聯化、數字化發展，汽車數據安全和網路風險防範成為行業密切關注的難題。

汽車傳統的物理邊界被打破，出現了大量的雲上服務，比如車聯網、自動駕駛技術、OTA等等，相應的，汽車產生的數據也越來越多。相關數據顯示，一輛智能網聯汽車每天大概會產生 10TB 的數據，這些數據包含駕駛人員的出行軌跡、駕乘習慣、車內語音圖像等個人信息，也包含車輛實時收集到的地圖數據等。

隨著《個人信息保護法》、《汽車數據安全管理若干規定(試行)》的頒布實施，對數據的合規分類收集和使用提出了更為嚴格的要求。同時，也有汽車品牌近來遭受到網路黑客攻擊，造成不小的損失和安全風險。如何平衡數據使用的合規與高效，並在全面上雲的背景下構築扎實的安全防線，成為整個行業密切關注的話題和迫切需要解決的難題。

此此背景下，騰訊智慧出行與汽車之心聯合策劃了「行者有雲」系列沙龍第二期——《車企上雲，如何構築雲上安全防線？》，聚焦汽車數據的合規使用和安全防範問題，加速車企構建在數據網路安全領域的競爭力。

本期沙龍邀請到上海帆一尚行科技有限公司網路安全總監、上汽騰訊網路安全聯合實驗室負責人陳寧，騰訊安全策略發展中心總經理呂一平，共同探討車企數據安全防護建設和未來趨勢發展並發表了獨到精闢的見解。

以下為沙龍對話實錄：

主持人：大家好！歡迎收看「行者有雲」系列沙龍，本期我們討論的話題是「車企數據上雲，如何構築雲上安全防線」，我們將圍繞數據安全和風險防禦問題討論。車企在系列新規背景下，將採用怎樣的新手段、新模式來保證數據的合理開發利用，並有效防範潛在風險。非常有幸我們請到了兩位嘉賓和我們一起分享討論。一位是上海帆一尚行科技有限公司網路安全總監、上汽騰訊網路安全實驗室聯合負責人陳寧；另一位是騰訊安全策略發展中心總經理呂一平。

在智能化網聯化大變革下，一輛汽車在使用過程中產生的數據越來越多，隨著《個人信息保護法》和《汽車數據安全管理若干規定（試行）》頒布實施，企業在使用處理數據的時候，要遵守哪些行為准則？

陳寧：在《個網法》講得比較細致針對《個人信息保護法》有8類處理原則，大概總結：

第一，對於用戶個人信息數據的授權，信息處理，告訴用戶要收集個人信息，個人隱私數據要進行處理。

第二，處理過程中要注意處理流程，要保護和保密。

第三，數據收集，要符合相關的規定。對於汽車來說，有《汽車數據安全管理若干規定（試行）》，定得比較明確，這和《個網法》有相互呼應的關系，上面有《數據安全法》，以此為由展開。

呂一平：還有一點，去年下半年國家集中出台了比如《個人隱私信息保護》，及《數據安全法》等法律法規。同時面向汽車行業，汽車行業本身屬於關鍵信息基礎設施行業，針對「關基」（關鍵信息基礎）行業也有一些相應的針對基礎安全和數據安全的要求。所以，這也是需要汽車行業各位同仁需要考慮的問題。

主持人：如果針對整個汽車數據來說，我們有什麼樣的分類界定？

陳寧：現在最關鍵的第一步是，汽車數據不可避免要收集。汽車聯網以後，很多服務雲化後，為了對汽車的一些服務以及汽車這狀態甚至說自動駕駛，這天然需要搜集很多數據，所以說數據搜集是不可避免的。現在我們覺得對於汽車數據搜集，首先真正的明確怎樣服務搜集數據，如果說要做自動駕駛相關的，那麼最少應該搜集什麼樣的數據，盡可能的還是少搜。不要說不做分類，不做區分一概搜集上來後面處理，這是不合法不合情的，這是第一個按照服務的細分來分。第二，數據的共享和流動，這也是很重要的因素，現在很多服務在雲上之後，不僅是主機廠要收集數據，很多合作夥伴，比如車上應用需要第三方的數據，我們要把數據給他，數據在流通的過程中以什麼樣的合法合規方式流通，以及我如何對它授權，如何對它約束，這要處理好。

最後，敏感數據的收集，現在汽車廠有大量的感測器、攝像頭，對於用戶的面部輪廓，關鍵設施和關鍵單位的識別、存儲，是否要做相關的模糊化處理或透明處理，這也比較關鍵。

呂一平：我主要做補充，從汽車行業數據來講，不僅要保護數據，要脫敏，盡量按照服務手續收集數據。基於很大的前提是，收集數據時要進行分類分型，針對不同的類型利用手段去保護數據。汽車行業有幾大數據比較重要：

1、汽車研發過程中的車輛狀態，這些數據傳統一直做收集，這方面更多是車企自用，甚至從數據保護角度來講是比較容易實現的，因為汽車公司內部流轉數據。

2、和用戶相關的隱私數據，國家有明確的法律法規要做到保護和保密。針對不同的使用場景我們應該如何給到數據，需要通過分類分級的方法做明確的界定，並有對應的使用要求和規則。

3、從技術進入到其他行業帶來新的需求，比如感測器受地理位置數據，高清地圖數據，這是相當敏感的數據領域，這會涉及到國家安全部分，車企需要非常關注這類問題。去年國家重點關注了一家海外車企這方面的問題，所以這也值得汽車行業重點關注的信息。

主持人：隨著一系列的新規的出台，從車企角度來講，在主動防範上有哪些變化？

陳寧：有很多，結合各方數據安全規定，首先，按照上位法《網安法》來講車企相關車輛應用服務，肯定要通過等保測評。第二，通過等保，配套相關的網路安全或者數據安全，配套的防範措施和防範的管理體系建立起來。第三，提出明確要求，用戶上車默認情況不收集數據。如果要收集數據要告訴用戶，清晰地告訴用戶要收集一些數據，且收集哪些數據。第四，在收集數據狀態中讓用戶知道我們正在收集你的數據，用戶有地方說不希望收集數據，屏蔽它。第五，盡量在車里將敏感的數據輪廓化和清晰化去掉，模糊化。盡量不要通過數據清楚地定義出一個人，這樣方便處理。

再往後，數據共享方面，該企業一開始只做商業合作，後面可能有一些約束，同時很重要的是按照《數據安全法》和汽車相關規定，每年12月25日左右要上報數據安全報告。中國汽車品牌開始向海外發展，根據規定要求要對相關的監管部門進行報備，並且在企業數據安全方面寫清楚，今年發生過幾次數據向境外輸出，以及經過相關評審，這些情況要說清楚。企業不僅僅是義務合規，還要滿足國家戰略需要。

主持人：在上述規定的使用數據和國家安全的前提下，數據如何反哺研發，開發相應的車聯網服務？

陳寧：這挑戰很大。

主持人：要實現兩者的平衡？

陳寧：對，基於我服務的內容收集相關數據，這是做到平衡的關鍵。如果只是判斷車的自動駕駛，只收一些和路況相關的信息，就不要收多餘的信息，盡量精簡收集內容，比如只是採集一些路邊的圖象，車內的信息就不要收。現在有汽車保險，主要是根據用戶的駕駛習慣收集車輛數據，收集一般駕駛者的駕駛習慣就不要收集個人信息，這樣才能合法合情，又能反哺到業務。

第二，做分析時，流通方面盡量做到應用和數據分開，舉個典型的例子，現在自動駕駛數據的安全屋，可能確實採集了很多數據，經過合理處理之後放在數據模型箱里，我們做的事情是將計算模型放進去，用數據計算完之後最後拿出來是模型計算結果或者是模型存儲的演算法，而不是數據本身，這不合理。在模型足夠成熟之後，這些數據可能銷毀掉或者撤掉，這可以比較好達成平衡。這需要付出很多努力。

呂一平：我們在去年國家出台一系列數據安全相關規定時我們非常關注，因為互聯網有大量數據，很多互聯網業務都在線上。我們自己在推進數據安全保護方面做了很完整的展開，從產品的設計上，比如數據收集的最小化，包括用戶知情角度，數據使用需要用戶充分知悉並且充分授權，然後才能進行相應使用。

另外，應用和數據相應分離，騰訊在《數據安全法》出台前兩三年已經做這方面的工作。特別是在不應該使用不合理數據提供下如何規避掉，我們在內部進行了工作。騰訊可以給汽車行業做一些交流和傳遞的工作，幫助行業更好地理解如何做數據安全建立。

主持人：對於外資或者合資車企來說，《個人信息保護法》和《汽車數據安全管理若干規定（試行）》相關規定對他們的影響是否更大？

陳寧：相對會大一點，但大體上差不多。首先是對於敏感信息的定義，對外資企業來說風險一樣。另外，用戶的存儲、流動也是一樣。對於外企挑戰最大的是數據不能出境，最大變化是跨境的問題。由於《個人信息保護法》和數據安全定義上，外資也要跟隨國家相關規定，可能要對自己做出規范。但大方向比較好，主要是促進問題。

主持人：騰訊和外資車企在這些領域是否有一些合作？

呂一平：其實外資車企面臨，在中國市場如何滿足國家合規性要求和規定，現在有一些海外業務在推進。不管歐洲還是美國地區，相應的個人信息隱私保護和合規，及數據使用的要求可能都有相應的要求。所以在歐洲和美國，中國企業屬於外資，其實大家遇到的挑戰一樣。對於車企來講，不管是合資還是外資品牌，都要考慮如何滿足本地的個人隱私保護和數據安全合規使用的要求，這其實是基本需要做到的工作。

從騰訊角度來講，騰訊在汽車行業定位一直是數字化助手的角色。我們不僅和合資和外資的車企，和上汽也在數據安全方面有很多交流，我們一起研究如何將數據安全保護的工作做好。相對來講，這個領域比較新，比如網路安全、基礎的安全建設方面，中國已經經歷了幾十年的發展和建設，但數據安全對大家來說是一個新課題。隨著車企聯網和相應技術不斷落地的情況下，數據量會非常大，而且數據的集中度也不一定這么高。如何將數據安全保護工作做好是很有挑戰的課題。先要從汽車數據的分類分級開始，以此作為基礎再去延伸，根據不同級別和類別的數據進行相應保護措施，對應有技術的部分。

陳寧：關鍵是立法，以前沒有明確上位法，2016年有上位法出來之後，車企必須要符合法律。

主持人：除了數據合規收集和處理，也不能忽略的是汽車智能度越高，面臨潛在被攻擊的風險也越來越高，我們也出現過車子被攻擊的案例。這樣的場景在汽車中，是真的能實現的嗎？在車聯網中真的會有這樣的風險嗎？

陳寧：汽車傳統的物理邊界被打破了，大量的雲上服務，大家可以用手機跟車進行互動。汽車擁抱了數字化，但擁抱了數字化的福利和變革也擁抱了數字化的風險，最典型的是雲上服務，比如遠程車控、OTA等等，被不法分子利用之後，遠程的車輛造成一些群體性的影響。另外，手機APP，手機上有藍牙，APP設計或者介面不嚴謹，可能出現批量控制用戶APP，可以隨意開走任何一輛車。另外車聯網在車上暴露大屏、智能駕駛艙等等，這些是數字化東西，數字化的東西多少有軟體的問題會被人利用。1月份德國的小孩才19歲，利用了特斯拉的第三方的軟體的漏洞同時控制不同國家的車輛。數字化是大量的軟體大量的應用，人設計的東西總有一些問題。

主持人：呂總，之前設計的科恩實驗室破解了特斯拉和寶馬，反響很大，為什麼做這樣的實驗？

呂一平：我們不是定義成「黑客」，我們定義為「白帽」，我們希望能改善各類產品和網路的安全性，為之努力的一群專業技術研究團隊。當時為什麼關注特斯拉和寶馬？我們在2016年看到了比較大的趨勢，汽車行業「四化」，對我們來講比較關心是網聯化和智能化，汽車聯網了，汽車的自動駕駛的能力，這和數字化結合程度非常高，當享受數字化福利的時候，肯定會面臨新技術引入帶來的風險。

汽車行業本身對安全非常關注的行業，那個安全叫「safety」，當時汽車行業更多關注safety的部分，對security部分理解不那麼強。Security能對safety造成的影響理解不是很充分，當時我們選了兩個比較有代表性的車企，一是原生數字化，即網聯、智能化、新能源化的特斯拉。另外是傳統的從互聯網非智能化到智能化的標桿，寶馬在全球保有量非常高，我們做了相應的研究。的確發現了網路安全問題，不僅對虛擬世界造成影響，對實際的行駛安全、人身安全，放大一點是公共安全。作為一個負責任的團隊，我們發現問題之後第一時間和特斯拉和寶馬做了相應的溝通，並且在沒有第三方參與情況下，全部將數據暴露給他們，他們修復之後一起聯合對外做發聲的工作，做發聲的工作目的是幫助行業更好地理解，在未來數字化的時代安全有重要的影響，也是讓它回歸到汽車行業對security的關注。

主持人：現階段網路安全技術處於什麼樣的水平？

呂一平：中國網路安全技術能力非常出色，我們可以代表國際領先水平。對汽車行業來講，汽車進入到數字化時代才開始逐步關注網路安全部分，所以起步相對晚一些。但我們看到很明顯的趨勢，即國內的各大OEM都在積極地布局網路安全的專業能力和專業團隊的建設，比如陳寧博士帶領的上汽實驗室，4年前成立起來有專職的安全的人員，也有專項的安全能力的建設，逐步形成了上汽進入比較相對安全網路體系，這是比較好的例子。國內其他OEM廠商也在實踐同樣的工作，專業團隊和專業能力建設在不斷地前進。

主持人：在已經有潛在風險存在的前提下，車企可以做哪些方案防禦外部的攻擊，尤其是來自惡意的攻擊。

陳寧：我現在在上汽帆一尚行，現在的防禦從雲管邊端一層層防下來，傳統雲驅動安全內容全部適用，不管從邊界的應用防火牆、APS到裡面的防護，再到探視感知，我們對車輛相關的服務做保護。通道方面，主要是從雲端到車端的通訊鏈路用加密方法進行加密，確保我們鏈路不會被截斷或者被中間人截取掉。同時對車之間相關傳輸的信息做加密，保證安全性和唯一性。

車上現在dirty端和clean端，前者是指暴露在外面，可以觸手可及的大屏，這些最明顯。在它投產之前不管做技術還是流程，設計方面從風險評估、安全設置、投產運營，對於產品的零件或者整車做一系列的測試研發，然後交付。交付之後有相關的防禦措施，比如網關或者IDPS等等，通過它將車輛相關的模塊或者相關的服務隔開，確保車輛在行使過程中，關鍵通信和關鍵指令不會被人惡意篡改。

主持人：具體什麼情況會用到安全網關，對車企研發來講是否剛需？

陳寧：隨著智能網聯化和電動化之後，網關已經是標准選配，相當於是一道防火牆，阻擋了相關請求。現在很難說硬體和軟體哪一項技術更重要，隨著零件集成度高了之後，對硬體晶元依賴層次更高，晶元越好，表示應用軟體的復雜度或者功能會越好。當然，從網關模塊的必要性來看不排除現在也有把網關做到相當重要的零部件，保證零件模塊之間也有防火牆，這是所謂預控的思路。

主持人：隨著我們對數據合規、安全要求越來越高，對車企來說是否意味著要更多投入？

陳寧：肯定要增加投入，因為國家立法，現在不是講人情，而是講法，肯定要增加投入。

呂一平：對，從我的角度來看，汽車行業是對安全關注度非常高的行業。在過去二三十年裡，車企在功能安全方面和研發的投入和體系建設非常完備，功能安全成為了汽車質量管理體系很重要的關注點。隨著這兩年數字化帶來網路安全風險和挑戰，這方面還是需要加強和加大投入。我個人希望網路安全逐步進入到汽車質量管理體系，成為它的一部分。在網路安全方面的投入更加成為研發投入的必要。

陳寧：這種投入可能並不是額外的投入。

呂一平：沒錯。

陳寧：就像security和safety，security引發了safety的問題，所以這些投入不是憑空多出來的投入，而是為了保證車輛質量投入必要的研發資金，從行業發展來說，這方面的投入必不可少。

主持人：剛剛兩位嘉賓的分享我們也意識到數據安全的重要性，從意識到重要性，到車企打造完善的網路安全體系我們大概要經歷一個什麼樣過程？

陳寧：這個過程很漫長，需要時間積累。對大部分汽車企業來說數字化是相對新的東西，就我前面提到，數字化有很多新的東西，也有很多風險，需要消化。具體到車上，汽車廠特別關注數據安全，但是我覺得數據安全只是大的安全里的一個內容，想做好數據安全要打好很多所謂的低階工作，比如雲上安全、技術架構安全，很多相關的網路安全建設先跟上去，比如雲上的邊界防護、安全的監測、網路安全的漏洞或者網路安全響應的能力，這些都需要時間打磨。技術完全落地，這其實和汽車的有些概念不太完全一樣，因為對汽車來說，比如汽車某一個功能可能做不好的情況下換一個零件，或者買一個方案測試下可以用。但網路安全本身和汽車所謂的功能安全有一點點不一樣，它的邊界相對模糊，沒有絕對的安全，也沒有絕對的攻不破的堡壘，這註定了需要很多時間去打磨和完善。現在汽車行業慢慢向網路安全轉，很多功能要求是為了safety服務，但security也要慢慢理解safety的東西，對於主機廠來說，到底造成了什麼樣的影響，對safety來說是比較抽象的東西，那麼需要具體化，比如影響到車輛駕駛有很多safety，如果影響了數據安全，可能和safety沒有關系，而完全和security掛鉤，所以融合需要時間。同時在技術方面也需要時間去匹配，比如騰訊等互聯網企業、安全企業也需要時間更好地了解車輛技術，車輛技術天生需要注重安全，有些內容可以重合，比如個人隱私方面可以高度重合。

除了技術因素之外很重要的是人的因素，中國現在網路安全的每年高校輸送畢業生大概是十來萬，但去年缺口是非常大，人才缺口越來越大，涉及到汽車網路安全的人才缺口更大。所以我們需要時間找到這樣的人，或者培養這樣的團隊，讓他們適應到環境中，貢獻自己，將更好的技術能力賦能上去。

同時，以前汽車賣出去之後，使命基本上結束了，除非維修或者維保，不再關注車輛本身。但是，電動化和網路化之後，車輛出去進入到一個新階段，稱之為車輛運營階段。因為要關注車輛的自動駕駛的狀態，關注用戶駕駛習慣或者用戶車輛的狀態，這些數據和狀態都需要專業的人，實時地提供所謂的監控或者服務或者異地響應，並不是買了一套工具，如果這么簡單的話找騰訊買一套工具擺在這里就萬事無憂了。但並不是如此，優秀的工具需要優秀的人才或者優秀的團隊使用，成熟的團隊人力因素很重要。

呂一平：剛才陳寧博士提到今天主要議題是如何做好數據安全底座，造堅固的城牆底座沒有做好的話，數據安全基本上是做不好的事情，的確需要周期。國家在出台安全合規性要求越來越快，能給車企應對的時間非常緊張。所以在這個情況下，怎麼樣能快速地將能力建立起來很重要，但目前看到一個挑戰是，對汽車行業來講，在數字化投入部分，在網路安全投入只有2%到3%左右，而對於金融行業經歷了二十年的IT能力建設，目前網路安全投入大概8%到10%。所以，投入加大可以加速能力建設。所以，我們非常建議汽車行業投入，要考慮到時間窗口並不太長，這是一個很大的挑戰和風險。

第二，關於人才能力建設和人才梯隊建設來看，我們看到這點，每年國家能夠通過高校體制培養出來的人才和行業真正需求有很大的差距，而且當出現嚴重失衡的情況下；人才有更大溢價能力，看到信息安全專業水平不斷地上來，這是供求關系失衡造成的問題。所以人才引入和培養是很大的過程，這是長周期的過程，但在市場上我們從外圍觀察，汽車行業傳統的新生代的體系是否可以支撐數字化時代下的需求。這是很大的挑戰，也是車企需要思考的問題，如何快速成為數字化公司，在數字化體系下對人才引入的政策更加靈活，人才薪酬待遇更加靈活，汽車行業在數字化時代所需要的新型人才和新型能力，這和投入相關，這個過程不會那麼快。所以這需要汽車行業思考的重點。

陳寧：逐步發展的速度不能滿足現在國家政策或者國家監管的要求了，因為從2016年「網安法」（《網路安全法》）發布之後，中間兩

㈦ 智能網聯汽車的當前發展路徑以及未來應用前景，應如何看待

智能網聯汽車的當前發展路徑以及未來應用前景應該看待為是一個復雜而且龐大的工程，智能聯網汽車的快速發展是每個人的願望。隨著各企業的努力，智能聯網汽車將離我們的生活越來越近。智能互聯汽車是未來汽車技術發展的重要方向。

3.智能網聯是先進的信息技術、數據通信與傳輸技術、電子感測技術、控制技術和計算機技術在智能管理系統中的有效集成應用，提出了在范圍內發揮全方位作用的實時、准確、高效的綜合運輸管理系統。通俗地說，倒車雷達、倒車影像、自動泊車、自動避障、遙控等功能。都屬於智能網聯的范疇，而智能網聯的最終方向就是實現汽車的無人駕駛。以上就是對智能網聯汽車的當前發展路徑以及未來應用前景，應如何看待這個問題的解答。

㈧ 車聯網在提供便利的同時，暴露了哪些安全隱患

確實，現實情況很嚴峻，但車聯網的安全問題各國也一直在想辦法改善。除了政府部門的立法和監督以外，越來越多的汽車企業開始採用漏洞賞金獵人的方式來改進。這些漏洞賞金獵人向發現漏洞並將漏洞報告給所有者公司的研究人員（白帽黑客），然後以此得到補償，這也是企業信息安全中非常流行的方式。

相比手機，汽車對於人身安全的威脅性要高得多，這是毋庸置疑的。而在隱私方面，隨著越來越多廠商使用生物識別技術收集用戶駕駛習慣、使用偏好等數據，消費者肯定希望能夠清楚地了解到這些信息是如何存儲使用的。因為在互聯網環境下，不管是什麼信息被採集，就一定會有資料庫，就有可能被截獲、重構、重放。如果指紋、虹膜等生物信息也被黑客或犯罪分子獲取，後果將不堪設想。

圖|來源於網路

本文來源於汽車之家車家號作者，不代表汽車之家的觀點立場。

㈨ 誰為安全護航當智能網聯汽車遭遇黑客

[汽車之家行業]?「今年以來，針對車聯網企業的惡意攻擊達到280餘萬次。」「假如20萬輛汽車同時被黑客控制，車輛將變成攻擊人類的武器，帶來的災難無法想像。」這並非危言聳聽，在汽車智能網聯功能越發強大的同時，汽車網路信息安全問題也逐漸浮出水面。

『華為「進不來、拿不走、看不懂、改不了、癱不成、賴不掉」目標』

國汽（北京）智能網聯汽車研究院有限公司總經理助理兼整車事業部部長劉衛國給出政策層面的建議：第一，智能網聯汽車的安全問題是系統性問題；第二，智能網聯汽車的發展要上升到國家戰略並且具有屬地化，需要有中國特色的方案；第三，中國需要發展智能網聯汽車共性的基礎技術平台，為整個智能網聯產業做支撐；第四，產品准入政策的制定不要過死，增強企對自身產品負責的意識。

編輯總結：

「新四化」背景下，汽車產業鏈正在加速深度合作步伐。車聯網技術向著智能化、網聯化方向演進，車載操作系統、新型汽車電子、車載通信、服務平台等產業鏈玩家正在加速融合，產業格局正在被重塑。在這樣的產業格局下，我們的政策取向務必要優先考慮安全：人身與財產安全、網路安全、隱私及數據安全。這是一個「軟體定義汽車」的時代，也是「安全定義汽車」的時代。（文/汽車之家李爭光）

㈩ 汽車主動安全技術的發展趨勢

汽車安全設計要從整體上來考慮，不僅要在事故發生時盡量減少乘員受傷的機率，而且更重要的是要在輕松和舒適的駕駛條件下幫助駕駛員避免事故的發生。現代汽車的安全技術包括主動安全技術和被動安全技術兩方面。而被動安全技術和主動安全技術是保證汽車乘員安全的重要保障。過去，汽車安全設計主要考慮被動安全系統，如設置安全帶、安全氣囊、保險杠等。現在汽車設計師們更多考慮的則是主動安全設計，使汽車能夠主動採取措施，避免事故的發生。在這種汽車上裝有汽車規避系統，包括裝在車身各部位的防撞雷達、多普勒雷達、紅外雷達等感測器、盲點探測器等設施，由計算機進行控制。在超車、倒車、換道、大霧、雨天等易發生危險的情況下隨時以聲、光形式向駕駛員提供汽車周圍必要的信息，並可自動採取措施，有效防止事故發生。另外在計算機的存儲器內還可存儲大量有關駕駛員和車輛的各種信息，對駕駛員和車輛進行監測控制。例如，根據日本政府「提高汽車智能和安全性的高級汽車計劃」，由日本豐田公司研製成功的「豐田高級安全汽車」即具有駕駛員瞌睡預警系統、輪胎壓力監測警告系統、發動機火警預報系統、前照燈自動調整系統、盲區監控系統、汽車間信息傳輸系統、道路交通信息引導系統、自動制動系統、緊急呼叫(SOS)停車系統、滅火系統以及各向安全氣囊系統等，其中有些單項設備已投放市場。
汽車100多年的發展史中，有關汽車的安全性能的研究和新技術的應用也發生了日新月異的變化，從最初的保險杠減振系統、乘客安全帶系統、安全氣囊到汽車碰撞試驗、車輪防抱制動系統(ABS)、驅動防滑系統(ASR)，到無盲點、無視差安全後視鏡及兒童座椅系統的研究，汽車的安全性能正日趨完善。特別是近幾年，隨著科學技術的迅速發展，越來越多的先進技術被應用到汽車上。目前，世界各國都在運用現代高新科，加緊研製汽車安全技術，一批批有關汽車安全的前沿技術、新產品陸續裝車使用，使未來的汽車更加安全。
未來汽車電子控制的重要發展方向之一是汽車安全領域，並向幾個方向發展：利用雷達技術和車載攝像技術開發各種自動避撞系統；利用近紅外技術開發各種能監測駕駛員行為的安全系統；高性能的輪胎綜合監測系統；自適應自動巡航控制系統；駕駛員身份識別系統；安全氣囊和ABS/ASR。隨著更加先進的智能型感測器、快速響應的執行器、高性能電控單元、先進的控制策略、計算機網路技術、雷達技術、第三代移動通信技術在汽車上的廣泛應用，現代汽車正朝著更加智能化、自動化和信息化的機電一體化方向發展。