现代汽车集团子公司泄露270万北美客户的个人数据

随着智能网联汽车渗透率的不断提升，数据安全威胁正从虚拟走向现实。研究显示，2020年中国涉及车联网相关的恶意攻击高达280万次，平台漏洞、通信劫持、隐私泄露等风险严峻。

1、风险现状：智能汽车的数据安全危机四伏

智能网联汽车正逐渐成为“带轮子的数据中心”。据统计，当前一辆普通智能网联汽车拥有25-200个ECU（电子控制单元），软件代码超过6500万行，而无人驾驶汽车的代码量甚至超过2亿行。

这些“会跑的手机”每天产生约10TB数据，是传统燃油汽车的5-10倍。德勤中国网络安全合伙人肖腾飞指出，智能网联汽车的重要数据主要包括三大类：

车辆运行状态数据：速度、制动状态、油耗、故障等信息道路环境和人员数据：车辆摄像头、激光雷达等传感器采集的路况、交通标志、行人位置等信息车内人员隐私数据：乘客与智能设备的交互数据，包括多媒体使用习惯、语音指令、座椅位置偏好等据Upstream发布的《2023年全球汽车行业网络安全报告》，过去五年中，全球汽车行业因网络攻击遭受的损失超过5000亿美元，近70%的汽车安全威胁来自远程网络攻击行为。

2、攻击案例：从理论到现实的威胁演变

汽车信息安全不再只是理论风险，而是已经成为现实威胁。2015年，两名白帽黑客通过远程入侵一辆正在路上行驶的切诺基，对其做出减速、关闭引擎、突然制动等操控，导致克莱斯勒公司全球召回140万辆车。

更令人担忧的是，攻击面正在不断扩大。黑客可通过移动App、车联网云平台、OTA空中软件升级、车载T-BOX、车载信息娱乐系统等多种渠道发起攻击。2019年，腾讯科恩实验室发现，利用特斯拉Autopilot系统存在的缺陷，通过欺骗可以实现让车辆驶入反向车道。即使Autopilot系统未被车主开启，黑客也能利用已知漏洞获取控制权，通过游戏手柄对车辆行驶方向进行操控。智能汽车数据泄露事件频发：2023年，丰田汽车超过215万用户数据泄露；2024年初，宝马公司在微软Azure平台上的云存储服务器配置错误导致内部数据暴露。

3、监管应对：全球加强汽车数据安全立法

面对日益严峻的汽车数据安全挑战，世界各国纷纷加强立法监管。2021年1月，联合国欧洲经济委员会第156号法规（UN R156）正式生效，要求汽车制造商具备软件升级管理体系，履行信息记录和保存、升级评估等义务。中国监管部门也积极行动。2022年，工信部等五部门联合发布进一步加强新能源汽车企业安全体系建设的指导意见，对强化数据安全保护、落实个人信息安全防护等提出具体要求。

2024年8月，工信部组织制定的三项强制性国家标准发布，涉及外部连接安全、通信安全、软件升级安全、数据安全等方面的技术要求和试验方法，将于2026年1月1日起实施。值得注意的是，美国众议院2017年9月通过的《自动驾驶法案》将网络安全作为单独章节，要求自动驾驶车辆厂商必须制定网络安全计划。英国政府也于2017年8月发布《网联汽车和自动驾驶汽车的网络安全关键原则》。

4、防护策略：构建全方位的汽车数据安全体系

保障智能汽车数据安全需要多方协同作战。360高级安全顾问任佳认为，智能汽车安全的保障可以分为四个阶段：

第一阶段：由汽车研发人员与信息安全人员共同进行预判，通过建模规避可能涉及的隐患；

第二阶段：严格遵循安全的开发流程，通过渗透测试和逆向测试，确保车辆符合安全标准；

第三阶段：安全运营阶段，对车辆数据进行安全监测，及时扫描漏洞并进行预警和修补；

第四阶段：智能汽车报废阶段，对车辆残留数据进行统一管理。

部分车企已在信息安全方面加大投入。吉利汽车集团数字化中心与开源网安共建形成了标准化的S-SDLC平台，全面识别并管控软件开发各个阶段的安全风险。赛力斯和奇安信在智能网联汽车领域开展合作，百度也在2018年成立Apollo汽车信息安全实验室。汽车数据本地存储正成为趋势。宝马、福特、戴姆勒等汽车公司有意在中国建立汽车数据存储中心。特斯拉已在中国建立数据中心，实现数据存储本地化，并向车主开放车辆信息查询平台。

05 消费者保护：增强个人信息权益保护意识

随着汽车数据泄露事件频发，消费者的个人信息保护意识亟待增强。J.D. Power发布的调查显示，47.8%的受访车主从未收到过汽车品牌或经销商对个人信息收集的提示。许多消费者未能对汽车用户手册、车载电脑弹窗提示给予足够重视，未仔细阅读即点击同意，最终造成权益受损。因此，个人应当有效防范，在充分了解的情况下作出同意决定。