智能汽车数据安全不是一个新话题。不过,尽管外界谈论很多,业内却一直没有真正落地的量产产品和应用市场,市面上能提供车规级数据安全功能的前装车辆也非常少见。
近日,国汽智控发布了国内首个面向量产的车规级智能汽车数据安全产品ICVSEC2.5,正好填补了这一市场空白。据了解,ICVSEC2.5版本涵盖数据防护和隐私保护两项核心功能,包括硬件、软件、容器等三种形态,已经在多家车企实现配套。
在数据防护方面,ICVSEC2.5可实现自动驾驶数据的分类分级,并且针对超过150个智能驾驶业务场景需求,实现100%全量数据资产识别,然后进一步实现人脸、车牌等数据脱敏,实现动态监测、白名单管理等数据管控。
在隐私保护方面,ICVSEC2.5于传感器采集数据阶段提供接口和工具的形式,支持用户自定义重要敏感区域;对于行人的人脸数据能够实现脱敏,既能确保自动驾驶系统的感知正确,同时又兼顾了行人的隐私保护;还通过在车内配置云端区块链轻节点和完整节点两种形式,构建了一个区块链隐私保护体系,更利于研判智能汽车事故这个行业难题。
车辆已经逐渐成为移动的数据中心,法律法规和消费需求都在呼唤智能汽车提高数据安全保护能力。但这个全新的领域有没有成熟技术?车企需要什么样的产品?还有哪些难题待解?相关企业该如何撬动这片数据安全的蓝海?
汽车数据安全产品研发
缺顶层设计和技术共识
没有数据安全就没有智能汽车安全,数据安全的产业化落地对整个智能汽车行业的未来发展意义重大。国汽智控ICVSEC2.5的上市或将为整个智能汽车数据安全市场拉开大幕。但除此之外,尚无其它数据安全产品的推出。
国汽智控总经理、首席技术官尚进介绍,汽车的数据安全技术与信息安全技术具有高度相似性和可借鉴性,事实上此类技术早已出现,只是此前在汽车领域的需求很少。因为在过去的很长一段时间内,汽车还不够智能,很少受到网络攻击,车企没有动机和动力关注数据安全及其保障数据安全的产品。
如今情况有了极大的改观。2021年8月20日,国家网信办、国家发改委、工信部等五部委联合发布《汽车数据安全管理若干规定(试行)》(第7号令),倡导汽车数据处理者在开展汽车数据处理活动中坚持“车内处理”、“默认不收集”、“精度范围适用”、“脱敏处理”等数据处理原则,明确汽车数据处理者应当履行个人信息保护责任,加强重要数据安全保护,做好汽车数据安全管理和保障工作。2021年10月29日,网信办发布《数据出境安全评估办法(征求意见稿)》,指出要防范数据出境安全风险,保障数据依法有序自由流动。
此外,随着智能汽车渗透率逐渐提升,今年还有几项针对智能汽车的强制标准开始执行,政策监管和市场准入正在加强。随着智能汽车技术水平的大幅提升,数据安全也成为汽车行业的热门话题。而保障数据安全一定要落到产品上。“行业高度关注,产品研发却找不到路,原因在于缺少清晰的架构设计和技术共识。”尚进说。
中国生产力促进中心协会常务副秘书长王羽告诉《中国汽车报》记者,国家出台相关监管政策,并不意味着已经有成型的产品,智能汽车的数据安全问题从不存在,到变成个别企业的个别问题,再到即将演变成行业普遍问题,需要全行业来共同解决。
王羽指出,目前大概有三个群体在提供汽车数据安全产品。一是以电子科技大学为主导单位孵化的公司——为辰信安,其思路是在车辆设计环节从控制角度做好包括数据安全在内的防护,目前很多车企采用了这家企业的解决方案;
二是360和奇安信这类网络安全公司。这类公司采用的是补漏洞的思路,不参与车辆前期设计,而是在车辆运行过程中发现数据安全漏洞后再补漏洞,无法从根本上解决数据安全问题;
三是国汽智控。其主打车控操作系统,数据安全是其中不可避免的一环。事实上,车规级产品并非数据安全领域最高级别的产品,却是更切合车辆特性而研发的产品。国汽智控推出的车规级智能汽车数据安全产品ICVSEC2.5是第一个把数据安全产品前置,在提供技术支持的同时还提供软硬件并行的一套解决方案。
标准缺失
车企需求既迫切又迷茫
2021年9月1日开始施行的《数据安全法》中明确提出:要建立健全数据安全治理体系,提高数据安全保障能力。然而,当前的汽车行业数据安全治理处于发展初期,与监管要求存在较大差距,车企提升数据安全治理能力的需求极为紧迫。
尚进透露,ICVSEC2.5发布之后,很多车企都联系国汽智控,可见车企对数据安全产品的关注度非常高,因为强制标准是悬在车企头上的一把剑,达不到强标的车辆将无法上市。在与国外汽车行业交流的过程中,尚进了解到,国外车企和汽车技术供应商都在高度关注中国智能汽车的数据安全准入要求,中国作为“第一个吃螃蟹的人”或将引领世界标准的制定。
未来,汽车将成为数据安全落地的最大场景,但汽车数据安全产品有其特殊性。一是对标准法规要有深入的理解;二是其属于信息安全技术,但又不是简单的信息安全技术平移,而是要与自动驾驶域控制器相融合。只有自动驾驶的基础软件主导参与,才能把数据安全融合进去,最终形成产品。尚进指出,行业发展至今,数据安全已经不是要不要做,有没有市场的问题,而是要怎么做、怎么落地的问题。数据安全产品的落地需要把数据安全与自动驾驶紧密地结合起来,既要支持主机厂满足监管要求,应对智能汽车数据安全强标和准入挑战,又要通过产品给监管方提供更多的反馈,推动智能汽车信息安全监管和商业化落地。
智能网联汽车产业刚起步,行业、企业需要做的工作还很多,需要走的路还很长。新产业链在逐渐形成,但目前能输出符合监管、迅速落地的数据安全产品的企业不多,车企的需求并没有得到充分满足。
王羽表示,车企目前对汽车数据安全产品的诉求既迫切又迷茫。迫切是在于必须要满足监管政策,迷茫则在于政策急于填补新暴露出的数据安全监管漏洞,只规定了“不要什么”,却没有详细的技术标准、检验检测和产品准入等规定。这使得一些车企不敢轻易采用某种解决方案,因为担心产品不符合最终的监管细则,前期的研发投入很有可能就白费了。
而国汽智控解决方案能最先落地,一定程度上得益于其参与国家智能汽车数据安全准入制修订,这意味着国汽智控的产品可能为准入制修订提供重要的技术支撑和依据,但仍要以最后公布的准入制为准。
车企主导
全产业链纳入数据安全防护
尚进认为,数据安全、隐私保护要做到车规级,一定要与自动驾驶OS深度耦合。数据安全功能如何与自动驾驶域融合在一起,并保证低成本、高实时、高可靠性,才是最大的技术难点。
车辆在高速移动过程中会采集海量数据,数据在自动驾驶的感知、规划、控制等全生命周期内会被处理、变形、存储,产生新的数据。基于此,ICVSEC2.5创新性地提供了“双周期”的管控策略,即在车辆自动驾驶全生命周期和数据处理全生命周期的每个关键节点部署数据安全策略。
国汽智控认为,做好智能汽车数据安全产品的挑战之一是继续完善“双周期”的安全防护;之二是汽车数据隐私保护也刚刚起步,很多概念的界定仍处于模糊阶段,这给产品设计带来难度;之三是跟着监管政策迭代的节奏,与车企客户密切配合持续迭代产品,为智能汽车迈入下一个发展阶段吹响号角。
作为第一个数据安全量产产品的提供者,不同于做全栈方案的Tier1,也不同于站在在Tier1背后的Tier2,国汽智控将自身定位为Tier1.5。向上,国汽智控提供计算基础平台(硬件+操作系统),帮助车企建造“魂”,支撑车企高效短周期地进行应用开发;向下,支持国内外主流的芯片、硬件平台。
尚进解释,车企直接接触终端用户,在扩展功能和数据价值挖掘上拥有得天独厚的优势。在数据安全这一细分领域,未来将会形成以车企为主导的新产业链。新产业链也会达成一种新的平衡,车企和各方案提供商会在其中找到自己的位置,为保障数据安全各自贡献力量。
“硬件趋同、软件定义、数据驱动”是智能网联汽车行业的发展趋势,实现路径最关键的还是产业链分工。在网络和数据安全方面,需要全产业链都能纳入信息安全防护中。通过数据安全的产业化落地,让整个行业的技术路线和产业链分工不断地清晰,促进自动驾驶开发的数字化,推动域控制器、基础软件、软件定义汽车的发展和进步。相关调查显示,超过9成(94.6%)受访消费者会有倾向性地选择注重数据安全和保护个人敏感信息的汽车品牌。
随着社会对智能网联汽车关注度的提升,数据安全正成为影响消费者购车决策的重要因素之一,同时也是车企智能化竞争的“分水岭”。未来,那些在数据安全和个人隐私保护方面有所建树的车企,将更容易建立起新的竞争优势,从而获得更多消费者的青睐。
王羽指出,车企不是单纯的组装公司,以汽车生产能力为核心的生态链企业,所有解决方案必须以车企为核心,数据安全领域也是这样。现阶段车企会从供应商手中采购数据安全产品,但从掌握主动权的长远角度来看,车企会选择与供应商成立合资公司,以免在关键技术上被供应商“拿捏”。
监管部门、行业组织、企业
高效协同
据相关机构预测,目前全球市场搭载智能网联功能的新车渗透率约为45%,预计至2025年可达到接近60%的市场规模,在中国这一数据则有望超过75%。智能汽车的快速普及使得保障汽车数据安全更加迫在眉睫。
然而,当前汽车数据安全与隐私保护仍存在具体条款缺失等问题,不利于智能汽车的健康发展。长安汽车董事长朱华荣就在今年全国两会期间建议:合理制定汽车数据安全与隐私保护要求,建立可信汽车数据流通渠道,在满足数据安全要求的同时,进一步促进智能网联汽车发展。
王羽也建议:政府部门尽快出台相关细则和检测标准,加强技术细则的实施和准入的建立,完善法律法规和检验检测认证系统,产品才有更广泛的出口。当然,政府出台法律法规需要一个很长的过程,如果因基础测试数据不足以支持政策出台,这就需要行业组织从中协调,推进先行先试,根据验证结果形成团体标准进而引导行业标准制定,最终形成国家标准。车企和供应商则应该配合政府和行业组织的调研,为标准和细则的出台做好支撑,为用户真正需要的产品提前做好研发和布局,积极向监管机构反馈,帮助完善顶层设计。
还有专家指出,当下汽车数据安全面临的主要挑战还是行业标准体系的落地,包括如何处理涉及个人敏感信息的数据、怎样填补软件在升级中的漏洞、如何形成数据信息的安全共享等,这些实践都呼唤相关行业标准的出台。目前看来,车企大多仍只从自身产品角度考虑,采用单点技术或是产品进行安全防护,缺乏相互协同、标准化、系统化构筑安全体系的思维,而车联网安全是围绕汽车产品全产业链全生命周期的安全保障和产业跨界融合协同的整体安全,需要多个行业跨界协同、共同推动。
同时,汽车行业转型期间,汽车厂商的角色也逐渐从制造企业转变为科技型企业,参照科技型企业的发展经验,任何产品的网络安全和用户的数据安全都占据着企业经营的首要位置。汽车厂商亟需建立完善的汽车数据安全管理的规范和流程,在合规前提下收集必要的用户信息,充分保证用户对个人信息收集的知情权和控制权,并且积极参与国家汽车数据安全管理法规的完善和标准的制定,增强用户信任感。