日前，中國汽車工業(yè)協(xié)會(以下簡稱“中汽協(xié)”)日前發(fā)布了由國家工業(yè)信息安全發(fā)展研究中心牽頭編制的《智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全評估指南(征求意見稿)》(以下簡稱《評估指南》”)?！对u估指南》從數(shù)據(jù)安全級別的界定、數(shù)據(jù)安全評估團隊人員構(gòu)成與職責、數(shù)據(jù)安全評估的實施過程等多方面對數(shù)據(jù)安全評估進行了指導。在汽車數(shù)據(jù)安全漏洞越來越多的當下，《評估指南》的制定可謂恰逢其時。

旗幟性引導　為更高標準做鋪墊

目前，數(shù)字經(jīng)濟是國家經(jīng)濟增長的新動能，也是經(jīng)濟轉(zhuǎn)型、推動人類經(jīng)濟形態(tài)轉(zhuǎn)變的重要突破口，數(shù)據(jù)已成為重要的生產(chǎn)要素。汽車產(chǎn)業(yè)進入大數(shù)據(jù)時代，智能網(wǎng)聯(lián)汽車是一種高度數(shù)字化的產(chǎn)品，在實際運行中需要采集大量車內(nèi)外數(shù)據(jù)，這些數(shù)據(jù)的分析與使用使汽車產(chǎn)品更加智能的同時，也給數(shù)據(jù)安全的監(jiān)管帶來了挑戰(zhàn)。國家陸續(xù)出臺了多項數(shù)據(jù)安全相關法律法規(guī)，然而目前缺乏實施細則，各企業(yè)缺乏依據(jù)和指導。

據(jù)悉，中汽協(xié)數(shù)據(jù)分會正是秉著團標先行、按需制定、注重實用、服務產(chǎn)業(yè)的原則，牽頭組織了各會員企業(yè)共同研究智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全評估的實施方法與流程，并制定團體標準。

《評估指南》項目旨在建立智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全評估的實施方法與流程，適用于智能網(wǎng)聯(lián)汽車相關企業(yè)自行開展數(shù)據(jù)安全評估工作，也可為主管監(jiān)管部門、第三方測評機構(gòu)等組織開展智能網(wǎng)聯(lián)汽車相關企業(yè)數(shù)據(jù)采集與處理情況的監(jiān)督、檢查、管理、評估等工作提供參考。

一位不愿透露姓名的智能網(wǎng)聯(lián)領域?qū)＜抑赋?，此時各單位、機構(gòu)共同研究的《評估指南》，對整個行業(yè)有著重要的意義。他表示：“國標的制定是比較困難的，尤其像智能網(wǎng)聯(lián)等還不成熟、技術(shù)密集型的領域，更適合制定團體標準，先行先試。所以國家也在鼓勵各個機構(gòu)以團標的形式，盡快推出行業(yè)的示范性參考。”

同時，《數(shù)據(jù)安全法》、《網(wǎng)絡數(shù)據(jù)安全管理條例(征求意見)》等法律法規(guī)也鼓勵行業(yè)組織依法制定數(shù)據(jù)安全行為規(guī)范和團體標準，加強行業(yè)自律，因此制定研究該團體標準是符合數(shù)據(jù)安全法律法規(guī)要求和產(chǎn)業(yè)發(fā)展需求的。此標準有利于汽車產(chǎn)業(yè)保證數(shù)據(jù)合規(guī)，進而促進汽車企業(yè)在數(shù)據(jù)安全基礎上開展數(shù)據(jù)價值挖掘，助力智能網(wǎng)聯(lián)汽車數(shù)據(jù)生態(tài)的形成。

該專家還指出，標準實質(zhì)是一種技術(shù)性文本，是一種自下而上的邏輯體系，由各個企業(yè)和組織機構(gòu)自發(fā)提出，然后碰撞探討，這樣得出來的標準，一方面更具有專業(yè)性，同時也具有更強的可操作性。

業(yè)內(nèi)人士表示，通過這種方式形成的團體標準，不具有強制約束的作用，更多是作為標準推薦，期待為后期相關國家標準的制定奠定基礎。

三大數(shù)據(jù)安全成重點

《評估指南》中對數(shù)據(jù)安全評估分為數(shù)據(jù)安全風險評估、數(shù)據(jù)安全合規(guī)性評估和數(shù)據(jù)出境安全評估三種類型。其中數(shù)據(jù)風險評估是指通過分析數(shù)字資產(chǎn)的重要程度、所面臨的威脅和脆弱性，對企業(yè)數(shù)據(jù)安全風險進行評價的過程。數(shù)據(jù)安全合規(guī)性評估是針對智能網(wǎng)聯(lián)汽車數(shù)據(jù)處理活動，判斷其是否符合相關法律、法規(guī)、標準和管理要求，評估企業(yè)數(shù)據(jù)安全管理措施合理有效的過程。數(shù)據(jù)出境安全評估在《評估指南》中沒有單獨介紹，將參照后續(xù)法規(guī)標準執(zhí)行。

中科院創(chuàng)業(yè)投資管理有限公司研究總監(jiān)邵元駿告訴記者：“目前涉及數(shù)據(jù)安全的問題主要就是這三類，圍繞什么數(shù)據(jù)能采集、采集的數(shù)據(jù)怎么通信、采集完的數(shù)據(jù)怎么存儲、應用等問題是需要探討的重點。有關具體內(nèi)容，中資和外資企業(yè)存在一定的差異。所以這更需要整個行業(yè)的主要參與者和龍頭企業(yè)代表一起研究相關標準。”

“許多研發(fā)機構(gòu)，包括一些國際公司，對數(shù)據(jù)跨境流動有切實需求，所以共同構(gòu)建標準來進行規(guī)范，是非常有必要的。”智能網(wǎng)聯(lián)領域?qū)＜亦u鳴說。

具體來看，《評估指南》對智能網(wǎng)聯(lián)汽車、汽車數(shù)據(jù)、一般數(shù)據(jù)和重要數(shù)據(jù)等概念都做了清晰定義，還針對數(shù)據(jù)安全風險評估和數(shù)據(jù)安全合規(guī)評估制定了詳細的流程。

數(shù)據(jù)安全風險評估主要針對智能網(wǎng)聯(lián)汽車數(shù)據(jù)處理活動，預判影響數(shù)據(jù)保密性、完整性、可用性的安全風險，分析數(shù)據(jù)面臨的威脅、威脅利用脆弱性導致數(shù)據(jù)安全事件的可能性、一旦發(fā)生安全事件對組織造成的影響，評估數(shù)據(jù)安全潛在風險。

數(shù)據(jù)安全合規(guī)評估則是以保護數(shù)據(jù)安全性、提升數(shù)據(jù)處理者數(shù)據(jù)安全的保障能力為目的，給出數(shù)據(jù)處理者數(shù)據(jù)安全保障措施的基礎要求并判斷其是否符合并遵守相關法律、法規(guī)、標準和管理要求，評估企業(yè)數(shù)據(jù)安全管理措施合規(guī)性。

同時，由于數(shù)據(jù)存儲有著時間和空間性，還有相應的數(shù)據(jù)存證平臺，可為汽車數(shù)據(jù)收集及傳輸?shù)然顒拥乃菰磁c管理提供有效支撐，并可服務于數(shù)據(jù)安全監(jiān)管、審查評估、企業(yè)合規(guī)體系建設等。

標準在動態(tài)中走向完善

據(jù)悉，團標的編制工作也有諸多老牌車企參與，如：廣汽集團、長安汽車、長城汽車、上汽通用五菱等;許多新勢力企業(yè)積極響應，如：蔚來汽車、小鵬汽車、特斯拉、地平線等。

根據(jù)《評估指南》的風險評估報告，企業(yè)應制定相應的風險處理計劃，明確風險處理方式，確定風險處理措施，以規(guī)避相應的數(shù)據(jù)安全風險。同時，應對風險評估工作進行記錄，并定期開展評估、驗證工作，以確定風險處理措施是否有效、是否存在新的風險，對評估工作、處理措施進行持續(xù)改進。

按照邏輯，此次《評估指南》的推出，似乎為智能網(wǎng)聯(lián)車企的未來發(fā)展起到明晰的指引。但鄒鳴認為，這件事情應該從“一體兩面”去看待，“雖然從宏觀上來看，標準的制定是為了規(guī)范、統(tǒng)一、指引，但具體到個體來看，對每家企業(yè)帶來的影響卻是不一樣的。”他說。

鄒鳴認為，對于初創(chuàng)企業(yè)，它們剛進入這個行業(yè)，尚不清楚技術(shù)方向和規(guī)劃目標時，標準可以起到指引作用;對于一些已經(jīng)在這個行業(yè)耕耘多年的企業(yè)，一些標準與其現(xiàn)行的技術(shù)方向不同的話，就可能會對它們造成困擾。

“但是我們一再強調(diào)的是，《評估指南》這類推薦性標準不具有強制性和約束性，更傾向于企業(yè)自愿性遵從。”鄒鳴表示。

智能網(wǎng)聯(lián)汽車領域研究者熊淇也認為，這類標準看起來極具引領性，但仔細推敲，其實際指導意義似乎并不大。“企業(yè)最關注的是轉(zhuǎn)入問題，如果這些標準不與企業(yè)遇到的實際問題掛鉤，那么其能引起企業(yè)的重視其實是非常有限的。畢竟它不是國標，不能要求企業(yè)嚴格遵守。”他說。

對此，鄒鳴也十分贊同。“目前行業(yè)成熟度不夠，作為一個新興領域，大家都在盡可能地向最優(yōu)解靠近，但是因為基于行業(yè)本身發(fā)展程度和諸多因素，不同的主體離最優(yōu)解的距離可能是不一樣的。在這種背景下商議出來的解決方案會受很多因素影響，隨機性比較大。我們希望不同的企業(yè)、機構(gòu)團體，和它們制定的不同標準之間可以相互學習和競爭，碰撞摩擦，形成更好的標準，這也是一個市場機制的做法。”他說。

可以預見的是，無論是哪一方構(gòu)建的標準，都會持續(xù)迭代、修訂，在動態(tài)中走向成熟和完善，助力智能網(wǎng)聯(lián)汽車數(shù)據(jù)生態(tài)的形成。(記者 張雅慧)