智能网联汽车信息安全发展报告（2021）

一、智能网联汽车信息安全具备三重重要意义

· 国家安全的重要防线

· 行业可持续健康发展

· 与个人隐私保护相关

1、智能网联汽车信息安全是国家安全的重要防线

统筹安全与发展是新时期我国经济社会发展的指导思想，而网络空间安全已上升为国家安全战略。

习近平总书记指出：没有网络安全就没有国家安全，没有信息化就没有现代化

近年来，我国陆续出台《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规。中央网信办、工信部、公安部、交通部等相关主管部门从产业经济发展的各环节进行规章制度、标准体系的制修订、开展专项审查整治行动等工作部署。

2、智能网联汽车信息安全事关行业的可持续健康

汽车安全领域的三大技术为信息安全、功能安全和预期功能安全，它们共同构成了汽车的安全基线。

随着汽车智能化、网联化水平的提升以及各界对整体网络环境安全的日益重视，信息安全技术正在占据越来越重要的地位，逐渐成为汽车安全的基本属性之一。如果信息安全无法有效保障，智能网联汽车的产业发展和市场化推进都将面临巨大阻碍。随着智能网联汽车行业的发展驶上“快车道”，信息安全逐渐成为研发与商业化的核心难题。因此，提升汽车信息安全、加强数据安全监管、加大数据隐私保护，成为了“两会”的热议话题和行业诉求。

3、智能网联汽车信息安全与个人隐私保护息息相关

智能网联汽车所产生的数据既涵盖了与车辆信息安全运行关联的数据，也包括了用户数据、汽车应用服务相关数据。这些数据将用户的线上和线下信息结合，因此一旦其数据出现泄露，汽车用户的个人隐私将难以得到保障。同时，智能网联汽车或TSP云平台一旦遭受非法入侵和攻击，将会导致车辆被远程解锁以及启动，甚至其动力系统和转向系统都可能会被恶意控制，从而造成车辆行驶安全事故或车辆被窃取的严重后果。

二、智能网联汽车信息安全新形势

1、智能网联汽车产业发展迈向新速度

2021年自主品牌L3级自动驾驶汽车陆续量产，小鹏汽车、蔚来、威马汽车等造车新势力不断升级自动驾驶技术，基于智能汽车的“出行服务”、代客泊车、无人低速配送等特定场景成为量产切入点，百度、小马智行、滴滴等公司开展RoboTaxi示范运行工作，百度、阿里巴巴、腾讯、华为等互联网与ICT企业深入参与，汽车与相关产业加速跨界融合和深度协同，产业链重构，价值链不断扩展延伸，智能网联汽车市场规模日益增加。

到2025年、2030年，部分自动驾驶、有条件自动驾驶智能网联汽车销量占当年汽车总销量的比例分别为50%、70%。

2、智能网联汽车产业发展面临新风险

在传统交通工具时代，汽车处于信息孤岛状态，其信息安全需求主要体现在娱乐、连接、导航等车载信息娱乐系统。

智能网联汽车的信息安全风险主要包括以下七个方面：车外网络安全风险（包括短距离无线网络、远距离移动网络、V2X网络、OTA、TSP云平台、APP）、车内网络安全风险（包括CAN总线、T-BOX 、OBD、IVI）和其他网络安全风险（充电电桩安全风险、数据泄露风险）。

三、智能网联汽车信息安全最新进展

1、各国正加快体系化政策的制定

联合国方面：为积极应对车辆的智能化、网联化技术的快速发展，UN WP.29启动了自1952年成立以来最大力度的改革，整合重组并设立了新的自动驾驶车辆工作组（GRVA），目的是加快推进功能要求、测试方法和信息安全等相关法规的制定与国际协调。2019年6月，日内瓦召开的第178次全体会议审议通过的《自动驾驶汽车框架文件》，明确了L3及更高级别自动驾驶的安全性和安全防护的关键原则，其中原则七、八分别是“信息安全”和“软件更新”。2021年1月UN WP.29 宣布 CS/OTA及ALKS三项法规正式在1958《协议国》正式生效。

国内：2021年，工信部及公安部分别发布了《关于加强智能网联汽车生产企业及产品准入管理的意见》及《中华人民共和国道路交通安全法》征求意见稿，进一步加速产品准入及豁免机制建设，推动我国智能驾驶产业的商业化落地。2021年8月20日，国家互联网信息办公室、国家发展改革委、工业和信息化部、公安部、交通运输部近日联合发布了《汽车数据安全管理若干规定（试行）》，规范汽车数据使用管理。

2、各国正加快健全合规体系

联合国方面：2020年6月24日，联合国（WP.29）第181次全体会议上，投票表决通过了信息安全（Cybersecurity）、软件更新（Software Updates）以及自动车道保持系统（Automotive lane Keeping Systems, ALKS）3项智能网联汽车领域的重要法规。联合国“信息安全”与“软件升级”两项新法规将通过为汽车制造商建立明确的性能和审核要求，帮助解决这些安全风险。

国内：近期，先后出台《中华人民共和国数据安全法》、《中华人民共和国网络安全法》、《汽车数据安全管理若干规定（试行）》、《中华人民共和国个人信息保护法》。

2021年，四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》，旨在落实《中华人民共和国网络安全法》关于个人信息收集合法、正当、必要的原则，规范移动互联网应用程序（App）个人信息收集行为，保障公民个人信息安全。《规定》明确了地图导航、网络约车、即时通信、网络购物等39类常见类型移动应用程序必要个人信息范围，要求其运营者不得因用户不同意提供非必要个人信息，而拒绝用户使用App基本功能服务。

3、OTA正成为行业关注热点

根据SBD Automotive 统计，2020年全球销售车辆具备车内置联网功能占比约48%。《节能与新能源汽车技术路线图2.0》预计到2025年，我国部分自动驾驶、有条件自动驾驶智能网联汽车的销量占当年汽车总销量的比例超过50%，高度自动驾驶智能网联汽车开始进入市场，C-V2X终端新车装配率达50%。随着汽车智能化、网联化技术快速发展，OTA技术作为汽车产品软件更新的主要手段，将成为智能网联车标配。

汽车厂商目前对OTA的需求主要包括减少网络攻击、满足生产中刷写时间限制、降低车辆召回和维保成本、更新应用服务、提供增值服务、持续提升与车主之间的粘性关系等。

图  OTA实施流程

截至2020年，部门整车厂已经进行了数十次OTA活动，未来随着自动驾驶和车联网等技术发展，未来汽车质量问题将主要集中在软件，OTA活动将更加频繁。

表 2020年主机厂OTA升级重要事件

资料来源：车云网

4、汽车信息安全事件频发

根据Upstream报告统计，2010-2020年间车联网信息安全攻击前四项分别为：服务器攻击、数字钥匙攻击、APP攻击、OBD攻击。当前，汽车信息安全攻击手段多元化、范围更广，危害面更大，已造成部分品牌产品召回。

图 2010-2019年全球信息安全问题导致的汽车召回统计

5、安全检测成为行业新需求

车辆成为移动互联终端后，其安全检测除了需要覆盖车辆本身相关的智能交互、智能体验、辅助驾驶、自动驾驶、OTA等相关方面之外、还需考虑整个车联网涵盖的全生态圈的安全防护和检测。

目前，智能网联汽车技术相关企业大多通过挖掘漏洞的方式建立安全防护知识库，发布智能网联汽车安全防护情报等手段提升智能网联汽车威胁预警、安全防护和应急处置能力。然而该方式存在技术力量不足、安全支撑能力较弱的问题。因此需要行业第三方机构针对性的建设智能网联汽车检测评价体系，保障智能网联汽车产业的持续健康发展，落实国家智能网联汽车发展战略。

6、隐私保护成为重要诉求

近年来，随着汽车智能化网联化的发展，汽车产生与关联的数据量呈爆发式增长。然而车载数据的过度采集和越界使用，也给用户造成严重影响。多款主流车载移动应用存在未经用户许可获取隐私数据、超业务范围获取隐私数据以及强行捆绑推广应用软件等违规行为。

面对隐私保护不当造成的数据泄漏、财产损失、监管处罚等风险，汽车生产商在隐私合规方面挑战重重。一是对车载移动应用隐私保护相关的合规性要求理解不深、尺度把握不好；二是缺乏评估车载移动应用隐私信息安全的专业能力，对第三方外包的开发情况了解不清晰；三是车载移动应用被通报后可能存在整改不到位的情况，而面临更严厉处罚。

因此，对车辆移动应用进行全方位的数据隐私安全合规检测，提前发现合规隐患，避免由此带来的数据泄漏、资产损失、监管处罚等风险，已成为汽车信息安全领域的迫切需求。