“黄鹏：智能网联汽车数据安全研究报告”

2021年6月17日-19日，由中国汽车工业协会主办的第十一届中国汽车论坛在上海嘉定举行。 站在新五年的起跑线上，本届论坛以“新起跑线新战术新框架——推进汽车产业优质快速发展”为主题，举办了“一届闭门峰会+一个中外论坛+12个主题论坛” 全面凝聚汽车领域精英，协商汽车强国大计，落实国家提出的“CO2排放高峰期、碳中和”战术目标要求，提出了国家提出的“其中，6月19日下午召开的主题论坛“ICV产业快速发展与安全论坛， 以下是现场演讲的实录。

你好。 我代表中心报告我们团队最新的研究成果——icv的数据安全研究。 这项研究比较初步，之后希望得到各导师和专家的指示。 今天主要报告五个方面。 一是ICV的内涵和快速发展现状。 二是ICV数据安全发展迅速；三是车企对ICV数据安全的认识不断加深；四是互联网安全公司在ICV数据安全市场有“巨大的潜力” 五、政府积极统筹ICV产业的快速发展和数据安全保护。

一、ICV的内涵和快速发展现状

ICV创造了新的重要行业和场景，快速发展已经势不可挡，而且主要国家和领域的组织对ICV已经从系统、产品、装备、互联网等角度有了一点重要的配置。

研究认为，ICV与以前流传下来的汽车装备不同，至少有四个明显的优势。 首先是互联。 这是基本特征。 二是软件的定义。 从传统的机械驱动迅速发展到未来的数据驱动是一个重要的优点。 大众几年前宣布投入35亿欧元打造自己的汽车操作系统，但特斯拉软件价格占整车价格的40%，s系列代码行数超过4亿行。 在今天上午的“共创软件定义汽车新生态”论坛上，许多公司已经成立了自己的软件科技公司，开发了自己的操作系统和APP，并提到了适应软件定义汽车的大潮。 未来ICV至少60%的价值来自软件，因此未来ICV将是新的新闻技术终端。 第三是无人驾驶。 刚才朱教授就无人驾驶的不同水平、不同场景的应用和风险进行了深入的说明。 第四个是绿色低碳。 未来的ICV以电动汽车为主，非常适合或适应“白炭黑”相关国家的要求和布局。

此外，我们还对ICV产业链进行了初步分解，从上游的零部件、软件，到下游对应的文案、平台、数据、移动、保险、租赁、维修等服务商，整个产业链的构建和重建也在进行。 我国已经在产业链的各个阶段布局，但核心系统零部件仍大多依赖进口，虽然近期在技术研发方面略有突破，但在市场化批量生产方面还存在一定差距。

二、ICV数据安全性的快速发展态势

ICV的第一个优点是数据成为驱动汽车快速发展的重要价值点。 这一快速发展趋势对车辆安全和数据安全都有新的要求和风险，因此要求从车的全生命周期和数据的全生命周期两个角度考虑ICV的安全问题。

基于这两个维度，我们发现，未来ICV带来的数据安全风险依然巨大和突出，至少涉及四个方面。

首先，需要增强区域的数据安全意识。 最近出现了一系列相应的事情，在一定程度上影响了客户对ICV安全性的信心。

二是数据泄露风险大，威胁个人隐私安全。 ICV为了更好地实现自动驾驶，或者让驾驶员有更好的体验，收集了相应的新闻。 在我们调查的过程中发现，一台ICV每天至少收集10tb的数据，不仅数量庞大，还涉及驾驶员的移动轨迹、习性、语音、视频等，一旦被侵害，个人隐私将受到侵害。

三是网络安全漏洞多，威胁个人人身和财产安全。 每年有280多万起恶意攻击在全球发生，黑客可以通过网络攻击的手段控制车辆行驶，利用软件漏洞操作ICV，因此威胁和风险也非常大。

四是有可能威胁国家安全。 为了更好地实现车与路的相互作用和周围基础设施的相互作用，ICV也收集了周围场景和重要地理新闻的数据，精度达到一定程度后，会影响和威胁国家的安全。

发现几个国家，特别是发达国家和领域的组织也出台了管理规范和措施。 美国、欧盟、国际汽车制造协会通过了粗略的战术规定，也包含了比较细化的可操作指导方针。

不同的ICV制造商，由于基因不同，对数据安全性的认识和保护能力也不同。 我认为目前最重要的ICV制造商来自三种类型的公司。

第一个是以前流传下来的汽车企业，他们的快速发展模式是渐进的，包括现在国产自主企业品牌的汽车和合资企业品牌的汽车。 这种以前传下来的汽车企业正在推进相关新技术的开发和应用、数字化的转变，但从整体上看，他们的意识和能力还在迅速发展。

第二类是新闻技术公司，是百度、阿里、腾讯、华为、滴滴、小米等新闻技术公司。 这类公司基于在报业的强大能力和生态，大力宣传相应的技术系统、自动驾驶系统等，以飞跃的方式进入ICV领域。

三是造车新势力。 理想、未来、小鹏等是快速发展过程中激进的快速发展过程，他们在数据安全的考虑和布局上也有自己的优势。

世界知名咨询机构guidehouse在分析目前ICV行业竞争格局时发现，目前的“领军人物”中，4家基本上都是新闻技术公司，现阶段以新闻技术为背景的公司进入ICV领域是其特点。

有趣的是，我们知道的特斯拉被导游办公室放在“‘追随者’”中。 第一个原因是，人们认为特斯拉的自动驾驶能力和安全保障能力与普及的相比有一定的差距。

这三类ICV厂商对数据安全的认识和保护能力仍然存在一定差异，特别是以前流传的汽车企业和新闻技术公司，以及制造汽车的新势力在相应能力上的配置、组织结构的调整、应对新的安全诉求的能力等可能存在一定差异 但是，我发现这三类公司也跨界融合，相互借鉴。

三、汽车企业对汽车数据安全的理解不断加深

我们调查了一些汽车企业，总结了他们现在对数据安全的理解和措施。 汽车企业也越来越重视数据安全问题，国内主要企业意图通过加强技术手段和管理机制，大幅提高数据安全保障能力。

但是，其实风险也非常突出。 一是核心设备的自主控制能力进一步提高。 例如，传感器、芯片、雷达天线等仍属于ICV“掐脖子”行业。 二是公司缺乏管理责任。 许多汽车企业往往在“黑匣子”的状态下开展一点点的数据管理工作，使现有的保护机制和管理措施变得困难，出现延误的问题。 三是实际落地实例少，缺乏具体的指导性和实践性指引，很多公司游走在边界上，探索的价格也非常高，所以后续还有很多值得确定的地方。

从提案的角度出发，我们建议车企从两个角度提高数据安全方面的能力。 一是提高核心基础技术的安全控制能力，即涉及车辆的本质安全。 二是提高数据安全综合防护能力，利用新一代新闻技术、区块链技术、流量检测技术、国密技术等，提高综合防护能力。

四、网络安全公司在ICV的数据安全市场上“大有可为”

我国主流网络安全公司都在积极布局ICV新赛道，很多都是基于他们以前流传的产品，根据ICV的新场景进行了一些适应性的调整和优化，包括数据层面，云、管、管、

我们对国内安全厂商天融信进行了调查，形成了涵盖车侧网关、ecu、t-box、云、APP侧等各方面的渗透测试工具和服务。 下面的例子来自百度，其自动驾驶安全框架已经覆盖了数据安全的整个生命周期。

虽然ICV行业对网络安全产业或网络安全公司来说是一个巨大的市场，但可以说存在着许多挑战。 一个是现有的网络安全产品和处理方案还不满足ICV的安全诉求。 二是安全措施方案的路径不同。 一些网络安全公司侧重于车端安全，而另一些则侧重于云端安全。 这些对策方案没有哪个质量更高，但需要相互参考。 三是安全产品应用存在价格、意识等问题。 我们也提出了两个建议。 一是要求这些互联网安全公司比较ICV的不同场景，开发比较相关的产品和处理方案，加大宣传力度。 二是探索适合ICV场景的网络安全保险方案。 保险在汽车行业非常常见，但数据安全保险，或互联网安全保险可以为汽车企业、客户、以及产业链上的众多新闻技术服务公司提供一体化保障。

五、政府积极统筹ICV产业的快速发展和数据安全保护

首先，在政策规划层面，政府已经出台相关标准指导方针，包括政策文件，加强对数据全生命周期的管理，强调数据分类分级工作。

二是在法律法规方面，《网络安全法》《数据安全法》《个人新闻保护法》(草案)以及网络通信事务局发布的《汽车数据安全管理若干规定》(征求意见稿)已经体现了政府的一点对比性考虑， 我们支持网络通信事务局和工业通信部等部门发布更细化的管理条例和指导方针，从法律法规方面给予指导和指导，更好地指导整个产业的实践。

第三，标准体系不断完善，最高层体系标准和专项标准也相继制定和不断修改。

四是加快试验应用落地。 例如，在上海临港新区跨境数据试点中，道路测量、风险判断、风险管理相关试点工作也在推进中。 由于ICV本身是新事物，涉及许多复杂的系统，政府确实有必要通过试点项目的实施总结出优秀的方法，并进行后续宣传。

当然，从政府推动产业快速发展和数据安全的角度来看，也面临着重要的挑战。 一是整个监管体系、标准体系相对滞后于产业的快速发展速度。 二是存在多头监管问题，需要尽快细化区域性监管要求。 从数据安全监管的角度看，国家互联网通信部门是牵头部门，但涉及具体领域细则的制定，需要领域主管部门和稍重要的领域协会推进相关工作。 第三，实践承诺还不够。 数据安全监管和治理的基础工作之一是对数据进行分类分类 对数据必须进行管理，但不能过度管理。 它们是必须管理、需要高手段的监管，它们需要在市场上流动，非常基础的工作之一是数据分类分类分类。

我们提出的建议有四个方面。 一是统筹产业创新的快速发展和数据的安全保障。 二是尽快发布数据分类分级指南和管理细则，在国内稍重要的领域，如金融、工业网络等行业，已经发布了相应的分类分级指南，ICV领域可供参考。 三是建立事前风险判断和事后应急响应机制，例如国家级专业技术机构可以探讨如何更好地提供服务和支持。 四是关注跨境数据移动问题。 目前，国内非常关注这个问题，国家网络通信部门也在密集地进行调查和研究。 今后，我们将参考世界通用的方法，细分适当的数据移动规则。

以上是我们现在这份报告的第一份复印件，在撰写报告的过程中，也得到了一些汽车企业和网络安全公司的支持。 之后，我们也想与这里的公司和专家合作，更深入地在ICV的数据安全行业工作。

我们中心的智囊团将发表一系列报告。 希望大家关心和支持。

报告这个。 谢谢你。

(注:本文根据现场速记整理，未经演讲嘉宾审查)