文 | 中国电子技术标准化研究院 张骁 陈海龙 杨思佳 贾雨萌

随着人工智能、智能座舱等新技术新应用的快速发展,汽车智能化程度不断提高,自适应巡航、自动紧急制动、前向碰撞预警等高级辅助驾驶功能越来越多的应用在智能网联汽车上,方便人们的日常出行,也展示出了未来完全自动驾驶在减少安全事故、提高交通效率和提升驾驶体验等方面的巨大潜力。然而,随着自动驾驶技术在汽车上的广泛部署,自动驾驶可能带来的网络安全风险也变得越来越显著,包括网络安全漏洞、恶意远程控车、自动驾驶欺骗等在内的网络安全威胁。汽车网络安全风险涉及汽车的功能安全和车主的信息安全。近年来,多起自动驾驶网络安全事件引发了广泛关注。2020 年,国内网络安全企业通过远程入侵方式成功在线开启了一辆智能汽车的车窗、后视镜,并将其启动上路。此外,车载软件的远程更新也可能被黑客利用,篡改正常的软件更新包,实现对汽车的入侵和控制。同时,正常的远程更新也可能带来网络安全风险,车企通过远程升级篡改车辆的多项参数,在未告知用户的情况下执行诸如“锁电”等操作。这些事件充分表明了自动驾驶网络安全风险的严重性和紧迫性,因此需要加强对自动驾驶网络安全的研究和防范措施的制定,以确保汽车及用户的安全。

一、国内外政策法规与标准化

国内外在开展自动驾驶相关政策法规制定与标准化体系建设工作时,均注意到了自动驾驶技术发展可能带来的网络安全问题,并针对其风险提出了相关保护要求。

(一)法律法规政策制定情况

自动驾驶网络安全问题在全球已经引起了广泛的关注和重视。随着自动驾驶技术的快速发展,各国政府和国际组织纷纷认识到加强网络安全和数据保护的重要性,并采取了一系列措施来确保自动驾驶汽车的安全性和可靠性。

在国际层面,为确保汽车的信息安全,并规范汽车软件的升级管理,联合国世界车辆法规协调论坛(UN/WP.29)于 2020 年 6 月发布了 R155 和 R156 法规。R155 法规要求汽车制造商必须建立并实施网络安全管理系统(CSMS),以确保在车辆整个生命周期内识别、评估和降低网络安全风险,这些要求同样适用于自动驾驶的设计与部署。R156 法规要求汽车制造商必须具备软件升级管理体系,确保在整个车辆生命周期内安全、可靠地进行软件升级,并履行包括信息记录和保存、升级评估、车辆信息安全以及用户告知等各项义务。欧盟于 2016 年发布的《通用数据保护条例》(GDPR)要求所有处理欧盟公民个人数据的组织必须遵守严格规定,保障数据安全与隐私。对于自动驾驶,GDPR 强调了对乘客信息和行驶数据的加密保护,以及数据泄露时的及时报告和通知。这一法规确保了自动驾驶技术的研发、测试和运营在保护个人数据的同时推动技术合法、公正和透明发展。

美国交通运输部于 2020 年发布了《为交通运输的未来做好准备-自动汽车 3.0》,旨在指导自动驾驶汽车的发展。报告强调自动驾驶汽车网络安全的重要性,要求制造商采取加密、访问控制等措施保护车辆系统免受网络攻击。同时,报告也强调了网络安全测试和验证的必要性,确保自动驾驶汽车在实际运行中能够抵御各种网络威胁,保障乘客的安全。

德国于 2021 年 5 月通过《自动驾驶法》,该法不仅为自动驾驶汽车的研发、测试与运营提供了明确的法律框架,更在网络安全和数据保护方面设定了严格的规范。在网络安全保护方面,明确要求汽车制造商采取先进的安全技术和措施,确保自动驾驶系统免受外部网络攻击,从而保障乘客和道路使用者的安全;在数据保存与处理方面,规定自动驾驶车辆必须配备“黑盒子”以记录相关数据,并确保数据的保存和处理符合隐私保护的原则。

日本国土交通省于 2018 年 9 月正式发布《自动驾驶汽车安全技术指南》,该指南旨在明确 L3、L4 级自动驾驶汽车的安全条件,确保这些车辆在研发、测试及上路运营过程中能够符合严格的安全标准,其中特别强调了网络安全的重要性,要求汽车制造商采取必要的技术和管理措施,防止黑客攻击和数据泄露,体现出日本政府在推动自动驾驶技术发展的同时,也注重保障网络安全和数据安全。

我国作为汽车生产大国,到 2023 年,汽车出口量已位居世界第一。部署了自动驾驶相关功能的智能网联汽车为此做出了巨大贡献。积极保持对自动驾驶网络安全相关国际政策标准的跟踪研究,有助于了解并掌握国际自动驾驶网络安全和数据保护的趋势与要求,这一努力为我国汽车企业出海提供了更加清晰明确的合规指导,进而提升我国汽车企业在国际市场上的产品竞争力,有助于进一步扩大我国汽车出口规模,为我国汽车出海发展保驾护航。

在我国,自动驾驶网络安全也受到高度重视。2017 年,我国发布了《网络安全法》,该法旨在加强网络信息保护、维护网络空间安全。后续相继出台了《数据安全法》《个人信息保护法》,进一步加强对数据和个人信息的保护。国家网信办、工业和信息化部等相关部门以及各个地方也相继出台了一系列政策规章,以加强自动驾驶网络安全的保护。

在国家层面,《网络安全法》作为我国第一部全面规范网络安全管理的基础性法律,确立了网络安全管理的基本制度,为维护国家网络安全、保障网络空间主体的合法权益奠定了法律基础。自动驾驶在设计与应用时同样应符合相关要求。2021年 9 月施行的数据安全法旨在规范数据处理活动,保障数据安全,促进包括自动驾驶数据在内的开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益。同年施行的个人信息保护法则进一步细化了个人信息权益的保护,强调了个人信息处理者的义务和责任。自动驾驶软硬件在处理个人信息时都必须遵循合法、正当、必要原则,采取必要的措施保障个人信息安全,防止信息泄露、篡改、丢失等风险。对于自动驾驶汽车而言,涉及大量的个人信息处理,如车主身份信息、行车轨迹等。自动驾驶相关组织应遵守个人信息保护法的相关规定,确保个人信息的安全和隐私。这些法律法规为自动驾驶技术的研发和应用提供了明确的网络和数据安全相关法律指引和保障,确保了自动驾驶汽车在网络和数据安全方面的合规性,推动网络安全保障自动驾驶的健康发展。

在部门层面,针对自动驾驶汽车的网络安全问题,我国政府各相关部门也采取了一系列的管理措施和技术手段,以确保自动驾驶相关的汽车网络系统的安全性和稳定性。工业和信息化部于 2021 年发布了《关于加强智能网联汽车生产企业及产品准入管理的意见》,该意见对智能网联汽车的生产企业和产品准入管理提出了明确要求,旨在加强自动驾驶汽车数据安全和网络安全管理,保障个人信息和重要数据的安全。此意见为自动驾驶汽车的研发和生产设定了严格的标准,确保了市场上的产品质量。工业和信息化部等四部门于 2023 年发布了《关于开展智能网联汽车准入和上路通行试点工作的通知》,在开展智能网联汽车准入和上路通行试点工作的同时提出了网络安全和数据安全能力要求。同年,交通运输部办公厅发布了《自动驾驶汽车运输安全服务指南(试行)》,该指南对自动驾驶汽车运输安全服务进行了规范,要求相关企业加强安全管理,保障运输安全。该指南规范了自动驾驶汽车的运输服务,促进了其在物流等领域的广泛应用。工业和信息化部等五部门于 2024 年发布了《关于开展智能网联汽车“车路云一体化”应用试点工作的通知》,该通知旨在推进“车路云一体化”应用试点工作,通过车路协同和云计算技术的应用,提高自动驾驶汽车的安全性和可靠性。各部门围绕自身主要职责,建立了系统性的规章制度,为自动驾驶技术的安全发展提供了有力的支撑和保障。这些举措不仅体现了各部门对自动驾驶汽车网络安全问题的高度重视,也为行业的健康发展奠定了坚实基础。

在地方层面,各地政府针对自动驾驶汽车的网络安全问题也采取了相应的措施。以北京、上海和广州为例,这些城市在自动驾驶汽车的网络安全方面进行了积极的探索和实践。北京市高级别自动驾驶示范区工作办公室发布了《北京市智能网联汽车政策先行区数据安全管理办法(试行)》,明确了企业在自动驾驶技术研发和应用中应担负起数据安全主体责任。上海市政府也高度重视自动驾驶汽车的网络安全风险。上海市交通委员会等部门联合发布了《上海市智能网联汽车示范运营实施细则》,规范了智能网联汽车的示范运营活动,并提出了网络安全和数据安全要求。广州市政府也在自动驾驶汽车的网络安全方面采取了一系列措施。广州市工业和信息化局等部门发布了《广州市智能网联汽车道路测试与示范应用管理办法》,规范了智能网联汽车的道路测试和示范应用活动。该办法强调了网络安全和数据安全的重要性,要求相关企业加强测试车辆的网络安全防护和数据安全管理。地方政府在自动驾驶汽车网络安全方面的积极探索与实践,不仅体现了地方对自动驾驶引领汽车产业发展的支持,也为自动驾驶汽车的网络安全管理提供了明确的指导和规范。

(二)国家标准化体系推进情况

工业和信息化部、国家标准化管理委员会于 2023 年 7 月印发《国家车联网产业标准体系建设指南(智能网联汽车)(2023 版)》。在自动驾驶网络安全和数据安全方面,指南强调了网络安全防护的重要性,要求制定并实施严格的网络安全标准,防止网络攻击和非法入侵。对于自动驾驶过程中产生的大量数据,指南也提出了严格的数据安全管理和保护要求,确保数据的完整性和保密性,防止数据泄露和滥用。

全国网络安全标准化技术委员会(SAC/TC260)在自动驾驶网络安全领域已发布多项国家标准,其中《信息安全技术 汽车电子系统网络安全指南》(GB/T 38628-2020)为自动驾驶汽车的网络安全提供了具体指导,包括如何构建安全的电子系统架构、设计安全的通信协议等,确保自动驾驶车辆在行驶过程中的网络安全和可靠性,有效减少网络攻击的风险。《信息安全技术 汽车数据处理安全要求》(GB/T 41871-2022)则重点关注自动驾驶汽车数据处理环节,规范了数据处理者的行为,包括数据收集、存储、传输和使用等,确保自动驾驶汽车数据的安全。同时,《信息安全技术个人信息安全规范》(GB/T 35273-2020)在自动驾驶领域同样适用,它要求自动驾驶汽车数据处理者在处理用户个人信息时,应遵循合法、正当、必要原则,并采取必要措施保障个人信息安全,这对于提升自动驾驶汽车用户的数据安全感和信任度具有重要意义。已于近期发布的《网络安全标准实践指南—车外画面局部轮廓化处理效果验证》是指导自动驾驶汽车处理车外敏感信息的标准文件。它明确了验证方法、测试环境和评估指标,确保数据处理的准确性和用户隐私的保护。遵循此指南,汽车行业可平衡数据收集与隐私保护,推动自动驾驶技术的健康发展。

全国汽车标准化技术委员会(SAC/TC114)针对自动驾驶网络安全已发布了一系列重要标准,以确保自动驾驶汽车在网络环境中的安全稳定运行。其中,《汽车网关信息安全技术要求及试验方法》(GB/T 40857-2021)专门针对汽车网关的信息安全进行了详细规定,要求制造商在设计和生产过程中,应确保网关设备能够有效抵御网络攻击,保护车辆内部网络的安全。《汽车信息安全通用技术要求》(GB/T 40861-2021)在自动驾驶汽车的信息安全方面,要求汽车制造商在整车的设计和生产过程中,应遵循相应的网络安全要求,确保车辆在行驶过程中能够抵御各种网络威胁。正在研制的《汽车整车信息安全技术要求》和《汽车数据通用要求》国家标准也强调了自动驾驶汽车的网络安全。前者详细规定了自动驾驶相关智能网联汽车的信息安全管理体系、车辆信息安全、外部连接安全、通信安全、软件升级安全以及数据代码安全等各方面的技术要求。后者则着重规范了智能网联汽车数据的采集、传输、存储和使用,要求采取加密、访问控制等技术措施,确保数据的机密性和完整性。

二、自动驾驶网络安全相关建议

自动驾驶技术的快速发展正为自动驾驶网络安全带来新的风险和挑战,为了更好防范相关风险,保障自动驾驶高质量发展,从以下三个方面提出相关建议。

一是加强自动驾驶网络安全标准研制,凝聚自动驾驶网络安全共识。加快推进自动驾驶网络安全国家标准的制定工作,通过标准支撑自动驾驶网络安全相关政策落地实施,发挥网络安全国家标准基础性、规范性和引领性作用,围绕网络安全管理、远程控车安全、自动驾驶训练数据安全等方面开展标准研究,提出安全要求与测试方法,提升未来汽车自动驾驶在行驶应用时的安全性和可靠性。

二是加快自动驾驶网络安全技术研究,提升自动驾驶网络风险防范能力。大力推动自动驾驶网络安全技术研究,特别是大模型自动驾驶在单车智能、车路协同路线下的网络与数据安全技术研究,推动自动驾驶网络安全统一的检测方法研究。鼓励行业协会或组织进行自动驾驶网络安全技术交流,推广宣传自动驾驶网络安全技术方案的最佳实践,发挥头部汽车企业网络安全水平的引领示范作用,提升汽车行业整体网络安全管理水平。

三是加强自动驾驶网络安全监督管理,构建自动驾驶网络安全检测检验机制。加快推进自动驾驶网络安全制度的进一步落实,督促汽车企业依据相关政策提升改进自动驾驶网络安全管理水平和防护措施,更好地保护个人隐私,促进自动驾驶技术高质量发展。完善自动驾驶检测评估机制与能力,凝聚自动驾驶网络安全检测检验共识,推动自动驾驶网络安全问题及时改进完善。

三、结 语

自动驾驶网络安全问题已经成为社会各界深切关注的焦点,网络安全对于自动驾驶技术的安全发展与广泛应用非常重要。加快推进自动驾驶网络安全政策的落地实施,加强相关的网络安全标准研究,为行业健康发展提供坚实保障。更好的自动驾驶网络安全保障,可以为自动驾驶技术健康发展,以及汽车行业高质量发展保驾护航。

(本文刊登于《中国信息安全》杂志2024年第2期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。