前幾天聽朋友提起一個故事，說他單位同事剛剛喜提一輛特斯拉Model Y，第二天歡歡喜喜地開著新車上班，還沒等進門，就被保安攔下。問了下原因，保安只說領導這樣交代過：“特斯拉不準進入單位大院的停車場”。再多的內容他就不清楚了。朋友講這個故事時候也大吐槽了一番，覺得非常不理解。

但故事講到這里，如果我告訴你這位朋友供職于國家直屬機關單位，你是不是心里就已經有答案了？

一直以來，特斯拉都被戲稱為“移動間諜”。其車身上的攝像頭非常之多，不光車內有，車外也有。一旦處在哨兵模式下，車輛即便靜止不動，攝像頭也會玩命工作，周圍發生的一切都會被如實記錄。所以如果特斯拉停放在一些涉及國家機密的政要單位內部，可不就成了一臺移動監控設備。那引起各部門的安全警惕，也就不意外了。

這些擔心絕非是“過度警惕”，因為就在近日，特斯拉前員工爆出猛料稱特斯拉汽車用戶的隱私隨便看，甚至包括馬斯克本人的！這則消息引起了一片驚嘆。不過放眼整個汽車行業，信息泄露早就不是什么新鮮事了。

還記得去年“名噪一時”的蔚來黑客勒索事件嗎？黑客竊取了蔚來的車主信息并向其索要225萬美元贖金。就在前不久，相同的戲碼再度上演！只不過這一次的主角變成了汽車巨頭法拉利。

據海外媒體安莎社近日報道，意大利法拉利汽車公司旗下一家子公司近期遭到勒索軟件攻擊，包括姓名、地址、電話等客戶信息被泄露。不過付款信息、銀行賬號等更為重要的信息并未被盜取，因此對公司運營未造成影響。

對此，法拉利也表示決不會向勒索者屈服，因為支付此類贖金會為犯罪活動提供資金，反倒會助長黑客繼續向他人實施攻擊的氣焰。

其實蔚來和法拉利的事件并非個例，我們簡單整理了一下發現，僅半年時間內，現代、沃爾沃、豐田、寶馬、特斯拉、蔚來、奧迪等多家知名汽車企業都曾曝出過多起用戶數據泄露事件：

• 4月14日，現代汽車近日披露發生數據泄漏事件，意大利和法國車主以及預訂試駕數據遭泄露
• 4月13日，據網絡新聞研究小組調查發現，巴西的沃爾沃汽車零售商Dimas Volvo在近一年時間里都在持續通過其網站泄露敏感文件
• 3月28日，全球知名汽車制造公司豐田（TOYOTA）遭遇了嚴重的用戶信息泄露事件，黑客通過攻擊豐田意大利數字營銷自動化和分析軟件服務提供商 Salesforce Marketing Cloud，從而獲得了海量的用戶數據，且至今為止數據泄露已有一年半之久
• 3月28日，黑客組織KelvinSecurity Team此前聲稱獲得了英國384319名寶馬車主的數據，并已在暗網上出售這些信息。同時寶馬法國的社交媒體賬戶也遭遇Play Ransomware group黑客組織的攻擊，并表示如果不滿足贖金要求，會在暗網上發布盜取的數據
• 去年12月，蔚來此前收到外部郵件，聲稱擁有蔚來內部大量用戶行為數據，并以225萬美元等額美元比特幣勒索，致使蔚來陷入巨大的客戶信任危機中

這是一個非常奇怪的現象：無論是普通品牌還是豪華品牌，無論是傳統汽車還是智能汽車，似乎都難逃“數據泄露”的魔咒。從卡羅拉到法拉利再到蔚來，汽車行業已經深深陷入其中，無力擺脫。

數據泄露也不僅僅是影響車企和車主本身，更是涉及到國家安全，這也是國內特斯拉車主會被很多單位保安攔下的原因：車輛大范圍采集路面、地理位置、建筑布局等基礎信息，一旦被其他國家獲取，將會造成難以想象的后果。

因此在面對特斯拉車主，保安就一句話：有規定，特斯拉車主不讓進！

汽車數據泄露?已經成為重災區

當下，全球黑客攻擊形勢嚴峻，諸如勒索攻擊、竊取售賣數據信息、供應鏈泄密、APT攻擊等新聞屢見不鮮。而汽車行業的用戶信息主體較為集中，再加之該行業用戶價值較高，已然成為了數據泄露的重災區。

關鍵原因主要集中在以下幾個方面：

• 車企信息安全防護措施不到位：從網絡信息安全的角度來看，智能網聯汽車主要面臨著遠程入侵、近距離攻擊、接觸攻擊三個角度的安全風險，如果企業在數據的采集、傳輸、存儲、使用等過程中未做好安全防護，被黑客鉆空子就極易造成信息泄露
• 車企還存在不規范、過度收集用戶信息：該行為涉嫌侵犯用戶隱私。這些信息安全若無法得到充分的保障，那么從車鎖、車載屏幕到車輛數據后臺，乃至汽車企業本身，都可能成為黑客的攻擊對象
• 汽車智能化發展過快，安全系統仍在初級階段：目前智能汽車變化速度與法律法規出現了摩擦和沖突的一面。智能駕駛所需的硬件在快速迭代，而軟件系統的安全性仍處在初級階段，汽車智能化水平發展勢頭迅猛，信息安全保障體系的建設腳步發展遲緩甚至停滯，兩者不對等。

不過隨著近年來汽車網聯化的腳步加快，上述提到的這幾個汽車信息安全的問題成為了近年來的行業關注重點。數據泄露可能直接關乎個人隱私安全、社會安全、經濟安全乃至國家安全等多個層面的問題，大致可以概括為四類：

• 行車安全：聯網為網絡黑客提供了入侵車輛的機會，一旦入侵成功即可直接遠程控制車輛，不需要鑰匙就能打開車門、打開后備廂，甚至還能直接解鎖、關閉引擎、直接對車輛進行啟動剎車等操作。這不僅會造成車主的財產損失，可能還會危及生命安全。
• 用戶隱私：智能網聯汽車上裝載的傳感器會持續獲取車上駕駛者、乘客、座艙數據甚至車外行人的相關信息。對于用戶來說，信息泄露則意味著隱私被侵犯，可能會威脅到人身財產安全。
• 企業安全：一般來說企業會收錄其用戶在官網cookies、APP、小程序等觸點的用戶行為信息；此外還有一些旗下門店/經銷商采集的用戶到店信息、試駕信息等；另外，企業管理內部還包含了員工和車主服務數據等，這些數據環環相扣。一旦信息泄露對企業來說不僅意味著品牌形象的傷害和消費者的信任流失，甚至可能造成企業巨額的損失。
• 國家安全：如今的汽車內部不少都配備有大量的視覺、激光雷達、毫米波雷達等傳感器在行駛過程中會不斷掃描路面和周圍交通環境以及行車軌跡，車輛獲取到的大量地理信息可能涉及到國家信息安全。

相比于傳統的汽車車身安全問題，網絡安全、數據安全、車輛行駛安全、產業安全等安全問題交織疊加,并且正加速向車聯網領域滲透蔓延：以汽車數據為核心的新安全問題日益凸顯，汽車數據安全事件頻發。

汽車產業發展要想實現智能化的趨勢，那數據無疑是路上的重要基石。尤其是汽車智能化程度與日俱增，守好數據安全，不僅關乎用戶權益，更關乎行業健康發展。那么為確保車輛、車主乃至整個社會的安全，汽車行業信息安全的行為規范，信息安全維護方式方法以及相關標準法規建設等都必不可少。

面對紛繁復雜的數據環境和越來越豐富的數據內容，車企在構建自身數據安全能力時，應該從以下方面查缺補漏：

• 強化數據安全管理：在數據的采集、傳輸、存儲、使用等過程中，車企應強化數據安全管理，要從技術上保證數據安全，并制定相關的監測管理機制，以保證采集來的數據被合法合規地使用。一般情況下，黑客入侵、數據竊取均通過網絡實現。因此，通過網絡入侵檢測和防護技術創新，構筑多層網絡防護和多重檢測技術，可以更大限度地防范網絡入侵。
• 技術融合手段提升防護能力：也是十分必要的，有業內人士曾表示，可通過“區塊鏈+智能網聯汽車”技術融合，結合一些數據加密手段以顯著提升汽車數據安全管理水平。比如利用密碼技術，通過前裝安全密碼模塊或選擇國密算法在智能網聯汽車各個關鍵環節上提升數據安全防護能力。
• 加強安全頂層設計：建立健全的車聯網數據安全制度和標準體系，強化車聯網數據安全頂層設計，建立包括汽車數據安全管理規定、個人信息和重要數據保護、數據審查與出口、數據安全共享和交易、數據安全評估與防護等在內的車聯網數據安全制度體系，建設車聯網數據分級分類管理機制，完善車聯網數據安全事件的通報、應急處置和責任認定等安全管理工作。

不過，由于汽車網絡信息安全涉及范圍寬泛，所以有一些車企會選擇其他的方法以守護信息安全，比如招募一些白帽黑客和安全研究人員，利用他們的力量和知識，實施激勵計劃，鼓勵友好的黑客及時報告其發現的漏洞，使得信息被惡意盜取利用之前完成漏洞的修復。這個方法倒也不失為一個上策。

除了上述的一些維護信息安全的方式方法外，隨著新四化在全球范圍內持續推進，各國網絡安全相關機構也先后出臺了各種法規和標準，對車輛的網絡信息安全提出了有針對性的要求并明確了驗證方法。

美、歐多國重點關注，多條安全法規重磅出臺

汽車信息安全問題，不僅是我國關注的重點問題，而是美、歐等國家和地區乃至全球都均將汽車數據安全作為其數據安全監管的重點對象，部分國家已經出臺針對汽車數據安全的規范性文件。比如：

• 美國：汽車數據安全管理遵循《隱私權法》《電子通訊隱私法》《加利福尼亞消費者隱私法案》等法律法規及地方法案的相關要求。
• 歐盟：在《通用數據保護條例》基礎上，針對汽車數據安全管理進一步出臺了《車聯網個人信息保護指南》，圍繞車內處理、持續告知、方便撤回同意等原則，提出生物特征、位置軌跡等敏感個人信息的保護要求。
• 聯合國：2021年年初，聯合國世界車輛法規協調論壇頒布了《關于車輛的網絡安全和網絡安全管理體系的統一規定》（以下簡稱“UN R155”）。該規定就保障智能網聯汽車的網絡安全提出了管理體系及相關的合規技術要求。

UN R155作為國際首個與汽車網絡安全相關強制實施的綱領性法規，一方面為汽車行業構建合規的網絡安全架構提供了清晰的指導，另一方面也對智能網聯汽車產業的有序發展具有積極意義。

其中，R155合規認證主要分為兩部分：

• 網絡安全管理體系認證（CSMS,Cyber Security Management System）：主要審查車企的信息安全管理系統是否涵蓋開發、生產和后生產階段，以確保汽車全生命周期中都有對應的流程措施，從而保證信息安全設計、實施及響應均有流程體系指導。車企一旦完成這項認證，則意味著其具備覆蓋車輛全生命周期的網絡安全管控、數據安全保障、安全研發和測試、漏洞和威脅響應等重要安全能力
• 車輛網絡安全型式認證（VTA,Vehicle Type Approval）：拿到CSMS認證后，車企可對具體車輛進行VTA認證。該認證是針對信息安全開發中具體的工作項進行審查，旨在保證實施于車輛的信息安全防護技術在進行審查認證時足夠完備。

R155作為全球第一個汽車信息安全強制法規，適用于《1958年協定書》（聯合國于1958年在日內瓦制定了《關于采用統一條件批準機動車輛裝備和部件并相互承認此批準的協定書》）下的成員國。目前該協議的締約方已增加至54個，其中包括所有歐盟國家和其他OECD（經合組織）國家。雖然中國不在名單中，但如果想將生產的汽車銷售到這些國家，車輛就就必須符合R155的要求。

因此，近些年在《1958年協定書》成員國有出口業務的車企，對R155并不陌生，甚至將獲得這項認證作為了車企出海的一個宣傳點。

上汽乘用車獲得TüV南德意志集團頒發的E4 UN R155證書

比如今年4月4日，上汽乘用車就獲得TüV南德意志集團頒發的TüV全球首張E4 UN R155車輛網絡安全管理體系（Cyber Security Management System）認證證書。

奇瑞獲得 UN R155、UN R156、CSMS、SUMS證書

今年4月11日，奇瑞同時獲得 UN R155（聯合國歐洲經濟委員會第 155 號法規）車輛網絡安全管理體系認證證書（CSMS）、UN R156（聯合國歐洲經濟委員會第 156 號法規）軟件升級管理體系認證證書（SUMS），拿下了打開歐盟市場的關鍵“通行證”。

從法律層面看，UN R155標準的出臺能夠幫助智能網聯汽車的生產企業和相關機構更好地實現并驗證整車信息安全需求。同時，能夠合理規避車輛信息安全與數據安全隱患，避免漏洞破解與群體性非法控車。

為保信息安全，國內汽車行業也在加速“立規矩”

汽車的智能化，數字化無可厚非會催生更多新問題，從無人車的無人化運營，到非限定路段的自動駕駛測試，再到智能化汽車的不斷演變，我們看到科技的變化越來越快，而現行法規與其中的沖突也正變得激烈，法律滯后行業發展的情況越來越普遍。

不過可喜的是，我國對這一新生事物的治理方式采用了試點模式。近年來，我國正在加快制定相關法律法規，保護數據安全。

• 2021年我國信息安全標準化技術委員會發布《信息安全技術汽車采集數據的安全要求》（征求意見稿）（以下簡稱《安全要求》）。

《安全要求》共計8節15條，規定了對汽車采集數據進行傳輸、存儲和出境等處理活動的安全要求，既為汽車制造商保障汽車數據處理活動安全提供了指引，也為主管監管部門、第三方評估機構等對機車采集數據處理活動的監督、管理和評估提供了參考。

• 同年8月，工業和信息化部發布了《關于加強智能網聯汽車生產企業及產品準入管理的意見》。

意見中明確，企業應當建立健全汽車數據安全管理制度，依法履行數據安全保護義務，明確責任部門和負責人。建立數據資產管理臺賬，實施數據分類分級管理，加強個人信息與重要數據保護。建設數據安全保護技術措施，確保數據持續處于有效保護和合法利用的狀態，依法依規落實數據安全風險評估、數據安全事件報告等要求。

• 此外，我國還發布了首個針對汽車數據安全制定的法規——《汽車數據安全管理若干規定（試行）》

該法規首次清晰界定了“汽車數據處理者”和“重要數據”類型等內容。《規定》中還要求，默認不收集原則，除非駕駛人自主設定，每次駕駛時默認設定為不收集狀態。因保證行車安全需要，無法征得個人同意采集到車外個人信息且向車外提供的，應當進行匿名化處理，包括刪除含有能夠識別自然人的畫面，或者對畫面中的人臉信息等進行局部輪廓化處理等。

為此，長安汽車去年6月曾發布公告稱對長安汽車 App、智慧云控 App、引力域 App 進行功能調整：

長安汽車功能調整聲明

調整后 App 中將無法使用的功能包括：遠程監控（即手機遠程直播功能）、360 全景（即手機車外遠程拍照功能）、遠程智能泊車。

• 2022年9月，工信部發布了《國家車聯網產業標準體系建設指南（智能網聯汽車）（2022 年版）》（以下簡稱《指南》）。

《指南》明確提出，到2025年，系統形成能夠支撐組合駕駛輔助和自動駕駛通用功能的智能網聯汽車標準體系。制修訂100項以上智能網聯汽車相關標準，涵蓋組合駕駛輔助、自動駕駛關鍵系統、網聯基礎功能及操作系統等標準，并貫穿功能安全、預期功能安全、網絡安全和數據安全等安全標準，滿足智能網聯汽車技術、產業發展和政府管理對標準化的需求。

另外，此前還有消息稱強制性國家標準《汽車整車信息安全技術要求》也有望于今年下半年報批。隨著強標的出臺，加上多條政策法規的不斷完善，對于汽車行業來說，意味著一些新的挑戰與變化即將到來。

現在只是新起點，汽車信息安全仍面臨艱深挑戰

有行業專家認為，雖然智能化、網聯化是目前汽車新四化的主要發展方向，但是未來汽車除了要在設計、生產、用戶體驗等環節下大功夫外，最終的落腳點還是要落到安全性上來。如果汽車的智能化、網聯化需要以用戶的隱私透明化為代價，汽車企業無法做到對網絡數據安全的管理和數據的加密和保護，那么這樣的汽車升級是毫無意義的。

根據Upstream Security發布的《2022年全球汽車網絡安全報告》，全球聯網汽車將從2018年的3.3億輛增長到2023年的7.75億輛，增幅達134%，可以預見在這個過程中，汽車行業未來將受到的網絡攻擊規模、頻率和復雜程度都將呈指數級增長。

截圖來自《2022年全球汽車網絡安全報告》

因此長遠來看，汽車網絡安全發展將成為必然趨勢。如何應對日益復雜化的安全漏洞，以及智能信息收集手段帶來的安全風險將成為汽車制造商和汽車運營商迫切解決的問題。

最后值得一提的是，此前J.D. Power發布的調查報告顯示，超過九成受訪消費者會有傾向性地選擇注重數據安全和保護個人敏感信息的汽車品牌。這意味著，隨著智能汽車的不斷普及，數據安全已然成為一個影響消費者買車決策的重要因素，在數據安全和個人隱私保護方面做得更好的車企，或將贏得新的競爭優勢。