4月28日，中国汽车工业协会和国家计算机网络应急技术处理协调中心联合发布了《关于汽车数据处理4项安全要求检测情况的通报（第一批）》，其中比亚迪、理想、路特斯、合众新能源、特斯拉、蔚来等6家企业的76款车型符合汽车数据安全4项合规要求。

特斯拉等车企迈出数据安全合规第一步

处于销量不佳、降价裁员风波的特斯拉是此次通过审核的唯一一家国外品牌车企，再次被推到了舆论中心而备受关注。此前特斯拉车辆曾多次遇到进入部分敏感场所的限制，此次检测结果公布，意味着特斯拉车辆的行驶范围或将进一步扩大，机关单位、机场、高速等国内禁停禁行区域有望对特斯拉相关车型解除限制。

所谓4项合规要求，是指检测“车外人脸信息等匿名化处理、默认不收集座舱数据、座舱数据车内处理、处理个人信息显著告知”等4项要求。

通报提到此次“数据处理通报”由中国汽车工业协会、国家计算机网络应急技术处理协调中心依据《汽车数据安全管理若干规定（试行）》、GB/T 41871-2022《信息安全技术 汽车数据处理安全要求》等法规标准有关规定实施。有资深汽车行业分析师认为，这件事释放两个信号：1. 国家对汽车数据安全制定了明确的规则。2. 在规则面前所有车企一视同仁，包括纯外资车企。

此次特斯拉等 6 家车企所通过的数据处理4项安全要求检测，是汽车数据安全合规的一部分，主要针对汽车座舱在采集和处理车内、车外数据过程中需要满足的数据安全合规和个人信息保护要求。然而，车企面临的数据安全与合规风险远远不只汽车座舱本身。车企提供的各种智能网联服务把汽车和车联网服务平台实时连接在一起，汽车座舱采集和处理的数据需要实时转送到车联网服务平台，以支撑各种车联网服务的数据处理需求。车联网服务平台的智能汽车数据流转全链路较为复杂，涉及的数据种类多、数据量大、数据处理链条长、数据主体多等特点，导致其数据安全管理工作复杂、难度大，也是目前众多车企面临的严峻挑战。

车企有哪些值得关注的数据安全风险

当前，汽车产业的智能化加速发展，车联网、智驾、智舱领域技术的不断迭代更新，数据安全逐渐成为汽车产业新的竞争优势之一。一方面数据安全、车端安全成为影响用户购车决策的重要影响因素；另一方面车企自身的数据安全管理成熟度、合规能力，成为促进企业又好又快数字化转型，有效拉动产业高质量发展的关键分水岭。

数据链路长，易发生是数据被窃、泄露隐患

汽车生产专业性强，从研发、生产、供应链、销售、到服务的链路太长，因此汽车数据安全涉及到多个主体和多个环节，各环节的数据使用过程缺乏统统一的安全要求，导致易存在数据授权范围过大、敏感数据被非法授权访问、内部员工窃取数据等问题；其次，由于缺乏全链路的有效管控，易致大量数据在数据分析等场景中过度滥用、数据泄露等风险问题存在。

大数据背景下数据滥用隐患，缺乏精细化管控

汽车产业更新迭代快速，随着汽车功能、系统更新及其他基础设施变化，都会导致数据安全要求与保护措施发生变化。对于哪些数据可被采集、哪些数据需要脱敏、数据如何利用、是否可以分享给第三方等关键问题，都需要进行灵活、精细的管理要求与技术手段，避免数据滥用及违规风险。

API 数据安全正成为新的高风险地带

近年来，汽车制造业遭受 API 攻击的事件频发，据相关行业调查数据显示，汽车制造业传输敏感数据的API接口数平均超过900个，传输敏感字段多达332个，这两项指标均是其他行业的3~7倍。并且随着智能汽车、车联网的技术发展，一辆智能网联汽车，就是一个移动的敏感数据发生源，持续不断地通过各种 API 接口，向服务器传输敏感数据，并且持续流转于其他业务系统，企业缺乏完善的 API 数据资产保护措施与 API 风险监测手段，导致 API 数据安全成为数据安全的高风险地带。

数据安全管理建设水平参差不齐

在监管要求趋严和安全事件频发的双重驱动下，多数车企已经形成相对成熟的数据安全管理体系，对数据安全建设与管理工作高度重视。据相关统计数据表明，80%以上的车企都自建单独的数据安全团队，并配备足够的安全人员，形成与企业业务线并行的管理链路。但不同企业建设情况存在较大差异，也有部分车企的数据安全管理体系流于形式、彼此独立，如数据安全管理、合规管理等由研发部负责人或运营部门兼管。

从“团标”看车企数据安全能力建设

2024 年 3 月，由中国汽车工业协会数据分会组织制定的团体标准T/CAAMTB 189-2024《汽车企业数据安全管理体系要求》正式发布，并与4月1日正式实施。（以下简称“《要求》”）正式发布。《要求》主要针对汽车企业数据安全管理体系提出要求，标准整体框架基于现行数据安全法律、法规和标准的内容进行确定，对于尚在发展中的中国车企数字化转型、智能化产品推进以及数据安全建设推进起到很好的规范指导作用。

《要求》的第 8 章节，重点对数据分类分级管理、数据全生命周期管理制度、数据访问权限管理、数据安全用户反馈及投诉管理、产品的数据安全管理、数据安全风险管理（数据安全风险评估、数据安全风险处置）、数据出境安全管理、数据对外提供、数据安全监测和事件处理、数据审计要求、数据加密密码要求、数据安全文化建设等多个方面作出要求。

其中，分类分级方面

要求企业制定并维护统一的数据资产清单，整体覆盖汽车数据处理者的IDC机房、云端数据库等多端异构数据。明确映射重要数据、敏感个人信息等法律法规要求重点保护的数据。并按照敏感程度实施相应的安全管理策略和保障措施。这给当下多云混合环境下的零散分布的数据管理，带来了直接的压力，而管控策略和措施的实施更需要与分类分级的有效联动。

数据访问权限管理方面

“要求”中明确需要根据业务部门功能、职责，确定权限，并建立申请、修改、废除的流程。不包含临时账号的申请和管理流程。由专人负责对账号权限进行创建、赋权、调整和停用等操作。企业各业务系统及数据管理系统的权限设置一直都是痛点难点，一松就乱，一管就死，缺乏高效灵活的权限管理设置机制和权限是设置回收能力。

数据对外提供方面

“要求”中提到在进行数据处理或委托处理开展前，要建立合作方能力风险评估以及合作委托约束，并在合作过程中持续监督和定期审计以降低风险。然而在当前车企传输敏感数据以API 接口为主要形式，企业缺乏完善的 API 数据资产保护措施与 API 风险监测手段，导致 API 数据安全成为数据安全的高风险地带，管控手段亟需升级。

重要数据处理审计方面

汽车数据安全管理机构应加强对重要数据、个人信息等数据的全生命周期保护，应留存至少6 个月的数据操作日志记录。 对内部人员的关键操作 (批量修改、导出、删除)和超权限操作设置内部审批流程。相关权限审批日志记录，应至少留存1年时间。关键操作和超权限操作的审批日志记录应至少留存2 年甚至永久存留相应权限审批日志记录。

数据安全风险评估和处置方面

车企在处理重要数据时，应按照规定对其数据处理开展风险评估，识别数据安全要素、安全风险、评价风险情况，以识别数据安全管理体系范围内可能存在的与数据保密性、 完整性、可用性和数据处理合规性有关的数据安全问题和风险隐患，并选择适合的数据安全风险处置方式。这给企业日常的数据安全运营能力带来了极高的挑战。

原点安全：一站式提升车企数据安全管理能力

原点一体化数据安全平台 uDSP 以敏感数据目录为核心，构建统一的数据安全管理平台，支持敏感数据发现识别、自动分类分级、数据权限管控、数据动态脱敏、数据安全审计、数据安全风险监测和数据安全运营等核心安全能力，可有效助力车企全面提升数据安全管理能力，“多快好省”地落地数据安全建设，为企业长期的数据安全治理工作提供坚实的基础，形成可持续的数据安全运营能力。