1.3 國外智能網聯汽車信息安全現狀

1.3.1 政策動態

1.聯合國

2020年6月24日，聯合國世界車輛法規協調論壇（WP29）正式通過了網絡安全和軟件升級兩項新法規。這兩項法規制定的目的是通過建立清晰的實施和審核要求來幫助整車企業解決網絡安全風險，提出的技術要求包含以下4個方面：

1）管理車輛網絡風險。

2）通過設計保證車輛安全，緩解價值鏈上的風險。

3）監測和響應信息安全事件。

4）引入空中下載技術（OTA）法規要求，提供安全可靠的軟件更新，確保不會損害車輛功能安全。

2.歐洲

歐洲擁有眾多整車及零部件企業，歐盟為適應汽車信息安全的新需求，在政策法規、行業規范兩方面采取了重要舉措；與此同時，歐盟各國也紛紛發布了智能網聯汽車相關政策，引導智能網聯汽車產業發展。

在政策法規方面，歐盟機動車型式認可和市場監督系統的新法規EU2018/858于2020年9月1日起正式適用。其中，第39條明確針對L3、L4級的自動駕駛汽車，可通過豁免程序獲得型式認證。此外，針對聯合國發布的信息安全法規，歐盟將從2022年7月起對所有新車型強制實施，對2021年7月之后生產的所有新車輛強制實施。在行業規范方面，德國汽車工業協會（VDA）和ENX協會[2]聯合創建信息安全的評估和交換機制（TI-SAX），以實現汽車行業信息安全評估在組織內的相互認可、交換和信任。

德國作為傳統汽車產業強國，對自動駕駛技術與產業發展持積極態度。2017年6月，德國通過頒布《道路交通法第八修正案》與《自動駕駛道德準則》成為自動駕駛領域立法的“先行者”。

《道路交通法第八修正案》通過修訂現有道路交通法案引入自動駕駛條款，旨在通過上位法的形式對自動駕駛的定義范圍、駕駛人的責任與義務、駕駛數據的記錄等進行原則性規定，為自動駕駛各方利益主體劃定權利義務邊界，提出政府監管的方向。作為德國首部自動駕駛相關法律，《道路交通法第八修正案》為自動駕駛汽車在德國“上路”提供了法律依據。雖然該法案在主體責任劃分、數據使用與信息安全等方面還有待修訂完善，但是在自動駕駛產業的立法進程中具有里程碑式的意義。

《自動駕駛道德準則》作為全球第一個自動駕駛行業的道德準則，通過在道路安全與出行便利、個人保護與功利主義、人身權益與動物或財產權益、法律對技術的規制方式等方面確立優先原則，同時設立不允許自動駕駛廠商提前對極端情境的選擇問題進行標準化設定或編程等準則，為自動駕駛所產生的道德和價值問題立下規矩。

2017年8月6日，英國政府對外發布了《智能網聯汽車網絡安全關鍵原則》（The Key Principles of Cyber Security for Connected and Automated Vehicles）。該指南細分出8大原則，29個細則。該8項原則包括頂層設計、風險管理與評估、產品售后服務與應急響應機制、整體安全性要求、系統設計、軟件安全管理、數據安全和彈性設計，強調在汽車全生命周期內考慮網絡安全問題。其安全防護工作更是一個不斷迭代完善的工作，需要產業鏈協同完成。

3.美國

在谷歌、蘋果、微軟等互聯網巨頭以及福特、通用、特斯拉等汽車制造商的大力支持下，美國政府和行業對汽車信息安全關注較早。

2015年，美國交通部發布了《美國智能交通系統（ITS）戰略規劃（2015—2019年）》（簡稱“ITS規劃”）。“ITS規劃”將發展智能網聯汽車作為美國發展智能交通系統的重點。

2017年3月，美國國會通過汽車安全和隱私草案（Security and Privacy in Your Car Act，簡稱“SPY Car Act”），由美國高速公路安全管理局（Na-tional Highway Traffic Safety Administration, NHTSA）制定機動車輛網絡安全法規，要求在美國銷售的機動車輛可以有效防止非法入侵，并規定了電子控制、駕駛數據和數據傳輸等安全條款。

2017年8月，NHTSA發布新版《聯邦自動駕駛系統指南：安全愿景2.0》，要求汽車廠商采取措施應對網絡威脅和漏洞，對車輛高級駕駛輔助系統（ADAS）進行網絡安全評估。

2020年1月，美國發布《確保美國自動駕駛汽車技術的領導地位：自動駕駛汽車4.0》，進一步明確政府工作方向，擴展并發布十大自動駕駛技術發展原則。其中提到保護用戶和社區團體，優先考慮安全；強調安全和網絡安全；確保隱私和數據安全；增強移動性和可及性。

4.日本

日本從20世紀90年代開始研究智能交通系統。2013年，日本政府制定建立最先進的信息化國家戰略，包括智能網聯汽車內容。2014年，日本實施“自動駕駛系統研發計劃”，提出到2030年實現完全自動駕駛汽車的目標。2018年3月，《自動駕駛相關制度整備大綱》明確了L3級別的自動駕駛汽車發生事故時的責任界定；2018年9月，日本國土交通省正式發布《自動駕駛汽車安全技術指南》，明確L3、L4級別自動駕駛汽車必須滿足的安全條件。其中指出企業須根據WP29的最新規定，在進行車輛設計和開發時考慮網絡安全問題。2020年4月，日本實行新《道路交通法》，正式允許L3級自動駕駛汽車上路。

日本信息處理推進機構（IPA）從汽車可靠性的角度出發，通過對汽車安全的攻擊方式和途徑進行分析，定義了汽車信息安全模型（IPA Car）。信息安全產生的威脅不僅包括用戶偶然引發的失誤，還有攻擊者惡意造成的威脅。針對此兩類威脅，IPA提出了信息加密、判定用戶程序合法性、對使用者操作權限和通信范圍實施訪問控制管理等策略。同時，IPA遵循汽車的全生命周期制定了安全管理方針：在設計階段，根據各項功能安全性的重要程度實施預算劃撥；在開發階段，根據編碼標準采用防漏洞的安全編碼；在使用階段，為消費者構筑信息安全快速應對的聯絡反饋機制；在廢棄階段，提供信息刪除等功能，以保證用戶的各項隱私。