特斯拉数据泄露事件暴露行业难题

作者|陈重山   编辑|阿峰   排版|浩天

近期发生的特斯拉数据泄露事件，再一次将智能网联汽车数据安全问题暴露在世人面前。

5月26日，荷兰数据监管机构表示，特斯拉可能存在数据保护漏洞。而据德国媒体相关报道，这些泄漏文件包含超过10万名前任和现任员工姓名的表格，甚至包括马斯克的社保号码，以及私人电子邮件地址、电话号码、员工工资、客户银行详细信息和生产机密信息。

特斯拉数据泄密报道截图

不止特斯拉，就在半年前，蔚来也发生数据泄露事件。

2022年12月11日，蔚来曾收到外部邮件，以窃取蔚来数据为由，勒索225万美元等额比特币。当时，蔚来称，遭窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息，并承诺对因数据泄露给用户造成的损失承担责任。

此前，车百智库、智能汽车与智慧城市协同发展联盟合作的研报《智能网联汽车发展若干重大问题》（下简称研报）就已密切关注智能网联汽车数据泄露的问题。研报称，随着智能网联汽车数量扩大、种类拓展，汽车数据安全问题呈扩大态势。如何更好地对汽车数据进行管理，对汽车企业和管理部门来说，都是一个新问题。

研报首页

研报称，在实践中，智能网联汽车数据安全，依然处于技术创新的“早期阶段”，容易出现“一管就死，一放就乱”，为此，需要找到一个技术创新与监管之间的平衡点，既要更好地支持创新，又要防止出现重大数据安全事件。

汽车数据数量激增、重要性凸显

当前，汽车正由典型的机械产品，转化为数据决定体验、软件定义功能的智能移动终端。

据研报，一辆 L4 自动驾驶的智能网联汽车，每日通过车内外传感器采集的行驶数据、环境数据和行为翻据等，已达到 10TB的量级，是传统汽车的 5-10 倍。保守估算，千辆自动驾驶汽车一年会产生近 11EB(万亿兆)的数据，是 2016年全球互联网数据传输量总和(3EB)的 3.5 倍。而且，随着汽车智能化的不断发展，智能网联汽车会像依赖化石燃料、电力一样依赖数据。

面对如此大量级的数据，以及智能化、网联化的深入和应用场景的不断丰富，智能网联汽车数据安全问题的影响呈现逐步扩大的态势。针对汽车数据的攻击、窃取、劫持、滥用等手段不断推陈出新，给国家安全、交通安全、用户隐私安全造成重大影响。

智能网联汽车数据安全是国家安全的重要防线，是交通安全的重要外延，而且与个人隐私保护密切相关，但是，我国现阶段的汽车数据安全管理，依然面临着不少的挑战。

汽车数据安全管理面临的挑战

据研报，汽车数据安全管理面临的挑战包括以下几点。

首先，虽然我国汽车数据安全政策法规持续加码，但是，尚未出台具体执行层面的指导文件。

具体来看，《网络安全法》《数据安全法》《汽车数据安全管理若干规定(试行)》《个人信息保护法》虽然构成了一个较为完整的数据安全法规体系，但现有的这些法规体系仍然存在较多需要明确的问题，包括具体落地实施文件相对缺失，执行层面缺乏操作指导，法律法规的要求落实不充分等，这使相关企业不知该如何自查和执行。

其次，我国汽车数据标准规范处于起步阶段，尚未形成系统可执行的标准规范体系。

目前，各监管机构、行业组织已在积极推动汽车数据安全标准的制定，但是，目前尚未形成系统的体系，制定的标准也没有与管理体制形成配合，企业落实标准实施的可执行性和执行效果也亟待考验。

再次，汽车数据安全防护技术缺口依然存在，难以形成全面数据安全防护。

智能网联汽车面临的数据安全风险主要来自于“云-管-端”，即云端数据库、网络数据传输、车端系统漏洞、车端密钥数据均可能面临攻击、泄露、丢失。但是，目前对于如何建立完整的、系统级的智能网联汽车的数据安全防护体系仍缺乏经验，存在安全技术和安全人才“双缺口”现象。

最后，更为关键的是，目前智能汽车数据安全正处于技术创新的“早期阶段”，体系不健全、标准不完善等问题是产业发展初期的常态。在这样的形势下，产业发展容易“一管就死，一放就乱”。

长远来看，安全是为了更好地发展。但在实践进程中，出于不同发展阶段的需要，发展会付出一定的安全代价，安全亦会事实上影响发展进程。只有找到技术创新与政府监管间的平衡点，才能给产业提供一个良好健康的发展环境。

平衡数据安全与产业发展建议

研报在平衡好数据安全与产业发展的基础上，给出我国汽车数据安全防护的建议。

首先，要针对智能网联企业数据安全治理领域的痛点、难点问题，如数据归属问题，加快建设、完善汽车领域的专项法律法规。

其次，要基于《网络安全法》《数据安全法》《个人信息保护法》等数据安全法律法规和政策文件，由汽车行业主管部门牵头，联合各相关部门出台细化到产业的智能网联汽车数据安全规范指南，并组建执行委员会，切实实施相关细则。

再次，要突破技术难点，构建汽车数据安全防护体系。因为传统数据安全技术具有一定的迁移性，在构建智能网联汽车数据安全防护体系时，要结合区块链、云计算等新一代信息技术进行突破性创新。另外，要鼓励我国智能网联汽车领域加密技术突破，以提高国密算法和国产加密产品的应用。最后，要实现入侵检测和防护技术创新，从车内外进行多层次多维度的安全防范，实现“进不来”的安全防护和“攻不破”的入侵防护。

最后，要加强政府监管，建立数据安全评估体系。智能网联汽车成为移动智能终端后，其安全检测和评估的范围，不能仅局限于汽车，也要随之扩大到智能网联汽车全生态圈。因为智能网联汽车数据安全测试与评价，是智能网联汽车安全水平提升的重要驱动力，因此需要建立更加完善的智能网联汽车数据安全评估机制。

关于智能网联汽车数据安全的更详细内容，请关注车百智库研报《智能网联汽车发展若干重大问题》