国内自动驾驶的信息安全相关法律法规调研

刘盈江 王娟 赵阳

摘 要：随着网络的发展和汽车制造技术的进步，智能汽车已经逐渐成为汽车产业发展的未来趋势，其安全性也日益重要。然而，调研发现目前还没有专门为自动驾驶的信息安全制定的法律法规。本文对国内现有信息安全相关法律、国外现有对自动驾驶技术相关条款进行了调研和总结，并对我国自动驾驶技术相关条款制定提出建议。

关键词：自动驾驶技术;信息安全;法律法规

1 自动驾驶技术所面临安全威胁

自动驾驶技术伴随着种类繁多的安全威胁，根据攻击对象的不同攻击手段分为三种：

1）针对自动驾驶云端服务器攻击：通过对自动驾驶云端服务器的攻击从而非法获取用户信息，车辆信息等，也可造成自动驾驶车辆组网混乱甚至瘫痪的后果。

2）针对云端、路边设备、车辆之间通信攻击：以篡改、伪造、窃听、重放、抵赖、DDOS（分布式拒绝服务）攻击等方式对自动驾驶车辆组网中各单位进行攻击，从而造成道路交通隐患及数据安全危机。

3）针对车辆本体攻击：通过寻找车辆防护不足的部件作为入口，包括车载娱乐系统、蓝牙、wifi、特殊功能ecu等，对这些入口进行篡改监听等操作或通过这些入口以ecu作为跳板，对CAN总线发起攻击并获取车辆系统权限。

2 国内现有法律条款约束

经调研未发现国内已有自动驾驶信息安全相关法律法规，下面就信息安全领域对自动驾驶领域有借鉴意义的法律法规进行总结。

2.1 《信息安全等级保护管理办法（试行）》

《信息安全等级保护管理办法（试行）》第12条中明确规定：在信息系统建设过程中，运营、使用单位应当按照GB17859-1999、《信息系统安全等级保护基本要求》等技术标准，参照GB/T20271-2006、GB/T20270-2006、GB/T20272-2006、GB/T20273-2006、《信息安全技术 服务器技术要求》、GA/T671-2006等技术标准同步建设符合该等级要求的信息安全设施，现有标准已对安全信息系统的建立提出了指导和要求。

2.2《中华人民共和国网络安全法》

《中华人民共和国网络安全法》在第二十二条中指出：网络产品、服务应当，符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意;涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。本条规定为产品安全及用户隐私提供了有力保障。

2.3 《国家车联网产业体系建设指南（智能网联汽车）》

近年发布的《国家自动驾驶产业体系建设指南》是国家针对蓬勃发展的自动驾驶产业提出的意见和指导，在通用规范中也提出了对信息安全的要求：信息安全标准在遵从信息安全通用要求的基础上，以保障车辆安全、稳定、可靠运行为核心，主要针对车辆及车载系统通信、数据、软硬件安全，从整车、系统、关键节点以及车辆与外界接口等方面提出风险评估、安全防护与测试评价要求，防范对车辆的攻击、侵入、干扰、破坏和非法使用以及意外事故。

2.4 《智能汽车创新发展战略》（征求意见稿）

2018年发改委发布的《智能汽车创新发展战略》第三节第六段中明确提出了对构建智能高效的智能汽车信息安全体系要求：1）完善信息安全管理联动机制;2）加强信息安全系统防护能力;3）加强数据安全防护管理。

3 国外自动驾驶相关法律条款

3.1 《国际道路交通公约（维也纳）》

联合国于2016年颁布的新修正案规定，在全面符合联合国车辆管理条例或者駕驶员可以人工选择关闭该功能的情况下，将驾驶的职责交给车辆的自动驾驶技术可以明确地被应用到交通运输当中。这是世界范围内第一次在法律层面上将自动驾驶的车辆认定为责任主体，人也就是驾驶者在特定情况下可以免责的可能。

3.2 《道路交通法》

德国于2017年修订的《道路交通法》引入了自动驾驶相关概念及规定，规定在特定时间和条件下，高度或全自动化驾驶系统可接管驾驶人对汽车的控制。但是要求驾驶员不可离开驾驶位，必须时刻保持对车辆的可控制权，但对于数据安全该法规并没有提出一个明确的要求。

3.3 《自动驾驶法案》

2017年7月27日美国众议院一致通过的《自动驾驶法案》是美国第一部针对自动驾驶汽车的联邦法律，法案于第五章明确要求自动驾驶车辆厂商必须制作出网络安全计划，包括如何对网络攻击、非法入侵以及恶意控制指令等行为的应对策略，并以此来保证整个自动驾驶系统及通信系统的安全。

4 总结与建议

在自动驾驶技术一日千里的当下，国内仍未有一部关于自动驾驶汽车信息安全的硬性法律条款。北京、上海、重庆等地推出的自动驾驶汽车试行的地方性法规中也极少涉及自动驾驶信息安全保护的内容，只有一些宽泛的描述。而信息安全问题对联网的自动驾驶车辆来说是及其严峻的，需要相关法律法规硬性规范。建议应当从车辆到路边单元到云端，通过制定相关法规，厘清厂商、运维、用户等各方的责任，构建完整的自动驾驶信息安全防护体系，以保护车辆通信安全，用户隐私安全，车辆网络安全为自动驾驶产业的快速发展扫清障碍。

参考文献

[1]工业和信息化部，国家标准委.国家车联网产业体系建设指南（智能网联汽车）[Z].2017.

[2]国家发展和改革委员会产业协调司.智能汽车创新发展战略（征求意见稿）[Z].2018.

[3]化存卿.物联网安全检测与防护机制综述[J].上海交通大学学报，2018，52（10）：1307-1313.

[4]Zhou J ， Cao Z ， Dong X ， et al. Security and Privacy for Cloud-Based IoT： Challenges[J]. IEEE Communications Magazine， 2017， 55（1）：26-33.

[5]Kahkashan Tabassum ， Ahmed Ibrahim ， Sahar A. El Rahman， “ Security Issues and Challenges in IoT”， 2019 International Conference on Computer and Information Sciences （ICCIS）， 2019.

[6]佚名.欧洲网络与信息安全局《关键信息基础设施领域的物联网安全基线指南》[J].信息安全与通信保密，2018（1）：80-95.

[7]张绪旺.无人驾驶国标在路上[J].中国产业经济动态，2017（11）：34.