智能化與網聯化帶來的數據安全風險

Q：智能網聯汽車會采集、生產大量數據，并且與其它終端進行數據交互。根據研究估算，一輛汽車在測試的過程中每天將會產生大約10TB的數據。面對海量的數據，智能汽車將會面臨哪些數據安全風險？

楊殿閣：聯網讓汽車從原來的信息孤島變成了網絡信息節點，也帶來了很多數據安全上的風險。如果系統地對這個風險進行歸納，可以歸納為三大類：

第一類，對行車安全的影響。聯網讓網絡上的黑客有機會入侵汽車，進而控制車輛的行駛，會對行車安全帶來巨大的風險。

第二類，對用戶隱私的影響。車上安裝的傳感器會對車上的用戶包括車外的行人進行信息采集，涉及到對用戶隱私侵犯的問題。

第三類，對國家安全的影響。智能汽車上的視覺、毫米波雷達、激光雷達傳感器，在行駛的過程中不斷地掃描路面和周圍的交通環境，這涉及到地理信息，這些信息又涉及到國家安全。

Q：從全生命周期去看，汽車上的數據會面臨哪些風險問題？

楊殿閣：在智能汽車的使用過程中涉及到數據從采集、傳輸到處理使用的全生命周期，都有數據安全風險的問題。

首先，在采集階段，傳感器可能會受到攻擊從而采集到虛假數據，影響行車安全。另外，很有可能采集到未經授權的數據，比如用戶數據并沒有授權，或者激光雷達與攝像頭采集的環境信息，這些信息很有可能涉及到敏感地點，可能存在內容非法、精度非法等問題。

其次，在傳輸過程中數據數據可能被篡改、被泄露或者被竊聽。

此外，在存儲環節，部分采集到的數據存儲在車載終端上，但是大量的數據可能會回到云端。這些數據在存儲的過程中有可能會丟失，也有可能會被竊取或者被篡改。

最后，在處理使用上同樣存在著很大的風險，其中一個很大的風險就是數據的脫敏。這個數據是否是脫敏？是否經過授權？還有關于數據的濫用問題，這些數據能不能用于某些功能的開發或者某些方面的服務？這些都是值得去研究的。

徐 超：數據全生命周期指數據從創建到銷毀的整個過程，包括采集、存儲、處理、應用、流動和銷毀等環節：

◎ 采集階段。面臨非授權采集、數據分類分級不清、敏感數據識別不清、采集時缺乏細粒度的訪問控制、數據無法追本溯源以及數據污染等問題。

◎ 存儲階段。面臨著數據分類分級不清、重要數據的保密性與重要數據缺乏細粒度訪問控制的問題。

◎ 傳輸階段（主要是指數據在各業務平臺、各節點之間、各組件之間以及跨組織的數據傳輸）。主要的風險在于傳輸時存在泄露問題。

◎ 處理階段。面臨的安全風險包括數據處理時缺乏訪問控制、數據結果的訪問接口缺乏控制、數據處理結果缺乏敏感數據保護措施、缺乏安全審計和數據溯源的能力。

◎ 交換階段（數據交換階段主要指數據提供給其他業務系統使用）。面臨的風險有數據交換和數據輸出存在未授權的行為，輸出的數據在應用或終端存在安全泄露的問題。

◎ 銷毀階段。此時數據安全的風險主要是惡意恢復而導致的數據泄漏風險。

目前大家關注的點都是在傳輸、存儲的安全，忽略了業務應用層的數據安全。通過爬蟲獲取數據、利用統計學抽樣分析，構造一些模型，通過抽樣數據的獲取和分析，就能非常精確的分析出實際業務的商業機密等等，所以業務層的數據風險也是一個重點。

Q：從供應商的角度，在給車企做安全規劃的過程中，對安全風險是如何考量的？

張 康：從車輛來說，數據主要為兩部分：一類是車輛數據，一類是用戶數據。無論是車輛數據還是用戶數據，需要滿足網絡安全法的等級保護的要求，還要滿足GDPR（通用數據保護條例）等個人隱私的保護法。車企作為個人數據的處理者，需要對用戶的個人信息負責。車企目前面臨的問題是，車企不知道這輛車會采集哪些數據，這些數據會分享給誰，在采集、傳輸、分享的過程中會面臨哪些安全風險以及如何應對。

所以在跟車企合作的時候，需要三方面的內容：一個是組織層面，車企首先要有一個專門的組織去負責這件事情；二是流程層面，就是數據治理，識別出來當前所有數據的數據流的流向是什么樣之后，再去制定相應的制度；三是技術層面，在數據的存儲、傳輸、分享以及銷毀等各個環節需要應用哪些安全防護手段，確保數據不被泄露，不被篡改。

Q：在開發過程中，怎么去處理這些相應的風險？

徐 超：首先要搞清楚目標是什么，也就是為什么要做數據安全，它的價值是什么，能為用戶帶來什么好處。這些想明白了，就大致知道如何入手做了。

做安全基礎的是了解資產。首先是資產的梳理，搞清楚有哪些數據，數據在哪里存著、數據的走向、數據的主體屬于誰、誰在利用這些數據，理清數據流動的現狀和風險后，更大視角的去思考如何讓數據有序流動，這是數據安全治理的精髓和核心。

數據安全我們分了四個階段去實施的：

◎ 第一階段：數據資產化，識別定位敏感數據，這也是資產整理的階段。

◎ 第二階段：資產數字化，對保護數據的安全措施和能力進行識別。

◎ 第三階段：數據可視化，掌握敏感數據的流動，在哪些應用之間流轉，被誰使用，存在哪些風險等。

◎ 第四階段：權限數字化，通過定位識別掌握內部人員有無敏感數據的訪問權限，這是對內部人員訪問敏感數據的情況進行管控。

在隱私安全方面，我們遵循隱私設計七原則，按默認隱私設計的方式（也就是PBD）：

1. 積極預防，而非被動救濟。

2. 隱私默認保護。

3. 將隱私嵌入設計之中。

4. 功能完整，做安全要的是正和而非零和，在確保功能完整的同時信息安全也要有保障。

5. 全生命周期的保護。

6. 可見性和透明性。

7. 尊重用戶隱私，確保以用戶為中心。

然后分三步走，從需求分析、到產品設計與研發、再到測試與實施去進行落地。

數據的跨境傳輸

Q：近期有一個大家都關注的點，就是數據的跨境傳輸，比如國外的車企與國內的研發中心聯動，中國也有車企在海外設立了研發中心。這里存在著哪些風險的問題？

楊殿閣：智能汽車的數據跨境傳輸是一個新問題，不僅在中國存在，世界上很多國家都有同樣的問題。跨境數據的傳輸涉及到的是國家安全問題，非常非常重要，需要高度重視，嚴格控制。

目前跨境傳輸的風險問題包括三個方面：

1. 我國跨境傳輸相關的政策和法規還不夠完善。

2. 現在對跨境傳輸的數據缺乏有效的監管機制和監管手段。

3. 即使發生了違規的跨境傳輸，處理手段和處理技術也跟不上。

因為涉及到國家安全，數據只要傳出去了，整治、修補的難度非常大，難以解決，影響非常大且長遠。在技術手段不完備、相關的管理制度還不完善的情況下，對跨境傳輸應該采取嚴格的管理方式。首先應明確將不安全的跨境傳輸數據堵住，鼓勵跨國企業在國內建數據中心，必要的確實需要出去的而且不涉密的脫敏數據，經審核批準，可以跨境傳輸在全球范圍內聯合研發，但涉及到敏感的數據，在控制手段完善之前，應該嚴格地規定禁止跨境流出。

徐 超：數據的價值是在流動和融合中產生的，靜止的數據是相對安全的，但是價值相對低。靜態的數據除了有利于有效監管以外， 對社會和企業的收益很少能夠得到明顯體現。

就像買車一樣，買回來放在那里不動，那這輛車的價值就體現不出來，只有開起來才能體現它的價值，但使用起來后，就會有發生碰撞等風險。數據也一樣，數據跨境過程環節多、路徑廣、溯源難，傳輸過程中可能被中斷，面臨被截獲、篡改、偽造、數據泄露導致的電信網絡詐騙，也面臨著信息數據被不當使用、技術數據遭知識產權侵害的風險。

張 康：數據跨境傳輸里有兩個問題，一個是國家層面的問題，一個是個人隱私層面的問題。我從個人隱私相關的層面做一下分享，因為各個國家等級保護對個人隱私的定義不一樣，標準也不一樣。舉一個很簡單的例子，比如車輛的VIN碼，車架號在中國就是一個公開的信息，但是在歐洲就是一個敏感的信息，不允許傳輸的。很多在中國的車輛是用車架的VIN碼作為一個參數，如果出口到海外，可能就面臨著合規風險。所以企業應該一定要解讀各個國家的數據安全相關的法規，確保車輛出口到對方國家的時候是滿足這個法規的，這樣才可以避免被對方監管機構的限制。

數據的歸屬權

Q：智能汽車產生的數據很多，如何定義這些數據的所有權？如果車企或者是相關的機構要使用不同類型的數據，要怎么取得這些授權？

楊殿閣：車上的數據類型很多，很難籠統地說這些數據歸屬某一方，它的歸屬權實際上非常復雜。

正常的情況下車內攝像頭等傳感器采集到的數據，如果經過用戶授權，那么這些數據車企是有使用權限的，它來負責管理和使用。車外的地理信息也是有明確規定的。如果車企有測繪資質，所有這些信息的使用權、管理權是在測繪的部門。

至于用戶的行為數據，包括未經授權的數據，它的歸屬、管理、使用的權限目前來看并不是很清晰。這也是下一步國內在立法或者建立相關標準和規范的時候需要去考慮的問題，明確這些數據的歸屬、使用、管理是我們后面要做的一個很重要的工作。

徐 超：如果按照GDPR來看的話，用戶購買了這個車，那這個車就是他的，在行駛過程中有一些數據也應該就是他自己的。如果車廠要用這些信息，需要得到用戶的授權。目前我們國內的法規這方面還不是很清晰，國外的GDPR相對清晰一些。

如何打消消費者對于信息安全的顧慮？

Q：有媒體調研發現，用戶在購買智能網聯汽車的時候會考慮數據安全的問題，尤其是個人隱私方面。從消費者的角度來看這些信息安全，對他們的影響到底在哪里？如何去看待消費者對于汽車數據安全的顧慮？

楊殿閣：這個問題政府早已經關注到了。智能汽車在2016年左右進入普及推廣的階段，在L2輔助駕駛普及推廣的時候，政府就已經觀測到有這樣的問題存在。其實近些年隨著移動互聯網的發展，很多類似的問題已經發生，比如快手、抖音有大量用戶行為的數據，移動互聯網產生大量數據的傳輸，這些都涉及到跟用戶相關的數據。

相關的主管部門最近這些年也已經做了很多工作，出臺了很多文件，如《網絡安全法》、《數據安全管理辦法征求意見稿》、《個人信息和重要數據的出境安全評估辦法》等。2020年工信部組織出臺了一系列的標準，其中《車聯網信息服務：用戶個人信息保護要求》對個人信息保護的分類、敏感程度包括分級保護都做了明確的規定。這些文件對智能汽車的數據安全、與用戶相關的數據安全都已經起到了一些保護的作用。當然這些規定目前還不夠細，后面還有完善的空間。

張 康：針對身份識別相關的信息，比如手機號、身份證號這方面的信息。從國內的消費者層面來講，大家對這種信息的泄露已經是屬于比較麻木的狀態，因為每個人都會默認我的身份證和手機號誰都知道，消費者倒不是特別擔心。

消費者關注的是涉及到生物特征層面的，這些功能消費者從技術層面來說是沒有辦法理解的。比如我喊一聲就行車助手就回復我了，是不是后臺一直在監控？車內的攝像頭既然能監測行為狀態，它是不是一直在記錄我在車內做了什么？消費者會有這個層面的恐慌。但實際技術層面來說是不存在這樣的風險的。

從車企來說，除了用戶的知情權，即告知用戶要采集的信息，進行文檔法規協議類的提示之外，還有一個用戶主動干涉的功能。比如針對駕駛員狀態監測的攝像頭，怎么樣避免用戶有“是不是在監控我”的懷疑？它會提供物理開關讓用戶可以手動把攝像頭蓋上。在技術層面之外，賦予用戶這樣主動干涉的權限，一定程度上可以避免用戶的恐慌。

Q：目前對數據安全的監管如何與技術研發整個過程進行匹配？目前從車企角度來看，數據安全的問題是不是影響到產業化的進度，尤其是研發的進度？

徐 超：數據安全和整車的研發過程其實是沒有沖突的。我們是把安全融入到整個研發流程中，例如攝像頭，可以采集哪些信息，哪些信息不可以采集，哪些信息是需要經過用戶授權，哪些需要脫敏處理，都會做安全評估，和研發、產品實時同步，滿足國家的法規。還有車里的一些攻擊點，哪些點容易被攻擊，我們都會做威脅建模，會列得很清楚，幫助研發還有產品設計人員實現車的安全。

隨著電動化、智能化和自動駕駛、架構和軟件定義汽車成為趨勢，汽車信息安全繼主動安全、被動安全、功能安全之后將成為汽車領域中的第四大安全問題，所以我們從一開始就會一體化來考慮。

楊殿閣：在數據安全跟創新這一點上應該這么考慮，我們不要因噎廢食。數據安全很重要，但是任何一個新技術在產生的時候都會帶來新的問題。如果因為過于擔心，簡單地從避免問題出現的角度考慮，禁止或者限制智能汽車大數據的使用，就堵住了技術創新的道路。大數據是智能汽車自動駕駛快速迭代的重要基礎。

中國政府現在對新技術的關注、為新技術創造良好環境的服務意識還是很強的。在普通百姓還沒有關注到數據安全這個問題的時候，政府就已經開始關注，而且早幾年就準備了相應的規范、標準、法律、法規，說明是考慮在我們前面的。

但是所有的車企包括政府部門也要注意一個問題，到現在為止，我們還說不太清楚這個數據到底是什么，該怎么保護、怎么用。這說明我們對這個問題的研究還不夠，應該借這個機會加大對數據安全相關的研究和投入，讓大家合作起來把這個問題解決掉。

數據安全需要政產學研聯合

Q：對于數據安全的保護來說，除了政府、車企之外，產業鏈上其他環節諸如Tier1、行業組織等應該扮演什么樣的角色？

楊殿閣：這個問題上應該是政、產、學、研的聯合。除了政府和企業，研究機構包括大學，在一些核心關鍵技術的研發上應該發揮更重要的作用。另外，政府、企業、研究機構、行業組織等應該共同制定一些規范標準。比如我們政產學研聯合起來，共同推動一些政策落地，后面可能需要一些系統性、協調性的工作，需要全社會共同參與。

張 康：Tier1跟車企的角色是類似的，車輛涉及到數據的產生很多是Tier1針對某個模塊產生的，所以，數據安全的標準適用于OEM，OEM會把同樣的標準提供給Tier1。

除了Tier1和OEM之外，我想聊的是，現在每一輛車的每一個數據采集的方案都是不一樣的。車上可能涉及到幾十個ECU之間的通信，通信的標準也是不一樣的。可能需要一個行業聯盟，類似于這樣一個成員，去規范不同模塊之間的通信以及不同車輛之間的通信，車與人之間的通信的數據標準。如果有這樣一個規范，對于整個汽車行業的數據安全是一件很好的事情。本身我們也看到有些聯盟的確在這么做了，例如歐盟的一個行業聯盟GENIVI就在做這樣一個方案，聯合了OEM廠商，統一做車內包括車與云、車與車之間的通信數據規范。如果這樣一個統一的數據規范能夠實現，對于數據的安全標準，如何去傳輸、如何去處理、如何去加密，這樣一個標準是有幫助的。
編輯：lyn