一.背景
2021年10月1日,由国家网信办、国家发展和改革委员会、工信部、公安部、交通运输部联合发布的《汽车数据安全管理若干规定》(后简称“规定”)正式施行。10月29日,国家互联网信息办公室关于《数据出境安全评估办法(征求意见稿)》向社会公开征求意见。征求意见稿第四条提到:关键信息基础设施的运营者收集和产生的个人信息和重要数据,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
二.行业的难点
汽车数据跨境安全风险主要在车端和云端,云端的风险在于敏感数据的分类分级管理;车端主机厂需要面对众多零部件厂商尤其是国外厂商,不可控因素增多:
1. 数据内容不可控:零部件厂商有传输监控数据的需求,但传输数据内容均不得而知,这就无法完全把握住《规定》中重要数据和敏感个人数据不出境的要求。
2. 数据发送地址不可控:零部件厂商传送的地址可能会有变化,如果与备案的地址不一致或者是跨境传输未备案,主机厂应及早规避此风险。
3. 数据传输方式不可控:国外的零部件厂商的数据外传未必走主机厂的TBOX或者网关,可能是以其他的我们未知的方式传输。
三.中国汽研的车端检测方案
国家法规虽然出台,要求车企对跨境数据备案,无论从监管的角度还是主机厂自身数据跨境的摸查,都应该从车端的跨境数据检测开始,我国汽车跨境数据的传输检测方面力量非常薄弱。
中国汽车工程研究院股份有限公司是目前国内首推汽车跨境数据检测及认证的单位。通用技术中国汽研北京分院自2019年就开始自主研发汽车跨境数据的安全检测,获得了一致好评。该检测实验室由大型屏蔽仓及专业自主研发的通讯检测设备组成。在电磁屏蔽环境中模拟车辆带电静止、锁车断电、车辆行驶等场景,通过通讯检测设备获得数据传输的路径,并截获上传数据,从而完成对车辆数据回传路径、数据回传地址、数据回传内容的检测分析;该检测设备的研发填补了国内车辆数据传输检测的空白。
