案 由:关于加强智能网联汽车生产制造安全与数据安全标准建设的提案
审查意见:建议工信部、交通部、科技部、公安部研究办理提案人:严望佳
当前大量具有辅助驾驶(L2级)功能的车辆已进入市场,根据《交通强国建设纲要》及《智能汽车创新发展战略》,中共中央、国务院明确要求加强智能网联汽车研发,形成完整自主可控产业链,到2025年实现有条件自动驾驶(L3级)汽车达到规模化生产,高度自动驾驶(L4级)汽车在特定环境下市场化应用。
伴随汽车智能化应用场景不断丰富,智能网联汽车安全问题呈扩大趋势。近年来汽车网络与数据安全事件频发,主要体现在非授权滥采数据、用户隐私泄露、车辆远程非法控制、汽车功能失效等。一旦大范围联网车辆及数据遭遇攻击、窃取和滥用等安全问题,会给国家安全、交通安全和用户隐私安全等造成重大影响,当前智能网联汽车安全主要存在以下难题:
(一)智能网联汽车生产制造安全相关标准缺乏统筹协调
从国内协调看,智能网联汽车相关安全标准规范丰富,但起草单位视角不同,要求实现方式也不尽相同。例如安全行业与汽车工业界提出标准,多是从自身产业角度出发,其中部分标准要求内容交叉,落实指导意见存在较大差异,结果是导致安全企业与智能网联汽车生产制造企业标准执行难,相关标准公信力下降。
从国际国内协调看,联合国世界车辆法规协调论坛作为国际汽车技术法规的协调与统一机构,已制定智能网联汽车安全条例,对信息安全、软件升级、自动车道保持等提出要求,对于我国出口境外的车型车辆,自2022年7月起即要满足该标准,但目前国内尚未形成符合我国国情的,能够与我国法律法规相适应的权威安全强制标准。
区别于传统汽车仅有本身车辆数据的情况,智能网联汽车通过车内外传感器采集大量行驶数据、环境数据和行为数据,还采集海量操作系统的用户行为数据,已逐渐成为产生与连接海量数据的中枢。一辆L4高等级自动驾驶汽车每日产生约10TB数据,是传统汽车的近10倍。
目前针对智能网联汽车数据安全,多部门数据安全监管侧重点不同,使车企在合规时面临资源重复投入。现行法律法规尚未规范不同数据处理者的责任边界,由车企背负了较重的汽车数据安全合规主体责任。在企业执行层也面临诸多难题,如“数据脱敏处理原则”影响自动驾驶技术进步,“车内处理原则”实现难度高,“个人单独授权原则”给用户使用带来不便等。
平衡发展与安全,统筹协调汽车研发、生产、通信、安全监管、信息化等各领域主管部门和业内优秀企业,从汽车设计、电子系统零部件生产、集成、通信、网络、虚拟化等行业领域,形成覆盖智能汽车应用场景下的权威安全标准体系及建设指南。
加快建立汽车生产制造信息安全体系指导标准,覆盖汽车整车及零部件生产、设计、制造企业的信息安全组织管理、生产制造过程管理,以及新车型的安全功能及特征要求。建立相应的检测评估机制,明确安全风险闭环和漏洞定级标准,对我国境内生产、开发、设计制造的零部件、电子系统、整车,以及境外生产出口到我国的汽车及零部件、电子系统等形成评估、检测、认证、管理机制。
着眼标准统一性、协调性、落地性,建设适合汽车行业的数据分类分级标准,特别是在具体场景当中涉及到的身份数据、服务内容数据、信息安全数据等,为车辆数据安全管理提供支撑。建立覆盖各类数据处理活动全生命周期的具体技术标准。当前信安标准发布了TC260—001《汽车采集数据处理安全指南》,但在数据供给、开发利用、流通等环节存在缺失。