一、汽车行业转型对网络安全和数据合规提出要求

随着汽车新四化时代到来,电动化、智能化、网联化、共享化成为全球及我国汽车行业趋势,大数据,人工智能,5G等新技术应用,车内电子电器架构转向以高速以太网、中央计算平台和区域控制器的新一代架构,车内外智能传感器采集的大量数据包括驾驶员,乘客,车外道路交通环境,车辆等,通过通信网络实时与外部世界互联互通,汽车已经从传统交通工具转变为可移动的智能终端并承载各类创新应用场景。但与此同时,监管机构和消费者对汽车产品和服务的网络安全风险和数据合规风险的担忧也与日俱增。

近年来全球各国陆续出台了很多网络安全与数据合规相关的法律法规,如欧盟的《通用数据保护准则GDPR》、美国的《加州消费者信息保护法CCPA》、新加坡的《隐私数据保护法PDPA》等。在国内全国人大发布了《网络安全法》、《数据安全法》、《个人信息保护法》法律,行业监管机构也发布《汽车数据安全管理若干规定(试行)》、《关于加强智能网联汽车生产企及产品准入管理的意见》等系列法规,对汽车行业企业带来了重大合规影响,可以说汽车行业在网络安全和数据合规领域迎来了强监管的时代。

国内汽车市场规模已连续十二年名列全球第一,随着市场走向成熟,产品功能差异正在逐步降低,汽车行业正从单纯卖车转向智能产品与网联服务结合的新型经营模式,高质量客户信息正成为车企提升自身经营业绩的核心数据资产。如何依法合规采集和处理客户个人信息,避免发生客户信息泄露等安全事件,成为了车企打造客户信任品牌和拓展数据驱动业务的合规运营关键点,网络安全与数据合规已成为汽车行业转型的热议课题。

二、汽车行业网络安全和数据合规的重点领域

德勤基于对汽车行业网络安全和数据合规面临挑战以及对全球法律法规的分析和研究,提出汽车行业企业网络安全和数据合规管控框架:

图一(网络安全与数据合规的重点领域)

1、产品和服务网络安全

根据联合国世界车辆法规协调论坛WP.29网络安全法规,车企须通过信息安全管理体系认证(“CSMS认证”)以及车辆型式审批,才能进入欧盟上市销售。1)CSMS认证审查车企覆盖汽车全生命周期,包括车辆研发、试生产、量产、服务、运维等各阶段的车辆网络安全管理流程,以保证车辆产品设计、实施及服务响应均有车辆网络安全体系指导。2)车辆型式审批则进一步针对车企在车型开发中具体工作项进行产品网络安全审查,旨在保证实施于车辆的网络安全防护技术在进行审查认证时已经足够完备。换言之,CSMS认证是车型准入型式审批的前提,而最终车辆市场准入必须通过CSMS认证以及车辆型式审批。

国内工信部组织编制了《关于加强智能网联汽车生产企业及产品准入管理的意见》,提出了车联网(智能网联汽车)网络安全标准体系框架、重点标准化领域及方向,加强智能网联汽车生产企业及产品准入管理,明确汽车数据安全、网络安全、在线升级等管理要求,指导企业加强能力建设,严把产品质量安全关,切实维护公民生命、财产安全和公共安全。工信部《关于加强车联网网络安全和数据安全工作的通知》从对车企公司层面基本要求,加强智能网联汽车车端安全防护,加强车联网传输端网络安全防护,加强车联网服务平台安全防护,加强数据安全保护等方面明确企业义务和责任。后续国家还会对智能网联汽车产品出台相关技术规范和强制标准,可以预见国家也将出台类似WP.29 CSMS类似针对车辆的网络安全体系和车辆产品型式市场准入的强制规范。

2、数据安全

《数据安全法》已出台,要求各行业确定重要数据类型、开展数据分级分类、安全技术控制措施、数据防泄露应急防控能力建设等,确保网络安全与数据合规。工信部等五部委发布《汽车数据安全管理若干规定(试行)》,明确了汽车数据的范围,提出了汽车数据安全的若干管理原则,规定了数据分类分级、数据跨境、个人信息保护、汽车数据安全等一系列合规要求,特别是规定车企在每年十二月十五日之前,应向所处省级网信部门报送年度汽车数据安全管理情况报告。如果车企开展汽车数据处理时,造成用户合法权益受到损害,应承担相应责任。如违反规定,将由相关部门依照《网络安全法》、《数据安全法》进行处罚,构成犯罪的将追究刑事责任。

3、个人信息保护

无论全球各国陆续出台的隐私保护法律法规,如欧盟GDPR,还是国内刚发布的《个人信息保护法》,都要求进行个人信息收集或处理活动之前,必须明确告知数据主体关于个人信息搜集或处理的用途、以合法、正当、透明方式才能处理个人数据、确保个人信息安全和数据主体能够合法行使权利,避免如个人信息过度收集、擅自披露等违规事件发生。个人信息保护合规在汽车行业不仅是市场、销售、售后等部门在处理潜客和客户个人信息所需关注的普通合规问题,而且是智能网联汽车的时代由于车辆自身搜集和处理大量个人信息特别是敏感个人信息时,车企所必须特别关注的产品和服务层面的个人信息隐私保护问题。

4、工业控制系统安全

随着云计算、大数据、物联网、人工智能等新技术广泛应用,网络安全态势趋严,国家出台《信息安全技术-网络等级保护基本要求》增加了第四部分-物联网安全扩展要求和第五部分-工业控制系统安全扩展要求,增加了室外控制设备防护要求、配适工控系统的网络架构安全防护要求、无线网络使用控制要求、加强了工控设备DCS/PLC控制器要求、工控专用安全产品要求及软件外包安全要求、工控场景配适漏洞管理、恶意代码防范和安全事件处置等要求,以保障工业生产连续性。

5、通用网络安全

国家在《网络安全法》中规定了数据保护范围,除了个人信息和重要数据外,还提到企业的商业秘密数据,专指能为企业带来经济利益,具有实用性并需权利人采取保密措施保护的技术或经营信息,例如企业的研发专利、市场或财务数据等。这些商业秘密数据的安全直接关系到企业的核心竞争力,需企业建立健全自身网络安全管理制度体系和信息安全技术架构,才能防范外部网络攻击入侵或内部人员泄密事件发生。

三、汽车行业企业如何应对日趋严格的网络安全和数据合规要求

综上所述,车企新四化转型过程中,必须将网络安全与数据合规视为企业核心竞争力对待,做好则赢得客户信任,反之则拖累业务发展。德勤风险咨询团队给予以下建议:

1、搭建跨领域专业组织进行安全合规协同

车企应设立专业化安全合规职能部门,全面负责跨领域管理企业网络安全与数据合规工作,制定安全合规战略和愿景目标,按专业条线制定相关的安全合规策略与重点课题,垂直对接各业务部门,如研发、销售、生产、质量、IT部等,由其负责贯彻执行到具体业务的安全合规管理过程。同时各业务单位在开展网络安全与数据合规工作时,还需横向协同产品生命周期上下游的各级业务单位,交叉协同以解决实际业务涉及的网络安全与数据合规具体事项。

2、引入专业体系框架构建闭环运行模式

参考ISO21434、ISO27001、ISO27701、IEC62443等国际标准安全管理体系,制定管理制度与流程,建立风险管理三道防线。推动车企各级业务单位按照体系框架要求,设立相关岗位职责,配置专业人员到安全合规管控流程的相关岗位角色上。建立事先规划、事中监控、事后审计的闭环运营管理模式。通过体系试运行迭代完善,通过全面培训与宣贯导入体系到各级业务单位。

3、前置合规需求设计赋能前台业务团队

在产品市场策划、信息系统需求分析、汽车产品与网联服务研发设计的各阶段,运用安全工程设计Security by Design, 隐私工程设计Privacy by Design等领先理念,前瞻性地分析业务场景的相关网络安全与数据合规的需求场景,例如网联汽车安全事件应急响应、车联网个人信息采集与处理等,和研发、IT、法务等专家一起充分研讨这些需求,形成产品或系统的安全技术解决方案,并将其嵌入到汽车产品功能或信息系统模块。在车辆产品与信息系统运行时,既要保证其符合网络安全与数据合规要求,又能满足自身的功能可行性需求。在面向前台业务人员时,例如产品研发专家、信息系统专家和销售服务专家等,协助其充分理解这些合规要求和相关技术,使这些专业知识和管控要求有效运用在产品运营与系统运维服务过程中,从而保障车企业务运营过程的全面合规。

此篇作为德勤汽车行业网络安全和数据合规系列主题材料的第一篇文章,整体介绍了相关法律和行业规范出台的背景和原因,展示了德勤的汽车行业网络安全和数据合规框架,给出了车企网络安全与数据合规的方向性高阶建议。

鉴于上述合规话题的复杂性和专业性,德勤风险咨询团队将在接下来的几期文章中有针对性的介绍汽车行业网络安全与数据合规的特定主题,并陆续发布系列文章,敬请期待。包括和不限于:

  • 国内车企出海安全合规篇;

  • 跨国车企国内安全合规篇;

  • 车辆产品网络安全篇;

  • 车企个人信息保护篇;

  • 车企汽车数据安全篇等。

声明:本文来自德勤Deloitte,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。