日前，中國汽車工業(yè)協(xié)會(以下簡稱“中汽協(xié)”)日前發(fā)布了由國家工業(yè)信息安全發(fā)展研究中心牽頭編制的《智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全評估指南(征求意見稿)》(以下簡稱《評估指南》”)?！对u估指南》從數(shù)據(jù)安全級別的界定、數(shù)據(jù)安全評估團(tuán)隊人員構(gòu)成與職責(zé)、數(shù)據(jù)安全評估的實施過程等多方面對數(shù)據(jù)安全評估進(jìn)行了指導(dǎo)。在汽車數(shù)據(jù)安全漏洞越來越多的當(dāng)下，《評估指南》的制定可謂恰逢其時。

旗幟性引導(dǎo)　為更高標(biāo)準(zhǔn)做鋪墊

目前，數(shù)字經(jīng)濟(jì)是國家經(jīng)濟(jì)增長的新動能，也是經(jīng)濟(jì)轉(zhuǎn)型、推動人類經(jīng)濟(jì)形態(tài)轉(zhuǎn)變的重要突破口，數(shù)據(jù)已成為重要的生產(chǎn)要素。汽車產(chǎn)業(yè)進(jìn)入大數(shù)據(jù)時代，智能網(wǎng)聯(lián)汽車是一種高度數(shù)字化的產(chǎn)品，在實際運行中需要采集大量車內(nèi)外數(shù)據(jù)，這些數(shù)據(jù)的分析與使用使汽車產(chǎn)品更加智能的同時，也給數(shù)據(jù)安全的監(jiān)管帶來了挑戰(zhàn)。國家陸續(xù)出臺了多項數(shù)據(jù)安全相關(guān)法律法規(guī)，然而目前缺乏實施細(xì)則，各企業(yè)缺乏依據(jù)和指導(dǎo)。

據(jù)悉，中汽協(xié)數(shù)據(jù)分會正是秉著團(tuán)標(biāo)先行、按需制定、注重實用、服務(wù)產(chǎn)業(yè)的原則，牽頭組織了各會員企業(yè)共同研究智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全評估的實施方法與流程，并制定團(tuán)體標(biāo)準(zhǔn)。

《評估指南》項目旨在建立智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全評估的實施方法與流程，適用于智能網(wǎng)聯(lián)汽車相關(guān)企業(yè)自行開展數(shù)據(jù)安全評估工作，也可為主管監(jiān)管部門、第三方測評機(jī)構(gòu)等組織開展智能網(wǎng)聯(lián)汽車相關(guān)企業(yè)數(shù)據(jù)采集與處理情況的監(jiān)督、檢查、管理、評估等工作提供參考。

一位不愿透露姓名的智能網(wǎng)聯(lián)領(lǐng)域?qū)＜抑赋?，此時各單位、機(jī)構(gòu)共同研究的《評估指南》，對整個行業(yè)有著重要的意義。他表示：“國標(biāo)的制定是比較困難的，尤其像智能網(wǎng)聯(lián)等還不成熟、技術(shù)密集型的領(lǐng)域，更適合制定團(tuán)體標(biāo)準(zhǔn)，先行先試。所以國家也在鼓勵各個機(jī)構(gòu)以團(tuán)標(biāo)的形式，盡快推出行業(yè)的示范性參考。”

同時，《數(shù)據(jù)安全法》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見)》等法律法規(guī)也鼓勵行業(yè)組織依法制定數(shù)據(jù)安全行為規(guī)范和團(tuán)體標(biāo)準(zhǔn)，加強(qiáng)行業(yè)自律，因此制定研究該團(tuán)體標(biāo)準(zhǔn)是符合數(shù)據(jù)安全法律法規(guī)要求和產(chǎn)業(yè)發(fā)展需求的。此標(biāo)準(zhǔn)有利于汽車產(chǎn)業(yè)保證數(shù)據(jù)合規(guī)，進(jìn)而促進(jìn)汽車企業(yè)在數(shù)據(jù)安全基礎(chǔ)上開展數(shù)據(jù)價值挖掘，助力智能網(wǎng)聯(lián)汽車數(shù)據(jù)生態(tài)的形成。

該專家還指出，標(biāo)準(zhǔn)實質(zhì)是一種技術(shù)性文本，是一種自下而上的邏輯體系，由各個企業(yè)和組織機(jī)構(gòu)自發(fā)提出，然后碰撞探討，這樣得出來的標(biāo)準(zhǔn)，一方面更具有專業(yè)性，同時也具有更強(qiáng)的可操作性。

業(yè)內(nèi)人士表示，通過這種方式形成的團(tuán)體標(biāo)準(zhǔn)，不具有強(qiáng)制約束的作用，更多是作為標(biāo)準(zhǔn)推薦，期待為后期相關(guān)國家標(biāo)準(zhǔn)的制定奠定基礎(chǔ)。

三大數(shù)據(jù)安全成重點

《評估指南》中對數(shù)據(jù)安全評估分為數(shù)據(jù)安全風(fēng)險評估、數(shù)據(jù)安全合規(guī)性評估和數(shù)據(jù)出境安全評估三種類型。其中數(shù)據(jù)風(fēng)險評估是指通過分析數(shù)字資產(chǎn)的重要程度、所面臨的威脅和脆弱性，對企業(yè)數(shù)據(jù)安全風(fēng)險進(jìn)行評價的過程。數(shù)據(jù)安全合規(guī)性評估是針對智能網(wǎng)聯(lián)汽車數(shù)據(jù)處理活動，判斷其是否符合相關(guān)法律、法規(guī)、標(biāo)準(zhǔn)和管理要求，評估企業(yè)數(shù)據(jù)安全管理措施合理有效的過程。數(shù)據(jù)出境安全評估在《評估指南》中沒有單獨介紹，將參照后續(xù)法規(guī)標(biāo)準(zhǔn)執(zhí)行。

中科院創(chuàng)業(yè)投資管理有限公司研究總監(jiān)邵元駿告訴記者：“目前涉及數(shù)據(jù)安全的問題主要就是這三類，圍繞什么數(shù)據(jù)能采集、采集的數(shù)據(jù)怎么通信、采集完的數(shù)據(jù)怎么存儲、應(yīng)用等問題是需要探討的重點。有關(guān)具體內(nèi)容，中資和外資企業(yè)存在一定的差異。所以這更需要整個行業(yè)的主要參與者和龍頭企業(yè)代表一起研究相關(guān)標(biāo)準(zhǔn)。”

“許多研發(fā)機(jī)構(gòu)，包括一些國際公司，對數(shù)據(jù)跨境流動有切實需求，所以共同構(gòu)建標(biāo)準(zhǔn)來進(jìn)行規(guī)范，是非常有必要的。”智能網(wǎng)聯(lián)領(lǐng)域?qū)＜亦u鳴說。

具體來看，《評估指南》對智能網(wǎng)聯(lián)汽車、汽車數(shù)據(jù)、一般數(shù)據(jù)和重要數(shù)據(jù)等概念都做了清晰定義，還針對數(shù)據(jù)安全風(fēng)險評估和數(shù)據(jù)安全合規(guī)評估制定了詳細(xì)的流程。

數(shù)據(jù)安全風(fēng)險評估主要針對智能網(wǎng)聯(lián)汽車數(shù)據(jù)處理活動，預(yù)判影響數(shù)據(jù)保密性、完整性、可用性的安全風(fēng)險，分析數(shù)據(jù)面臨的威脅、威脅利用脆弱性導(dǎo)致數(shù)據(jù)安全事件的可能性、一旦發(fā)生安全事件對組織造成的影響，評估數(shù)據(jù)安全潛在風(fēng)險。

數(shù)據(jù)安全合規(guī)評估則是以保護(hù)數(shù)據(jù)安全性、提升數(shù)據(jù)處理者數(shù)據(jù)安全的保障能力為目的，給出數(shù)據(jù)處理者數(shù)據(jù)安全保障措施的基礎(chǔ)要求并判斷其是否符合并遵守相關(guān)法律、法規(guī)、標(biāo)準(zhǔn)和管理要求，評估企業(yè)數(shù)據(jù)安全管理措施合規(guī)性。

同時，由于數(shù)據(jù)存儲有著時間和空間性，還有相應(yīng)的數(shù)據(jù)存證平臺，可為汽車數(shù)據(jù)收集及傳輸?shù)然顒拥乃菰磁c管理提供有效支撐，并可服務(wù)于數(shù)據(jù)安全監(jiān)管、審查評估、企業(yè)合規(guī)體系建設(shè)等。

標(biāo)準(zhǔn)在動態(tài)中走向完善

據(jù)悉，團(tuán)標(biāo)的編制工作也有諸多老牌車企參與，如：廣汽集團(tuán)、長安汽車、長城汽車、上汽通用五菱等;許多新勢力企業(yè)積極響應(yīng)，如：蔚來汽車、小鵬汽車、特斯拉、地平線等。

根據(jù)《評估指南》的風(fēng)險評估報告，企業(yè)應(yīng)制定相應(yīng)的風(fēng)險處理計劃，明確風(fēng)險處理方式，確定風(fēng)險處理措施，以規(guī)避相應(yīng)的數(shù)據(jù)安全風(fēng)險。同時，應(yīng)對風(fēng)險評估工作進(jìn)行記錄，并定期開展評估、驗證工作，以確定風(fēng)險處理措施是否有效、是否存在新的風(fēng)險，對評估工作、處理措施進(jìn)行持續(xù)改進(jìn)。

按照邏輯，此次《評估指南》的推出，似乎為智能網(wǎng)聯(lián)車企的未來發(fā)展起到明晰的指引。但鄒鳴認(rèn)為，這件事情應(yīng)該從“一體兩面”去看待，“雖然從宏觀上來看，標(biāo)準(zhǔn)的制定是為了規(guī)范、統(tǒng)一、指引，但具體到個體來看，對每家企業(yè)帶來的影響卻是不一樣的。”他說。

鄒鳴認(rèn)為，對于初創(chuàng)企業(yè)，它們剛進(jìn)入這個行業(yè)，尚不清楚技術(shù)方向和規(guī)劃目標(biāo)時，標(biāo)準(zhǔn)可以起到指引作用;對于一些已經(jīng)在這個行業(yè)耕耘多年的企業(yè)，一些標(biāo)準(zhǔn)與其現(xiàn)行的技術(shù)方向不同的話，就可能會對它們造成困擾。

“但是我們一再強(qiáng)調(diào)的是，《評估指南》這類推薦性標(biāo)準(zhǔn)不具有強(qiáng)制性和約束性，更傾向于企業(yè)自愿性遵從。”鄒鳴表示。

智能網(wǎng)聯(lián)汽車領(lǐng)域研究者熊淇也認(rèn)為，這類標(biāo)準(zhǔn)看起來極具引領(lǐng)性，但仔細(xì)推敲，其實際指導(dǎo)意義似乎并不大。“企業(yè)最關(guān)注的是轉(zhuǎn)入問題，如果這些標(biāo)準(zhǔn)不與企業(yè)遇到的實際問題掛鉤，那么其能引起企業(yè)的重視其實是非常有限的。畢竟它不是國標(biāo)，不能要求企業(yè)嚴(yán)格遵守。”他說。

對此，鄒鳴也十分贊同。“目前行業(yè)成熟度不夠，作為一個新興領(lǐng)域，大家都在盡可能地向最優(yōu)解靠近，但是因為基于行業(yè)本身發(fā)展程度和諸多因素，不同的主體離最優(yōu)解的距離可能是不一樣的。在這種背景下商議出來的解決方案會受很多因素影響，隨機(jī)性比較大。我們希望不同的企業(yè)、機(jī)構(gòu)團(tuán)體，和它們制定的不同標(biāo)準(zhǔn)之間可以相互學(xué)習(xí)和競爭，碰撞摩擦，形成更好的標(biāo)準(zhǔn)，這也是一個市場機(jī)制的做法。”他說。

可以預(yù)見的是，無論是哪一方構(gòu)建的標(biāo)準(zhǔn)，都會持續(xù)迭代、修訂，在動態(tài)中走向成熟和完善，助力智能網(wǎng)聯(lián)汽車數(shù)據(jù)生態(tài)的形成。

關(guān)鍵詞： 智能網(wǎng)聯(lián) 安全評估 風(fēng)險防范 數(shù)據(jù)安全