汽车用户信息被泄露，如何为车企数据加把安全锁？

最近一则信息刷爆了朋友圈，某汽车公司被恶意勒索近百万美元的虚拟货币，对方声称掌握了该公司几万条员工信息和几百万条用户信息，并且明码标价，要求公司出钱买断。面对这样的行为，公司高管选择拒不向其妥协，并选择拿起法律武器向其反击。

对于这一现象，车企到底应该如何做呢？数据安全是否能够得到有效的保障呢？

车企有多难？

业内人士认为，数据泄露是新能源车大量普及后车企数据安全能力缺乏的表现。2022年3月，日本车企旗下某配件公司遭到网络攻击，盗取电装机密数据；6月，德国车企超100万条销售数据遭泄露；11月，美国合资车企和本土汽车企业数据也被披露出现在暗网平台……可以看到这并不是新能源车企所面临的问题，不论是燃油车还是新能源，数据安全问题已不是某类车企的重灾区，而是全行业的问题。

随着智能化程度的普及，用户数据采集在汽车行业变得越来越普遍，已不再是简单的行驶证、订单和试驾记录。

营销数据覆盖官网cookie、APP、小程序等触点的用户行为信息；门店/经销商采集了用户到店信息；车联网上记录了用车行为记录；而覆盖服务的各种生态，也和车企共享了大量个人数据。另外，企业管理内部也包含了员工和车主服务数据。这些数据环环相扣，某种时候泄露一环数据，用户数据也就被逐一击破。

车企有哪些安全能力需要补全？

面对纷繁复杂的数据环境和越来越丰富的数据内容，车企在构建自身数据安全能力时，应该从以下方面查缺补漏：

1.以法律法规为基础

2021年，汽车行业迎来“2法3规2要求”：

同时，工信部还印发了《车联网网络安全和数据安全标准体系建设指南》，目标到 2025 年，形成较为完善的车联网网络安全和数据安全标准体系，完成 100 项以上标准的研制。

以上法律法规和国家文件，都需要车企将其作为数据安全建设的基础指导和要求，并且根据这些要求，制定自身的管理规范方法。

2.数据资产能力建设

在普及了基础法律法规之后，也需要构建属于车企自己的数据资产管理能力，覆盖从数据采集、传输、存储、使用、共享和销毁全过程的数据资产管理能力，其中包括如何定义规范管理数据，如何科学地数据分类，如何完成数据加密脱敏，如何管理数据权限，如何适配安全审计等。

3.数据访问溯源和审计能力建设

在数据资产管理基础构建完成之后，针对数据访问的七要素，即“谁在什么时间什么地点通过什么方式对哪些数据做了什么，结果如何”，构建数据审计能力，七要素也是发现潜在风险的最佳手段，构建过程包括流量采集、行为审计构建、风险行为识别构建、安全基线能力构建、风险告警能力构建、安全事件溯源构建和访问关系梳理构建。

4.安全防护能力建设

安全防护主要是针对散落在各个应用中的数据，进行必要的加密、脱敏处理，在开发、测试、业务分析以及外包人员接触数据时，能够在不查看用户详细情况下，完成必要的操作和开发过程，遵循“可用不可见”的大原则。对于业务分析来说，了解必要的数据结构是必须，但数据内的具体数据明细是没有必要分析；对于运营分析来说，对用户进行有必要的筛选，但筛选之后的运营动作，到查询明细，脱敏和加密必要的用户数据是必须；在用户触达和应用方面，群体触达做到群体推送感知，系统间产品化打通，而不是依赖人工或线下处理任何数据传递；用户数据分层，不同层级的权限申请严格控制，必要时管控权限到具体XX天；分场景匿名化数据，不同场景下的数据应用分不同匿名化方式，最大限度保证数据安全。

5.安全态势感知能力建设

对处于疑似风险和潜在风险的数据安全问题，构建从数据库漏洞开始的扫描能力、安全监管能力、态势感知能力，在不同的层面都需要针对安全态势感知，做不同的能力构建。

6.组织与制度规范建设

除了硬性的能力建设以外，在整个组织设计和管理规范制度上，也需要按照不同的职能进行划分；企业内部应有明确的数据安全负责人及团队，负责协调和组织企业数据安全相关工作，调配法务、技术等资源；同时配备数据安全技术团队，在执行层保证技术支持、配合相关要求的执行和落地；管理层中，也需要连同信息化负责人形成决策层，对参与企业过程的各个环节数据安全问题和突发情况进行决策处理；如果有条件，也应当由决策层组织内审和外审的监督团队，以对企业问题做定期的检查和问题盘点。

火山引擎云安全中心

助力车企打造坚固“护城河”

火山引擎在帮助车企进行数字化转型的同时，也会帮助客户加强数据安全能力。

火山引擎云安全团队会针对每个车企，进行1v1深度的问题盘查和调研，团队内资深数据安全专家和海外数据安全协会专家资源，会对车企现状进行全方位盘查诊断，出具1份全面的诊断报告，最终借助火山引擎的云安全能力全面落地。

在面对跨部门、跨公司的数据交换应用时，火山引擎隐私计算平台，专门针对不同的交换场景提供了不同的安全技术，保证不同交换应用的数据安全。

针对公司内部共享访问：