《科创板日报》12月15日讯(研究员 田箫) 续航、充电、黑科技……买一辆新能源汽车,消费者最看重的是啥?随着信息泄露风险越来越被大众意识到,相关部门对数据安全的监管日益趋严,数据安全成为新能源车企的生死线,亦成为消费者选购新车的重要指标。
《ESG Weekly》联合景赋,对蔚来、理想、小鹏、比亚迪、吉利五家车企的ESG报告与年报进行了调研,全面拆解五大车企在数据安全及隐私保护上的种种举措。数据安全这道护城河,他们都做了啥、怎么做、谁最强?
识别评估信息安全风险,谁最火眼金睛?
首先,想要将信息安全风险掐灭在苗头中,必须对其做出精准及时的识别与评估。信息安全的风险识别和评估,属于维护数据与隐私安全的事前工作,可以有效规避信息的泄露造成的损失。对企业来说,事前预防必不可少。
调研企业中,吉利与小鹏的未雨绸缪意识较为强烈,而理想、蔚来、比亚迪均未公开披露相关信息。
具体来看,吉利披露,该企业建立了统一的运营分析平台,并由安全运营中心全天候持续监测,以加快安全事件的发现,缩短安全事件处置时间。
同时,其亦定期进行安全策略审计及安全技术落地验证,每年平均开展 4 次针对关键业务系统的渗透测试和漏洞分析,以识别与整改安全风险(包括操作系统、数据库系统、中间件、网络设备等)。并成立了信息安全事件处置团队,针对常见的信息及网络安全事件(如暴力破解、漏洞攻击),制定应急处理方案并复盘。
其中,吉利的渗透测试和漏洞分析是值得注目的举措。
小鹏在报告中提到,其将隐私保护原则融入公司开发及系统结构之中,同时开展数据保护影响评估(DPIA),在数据处理前辨识并缓解隐私风险;提前开展 GDPR 合规项目,发布《小鹏 GDPR 白皮书》。
DPIA提供了一种系统而全面的方法,来分析个人信息的处理,有助于识别和减轻数据保护风险。目前,欧盟法律规定,如果任何类型的处理可能对数据主体造成高风险,则企业必须执行 DPIA。在数据安全上与欧盟标准对齐,显示出小鹏对这一问题的重视程度。
加密、脱敏、备份…管控技术哪家强?
具体到数据安全的管控技术,各大车企的举措与方向各不相同,这也体现出新能源车企在解决数据安全问题时不同的思考路径。
吉利主要采用个人信息脱敏处理技术来保护安全隐私,其亦提及,企业将谨慎处理个人信息的跨境传输,并设置了严格的审核流程。
理想披露的管控技术较多,包括访问控制、TLS加密传输、AES256、RSA2048,或以上强度的加密算法进行加密存储、敏感信息脱敏显示等。同时,其也采用加密技术确保数据的匿名性和保密性,使用受信赖的保护机制,避免数据遭到恶意攻击。
小鹏在报告中表示,定期在不同的备份系统中备份个人资料和运行数据,以尽量减少风险客户数据丢失或泄露,并采用加密、去标签化等技术,来保护客户隐私。
遗憾的是,比亚迪,蔚来均未披露相关举措。2022年底,蔚来被曝因数据泄露被勒索250万美元,蔚来随后公开致歉并表示采取一切可能方式支持其用户。然而,在数据泄露事件发生后,蔚来仍未在最新的ESG报告中披露与数据安全相关的具体举措,其对数据安全的重视程度,值得消费者继续关注。
对比来看,就报告披露而言,理想披露了一系列具体的数据,表现最佳,小鹏和吉利也提及了信息保护技术的运用,整体表现也较好,其他调研企业则仍有进步空间。
治标亦治本,数字化管控平台如何搭?
数据安全管控是个“精细活”,想要对海量数据严防严管,需要基于颗粒度更细的数字化平台执行数据收集,扩展国家新能源汽车监管平台的功能。同时,信息存储平台也可以通过透明监管和抵御黑客攻击,有效保护数据安全和用户个人隐私。
在这方面,吉利构建了安全管控平台(G-SDLC),通过可视化的度量指标,展示并执行标准化流程的安全测试工作,并且每季度开展红蓝队攻防演练及模拟黑客入侵。其表示,报告期内,吉利集团连续 3 年未发生信息安全漏洞或其他网络安全事件,亦不涉及相关罚款。
比亚迪表示,客户信息主要存储于CRM系统、DMS系统及比亚迪汽车APP后台系统中,进行了严格保护。各系统均设置了严格的管理权限,同时建立从客户信息的采集、处理、应用、删除全流程管理制度,严格保护客户敏感个人信息,科学管理客户信息档案。
理想未有披露具体的安全管控数字化平台,但对Cookie的信息储存使用不涉及侵犯隐私做出了解释。小鹏、蔚来则暂未见相关披露。
从预防、管控和平台化建设单方面总体来看,吉利是调研企业中披露最完整,数据最详实的一家,理想、小鹏、比亚迪则进步空间较大。蔚来在本次调研中,三项指标均交了白卷,在ESG披露与实践的道路上,有落后友商之嫌。
目前,业内已形成共识的是,数据安全与隐私目前越来越受新能源车用户的重视,“新能源车信息安全”逐渐成为新能源车企业核心竞争力的分水岭。因此,将更多注意力和资源投入到数据保护的技术研发上,已成为新能源车企业必然的选择和发展方向。
来源:财联社
标签: