1.3 國外智能網聯(lián)汽車信息安全現(xiàn)狀

1.3.1 政策動態(tài)

1.聯(lián)合國

2020年6月24日，聯(lián)合國世界車輛法規(guī)協(xié)調論壇（WP29）正式通過了網絡安全和軟件升級兩項新法規(guī)。這兩項法規(guī)制定的目的是通過建立清晰的實施和審核要求來幫助整車企業(yè)解決網絡安全風險，提出的技術要求包含以下4個方面：

1）管理車輛網絡風險。

2）通過設計保證車輛安全，緩解價值鏈上的風險。

3）監(jiān)測和響應信息安全事件。

4）引入空中下載技術（OTA）法規(guī)要求，提供安全可靠的軟件更新，確保不會損害車輛功能安全。

2.歐洲

歐洲擁有眾多整車及零部件企業(yè)，歐盟為適應汽車信息安全的新需求，在政策法規(guī)、行業(yè)規(guī)范兩方面采取了重要舉措；與此同時，歐盟各國也紛紛發(fā)布了智能網聯(lián)汽車相關政策，引導智能網聯(lián)汽車產業(yè)發(fā)展。

在政策法規(guī)方面，歐盟機動車型式認可和市場監(jiān)督系統(tǒng)的新法規(guī)EU2018/858于2020年9月1日起正式適用。其中，第39條明確針對L3、L4級的自動駕駛汽車，可通過豁免程序獲得型式認證。此外，針對聯(lián)合國發(fā)布的信息安全法規(guī)，歐盟將從2022年7月起對所有新車型強制實施，對2021年7月之后生產的所有新車輛強制實施。在行業(yè)規(guī)范方面，德國汽車工業(yè)協(xié)會（VDA）和ENX協(xié)會[2]聯(lián)合創(chuàng)建信息安全的評估和交換機制（TI-SAX），以實現(xiàn)汽車行業(yè)信息安全評估在組織內的相互認可、交換和信任。

德國作為傳統(tǒng)汽車產業(yè)強國，對自動駕駛技術與產業(yè)發(fā)展持積極態(tài)度。2017年6月，德國通過頒布《道路交通法第八修正案》與《自動駕駛道德準則》成為自動駕駛領域立法的“先行者”。

《道路交通法第八修正案》通過修訂現(xiàn)有道路交通法案引入自動駕駛條款，旨在通過上位法的形式對自動駕駛的定義范圍、駕駛人的責任與義務、駕駛數(shù)據(jù)的記錄等進行原則性規(guī)定，為自動駕駛各方利益主體劃定權利義務邊界，提出政府監(jiān)管的方向。作為德國首部自動駕駛相關法律，《道路交通法第八修正案》為自動駕駛汽車在德國“上路”提供了法律依據(jù)。雖然該法案在主體責任劃分、數(shù)據(jù)使用與信息安全等方面還有待修訂完善，但是在自動駕駛產業(yè)的立法進程中具有里程碑式的意義。

《自動駕駛道德準則》作為全球第一個自動駕駛行業(yè)的道德準則，通過在道路安全與出行便利、個人保護與功利主義、人身權益與動物或財產權益、法律對技術的規(guī)制方式等方面確立優(yōu)先原則，同時設立不允許自動駕駛廠商提前對極端情境的選擇問題進行標準化設定或編程等準則，為自動駕駛所產生的道德和價值問題立下規(guī)矩。

2017年8月6日，英國政府對外發(fā)布了《智能網聯(lián)汽車網絡安全關鍵原則》（The Key Principles of Cyber Security for Connected and Automated Vehicles）。該指南細分出8大原則，29個細則。該8項原則包括頂層設計、風險管理與評估、產品售后服務與應急響應機制、整體安全性要求、系統(tǒng)設計、軟件安全管理、數(shù)據(jù)安全和彈性設計，強調在汽車全生命周期內考慮網絡安全問題。其安全防護工作更是一個不斷迭代完善的工作，需要產業(yè)鏈協(xié)同完成。

3.美國

在谷歌、蘋果、微軟等互聯(lián)網巨頭以及福特、通用、特斯拉等汽車制造商的大力支持下，美國政府和行業(yè)對汽車信息安全關注較早。

2015年，美國交通部發(fā)布了《美國智能交通系統(tǒng)（ITS）戰(zhàn)略規(guī)劃（2015—2019年）》（簡稱“ITS規(guī)劃”）。“ITS規(guī)劃”將發(fā)展智能網聯(lián)汽車作為美國發(fā)展智能交通系統(tǒng)的重點。

2017年3月，美國國會通過汽車安全和隱私草案（Security and Privacy in Your Car Act，簡稱“SPY Car Act”），由美國高速公路安全管理局（Na-tional Highway Traffic Safety Administration, NHTSA）制定機動車輛網絡安全法規(guī)，要求在美國銷售的機動車輛可以有效防止非法入侵，并規(guī)定了電子控制、駕駛數(shù)據(jù)和數(shù)據(jù)傳輸?shù)劝踩珬l款。

2017年8月，NHTSA發(fā)布新版《聯(lián)邦自動駕駛系統(tǒng)指南：安全愿景2.0》，要求汽車廠商采取措施應對網絡威脅和漏洞，對車輛高級駕駛輔助系統(tǒng)（ADAS）進行網絡安全評估。

2020年1月，美國發(fā)布《確保美國自動駕駛汽車技術的領導地位：自動駕駛汽車4.0》，進一步明確政府工作方向，擴展并發(fā)布十大自動駕駛技術發(fā)展原則。其中提到保護用戶和社區(qū)團體，優(yōu)先考慮安全；強調安全和網絡安全；確保隱私和數(shù)據(jù)安全；增強移動性和可及性。

4.日本

日本從20世紀90年代開始研究智能交通系統(tǒng)。2013年，日本政府制定建立最先進的信息化國家戰(zhàn)略，包括智能網聯(lián)汽車內容。2014年，日本實施“自動駕駛系統(tǒng)研發(fā)計劃”，提出到2030年實現(xiàn)完全自動駕駛汽車的目標。2018年3月，《自動駕駛相關制度整備大綱》明確了L3級別的自動駕駛汽車發(fā)生事故時的責任界定；2018年9月，日本國土交通省正式發(fā)布《自動駕駛汽車安全技術指南》，明確L3、L4級別自動駕駛汽車必須滿足的安全條件。其中指出企業(yè)須根據(jù)WP29的最新規(guī)定，在進行車輛設計和開發(fā)時考慮網絡安全問題。2020年4月，日本實行新《道路交通法》，正式允許L3級自動駕駛汽車上路。

日本信息處理推進機構（IPA）從汽車可靠性的角度出發(fā)，通過對汽車安全的攻擊方式和途徑進行分析，定義了汽車信息安全模型（IPA Car）。信息安全產生的威脅不僅包括用戶偶然引發(fā)的失誤，還有攻擊者惡意造成的威脅。針對此兩類威脅，IPA提出了信息加密、判定用戶程序合法性、對使用者操作權限和通信范圍實施訪問控制管理等策略。同時，IPA遵循汽車的全生命周期制定了安全管理方針：在設計階段，根據(jù)各項功能安全性的重要程度實施預算劃撥；在開發(fā)階段，根據(jù)編碼標準采用防漏洞的安全編碼；在使用階段，為消費者構筑信息安全快速應對的聯(lián)絡反饋機制；在廢棄階段，提供信息刪除等功能，以保證用戶的各項隱私。