智能化與網(wǎng)聯(lián)化正在將汽車變成一個大型的數(shù)據(jù)集散中心。智能汽車在行駛過程中會采集、生產(chǎn)大量數(shù)據(jù)，也會與云端、其他終端進行數(shù)據(jù)的傳輸與交互。不過，非授權(quán)的遠程控制、數(shù)據(jù)篡改與信息泄漏等數(shù)據(jù)安全問題也隨之而來，且隨著汽車智能化與網(wǎng)聯(lián)化滲透率的提升，關(guān)注度與討論度也越來越高。在今年兩會期間，智能汽車的數(shù)據(jù)安全問題受到了各界的廣泛關(guān)注，并有多位代表給出相關(guān)提案和建議。

　　2020年我國L2級智能網(wǎng)聯(lián)汽車的市場滲透率達到15%，這標志著從2020年開始，已經(jīng)正式進入了智能網(wǎng)聯(lián)汽車發(fā)展元年。預計到2035年，中國的這些高等級的自動駕駛車輛將大規(guī)模地被使用。在智能汽車普及的關(guān)鍵時間節(jié)點，要如何理解智能汽車面臨的數(shù)據(jù)安全挑戰(zhàn)？在數(shù)據(jù)的全生命周期中，會產(chǎn)生哪些風險？智能汽車要做好數(shù)據(jù)安全防護需要從哪些方面著手？

　　4月8日，百人會信息部視頻欄目《焦點觀察室》第八期特別邀請行業(yè)專家、企業(yè)代表以及資深媒體人共同探討了智能汽車面臨的數(shù)據(jù)安全挑戰(zhàn)以及應對方式。

　　智能化與網(wǎng)聯(lián)化帶來的數(shù)據(jù)安全風險

　　Q：智能網(wǎng)聯(lián)汽車會采集、生產(chǎn)大量數(shù)據(jù)，并且與其它終端進行數(shù)據(jù)交互。根據(jù)研究估算，一輛汽車在測試的過程中每天將會產(chǎn)生大約10TB的數(shù)據(jù)。面對海量的數(shù)據(jù)，智能汽車將會面臨哪些數(shù)據(jù)安全風險？

　　楊殿閣：聯(lián)網(wǎng)讓汽車從原來的信息孤島變成了網(wǎng)絡信息節(jié)點，也帶來了很多數(shù)據(jù)安全上的風險。如果系統(tǒng)地對這個風險進行歸納，可以歸納為三大類：

　　第一類，對行車安全的影響。聯(lián)網(wǎng)讓網(wǎng)絡上的黑客有機會入侵汽車，進而控制車輛的行駛，會對行車安全帶來巨大的風險。

　　第二類，對用戶隱私的影響。車上安裝的傳感器會對車上的用戶包括車外的行人進行信息采集，涉及到對用戶隱私侵犯的問題。

　　第三類，對國家安全的影響。智能汽車上的視覺、毫米波雷達、激光雷達傳感器，在行駛的過程中不斷地掃描路面和周圍的交通環(huán)境，這涉及到地理信息，這些信息又涉及到國家安全。

　　Q：從全生命周期去看，汽車上的數(shù)據(jù)會面臨哪些風險問題？

　　楊殿閣：在智能汽車的使用過程中涉及到數(shù)據(jù)從采集、傳輸?shù)教幚硎褂玫娜芷?，都有?shù)據(jù)安全風險的問題。

　　首先，在采集階段，傳感器可能會受到攻擊從而采集到虛假數(shù)據(jù)，影響行車安全。另外，很有可能采集到未經(jīng)授權(quán)的數(shù)據(jù)，比如用戶數(shù)據(jù)并沒有授權(quán)，或者激光雷達與攝像頭采集的環(huán)境信息，這些信息很有可能涉及到敏感地點，可能存在內(nèi)容非法、精度非法等問題。

　　其次，在傳輸過程中數(shù)據(jù)數(shù)據(jù)可能被篡改、被泄露或者被竊聽。

　　此外，在存儲環(huán)節(jié)，部分采集到的數(shù)據(jù)存儲在車載終端上，但是大量的數(shù)據(jù)可能會回到云端。這些數(shù)據(jù)在存儲的過程中有可能會丟失，也有可能會被竊取或者被篡改。

　　最后，在處理使用上同樣存在著很大的風險，其中一個很大的風險就是數(shù)據(jù)的脫敏。這個數(shù)據(jù)是否是脫敏？是否經(jīng)過授權(quán)？還有關(guān)于數(shù)據(jù)的濫用問題，這些數(shù)據(jù)能不能用于某些功能的開發(fā)或者某些方面的服務？這些都是值得去研究的。

　　徐超：數(shù)據(jù)全生命周期指數(shù)據(jù)從創(chuàng)建到銷毀的整個過程，包括采集、存儲、處理、應用、流動和銷毀等環(huán)節(jié)：

　　◎采集階段。面臨非授權(quán)采集、數(shù)據(jù)分類分級不清、敏感數(shù)據(jù)識別不清、采集時缺乏細粒度的訪問控制、數(shù)據(jù)無法追本溯源以及數(shù)據(jù)污染等問題。

　　◎存儲階段。面臨著數(shù)據(jù)分類分級不清、重要數(shù)據(jù)的保密性與重要數(shù)據(jù)缺乏細粒度訪問控制的問題。

　　◎傳輸階段（主要是指數(shù)據(jù)在各業(yè)務平臺、各節(jié)點之間、各組件之間以及跨組織的數(shù)據(jù)傳輸）。主要的風險在于傳輸時存在泄露問題。

　　◎處理階段。面臨的安全風險包括數(shù)據(jù)處理時缺乏訪問控制、數(shù)據(jù)結(jié)果的訪問接口缺乏控制、數(shù)據(jù)處理結(jié)果缺乏敏感數(shù)據(jù)保護措施、缺乏安全審計和數(shù)據(jù)溯源的能力。

　　◎交換階段（數(shù)據(jù)交換階段主要指數(shù)據(jù)提供給其他業(yè)務系統(tǒng)使用）。面臨的風險有數(shù)據(jù)交換和數(shù)據(jù)輸出存在未授權(quán)的行為，輸出的數(shù)據(jù)在應用或終端存在安全泄露的問題。

　　◎銷毀階段。此時數(shù)據(jù)安全的風險主要是惡意恢復而導致的數(shù)據(jù)泄漏風險。

　　目前大家關(guān)注的點都是在傳輸、存儲的安全，忽略了業(yè)務應用層的數(shù)據(jù)安全。通過爬蟲獲取數(shù)據(jù)、利用統(tǒng)計學抽樣分析，構(gòu)造一些模型，通過抽樣數(shù)據(jù)的獲取和分析，就能非常精確的分析出實際業(yè)務的商業(yè)機密等等，所以業(yè)務層的數(shù)據(jù)風險也是一個重點。

　　Q：從供應商的角度，在給車企做安全規(guī)劃的過程中，對安全風險是如何考量的？

　　張康：從車輛來說，數(shù)據(jù)主要為兩部分：一類是車輛數(shù)據(jù)，一類是用戶數(shù)據(jù)。無論是車輛數(shù)據(jù)還是用戶數(shù)據(jù)，需要滿足網(wǎng)絡安全法的等級保護的要求，還要滿足GDPR（通用數(shù)據(jù)保護條例）等個人隱私的保護法。車企作為個人數(shù)據(jù)的處理者，需要對用戶的個人信息負責。車企目前面臨的問題是，車企不知道這輛車會采集哪些數(shù)據(jù)，這些數(shù)據(jù)會分享給誰，在采集、傳輸、分享的過程中會面臨哪些安全風險以及如何應對。

　　所以在跟車企合作的時候，需要三方面的內(nèi)容：一個是組織層面，車企首先要有一個專門的組織去負責這件事情；二是流程層面，就是數(shù)據(jù)治理，識別出來當前所有數(shù)據(jù)的數(shù)據(jù)流的流向是什么樣之后，再去制定相應的制度；三是技術(shù)層面，在數(shù)據(jù)的存儲、傳輸、分享以及銷毀等各個環(huán)節(jié)需要應用哪些安全防護手段，確保數(shù)據(jù)不被泄露，不被篡改。

　　Q：在開發(fā)過程中，怎么去處理這些相應的風險？

　　徐超：首先要搞清楚目標是什么，也就是為什么要做數(shù)據(jù)安全，它的價值是什么，能為用戶帶來什么好處。這些想明白了，就大致知道如何入手做了。

　　做安全基礎的是了解資產(chǎn)。首先是資產(chǎn)的梳理，搞清楚有哪些數(shù)據(jù)，數(shù)據(jù)在哪里存著、數(shù)據(jù)的走向、數(shù)據(jù)的主體屬于誰、誰在利用這些數(shù)據(jù)，理清數(shù)據(jù)流動的現(xiàn)狀和風險后，更大視角的去思考如何讓數(shù)據(jù)有序流動，這是數(shù)據(jù)安全治理的精髓和核心。

　　數(shù)據(jù)安全我們分了四個階段去實施的：

　　◎第一階段：數(shù)據(jù)資產(chǎn)化，識別定位敏感數(shù)據(jù)，這也是資產(chǎn)整理的階段。

　　◎第二階段：資產(chǎn)數(shù)字化，對保護數(shù)據(jù)的安全措施和能力進行識別。

　　◎第三階段：數(shù)據(jù)可視化，掌握敏感數(shù)據(jù)的流動，在哪些應用之間流轉(zhuǎn)，被誰使用，存在哪些風險等。

　　◎第四階段：權(quán)限數(shù)字化，通過定位識別掌握內(nèi)部人員有無敏感數(shù)據(jù)的訪問權(quán)限，這是對內(nèi)部人員訪問敏感數(shù)據(jù)的情況進行管控。

　　在隱私安全方面，我們遵循隱私設計七原則，按默認隱私設計的方式（也就是PBD）:

　　1.積極預防，而非被動救濟。

　　2.隱私默認保護。

　　3.將隱私嵌入設計之中。

　　4.功能完整，做安全要的是正和而非零和，在確保功能完整的同時信息安全也要有保障。

　　5.全生命周期的保護。

　　6.可見性和透明性。

　　7.尊重用戶隱私，確保以用戶為中心。

　　然后分三步走，從需求分析、到產(chǎn)品設計與研發(fā)、再到測試與實施去進行落地。

　　數(shù)據(jù)的跨境傳輸

　　Q：近期有一個大家都關(guān)注的點，就是數(shù)據(jù)的跨境傳輸，比如國外的車企與國內(nèi)的研發(fā)中心聯(lián)動，中國也有車企在海外設立了研發(fā)中心。這里存在著哪些風險的問題？

　　楊殿閣：智能汽車的數(shù)據(jù)跨境傳輸是一個新問題，不僅在中國存在，世界上很多國家都有同樣的問題。跨境數(shù)據(jù)的傳輸涉及到的是國家安全問題，非常非常重要，需要高度重視，嚴格控制。

　　目前跨境傳輸?shù)娘L險問題包括三個方面：

　　1.我國跨境傳輸相關(guān)的政策和法規(guī)還不夠完善。

　　2.現(xiàn)在對跨境傳輸?shù)臄?shù)據(jù)缺乏有效的監(jiān)管機制和監(jiān)管手段。

　　3.即使發(fā)生了違規(guī)的跨境傳輸，處理手段和處理技術(shù)也跟不上。

　　因為涉及到國家安全，數(shù)據(jù)只要傳出去了，整治、修補的難度非常大，難以解決，影響非常大且長遠。在技術(shù)手段不完備、相關(guān)的管理制度還不完善的情況下，對跨境傳輸應該采取嚴格的管理方式。首先應明確將不安全的跨境傳輸數(shù)據(jù)堵住，鼓勵跨國企業(yè)在國內(nèi)建數(shù)據(jù)中心，必要的確實需要出去的而且不涉密的脫敏數(shù)據(jù)，經(jīng)審核批準，可以跨境傳輸在全球范圍內(nèi)聯(lián)合研發(fā)，但涉及到敏感的數(shù)據(jù)，在控制手段完善之前，應該嚴格地規(guī)定禁止跨境流出。

　　徐超：數(shù)據(jù)的價值是在流動和融合中產(chǎn)生的，靜止的數(shù)據(jù)是相對安全的，但是價值相對低。靜態(tài)的數(shù)據(jù)除了有利于有效監(jiān)管以外,對社會和企業(yè)的收益很少能夠得到明顯體現(xiàn)。

　　就像買車一樣，買回來放在那里不動，那這輛車的價值就體現(xiàn)不出來，只有開起來才能體現(xiàn)它的價值，但使用起來后，就會有發(fā)生碰撞等風險。數(shù)據(jù)也一樣，數(shù)據(jù)跨境過程環(huán)節(jié)多、路徑廣、溯源難，傳輸過程中可能被中斷，面臨被截獲、篡改、偽造、數(shù)據(jù)泄露導致的電信網(wǎng)絡詐騙，也面臨著信息數(shù)據(jù)被不當使用、技術(shù)數(shù)據(jù)遭知識產(chǎn)權(quán)侵害的風險。

　　張康：數(shù)據(jù)跨境傳輸里有兩個問題，一個是國家層面的問題，一個是個人隱私層面的問題。我從個人隱私相關(guān)的層面做一下分享，因為各個國家等級保護對個人隱私的定義不一樣，標準也不一樣。舉一個很簡單的例子，比如車輛的VIN碼，車架號在中國就是一個公開的信息，但是在歐洲就是一個敏感的信息，不允許傳輸?shù)?。很多在中國的車輛是用車架的VIN碼作為一個參數(shù)，如果出口到海外，可能就面臨著合規(guī)風險。所以企業(yè)應該一定要解讀各個國家的數(shù)據(jù)安全相關(guān)的法規(guī)，確保車輛出口到對方國家的時候是滿足這個法規(guī)的，這樣才可以避免被對方監(jiān)管機構(gòu)的限制。

　　數(shù)據(jù)的歸屬權(quán)

　　Q：智能汽車產(chǎn)生的數(shù)據(jù)很多，如何定義這些數(shù)據(jù)的所有權(quán)？如果車企或者是相關(guān)的機構(gòu)要使用不同類型的數(shù)據(jù)，要怎么取得這些授權(quán)？

　　楊殿閣：車上的數(shù)據(jù)類型很多，很難籠統(tǒng)地說這些數(shù)據(jù)歸屬某一方，它的歸屬權(quán)實際上非常復雜。

　　正常的情況下車內(nèi)攝像頭等傳感器采集到的數(shù)據(jù)，如果經(jīng)過用戶授權(quán)，那么這些數(shù)據(jù)車企是有使用權(quán)限的，它來負責管理和使用。車外的地理信息也是有明確規(guī)定的。如果車企有測繪資質(zhì)，所有這些信息的使用權(quán)、管理權(quán)是在測繪的部門。

　　至于用戶的行為數(shù)據(jù)，包括未經(jīng)授權(quán)的數(shù)據(jù)，它的歸屬、管理、使用的權(quán)限目前來看并不是很清晰。這也是下一步國內(nèi)在立法或者建立相關(guān)標準和規(guī)范的時候需要去考慮的問題，明確這些數(shù)據(jù)的歸屬、使用、管理是我們后面要做的一個很重要的工作。

　　徐超：如果按照GDPR來看的話，用戶購買了這個車，那這個車就是他的，在行駛過程中有一些數(shù)據(jù)也應該就是他自己的。如果車廠要用這些信息，需要得到用戶的授權(quán)。目前我們國內(nèi)的法規(guī)這方面還不是很清晰，國外的GDPR相對清晰一些。

　　如何打消消費者對于信息安全的顧慮？

　　Q：有媒體調(diào)研發(fā)現(xiàn)，用戶在購買智能網(wǎng)聯(lián)汽車的時候會考慮數(shù)據(jù)安全的問題，尤其是個人隱私方面。從消費者的角度來看這些信息安全，對他們的影響到底在哪里？如何去看待消費者對于汽車數(shù)據(jù)安全的顧慮？

　　楊殿閣：這個問題政府早已經(jīng)關(guān)注到了。智能汽車在2016年左右進入普及推廣的階段，在L2輔助駕駛普及推廣的時候，政府就已經(jīng)觀測到有這樣的問題存在。其實近些年隨著移動互聯(lián)網(wǎng)的發(fā)展，很多類似的問題已經(jīng)發(fā)生，比如快手、抖音有大量用戶行為的數(shù)據(jù)，移動互聯(lián)網(wǎng)產(chǎn)生大量數(shù)據(jù)的傳輸，這些都涉及到跟用戶相關(guān)的數(shù)據(jù)。

　　相關(guān)的主管部門最近這些年也已經(jīng)做了很多工作，出臺了很多文件，如《網(wǎng)絡安全法》、《數(shù)據(jù)安全管理辦法征求意見稿》、《個人信息和重要數(shù)據(jù)的出境安全評估辦法》等。2020年工信部組織出臺了一系列的標準，其中《車聯(lián)網(wǎng)信息服務：用戶個人信息保護要求》對個人信息保護的分類、敏感程度包括分級保護都做了明確的規(guī)定。這些文件對智能汽車的數(shù)據(jù)安全、與用戶相關(guān)的數(shù)據(jù)安全都已經(jīng)起到了一些保護的作用。當然這些規(guī)定目前還不夠細，后面還有完善的空間。

　　張康：針對身份識別相關(guān)的信息，比如手機號、身份證號這方面的信息。從國內(nèi)的消費者層面來講，大家對這種信息的泄露已經(jīng)是屬于比較麻木的狀態(tài)，因為每個人都會默認我的身份證和手機號誰都知道，消費者倒不是特別擔心。

　　消費者關(guān)注的是涉及到生物特征層面的，這些功能消費者從技術(shù)層面來說是沒有辦法理解的。比如我喊一聲就行車助手就回復我了，是不是后臺一直在監(jiān)控？車內(nèi)的攝像頭既然能監(jiān)測行為狀態(tài)，它是不是一直在記錄我在車內(nèi)做了什么？消費者會有這個層面的恐慌。但實際技術(shù)層面來說是不存在這樣的風險的。

　　從車企來說，除了用戶的知情權(quán)，即告知用戶要采集的信息，進行文檔法規(guī)協(xié)議類的提示之外，還有一個用戶主動干涉的功能。比如針對駕駛員狀態(tài)監(jiān)測的攝像頭，怎么樣避免用戶有“是不是在監(jiān)控我”的懷疑？它會提供物理開關(guān)讓用戶可以手動把攝像頭蓋上。在技術(shù)層面之外，賦予用戶這樣主動干涉的權(quán)限，一定程度上可以避免用戶的恐慌。

　　Q：目前對數(shù)據(jù)安全的監(jiān)管如何與技術(shù)研發(fā)整個過程進行匹配？目前從車企角度來看，數(shù)據(jù)安全的問題是不是影響到產(chǎn)業(yè)化的進度，尤其是研發(fā)的進度？

　　徐超：數(shù)據(jù)安全和整車的研發(fā)過程其實是沒有沖突的。我們是把安全融入到整個研發(fā)流程中，例如攝像頭，可以采集哪些信息，哪些信息不可以采集，哪些信息是需要經(jīng)過用戶授權(quán)，哪些需要脫敏處理，都會做安全評估，和研發(fā)、產(chǎn)品實時同步，滿足國家的法規(guī)。還有車里的一些攻擊點，哪些點容易被攻擊，我們都會做威脅建模，會列得很清楚，幫助研發(fā)還有產(chǎn)品設計人員實現(xiàn)車的安全。

　　隨著電動化、智能化和自動駕駛、架構(gòu)和軟件定義汽車成為趨勢，汽車信息安全繼主動安全、被動安全、功能安全之后將成為汽車領(lǐng)域中的第四大安全問題，所以我們從一開始就會一體化來考慮。

　　楊殿閣：在數(shù)據(jù)安全跟創(chuàng)新這一點上應該這么考慮，我們不要因噎廢食。數(shù)據(jù)安全很重要，但是任何一個新技術(shù)在產(chǎn)生的時候都會帶來新的問題。如果因為過于擔心，簡單地從避免問題出現(xiàn)的角度考慮，禁止或者限制智能汽車大數(shù)據(jù)的使用，就堵住了技術(shù)創(chuàng)新的道路。大數(shù)據(jù)是智能汽車自動駕駛快速迭代的重要基礎。

　　中國政府現(xiàn)在對新技術(shù)的關(guān)注、為新技術(shù)創(chuàng)造良好環(huán)境的服務意識還是很強的。在普通百姓還沒有關(guān)注到數(shù)據(jù)安全這個問題的時候，政府就已經(jīng)開始關(guān)注，而且早幾年就準備了相應的規(guī)范、標準、法律、法規(guī)，說明是考慮在我們前面的。

　　但是所有的車企包括政府部門也要注意一個問題，到現(xiàn)在為止，我們還說不太清楚這個數(shù)據(jù)到底是什么，該怎么保護、怎么用。這說明我們對這個問題的研究還不夠，應該借這個機會加大對數(shù)據(jù)安全相關(guān)的研究和投入，讓大家合作起來把這個問題解決掉。

　　數(shù)據(jù)安全需要政產(chǎn)學研聯(lián)合

　　Q：對于數(shù)據(jù)安全的保護來說，除了政府、車企之外，產(chǎn)業(yè)鏈上其他環(huán)節(jié)諸如Tier1、行業(yè)組織等應該扮演什么樣的角色？

　　楊殿閣：這個問題上應該是政、產(chǎn)、學、研的聯(lián)合。除了政府和企業(yè)，研究機構(gòu)包括大學，在一些核心關(guān)鍵技術(shù)的研發(fā)上應該發(fā)揮更重要的作用。另外，政府、企業(yè)、研究機構(gòu)、行業(yè)組織等應該共同制定一些規(guī)范標準。比如我們政產(chǎn)學研聯(lián)合起來，共同推動一些政策落地，后面可能需要一些系統(tǒng)性、協(xié)調(diào)性的工作，需要全社會共同參與。

　　張康：Tier1跟車企的角色是類似的，車輛涉及到數(shù)據(jù)的產(chǎn)生很多是Tier1針對某個模塊產(chǎn)生的，所以，數(shù)據(jù)安全的標準適用于OEM，OEM會把同樣的標準提供給Tier1。

　　除了Tier1和OEM之外，我想聊的是，現(xiàn)在每一輛車的每一個數(shù)據(jù)采集的方案都是不一樣的。車上可能涉及到幾十個ECU之間的通信，通信的標準也是不一樣的。可能需要一個行業(yè)聯(lián)盟，類似于這樣一個成員，去規(guī)范不同模塊之間的通信以及不同車輛之間的通信，車與人之間的通信的數(shù)據(jù)標準。如果有這樣一個規(guī)范，對于整個汽車行業(yè)的數(shù)據(jù)安全是一件很好的事情。本身我們也看到有些聯(lián)盟的確在這么做了，例如歐盟的一個行業(yè)聯(lián)盟GENIVI就在做這樣一個方案，聯(lián)合了OEM廠商，統(tǒng)一做車內(nèi)包括車與云、車與車之間的通信數(shù)據(jù)規(guī)范。如果這樣一個統(tǒng)一的數(shù)據(jù)規(guī)范能夠?qū)崿F(xiàn)，對于數(shù)據(jù)的安全標準，如何去傳輸、如何去處理、如何去加密，這樣一個標準是有幫助的。