详谈智能汽车面临的新挑战与应对措施

智能化与网联化带来的数据安全风险

Q：智能网联汽车会采集、生产大量数据，并且与其它终端进行数据交互。根据研究估算，一辆汽车在测试的过程中每天将会产生大约10TB的数据。面对海量的数据，智能汽车将会面临哪些数据安全风险？

杨殿阁：联网让汽车从原来的信息孤岛变成了网络信息节点，也带来了很多数据安全上的风险。如果系统地对这个风险进行归纳，可以归纳为三大类：

第一类，对行车安全的影响。联网让网络上的黑客有机会入侵汽车，进而控制车辆的行驶，会对行车安全带来巨大的风险。

第二类，对用户隐私的影响。车上安装的传感器会对车上的用户包括车外的行人进行信息采集，涉及到对用户隐私侵犯的问题。

第三类，对国家安全的影响。智能汽车上的视觉、毫米波雷达、激光雷达传感器，在行驶的过程中不断地扫描路面和周围的交通环境，这涉及到地理信息，这些信息又涉及到国家安全。

Q：从全生命周期去看，汽车上的数据会面临哪些风险问题？

杨殿阁：在智能汽车的使用过程中涉及到数据从采集、传输到处理使用的全生命周期，都有数据安全风险的问题。

首先，在采集阶段，传感器可能会受到攻击从而采集到虚假数据，影响行车安全。另外，很有可能采集到未经授权的数据，比如用户数据并没有授权，或者激光雷达与摄像头采集的环境信息，这些信息很有可能涉及到敏感地点，可能存在内容非法、精度非法等问题。

其次，在传输过程中数据数据可能被篡改、被泄露或者被窃听。

此外，在存储环节，部分采集到的数据存储在车载终端上，但是大量的数据可能会回到云端。这些数据在存储的过程中有可能会丢失，也有可能会被窃取或者被篡改。

最后，在处理使用上同样存在着很大的风险，其中一个很大的风险就是数据的脱敏。这个数据是否是脱敏？是否经过授权？还有关于数据的滥用问题，这些数据能不能用于某些功能的开发或者某些方面的服务？这些都是值得去研究的。

徐 超：数据全生命周期指数据从创建到销毁的整个过程，包括采集、存储、处理、应用、流动和销毁等环节：

◎ 采集阶段。面临非授权采集、数据分类分级不清、敏感数据识别不清、采集时缺乏细粒度的访问控制、数据无法追本溯源以及数据污染等问题。

◎ 存储阶段。面临着数据分类分级不清、重要数据的保密性与重要数据缺乏细粒度访问控制的问题。

◎ 传输阶段（主要是指数据在各业务平台、各节点之间、各组件之间以及跨组织的数据传输）。主要的风险在于传输时存在泄露问题。

◎ 处理阶段。面临的安全风险包括数据处理时缺乏访问控制、数据结果的访问接口缺乏控制、数据处理结果缺乏敏感数据保护措施、缺乏安全审计和数据溯源的能力。

◎ 交换阶段（数据交换阶段主要指数据提供给其他业务系统使用）。面临的风险有数据交换和数据输出存在未授权的行为，输出的数据在应用或终端存在安全泄露的问题。

◎ 销毁阶段。此时数据安全的风险主要是恶意恢复而导致的数据泄漏风险。

目前大家关注的点都是在传输、存储的安全，忽略了业务应用层的数据安全。通过爬虫获取数据、利用统计学抽样分析，构造一些模型，通过抽样数据的获取和分析，就能非常精确的分析出实际业务的商业机密等等，所以业务层的数据风险也是一个重点。

Q：从供应商的角度，在给车企做安全规划的过程中，对安全风险是如何考量的？

张 康：从车辆来说，数据主要为两部分：一类是车辆数据，一类是用户数据。无论是车辆数据还是用户数据，需要满足网络安全法的等级保护的要求，还要满足GDPR（通用数据保护条例）等个人隐私的保护法。车企作为个人数据的处理者，需要对用户的个人信息负责。车企目前面临的问题是，车企不知道这辆车会采集哪些数据，这些数据会分享给谁，在采集、传输、分享的过程中会面临哪些安全风险以及如何应对。

所以在跟车企合作的时候，需要三方面的内容：一个是组织层面，车企首先要有一个专门的组织去负责这件事情；二是流程层面，就是数据治理，识别出来当前所有数据的数据流的流向是什么样之后，再去制定相应的制度；三是威廉希尔官方网站 层面，在数据的存储、传输、分享以及销毁等各个环节需要应用哪些安全防护手段，确保数据不被泄露，不被篡改。

Q：在开发过程中，怎么去处理这些相应的风险？

徐 超：首先要搞清楚目标是什么，也就是为什么要做数据安全，它的价值是什么，能为用户带来什么好处。这些想明白了，就大致知道如何入手做了。

做安全基础的是了解资产。首先是资产的梳理，搞清楚有哪些数据，数据在哪里存着、数据的走向、数据的主体属于谁、谁在利用这些数据，理清数据流动的现状和风险后，更大视角的去思考如何让数据有序流动，这是数据安全治理的精髓和核心。

数据安全我们分了四个阶段去实施的：

◎ 第一阶段：数据资产化，识别定位敏感数据，这也是资产整理的阶段。

◎ 第二阶段：资产数字化，对保护数据的安全措施和能力进行识别。

◎ 第三阶段：数据可视化，掌握敏感数据的流动，在哪些应用之间流转，被谁使用，存在哪些风险等。

◎ 第四阶段：权限数字化，通过定位识别掌握内部人员有无敏感数据的访问权限，这是对内部人员访问敏感数据的情况进行管控。

在隐私安全方面，我们遵循隐私设计七原则，按默认隐私设计的方式（也就是PBD）：

1. 积极预防，而非被动救济。

2. 隐私默认保护。

3. 将隐私嵌入设计之中。

4. 功能完整，做安全要的是正和而非零和，在确保功能完整的同时信息安全也要有保障。

5. 全生命周期的保护。

6. 可见性和透明性。

7. 尊重用户隐私，确保以用户为中心。

然后分三步走，从需求分析、到产品设计与研发、再到测试与实施去进行落地。

数据的跨境传输

Q：近期有一个大家都关注的点，就是数据的跨境传输，比如国外的车企与国内的研发中心联动，中国也有车企在海外设立了研发中心。这里存在着哪些风险的问题？

杨殿阁：智能汽车的数据跨境传输是一个新问题，不仅在中国存在，世界上很多国家都有同样的问题。跨境数据的传输涉及到的是国家安全问题，非常非常重要，需要高度重视，严格控制。

目前跨境传输的风险问题包括三个方面：

1. 我国跨境传输相关的政策和法规还不够完善。

2. 现在对跨境传输的数据缺乏有效的监管机制和监管手段。

3. 即使发生了违规的跨境传输，处理手段和处理威廉希尔官方网站 也跟不上。

因为涉及到国家安全，数据只要传出去了，整治、修补的难度非常大，难以解决，影响非常大且长远。在威廉希尔官方网站 手段不完备、相关的管理制度还不完善的情况下，对跨境传输应该采取严格的管理方式。首先应明确将不安全的跨境传输数据堵住，鼓励跨国企业在国内建数据中心，必要的确实需要出去的而且不涉密的脱敏数据，经审核批准，可以跨境传输在全球范围内联合研发，但涉及到敏感的数据，在控制手段完善之前，应该严格地规定禁止跨境流出。

徐 超：数据的价值是在流动和融合中产生的，静止的数据是相对安全的，但是价值相对低。静态的数据除了有利于有效监管以外， 对社会和企业的收益很少能够得到明显体现。

就像买车一样，买回来放在那里不动，那这辆车的价值就体现不出来，只有开起来才能体现它的价值，但使用起来后，就会有发生碰撞等风险。数据也一样，数据跨境过程环节多、路径广、溯源难，传输过程中可能被中断，面临被截获、篡改、伪造、数据泄露导致的电信网络诈骗，也面临着信息数据被不当使用、威廉希尔官方网站 数据遭知识产权侵害的风险。

张 康：数据跨境传输里有两个问题，一个是国家层面的问题，一个是个人隐私层面的问题。我从个人隐私相关的层面做一下分享，因为各个国家等级保护对个人隐私的定义不一样，标准也不一样。举一个很简单的例子，比如车辆的VIN码，车架号在中国就是一个公开的信息，但是在欧洲就是一个敏感的信息，不允许传输的。很多在中国的车辆是用车架的VIN码作为一个参数，如果出口到海外，可能就面临着合规风险。所以企业应该一定要解读各个国家的数据安全相关的法规，确保车辆出口到对方国家的时候是满足这个法规的，这样才可以避免被对方监管机构的限制。

数据的归属权

Q：智能汽车产生的数据很多，如何定义这些数据的所有权？如果车企或者是相关的机构要使用不同类型的数据，要怎么取得这些授权？

杨殿阁：车上的数据类型很多，很难笼统地说这些数据归属某一方，它的归属权实际上非常复杂。

正常的情况下车内摄像头等传感器采集到的数据，如果经过用户授权，那么这些数据车企是有使用权限的，它来负责管理和使用。车外的地理信息也是有明确规定的。如果车企有测绘资质，所有这些信息的使用权、管理权是在测绘的部门。

至于用户的行为数据，包括未经授权的数据，它的归属、管理、使用的权限目前来看并不是很清晰。这也是下一步国内在立法或者建立相关标准和规范的时候需要去考虑的问题，明确这些数据的归属、使用、管理是我们后面要做的一个很重要的工作。

徐 超：如果按照GDPR来看的话，用户购买了这个车，那这个车就是他的，在行驶过程中有一些数据也应该就是他自己的。如果车厂要用这些信息，需要得到用户的授权。目前我们国内的法规这方面还不是很清晰，国外的GDPR相对清晰一些。

如何打消消费者对于信息安全的顾虑？

Q：有媒体调研发现，用户在购买智能网联汽车的时候会考虑数据安全的问题，尤其是个人隐私方面。从消费者的角度来看这些信息安全，对他们的影响到底在哪里？如何去看待消费者对于汽车数据安全的顾虑？

杨殿阁：这个问题政府早已经关注到了。智能汽车在2016年左右进入普及推广的阶段，在L2辅助驾驶普及推广的时候，政府就已经观测到有这样的问题存在。其实近些年随着移动互联网的发展，很多类似的问题已经发生，比如快手、抖音有大量用户行为的数据，移动互联网产生大量数据的传输，这些都涉及到跟用户相关的数据。

相关的主管部门最近这些年也已经做了很多工作，出台了很多文件，如《网络安全法》、《数据安全管理办法征求意见稿》、《个人信息和重要数据的出境安全评估办法》等。2020年工信部组织出台了一系列的标准，其中《车联网信息服务：用户个人信息保护要求》对个人信息保护的分类、敏感程度包括分级保护都做了明确的规定。这些文件对智能汽车的数据安全、与用户相关的数据安全都已经起到了一些保护的作用。当然这些规定目前还不够细，后面还有完善的空间。

张 康：针对身份识别相关的信息，比如手机号、身份证号这方面的信息。从国内的消费者层面来讲，大家对这种信息的泄露已经是属于比较麻木的状态，因为每个人都会默认我的身份证和手机号谁都知道，消费者倒不是特别担心。

消费者关注的是涉及到生物特征层面的，这些功能消费者从威廉希尔官方网站 层面来说是没有办法理解的。比如我喊一声就行车助手就回复我了，是不是后台一直在监控？车内的摄像头既然能监测行为状态，它是不是一直在记录我在车内做了什么？消费者会有这个层面的恐慌。但实际威廉希尔官方网站 层面来说是不存在这样的风险的。

从车企来说，除了用户的知情权，即告知用户要采集的信息，进行文档法规协议类的提示之外，还有一个用户主动干涉的功能。比如针对驾驶员状态监测的摄像头，怎么样避免用户有“是不是在监控我”的怀疑？它会提供物理开关让用户可以手动把摄像头盖上。在威廉希尔官方网站 层面之外，赋予用户这样主动干涉的权限，一定程度上可以避免用户的恐慌。

Q：目前对数据安全的监管如何与威廉希尔官方网站 研发整个过程进行匹配？目前从车企角度来看，数据安全的问题是不是影响到产业化的进度，尤其是研发的进度？

徐 超：数据安全和整车的研发过程其实是没有冲突的。我们是把安全融入到整个研发流程中，例如摄像头，可以采集哪些信息，哪些信息不可以采集，哪些信息是需要经过用户授权，哪些需要脱敏处理，都会做安全评估，和研发、产品实时同步，满足国家的法规。还有车里的一些攻击点，哪些点容易被攻击，我们都会做威胁建模，会列得很清楚，帮助研发还有产品设计人员实现车的安全。

随着电动化、智能化和自动驾驶、架构和软件定义汽车成为趋势，汽车信息安全继主动安全、被动安全、功能安全之后将成为汽车领域中的第四大安全问题，所以我们从一开始就会一体化来考虑。

杨殿阁：在数据安全跟创新这一点上应该这么考虑，我们不要因噎废食。数据安全很重要，但是任何一个新威廉希尔官方网站 在产生的时候都会带来新的问题。如果因为过于担心，简单地从避免问题出现的角度考虑，禁止或者限制智能汽车大数据的使用，就堵住了威廉希尔官方网站 创新的道路。大数据是智能汽车自动驾驶快速迭代的重要基础。

中国政府现在对新威廉希尔官方网站 的关注、为新威廉希尔官方网站 创造良好环境的服务意识还是很强的。在普通百姓还没有关注到数据安全这个问题的时候，政府就已经开始关注，而且早几年就准备了相应的规范、标准、法律、法规，说明是考虑在我们前面的。

但是所有的车企包括政府部门也要注意一个问题，到现在为止，我们还说不太清楚这个数据到底是什么，该怎么保护、怎么用。这说明我们对这个问题的研究还不够，应该借这个机会加大对数据安全相关的研究和投入，让大家合作起来把这个问题解决掉。

数据安全需要政产学研联合

Q：对于数据安全的保护来说，除了政府、车企之外，产业链上其他环节诸如Tier1、行业组织等应该扮演什么样的角色？

杨殿阁：这个问题上应该是政、产、学、研的联合。除了政府和企业，研究机构包括大学，在一些核心关键威廉希尔官方网站 的研发上应该发挥更重要的作用。另外，政府、企业、研究机构、行业组织等应该共同制定一些规范标准。比如我们政产学研联合起来，共同推动一些政策落地，后面可能需要一些系统性、协调性的工作，需要全社会共同参与。

张 康：Tier1跟车企的角色是类似的，车辆涉及到数据的产生很多是Tier1针对某个模块产生的，所以，数据安全的标准适用于OEM，OEM会把同样的标准提供给Tier1。

除了Tier1和OEM之外，我想聊的是，现在每一辆车的每一个数据采集的方案都是不一样的。车上可能涉及到几十个ECU之间的通信，通信的标准也是不一样的。可能需要一个行业联盟，类似于这样一个成员，去规范不同模块之间的通信以及不同车辆之间的通信，车与人之间的通信的数据标准。如果有这样一个规范，对于整个汽车行业的数据安全是一件很好的事情。本身我们也看到有些联盟的确在这么做了，例如欧盟的一个行业联盟GENIVI就在做这样一个方案，联合了OEM厂商，统一做车内包括车与云、车与车之间的通信数据规范。如果这样一个统一的数据规范能够实现，对于数据的安全标准，如何去传输、如何去处理、如何去加密，这样一个标准是有帮助的。
编辑：lyn