魏亮:加强新能源汽车网络安全和数据安全体系建设,引领带动汽车产业高质量发展
近日,工业和信息化部印发了《关于进一步加强新能源汽车安全体系建设的指导意见》(以下简称《意见》),强化细化新能源汽车企业网络安全和数据安全的具体要求,对深化构筑新能源汽车产业安全体系、引领带动汽车产业高质量发展意义重大。
一、 《意见》是贯彻落实国家新能源汽车发展战略要求,同步构筑新能源汽车网络安全保障体系的行动纲领
当前,新一轮科技革命和产业变革蓬勃发展,汽车与能源、交通、信息通信等领域有关技术深度融合,全球范围汽车产业布局、技术迭代和应用创新加速深化推进。新能源汽车作为汽车产业电动化、网联化、智能化的重要方向,已成为汽车转型发展、促进经济持续增长的重要引擎。党中央、国务院高度重视新能源汽车产业高质量发展,印发《新能源汽车产业发展规划(2021-2025年)》,明确提出推动健全新能源汽车安全保障体系等要求。《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施保护条例》《汽车数据安全管理若干规定(试行)》《关于加强车联网网络安全和数据安全工作的通知》等法律法规和政策要求陆续出台,为开展汽车领域网络安全和数据安全工作提供了指导和依据。《意见》着眼新能源汽车产业发展趋势及安全需求,明确新能源汽车网络安全和数据安全细化要求,做好与相关法律法规及政策要求的有效衔接,布局做好新能源汽车网络安全和数据安全体系建设工作,对护航新能源汽车产业安全健康发展具有重要意义。
二、《意见》是着眼新能源汽车网络安全形势,引领带动汽车产业融合转型保障体系建设的客观需要
当前,新能源汽车网联化、智能化快速引领推进,车内车外互联互通、数据采集处理以及汽车软件应用集成等快速升级,已成为高度互联、耦合的“复杂系统”,安全隐患和威胁入口增多,各类风险不断向汽车及其相关设施延伸,一旦被恶意攻击,将可威胁人民生命财产安全、公共秩序乃至社会安全。一是新能源汽车开放互联水平快速提升,风险暴露面扩大。新能源汽车的发展逐渐趋向“人-车-路-网-云”全方位跨域互联和融合开放,汽车开放连接和车辆内外数据交互日益频繁,网络安全风险向汽车内外网络通信、车联网平台及应用、车载联网设备、数据等更大范围、更多对象蔓延。二是新能源汽车各类应用创新集成加速,网络安全问题更加突出。大数据、人工智能、生物识别等前沿技术,以及自动驾驶、远程升级等新功能新模式的加速应用,加剧新能源汽车安全漏洞等风险隐患。据中国信通院的检测评估,发现新能源汽车电控、网联设备等关键部件系统均存在安全漏洞隐患,数据过度收集和不合规使用等问题较为突出。
近年来,受新能源政策引导、消费者体验升级等多因素驱动,我国新能源汽车技术创新加速,产业规模不断扩大,对网络安全和数据安全防护能力提出更高要求。此次《意见》出台紧紧围绕新能源汽车网络安全、数据安全和个人信息安全防护“三驾马车”,进一步加强对新能源汽车企业在安全管理制度、安全技术措施等方面的建设落实要求,是防范应对勒索软件、挖矿攻击、供应链攻击等网络安全威胁风险,筑牢车联网产业高质量发展安全底座的重要指引。
三、 《意见》是立足新能源汽车网络安全需求,紧扣关键要素、强化综合保障的落地举措
发展新能源汽车是我国从汽车大国迈向汽车强国的必由之路。近年来我国新能源汽车发展成效显著,市场规模不断扩大,市场渗透率不断提升。数据显示,近五年我国新能源汽车销量已超过740万辆,其中,2020年为127万辆,2021年达到312万辆,2021年市场渗透率达到13.4%。
新能源汽车的快速发展,不断推动汽车动力发展、生产运行、消费使用等模式的全面变革,对网络安全工作也提出升级化的新需求。一是如何保障各类联网设施及系统、数据的安全已成为汽车发展的关键一环。汽车逐步从传统交通工具转变成为“四个轮子上的可移动超级计算机”,打破传统汽车的物理局限、实现全方位跨域互联和信息交互的同时,应重视实现汽车网络安全与物理安全、功能安全的有效融合。二是如何保障海量数据的合规获取和安全使用已成为汽车发展的必要内容。新能源汽车作为自动驾驶和远程升级等新型功能创新的先行者,不断加速对车辆及路侧各类数据采集设备、传感器、雷达和高精度导航和定位系统的集成应用,海量数据获取和分析以支持信息交换共享和智能决策,尤其是L3以上的汽车自动驾驶应用深化,远程升级等功能快速迭代,数据采集和处理场景愈发复杂,以汽车和用户为中心的海量数据安全保护成为刚需。三是如何保障新能源汽车供应链产业链各类主体安全及权益,维护用户个人信息安全成为根本。新能源汽车产业生态正由零部件、整车研发生产及营销服务企业之间的“链式”关系,逐步演变成为汽车、信息通信、能源、交通等多领域多主体参与的“网状生态”,保障新型生态中各主体对象权益,已成为新能源汽车产业发展的立足之本。
《意见》针对新能源汽车网络安全、数据安全和个人信息保护三方面的安全需求,着力部署细化措施,为护航产业发展提供了重要的方法指引。一是明确落实法律法规要求,压实企业网络安全、数据安全和个人信息保护的主体责任,强化多要素联动防护的实践动线,加快健全完善汽车安全体系,增强企业发展韧性。二是明确夯实制度机制建设要求,企业应严格对照落实汽车领域网络设施和系统安全分级防护、车联网卡实名登记、汽车产品安全漏洞管理和用户个人信息保护等有关要求,健全完善安全管理的制度和工作机制,做好工作层层细化和落地部署。三是明确安全防护保障要求,企业应切实增强汽车网络安全状态监测,做好数据全生命周期各环节处理活动的安全保护,采取有效技术措施加强个人信息安全防护,针对性地部署技术措施和保障策略,切实提升新能源汽车安全水平。
总体来看,《意见》立足于建立系统、科学、规范的企业网络安全和数据安全体系,为新能源汽车企业有效防范和应对安全风险提供了重要的行动指引。《意见》的出台也将进一步促进带动整个智能网联汽车产业网络安全和数据水平的全面提升。汽车网络安全和数据安全是跨界融合的系统性、复杂性和持续性工程,事关当前战略实施和长远可持续发展,汽车产业界要充分发挥产业各方的能动作用,强化资源整合、产业供给和服务保障,筑牢汽车安全根基,护航汽车产业高质量可持续发展。
