8家車企免責安全漏洞被點名 汽車數字安全須強化企業主體責任

近日，江蘇省消費者權益保護委員會發布了《新能源汽車行業不公平格式條款調查報告》（以下簡稱《報告》），指出共有8家新能源車企在網絡安全漏洞等方面存在不公平格式條款問題，免責條款過寬，加重消費者的責任和義務。

三六零天樞智庫安全專家對此表示，在智能化、網聯化已成為汽車未來發展的必然趨勢下，汽車作為最重視安全的行業，其數字安全隱患不斷顯現，網絡攻擊事件也越來越多，因此車企更需要高度重視數字安全，承擔其數字安全方面的相關主體責任，來保障新能源車及司乘人員在行駛過程中的生命及財產安全。

稱網絡安全漏洞“不可抗” 8家新能源車企被點名

《網絡安全法》規定，網絡運營者有履行安全保護的義務，應採取相應技術措施。但《報告》指出，8家車企約定此情形下不承擔任何責任。

針對於部分車企把網絡安全漏洞當作“不可抗力”的行為，江蘇省消費者權益保護委員會表示，網絡安全漏洞是可以防範的，並不是“不可抗”。例如，一直致力於推動國內外車聯網產業創新和安全發展的360 Sky-Go安全團隊，此前就曾披露並協助某國際知名品牌汽車修復19個安全漏洞，獲得了該品牌汽車的官方肯定。

江蘇省消保委公益律師團律師、江蘇致邦律師事務所律師夏磊對此認為，不可抗力是指不能預見、不能避免、並不能克服的客觀情況。黑客攻擊是車企在正常運營中應該預見的，納入到不可抗力，不符合法律規定，對消費者不公平。

事實上，在車聯網和“軟件定義汽車”的發展趨勢下，以新能源汽車面臨的安全問題日益複雜，並且有爆發增長的趨勢。 Upstream發佈的《全球汽車網絡安全報告》顯示，與2018年相比，2021年公開報道的針對汽車的攻擊事件數量增長了225％。

據360車聯網安全實驗室統計，國內25家車企的53款在售智能網聯汽車中，360公司共計發現漏洞1600餘個，其中雲端漏洞1000餘個，可導致攻擊者遠程批量控制該品牌所有的智能網聯汽車；車端漏洞600餘個，可導致攻擊者近距離非接觸式控制汽車，如開關車門、啓動引擎等。

為確保新能源汽車網絡安全漏洞的“可防可控”，360創始人周鴻禕曾在今年提出建議，建立智能網聯汽車“數字空間碰撞測試”機制和相關標準，規範汽車安全漏洞的上報行為，打造以安全大腦為核心的智能網聯汽車行業態勢感知體系，來確保智能網聯汽車持續保持良好的數字安全狀態。

汽車網絡威脅加劇360車聯網安全框架護航行業安全

另一個事實是，在計算機安全、網絡安全升級為數字安全的趨勢下，新能源汽車面臨的網絡威脅甚至會成為危及國家安全的重要突破口。

國家計算機網絡與信息安全管理中心專家此前在接受媒體採訪時表示，一方面，新能源汽車面臨大規模網絡惡意控制風險，黑客可以通過獲取平台權限或者劫持通信鏈路、進而對大規模車輛同步實施網絡惡意控制的風險，造成難以想象的災難。另一方面，新能源汽車作為交通關鍵信息基礎設施的神經中樞，如果受到惡意攻擊，則會導致交通設施大範圍功能癱瘓，極大地破壞交通關鍵信息基礎設施正常運行。

對此國家也高度重視新能源汽車行業的數字安全問題。去年8月，工信部發布《關於加強智能網聯汽車生產企業及產品准入管理的意見》，要強化企業主體責任，加強汽車數據安全、網絡安全、軟件升級、功能安全和預期功能安全管理；今年3月，工信部印發《車聯網網絡安全和數據安全標準體系建設指南》，為車聯網產業安全健康發展提供支撐。

作為全球最大的數字安全公司，360也積極參與新能源車行業的數字安全建設工作，不但參加了30多個車聯網網絡安全標準制定，將自身在汽車網絡安全方面的領先優勢標準化，快速提升行業的安全技術能力，同時還推出了360雲端安全大腦為核心的車聯網安全框架，以安全大數據分析為基礎，利用威脅情報訂閲、知識庫、安全專家等關鍵能力賦能於車企，進一步提升了車企對安全威脅的檢測發現能力。

此外，360還依託本地安全大腦構築車企安全基礎設施，幫助車企完善車輛出廠前後的車聯網安全檢測和即時檢測，做到威脅的可感、可視、可追蹤，保證終端用户的安全。