智能化與網(wǎng)聯(lián)化帶來的數(shù)據(jù)安全風(fēng)險

Q：智能網(wǎng)聯(lián)汽車會采集、生產(chǎn)大量數(shù)據(jù)，并且與其它終端進(jìn)行數(shù)據(jù)交互。根據(jù)研究估算，一輛汽車在測試的過程中每天將會產(chǎn)生大約10TB的數(shù)據(jù)。面對海量的數(shù)據(jù)，智能汽車將會面臨哪些數(shù)據(jù)安全風(fēng)險？

楊殿閣：聯(lián)網(wǎng)讓汽車從原來的信息孤島變成了網(wǎng)絡(luò)信息節(jié)點，也帶來了很多數(shù)據(jù)安全上的風(fēng)險。如果系統(tǒng)地對這個風(fēng)險進(jìn)行歸納，可以歸納為三大類：

第一類，對行車安全的影響。聯(lián)網(wǎng)讓網(wǎng)絡(luò)上的黑客有機會入侵汽車，進(jìn)而控制車輛的行駛，會對行車安全帶來巨大的風(fēng)險。

第二類，對用戶隱私的影響。車上安裝的傳感器會對車上的用戶包括車外的行人進(jìn)行信息采集，涉及到對用戶隱私侵犯的問題。

第三類，對國家安全的影響。智能汽車上的視覺、毫米波雷達(dá)、激光雷達(dá)傳感器，在行駛的過程中不斷地掃描路面和周圍的交通環(huán)境，這涉及到地理信息，這些信息又涉及到國家安全。

Q：從全生命周期去看，汽車上的數(shù)據(jù)會面臨哪些風(fēng)險問題？

楊殿閣：在智能汽車的使用過程中涉及到數(shù)據(jù)從采集、傳輸?shù)教幚硎褂玫娜芷冢加袛?shù)據(jù)安全風(fēng)險的問題。

首先，在采集階段，傳感器可能會受到攻擊從而采集到虛假數(shù)據(jù)，影響行車安全。另外，很有可能采集到未經(jīng)授權(quán)的數(shù)據(jù)，比如用戶數(shù)據(jù)并沒有授權(quán)，或者激光雷達(dá)與攝像頭采集的環(huán)境信息，這些信息很有可能涉及到敏感地點，可能存在內(nèi)容非法、精度非法等問題。

其次，在傳輸過程中數(shù)據(jù)數(shù)據(jù)可能被篡改、被泄露或者被竊聽。

此外，在存儲環(huán)節(jié)，部分采集到的數(shù)據(jù)存儲在車載終端上，但是大量的數(shù)據(jù)可能會回到云端。這些數(shù)據(jù)在存儲的過程中有可能會丟失，也有可能會被竊取或者被篡改。

最后，在處理使用上同樣存在著很大的風(fēng)險，其中一個很大的風(fēng)險就是數(shù)據(jù)的脫敏。這個數(shù)據(jù)是否是脫敏？是否經(jīng)過授權(quán)？還有關(guān)于數(shù)據(jù)的濫用問題，這些數(shù)據(jù)能不能用于某些功能的開發(fā)或者某些方面的服務(wù)？這些都是值得去研究的。

徐 超：數(shù)據(jù)全生命周期指數(shù)據(jù)從創(chuàng)建到銷毀的整個過程，包括采集、存儲、處理、應(yīng)用、流動和銷毀等環(huán)節(jié)：

◎ 采集階段。面臨非授權(quán)采集、數(shù)據(jù)分類分級不清、敏感數(shù)據(jù)識別不清、采集時缺乏細(xì)粒度的訪問控制、數(shù)據(jù)無法追本溯源以及數(shù)據(jù)污染等問題。

◎ 存儲階段。面臨著數(shù)據(jù)分類分級不清、重要數(shù)據(jù)的保密性與重要數(shù)據(jù)缺乏細(xì)粒度訪問控制的問題。

◎ 傳輸階段（主要是指數(shù)據(jù)在各業(yè)務(wù)平臺、各節(jié)點之間、各組件之間以及跨組織的數(shù)據(jù)傳輸）。主要的風(fēng)險在于傳輸時存在泄露問題。

◎ 處理階段。面臨的安全風(fēng)險包括數(shù)據(jù)處理時缺乏訪問控制、數(shù)據(jù)結(jié)果的訪問接口缺乏控制、數(shù)據(jù)處理結(jié)果缺乏敏感數(shù)據(jù)保護(hù)措施、缺乏安全審計和數(shù)據(jù)溯源的能力。

◎ 交換階段（數(shù)據(jù)交換階段主要指數(shù)據(jù)提供給其他業(yè)務(wù)系統(tǒng)使用）。面臨的風(fēng)險有數(shù)據(jù)交換和數(shù)據(jù)輸出存在未授權(quán)的行為，輸出的數(shù)據(jù)在應(yīng)用或終端存在安全泄露的問題。

◎ 銷毀階段。此時數(shù)據(jù)安全的風(fēng)險主要是惡意恢復(fù)而導(dǎo)致的數(shù)據(jù)泄漏風(fēng)險。

目前大家關(guān)注的點都是在傳輸、存儲的安全，忽略了業(yè)務(wù)應(yīng)用層的數(shù)據(jù)安全。通過爬蟲獲取數(shù)據(jù)、利用統(tǒng)計學(xué)抽樣分析，構(gòu)造一些模型，通過抽樣數(shù)據(jù)的獲取和分析，就能非常精確的分析出實際業(yè)務(wù)的商業(yè)機密等等，所以業(yè)務(wù)層的數(shù)據(jù)風(fēng)險也是一個重點。

Q：從供應(yīng)商的角度，在給車企做安全規(guī)劃的過程中，對安全風(fēng)險是如何考量的？

張 康：從車輛來說，數(shù)據(jù)主要為兩部分：一類是車輛數(shù)據(jù)，一類是用戶數(shù)據(jù)。無論是車輛數(shù)據(jù)還是用戶數(shù)據(jù)，需要滿足網(wǎng)絡(luò)安全法的等級保護(hù)的要求，還要滿足GDPR（通用數(shù)據(jù)保護(hù)條例）等個人隱私的保護(hù)法。車企作為個人數(shù)據(jù)的處理者，需要對用戶的個人信息負(fù)責(zé)。車企目前面臨的問題是，車企不知道這輛車會采集哪些數(shù)據(jù)，這些數(shù)據(jù)會分享給誰，在采集、傳輸、分享的過程中會面臨哪些安全風(fēng)險以及如何應(yīng)對。

所以在跟車企合作的時候，需要三方面的內(nèi)容：一個是組織層面，車企首先要有一個專門的組織去負(fù)責(zé)這件事情；二是流程層面，就是數(shù)據(jù)治理，識別出來當(dāng)前所有數(shù)據(jù)的數(shù)據(jù)流的流向是什么樣之后，再去制定相應(yīng)的制度；三是技術(shù)層面，在數(shù)據(jù)的存儲、傳輸、分享以及銷毀等各個環(huán)節(jié)需要應(yīng)用哪些安全防護(hù)手段，確保數(shù)據(jù)不被泄露，不被篡改。

Q：在開發(fā)過程中，怎么去處理這些相應(yīng)的風(fēng)險？

徐 超：首先要搞清楚目標(biāo)是什么，也就是為什么要做數(shù)據(jù)安全，它的價值是什么，能為用戶帶來什么好處。這些想明白了，就大致知道如何入手做了。

做安全基礎(chǔ)的是了解資產(chǎn)。首先是資產(chǎn)的梳理，搞清楚有哪些數(shù)據(jù)，數(shù)據(jù)在哪里存著、數(shù)據(jù)的走向、數(shù)據(jù)的主體屬于誰、誰在利用這些數(shù)據(jù)，理清數(shù)據(jù)流動的現(xiàn)狀和風(fēng)險后，更大視角的去思考如何讓數(shù)據(jù)有序流動，這是數(shù)據(jù)安全治理的精髓和核心。

數(shù)據(jù)安全我們分了四個階段去實施的：

◎ 第一階段：數(shù)據(jù)資產(chǎn)化，識別定位敏感數(shù)據(jù)，這也是資產(chǎn)整理的階段。

◎ 第二階段：資產(chǎn)數(shù)字化，對保護(hù)數(shù)據(jù)的安全措施和能力進(jìn)行識別。

◎ 第三階段：數(shù)據(jù)可視化，掌握敏感數(shù)據(jù)的流動，在哪些應(yīng)用之間流轉(zhuǎn)，被誰使用，存在哪些風(fēng)險等。

◎ 第四階段：權(quán)限數(shù)字化，通過定位識別掌握內(nèi)部人員有無敏感數(shù)據(jù)的訪問權(quán)限，這是對內(nèi)部人員訪問敏感數(shù)據(jù)的情況進(jìn)行管控。

在隱私安全方面，我們遵循隱私設(shè)計七原則，按默認(rèn)隱私設(shè)計的方式（也就是PBD）：

1. 積極預(yù)防，而非被動救濟(jì)。

2. 隱私默認(rèn)保護(hù)。

3. 將隱私嵌入設(shè)計之中。

4. 功能完整，做安全要的是正和而非零和，在確保功能完整的同時信息安全也要有保障。

5. 全生命周期的保護(hù)。

6. 可見性和透明性。

7. 尊重用戶隱私，確保以用戶為中心。

然后分三步走，從需求分析、到產(chǎn)品設(shè)計與研發(fā)、再到測試與實施去進(jìn)行落地。

數(shù)據(jù)的跨境傳輸

Q：近期有一個大家都關(guān)注的點，就是數(shù)據(jù)的跨境傳輸，比如國外的車企與國內(nèi)的研發(fā)中心聯(lián)動，中國也有車企在海外設(shè)立了研發(fā)中心。這里存在著哪些風(fēng)險的問題？

楊殿閣：智能汽車的數(shù)據(jù)跨境傳輸是一個新問題，不僅在中國存在，世界上很多國家都有同樣的問題。跨境數(shù)據(jù)的傳輸涉及到的是國家安全問題，非常非常重要，需要高度重視，嚴(yán)格控制。

目前跨境傳輸?shù)娘L(fēng)險問題包括三個方面：

1. 我國跨境傳輸相關(guān)的政策和法規(guī)還不夠完善。

2. 現(xiàn)在對跨境傳輸?shù)臄?shù)據(jù)缺乏有效的監(jiān)管機制和監(jiān)管手段。

3. 即使發(fā)生了違規(guī)的跨境傳輸，處理手段和處理技術(shù)也跟不上。

因為涉及到國家安全，數(shù)據(jù)只要傳出去了，整治、修補的難度非常大，難以解決，影響非常大且長遠(yuǎn)。在技術(shù)手段不完備、相關(guān)的管理制度還不完善的情況下，對跨境傳輸應(yīng)該采取嚴(yán)格的管理方式。首先應(yīng)明確將不安全的跨境傳輸數(shù)據(jù)堵住，鼓勵跨國企業(yè)在國內(nèi)建數(shù)據(jù)中心，必要的確實需要出去的而且不涉密的脫敏數(shù)據(jù)，經(jīng)審核批準(zhǔn)，可以跨境傳輸在全球范圍內(nèi)聯(lián)合研發(fā)，但涉及到敏感的數(shù)據(jù)，在控制手段完善之前，應(yīng)該嚴(yán)格地規(guī)定禁止跨境流出。

徐 超：數(shù)據(jù)的價值是在流動和融合中產(chǎn)生的，靜止的數(shù)據(jù)是相對安全的，但是價值相對低。靜態(tài)的數(shù)據(jù)除了有利于有效監(jiān)管以外， 對社會和企業(yè)的收益很少能夠得到明顯體現(xiàn)。

就像買車一樣，買回來放在那里不動，那這輛車的價值就體現(xiàn)不出來，只有開起來才能體現(xiàn)它的價值，但使用起來后，就會有發(fā)生碰撞等風(fēng)險。數(shù)據(jù)也一樣，數(shù)據(jù)跨境過程環(huán)節(jié)多、路徑廣、溯源難，傳輸過程中可能被中斷，面臨被截獲、篡改、偽造、數(shù)據(jù)泄露導(dǎo)致的電信網(wǎng)絡(luò)詐騙，也面臨著信息數(shù)據(jù)被不當(dāng)使用、技術(shù)數(shù)據(jù)遭知識產(chǎn)權(quán)侵害的風(fēng)險。

張 康：數(shù)據(jù)跨境傳輸里有兩個問題，一個是國家層面的問題，一個是個人隱私層面的問題。我從個人隱私相關(guān)的層面做一下分享，因為各個國家等級保護(hù)對個人隱私的定義不一樣，標(biāo)準(zhǔn)也不一樣。舉一個很簡單的例子，比如車輛的VIN碼，車架號在中國就是一個公開的信息，但是在歐洲就是一個敏感的信息，不允許傳輸?shù)?。很多在中國的車輛是用車架的VIN碼作為一個參數(shù)，如果出口到海外，可能就面臨著合規(guī)風(fēng)險。所以企業(yè)應(yīng)該一定要解讀各個國家的數(shù)據(jù)安全相關(guān)的法規(guī)，確保車輛出口到對方國家的時候是滿足這個法規(guī)的，這樣才可以避免被對方監(jiān)管機構(gòu)的限制。

數(shù)據(jù)的歸屬權(quán)

Q：智能汽車產(chǎn)生的數(shù)據(jù)很多，如何定義這些數(shù)據(jù)的所有權(quán)？如果車企或者是相關(guān)的機構(gòu)要使用不同類型的數(shù)據(jù)，要怎么取得這些授權(quán)？

楊殿閣：車上的數(shù)據(jù)類型很多，很難籠統(tǒng)地說這些數(shù)據(jù)歸屬某一方，它的歸屬權(quán)實際上非常復(fù)雜。

正常的情況下車內(nèi)攝像頭等傳感器采集到的數(shù)據(jù)，如果經(jīng)過用戶授權(quán)，那么這些數(shù)據(jù)車企是有使用權(quán)限的，它來負(fù)責(zé)管理和使用。車外的地理信息也是有明確規(guī)定的。如果車企有測繪資質(zhì)，所有這些信息的使用權(quán)、管理權(quán)是在測繪的部門。

至于用戶的行為數(shù)據(jù)，包括未經(jīng)授權(quán)的數(shù)據(jù)，它的歸屬、管理、使用的權(quán)限目前來看并不是很清晰。這也是下一步國內(nèi)在立法或者建立相關(guān)標(biāo)準(zhǔn)和規(guī)范的時候需要去考慮的問題，明確這些數(shù)據(jù)的歸屬、使用、管理是我們后面要做的一個很重要的工作。

徐 超：如果按照GDPR來看的話，用戶購買了這個車，那這個車就是他的，在行駛過程中有一些數(shù)據(jù)也應(yīng)該就是他自己的。如果車廠要用這些信息，需要得到用戶的授權(quán)。目前我們國內(nèi)的法規(guī)這方面還不是很清晰，國外的GDPR相對清晰一些。

如何打消消費者對于信息安全的顧慮？

Q：有媒體調(diào)研發(fā)現(xiàn)，用戶在購買智能網(wǎng)聯(lián)汽車的時候會考慮數(shù)據(jù)安全的問題，尤其是個人隱私方面。從消費者的角度來看這些信息安全，對他們的影響到底在哪里？如何去看待消費者對于汽車數(shù)據(jù)安全的顧慮？

楊殿閣：這個問題政府早已經(jīng)關(guān)注到了。智能汽車在2016年左右進(jìn)入普及推廣的階段，在L2輔助駕駛普及推廣的時候，政府就已經(jīng)觀測到有這樣的問題存在。其實近些年隨著移動互聯(lián)網(wǎng)的發(fā)展，很多類似的問題已經(jīng)發(fā)生，比如快手、抖音有大量用戶行為的數(shù)據(jù)，移動互聯(lián)網(wǎng)產(chǎn)生大量數(shù)據(jù)的傳輸，這些都涉及到跟用戶相關(guān)的數(shù)據(jù)。

相關(guān)的主管部門最近這些年也已經(jīng)做了很多工作，出臺了很多文件，如《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全管理辦法征求意見稿》、《個人信息和重要數(shù)據(jù)的出境安全評估辦法》等。2020年工信部組織出臺了一系列的標(biāo)準(zhǔn)，其中《車聯(lián)網(wǎng)信息服務(wù)：用戶個人信息保護(hù)要求》對個人信息保護(hù)的分類、敏感程度包括分級保護(hù)都做了明確的規(guī)定。這些文件對智能汽車的數(shù)據(jù)安全、與用戶相關(guān)的數(shù)據(jù)安全都已經(jīng)起到了一些保護(hù)的作用。當(dāng)然這些規(guī)定目前還不夠細(xì)，后面還有完善的空間。

張 康：針對身份識別相關(guān)的信息，比如手機號、身份證號這方面的信息。從國內(nèi)的消費者層面來講，大家對這種信息的泄露已經(jīng)是屬于比較麻木的狀態(tài)，因為每個人都會默認(rèn)我的身份證和手機號誰都知道，消費者倒不是特別擔(dān)心。

消費者關(guān)注的是涉及到生物特征層面的，這些功能消費者從技術(shù)層面來說是沒有辦法理解的。比如我喊一聲就行車助手就回復(fù)我了，是不是后臺一直在監(jiān)控？車內(nèi)的攝像頭既然能監(jiān)測行為狀態(tài)，它是不是一直在記錄我在車內(nèi)做了什么？消費者會有這個層面的恐慌。但實際技術(shù)層面來說是不存在這樣的風(fēng)險的。

從車企來說，除了用戶的知情權(quán)，即告知用戶要采集的信息，進(jìn)行文檔法規(guī)協(xié)議類的提示之外，還有一個用戶主動干涉的功能。比如針對駕駛員狀態(tài)監(jiān)測的攝像頭，怎么樣避免用戶有“是不是在監(jiān)控我”的懷疑？它會提供物理開關(guān)讓用戶可以手動把攝像頭蓋上。在技術(shù)層面之外，賦予用戶這樣主動干涉的權(quán)限，一定程度上可以避免用戶的恐慌。

Q：目前對數(shù)據(jù)安全的監(jiān)管如何與技術(shù)研發(fā)整個過程進(jìn)行匹配？目前從車企角度來看，數(shù)據(jù)安全的問題是不是影響到產(chǎn)業(yè)化的進(jìn)度，尤其是研發(fā)的進(jìn)度？

徐 超：數(shù)據(jù)安全和整車的研發(fā)過程其實是沒有沖突的。我們是把安全融入到整個研發(fā)流程中，例如攝像頭，可以采集哪些信息，哪些信息不可以采集，哪些信息是需要經(jīng)過用戶授權(quán)，哪些需要脫敏處理，都會做安全評估，和研發(fā)、產(chǎn)品實時同步，滿足國家的法規(guī)。還有車?yán)锏囊恍┕酎c，哪些點容易被攻擊，我們都會做威脅建模，會列得很清楚，幫助研發(fā)還有產(chǎn)品設(shè)計人員實現(xiàn)車的安全。

隨著電動化、智能化和自動駕駛、架構(gòu)和軟件定義汽車成為趨勢，汽車信息安全繼主動安全、被動安全、功能安全之后將成為汽車領(lǐng)域中的第四大安全問題，所以我們從一開始就會一體化來考慮。

楊殿閣：在數(shù)據(jù)安全跟創(chuàng)新這一點上應(yīng)該這么考慮，我們不要因噎廢食。數(shù)據(jù)安全很重要，但是任何一個新技術(shù)在產(chǎn)生的時候都會帶來新的問題。如果因為過于擔(dān)心，簡單地從避免問題出現(xiàn)的角度考慮，禁止或者限制智能汽車大數(shù)據(jù)的使用，就堵住了技術(shù)創(chuàng)新的道路。大數(shù)據(jù)是智能汽車自動駕駛快速迭代的重要基礎(chǔ)。

中國政府現(xiàn)在對新技術(shù)的關(guān)注、為新技術(shù)創(chuàng)造良好環(huán)境的服務(wù)意識還是很強的。在普通百姓還沒有關(guān)注到數(shù)據(jù)安全這個問題的時候，政府就已經(jīng)開始關(guān)注，而且早幾年就準(zhǔn)備了相應(yīng)的規(guī)范、標(biāo)準(zhǔn)、法律、法規(guī)，說明是考慮在我們前面的。

但是所有的車企包括政府部門也要注意一個問題，到現(xiàn)在為止，我們還說不太清楚這個數(shù)據(jù)到底是什么，該怎么保護(hù)、怎么用。這說明我們對這個問題的研究還不夠，應(yīng)該借這個機會加大對數(shù)據(jù)安全相關(guān)的研究和投入，讓大家合作起來把這個問題解決掉。

數(shù)據(jù)安全需要政產(chǎn)學(xué)研聯(lián)合

Q：對于數(shù)據(jù)安全的保護(hù)來說，除了政府、車企之外，產(chǎn)業(yè)鏈上其他環(huán)節(jié)諸如Tier1、行業(yè)組織等應(yīng)該扮演什么樣的角色？

楊殿閣：這個問題上應(yīng)該是政、產(chǎn)、學(xué)、研的聯(lián)合。除了政府和企業(yè)，研究機構(gòu)包括大學(xué)，在一些核心關(guān)鍵技術(shù)的研發(fā)上應(yīng)該發(fā)揮更重要的作用。另外，政府、企業(yè)、研究機構(gòu)、行業(yè)組織等應(yīng)該共同制定一些規(guī)范標(biāo)準(zhǔn)。比如我們政產(chǎn)學(xué)研聯(lián)合起來，共同推動一些政策落地，后面可能需要一些系統(tǒng)性、協(xié)調(diào)性的工作，需要全社會共同參與。

張 康：Tier1跟車企的角色是類似的，車輛涉及到數(shù)據(jù)的產(chǎn)生很多是Tier1針對某個模塊產(chǎn)生的，所以，數(shù)據(jù)安全的標(biāo)準(zhǔn)適用于OEM，OEM會把同樣的標(biāo)準(zhǔn)提供給Tier1。

除了Tier1和OEM之外，我想聊的是，現(xiàn)在每一輛車的每一個數(shù)據(jù)采集的方案都是不一樣的。車上可能涉及到幾十個ECU之間的通信，通信的標(biāo)準(zhǔn)也是不一樣的?？赡苄枰粋€行業(yè)聯(lián)盟，類似于這樣一個成員，去規(guī)范不同模塊之間的通信以及不同車輛之間的通信，車與人之間的通信的數(shù)據(jù)標(biāo)準(zhǔn)。如果有這樣一個規(guī)范，對于整個汽車行業(yè)的數(shù)據(jù)安全是一件很好的事情。本身我們也看到有些聯(lián)盟的確在這么做了，例如歐盟的一個行業(yè)聯(lián)盟GENIVI就在做這樣一個方案，聯(lián)合了OEM廠商，統(tǒng)一做車內(nèi)包括車與云、車與車之間的通信數(shù)據(jù)規(guī)范。如果這樣一個統(tǒng)一的數(shù)據(jù)規(guī)范能夠?qū)崿F(xiàn)，對于數(shù)據(jù)的安全標(biāo)準(zhǔn)，如何去傳輸、如何去處理、如何去加密，這樣一個標(biāo)準(zhǔn)是有幫助的。
編輯：lyn