2022年12月7日，智能網聯汽車數據治理和發展論壇成功召開。中汽研軟件測評（天津）有限公司軟件與信息安全測試研究部副部長邵學彬發表“汽車網絡安全與數據安全測試評估研究與實踐”主題報告。

邵學彬表示，隨著汽車智能化、網聯化的發展，智能網聯汽車引發的網絡安全和數據安全問題日益凸顯。針對智能網聯汽車的數據安全問題，數據分級分類保護是先決條件，數據全生命周期保障體系是核心，產業鏈上下游統籌協調是關鍵；同時要依法依規開展數據安全檢測評估，推動企業安全水平能力的提升。

以下為演講摘要：

報告主要從四個方面展開，第一部分是標準政策的建設進展，第二部分是合規的要點以及應對的建議，第三部分是數據安全合規方案，最后一個部分是數據安全測試方案。

一、標準政策的建設進展

汽車智能化、網聯化的快速發展既帶來了機遇，也帶來了更多的數據安全挑戰，數據安全問題日益凸顯。為了保障汽車數據安全，汽車網絡安全與數據安全領域相關法律法規和政策密集出臺，如國外的GDPR，國內的《關于加強智能網聯汽車生產企業及產品準入管理的意見》《關于加強車聯網網絡安全和數據安全工作的通知》等法律法規，國內外數據安全監管力度逐步加強。不僅僅是法律法規，汽車數據安全的標準體系也在持續完善中，以指導行業全面性落實法律法規要求，如GB/T《智能網聯汽車 數據通用要求》（公開征求意見）、GB/T 41871《信息安全技術 汽車數據處理安全要求》等等。

二、合規的要點以及應對的建議

面對日益凸顯的數據安全問題，報告提出了幾點合規要點以及應對建議：第一是建立數據分類分級保護制度。智能網聯汽車數據面臨的安全風險較高，除涉及種類更為繁雜的車內數據，還涉及車云通信、車與設備通信、車車/車路通信過程中產生和收集的數據，應建立數據分類分級保護制度。第二是汽車數據處理鏈中各環節技術復雜，各數據處理環節都會引入不同的數據安全問題，保護難度大。第三是汽車產業鏈較長，并涉及整車企業、元器件供應商、網絡運營商、內容和服務供應商等眾多的參與方，數據流通大、安全風險難以把控。第四是要提升企業數據安全管理能力，總體思路是以數據資產管理為基礎，與產品研發相結合，以合規為主要導向。最后是強化數據安全技術能力，針對數據收集、存儲、使用、加工、傳輸、提供、公開、刪除等全生命周期，采取相應的安全技術措施等，通過關閉相應數據傳輸通道、訪問建立數據出境接口動態監管、建立結構化保護模塊等措施避免數據不知情出境。

三、數據安全合規方案

針對數據安全合規的解決方案，首先需要進行數據資產盤點，其次需要依托現行政策法規要求，列舉智能網聯汽車可能引發的數據安全風險，剖析風險點、風險原因、風險表現等，分門別類進行歸納分析，總結行業、企業的普遍做法及應對方案。再次，需要監管部門建立滿足國內、GDPR數據安全監管要求的管理體系。此外，還需要進行數據安全測試，對車外人臉/車牌數據進行匿名化測試，對車輛數據出境、個人信息的處理進行測試。最后，需要構建國內首個汽車數據安全與個人信息保護自愿性認證（CADP），依托相關標準規定，從體系、產品測試兩個維度提出要求。

四、數據安全測試方案

最后，報告針對上文方案中提到的數據安全測試方案做出具體解讀。

1、針對車外人臉信息等匿名化處理測試，車外人臉或車牌信息在無法征得個人同意，且需向車外提供的情況，檢測是否對圖片/視頻中的人臉及車牌信息進行了匿名化處理且是否達到要求，通過自動化檢測與人工核驗結合的方式，對檢出率、誤檢率、交并比等指標進行計算，驗證匿名化處理的效果。報告還列舉了車牌和人臉的匿名化案例。

2、需要開展個人信息處理測試，測試驗證個人信息處理的合法性、安全性以及是否存在個人信息過度采集的情況。

3、針對車輛向外傳輸的數據，利用自研工具分析通信流量是否存在境外IP，檢測是否存在數據出境情況。

審核編輯 ：李倩