日前,中国汽车工业协会(以下简称“中汽协”)日前发布了由国家工业信息安全发展研究中心牵头编制的《智能网联汽车数据安全评估指南(征求意见稿)》(以下简称《评估指南》”)。《评估指南》从数据安全级别的界定、数据安全评估团队人员构成与职责、数据安全评估的实施过程等多方面对数据安全评估进行了指导。在汽车数据安全漏洞越来越多的当下,《评估指南》的制定可谓恰逢其时。
旗帜性引导 为更高标准做铺垫
目前,数字经济是国家经济增长的新动能,也是经济转型、推动人类经济形态转变的重要突破口,数据已成为重要的生产要素。汽车产业进入大数据时代,智能网联汽车是一种高度数字化的产品,在实际运行中需要采集大量车内外数据,这些数据的分析与使用使汽车产品更加智能的同时,也给数据安全的监管带来了挑战。国家陆续出台了多项数据安全相关法律法规,然而目前缺乏实施细则,各企业缺乏依据和指导。
据悉,中汽协数据分会正是秉着团标先行、按需制定、注重实用、服务产业的原则,牵头组织了各会员企业共同研究智能网联汽车数据安全评估的实施方法与流程,并制定团体标准。
《评估指南》项目旨在建立智能网联汽车数据安全评估的实施方法与流程,适用于智能网联汽车相关企业自行开展数据安全评估工作,也可为主管监管部门、第三方测评机构等组织开展智能网联汽车相关企业数据采集与处理情况的监督、检查、管理、评估等工作提供参考。
一位不愿透露姓名的智能网联领域专家指出,此时各单位、机构共同研究的《评估指南》,对整个行业有着重要的意义。他表示:“国标的制定是比较困难的,尤其像智能网联等还不成熟、技术密集型的领域,更适合制定团体标准,先行先试。所以国家也在鼓励各个机构以团标的形式,尽快推出行业的示范性参考。”
同时,《数据安全法》、《网络数据安全管理条例(征求意见)》等法律法规也鼓励行业组织依法制定数据安全行为规范和团体标准,加强行业自律,因此制定研究该团体标准是符合数据安全法律法规要求和产业发展需求的。此标准有利于汽车产业保证数据合规,进而促进汽车企业在数据安全基础上开展数据价值挖掘,助力智能网联汽车数据生态的形成。
该专家还指出,标准实质是一种技术性文本,是一种自下而上的逻辑体系,由各个企业和组织机构自发提出,然后碰撞探讨,这样得出来的标准,一方面更具有专业性,同时也具有更强的可操作性。
业内人士表示,通过这种方式形成的团体标准,不具有强制约束的作用,更多是作为标准推荐,期待为后期相关国家标准的制定奠定基础。
三大数据安全成重点
《评估指南》中对数据安全评估分为数据安全风险评估、数据安全合规性评估和数据出境安全评估三种类型。其中数据风险评估是指通过分析数字资产的重要程度、所面临的威胁和脆弱性,对企业数据安全风险进行评价的过程。数据安全合规性评估是针对智能网联汽车数据处理活动,判断其是否符合相关法律、法规、标准和管理要求,评估企业数据安全管理措施合理有效的过程。数据出境安全评估在《评估指南》中没有单独介绍,将参照后续法规标准执行。
中科院创业投资管理有限公司研究总监邵元骏告诉记者:“目前涉及数据安全的问题主要就是这三类,围绕什么数据能采集、采集的数据怎么通信、采集完的数据怎么存储、应用等问题是需要探讨的重点。有关具体内容,中资和外资企业存在一定的差异。所以这更需要整个行业的主要参与者和龙头企业代表一起研究相关标准。”
“许多研发机构,包括一些国际公司,对数据跨境流动有切实需求,所以共同构建标准来进行规范,是非常有必要的。”智能网联领域专家邹鸣说。
具体来看,《评估指南》对智能网联汽车、汽车数据、一般数据和重要数据等概念都做了清晰定义,还针对数据安全风险评估和数据安全合规评估制定了详细的流程。
数据安全风险评估主要针对智能网联汽车数据处理活动,预判影响数据保密性、完整性、可用性的安全风险,分析数据面临的威胁、威胁利用脆弱性导致数据安全事件的可能性、一旦发生安全事件对组织造成的影响,评估数据安全潜在风险。
数据安全合规评估则是以保护数据安全性、提升数据处理者数据安全的保障能力为目的,给出数据处理者数据安全保障措施的基础要求并判断其是否符合并遵守相关法律、法规、标准和管理要求,评估企业数据安全管理措施合规性。
同时,由于数据存储有着时间和空间性,还有相应的数据存证平台,可为汽车数据收集及传输等活动的溯源与管理提供有效支撑,并可服务于数据安全监管、审查评估、企业合规体系建设等。
标准在动态中走向完善
据悉,团标的编制工作也有诸多老牌车企参与,如:广汽集团、长安汽车、长城汽车、上汽通用五菱等;许多新势力企业积极响应,如:蔚来汽车、小鹏汽车、特斯拉、地平线等。
根据《评估指南》的风险评估报告,企业应制定相应的风险处理计划,明确风险处理方式,确定风险处理措施,以规避相应的数据安全风险。同时,应对风险评估工作进行记录,并定期开展评估、验证工作,以确定风险处理措施是否有效、是否存在新的风险,对评估工作、处理措施进行持续改进。
按照逻辑,此次《评估指南》的推出,似乎为智能网联车企的未来发展起到明晰的指引。但邹鸣认为,这件事情应该从“一体两面”去看待,“虽然从宏观上来看,标准的制定是为了规范、统一、指引,但具体到个体来看,对每家企业带来的影响却是不一样的。”他说。
邹鸣认为,对于初创企业,它们刚进入这个行业,尚不清楚技术方向和规划目标时,标准可以起到指引作用;对于一些已经在这个行业耕耘多年的企业,一些标准与其现行的技术方向不同的话,就可能会对它们造成困扰。
“但是我们一再强调的是,《评估指南》这类推荐性标准不具有强制性和约束性,更倾向于企业自愿性遵从。”邹鸣表示。
智能网联汽车领域研究者熊淇也认为,这类标准看起来极具引领性,但仔细推敲,其实际指导意义似乎并不大。“企业最关注的是转入问题,如果这些标准不与企业遇到的实际问题挂钩,那么其能引起企业的重视其实是非常有限的。毕竟它不是国标,不能要求企业严格遵守。”他说。
对此,邹鸣也十分赞同。“目前行业成熟度不够,作为一个新兴领域,大家都在尽可能地向最优解靠近,但是因为基于行业本身发展程度和诸多因素,不同的主体离最优解的距离可能是不一样的。在这种背景下商议出来的解决方案会受很多因素影响,随机性比较大。我们希望不同的企业、机构团体,和它们制定的不同标准之间可以相互学习和竞争,碰撞摩擦,形成更好的标准,这也是一个市场机制的做法。”他说。
可以预见的是,无论是哪一方构建的标准,都会持续迭代、修订,在动态中走向成熟和完善,助力智能网联汽车数据生态的形成。(记者:张雅慧)