本報告針對智能網(wǎng)聯(lián)汽車用戶的隱私泄露的問題，對智能網(wǎng)聯(lián)汽車隱私開發(fā)方法與流程進行分析。

通過汽車整車開發(fā)流程及數(shù)據(jù)安全開發(fā)流程分析，結(jié)合相關(guān)法律法規(guī)和標準規(guī)范，提出了基于全生命周期的智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全要求，包括數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全以及數(shù)據(jù)銷毀安全。

通過對開發(fā)階段的整車隱私方法進行分析，將整車隱私開發(fā)流程分為四個階段：數(shù)據(jù)采集、數(shù)據(jù)建模、隱私評估和隱私設(shè)計。隱私方案開發(fā)包括隱私方案、隱私工具、隱私策略以及車輛架構(gòu)四個方面。通過對智能網(wǎng)聯(lián)汽車隱私開發(fā)方法與流程的分析，為智能網(wǎng)聯(lián)汽車行業(yè)的隱私流程開發(fā)提供了參考，對智能網(wǎng)聯(lián)汽車發(fā)展有重要借鑒意義。

汽車整車開發(fā)流程及數(shù)據(jù)安全開發(fā)

流程背景介紹

在《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》發(fā)布實施的背景下，汽車行業(yè)對于汽車數(shù)據(jù)安全的問題重視程度在空前加深。該規(guī)定倡導汽車數(shù)據(jù)處理者在開展汽車數(shù)據(jù)處理活動中堅持四大原則：車內(nèi)處理原則，默認不收集原則，精度范圍適用原則，脫敏處理原則。目前業(yè)界普遍關(guān)注單點的技術(shù)問題，以滿足合規(guī)需求，比如數(shù)據(jù)匿名化，圖像脫敏處理，同時更多關(guān)注全生命周期的汽車數(shù)據(jù)運營，忽略了汽車整車產(chǎn)品本身的隱私分析，難以真正實現(xiàn)“privacy by default”。

本篇嘗試介紹一種基于整車開發(fā)的結(jié)構(gòu)化隱私流程，整體將其分析四個階段：數(shù)據(jù)采集，數(shù)據(jù)建模，隱私評估和隱私設(shè)計，最終實現(xiàn)隱私方案落地。此隱私分析流程與整車開發(fā)的概念階段和開發(fā)階段融合，解決了汽車行業(yè)研發(fā)階段的隱私分析保護的工作，同時有助于為車輛制造商和駕駛員提供可持續(xù)的隱私保護，以及隱私意識。

本篇將介紹的隱私開發(fā)流程將與整車開發(fā)流程進行融合，參考基于全生命周期的數(shù)據(jù)安全進行參考，將簡單介紹整車開發(fā)流程以及全生命周期的數(shù)據(jù)安全流程。

汽車整車開發(fā)流程概覽

一般而言，汽車整車開發(fā)流程遵循”V”字型正向開發(fā)邏輯，需要定義整車開發(fā)各階段關(guān)鍵活動，并明確相應的時間節(jié)點及交付物，整體來說共分為五個階段，具體階段如圖1整車開發(fā)流程簡圖：

圖1. 汽車整車開發(fā)流程階段

資料來源：《數(shù)據(jù)資產(chǎn)全生命周期安全管理》--倪文靜，胡震（中國院刊電子出版社）

1）規(guī)劃階段：基于商業(yè)化調(diào)研以及市場定位，按照企業(yè)自身實力，確定具體需要開發(fā)的車型構(gòu)想，明確相應的配置清單，主要尺寸，合規(guī)需求，整車目標等車型開發(fā)所需條件。

2）概念階段：按照車型規(guī)劃的要求，啟動具體的車型技術(shù)需求定義，包括功能開發(fā)，系統(tǒng)開發(fā)，屬性定義，驗證策略定義和電子電氣架構(gòu)開發(fā)等，為車型各項技術(shù)方案開發(fā)提供技術(shù)輸入。

3）開發(fā)階段：按照概念階段輸入的高層級需求，開始進行零部件選型以零部件開發(fā)，包括機械開發(fā)和軟件開發(fā)，整車開發(fā)各層級所對應的測試驗證，比如整車級驗證，同時也會進行造型凍結(jié)。

4）生產(chǎn)階段：車型產(chǎn)品研發(fā)之后，產(chǎn)品進入生產(chǎn)階段，工裝樣車確認生產(chǎn)工藝裝配的可行性，試生產(chǎn)和小批量檢驗生產(chǎn)線的生產(chǎn)能力，爬坡量產(chǎn)到SOP，此階段的重點是考驗生產(chǎn)線的能力。

5）運營階段：在傳統(tǒng)的汽車工業(yè)里，運營階段主要負責車型的售后處理，從網(wǎng)絡安全的領(lǐng)域，運營階段也包括安全運營，應急響應和漏洞管理，軟件更新等工作。

汽車零部件的數(shù)量眾多，電子控制單元在100~150個左右， 整車研發(fā)的周期較長，汽車供應鏈上下游玩家眾多，同時隨著自動駕駛和網(wǎng)聯(lián)功能技術(shù)的發(fā)展，信息數(shù)據(jù)和個人信息交互增多，一方面網(wǎng)絡安全和數(shù)據(jù)安全，個人信息保護的問題也日益增多，此外汽車本身的復雜性，導致安全防護和個人信息保護也日趨復雜，單點技術(shù)方案無法解決系統(tǒng)問題，此時更需要結(jié)構(gòu)的化的流程進行整車層級的數(shù)據(jù)梳理。

基于全生命周期的數(shù)據(jù)安全

在《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》，首先便對汽車領(lǐng)域內(nèi)有關(guān)數(shù)據(jù)的重要名詞進行界定，其中包括“汽車數(shù)據(jù)”、“個人信息”、“敏感個人信息”、“重要數(shù)據(jù)”等，明確定義“個人信息”和“敏感個人信息”。

根據(jù)《若干規(guī)定》第三條的規(guī)定，所謂汽車數(shù)據(jù)，即“包括汽車設(shè)計、生產(chǎn)、銷售、使用、運維等過程中的涉及個人信息數(shù)據(jù)和重要數(shù)據(jù)”。這說明并不是汽車設(shè)計、生產(chǎn)、銷售、使用、運維等過程中的所有數(shù)據(jù)都被劃入了汽車數(shù)據(jù)的范疇，而僅僅是其中的個人信息數(shù)據(jù)和重要數(shù)據(jù)。

此處暫且將隱私與敏感個人信息數(shù)據(jù)等同，在深入介紹介紹隱私分析流程之前，有必要對基于全生命周期的數(shù)據(jù)安全流程做簡單的介紹。

圖2. 汽車生命周期各階段安全

資料來源：《數(shù)據(jù)資產(chǎn)全生命周期安全管理》--倪文靜，胡震（中國院刊電子出版社）

（一）數(shù)據(jù)采集階段

采集階段，首先要明確采集規(guī)范，制定采集策略，完善數(shù)據(jù)采集風險評估以及保證數(shù)據(jù)采集的合規(guī)合法性。數(shù)據(jù)采集規(guī)范中要明確數(shù)據(jù)采集的目的、用途、方式、范圍、采集源、采集渠道等內(nèi)容，并對數(shù)據(jù)來源進行源鑒別和記錄。制定明確的采集策略，只采集經(jīng)過授權(quán)的數(shù)據(jù)并進行日志記錄。對數(shù)據(jù)采集過程中的風險項進行定義，形成數(shù)據(jù)采集風險評估規(guī)范。數(shù)據(jù)采集全過程需要符合相關(guān)法律法規(guī)和監(jiān)管要求，做到合規(guī)合法的采集。

（二）數(shù)據(jù)傳輸安全

數(shù)據(jù)傳輸階段，采用合適的加密算法對數(shù)據(jù)進行加密傳輸，其中用到的對稱加密算法主要是對稱和非對稱算法，采用加密、簽名、鑒別和認證等機制對傳輸中的數(shù)據(jù)進行安全管理。

（三）數(shù)據(jù)存儲安全

數(shù)據(jù)存儲階段，制定存儲介質(zhì)標準和存儲系統(tǒng)的安全防護重要標準。存儲介質(zhì)標準需要覆蓋存儲介質(zhì)的定義、質(zhì)量、存儲介質(zhì)的收發(fā)運輸、存儲介質(zhì)的使用記錄及管理、存儲介質(zhì)的維修規(guī)范。對存儲系統(tǒng)的安全防護，需要包括數(shù)據(jù)備份、歸檔和恢復以及對存儲系統(tǒng)弱點的識別及維護。

（四）數(shù)據(jù)處理安全

數(shù)據(jù)處理應該遵循合規(guī)、最小授權(quán)、可審計原則，對數(shù)據(jù)處理結(jié)果進行風險評估，確保分布式處理，數(shù)據(jù)分析，數(shù)據(jù)加密，數(shù)據(jù)脫敏和數(shù)據(jù)溯源的安全。

（五）數(shù)據(jù)交換安全

數(shù)據(jù)交換和共享安全階段，需建立數(shù)據(jù)交換和共享審核流程和監(jiān)管平臺。建立數(shù)據(jù)導入導出的流程化規(guī)范，統(tǒng)一權(quán)限管理和流程審批以及監(jiān)控審計，以確保數(shù)據(jù)對于數(shù)據(jù)共享的所有操作和行為進行日志記錄，并對高危行為進行風險識別和管控。

（六）數(shù)據(jù)銷毀安全

結(jié)合場景保障銷毀技術(shù)的多樣化。針對不同的存儲介質(zhì)和設(shè)備有其不可逆的銷毀技術(shù)及流程，實現(xiàn)針對磁盤、光盤各類數(shù)據(jù)存儲介質(zhì)的不同銷毀技術(shù)及流程，建立銷毀監(jiān)察機制，嚴防數(shù)據(jù)銷毀階段可能出現(xiàn)的數(shù)據(jù)泄露問題。

基于全生命周期的數(shù)據(jù)安全各階段邏輯同樣適用于汽車數(shù)據(jù)安全，GB/T 《智能網(wǎng)聯(lián)汽車 數(shù)據(jù)通用要求（征求意見稿）》提到個人信息保護和重要數(shù)據(jù)要求，依然包括收集、存儲、使用、傳輸、刪除五個階段，此外還有個人信息處理通用要求，個人同意的取得，個人信息出境以及處理記錄的要求。

GB/T 《智能網(wǎng)聯(lián)汽車 數(shù)據(jù)通用要求（征求意見稿）》對個人信息和重要數(shù)據(jù)各階段直接提出了要求，比如針對個人信息收集，標準提到汽車數(shù)據(jù)處理者應根據(jù)所提供功能服務對數(shù)據(jù)精度的要求確定攝像頭，雷達等的覆蓋范圍、分辨率。

除了標準直接的技術(shù)要求之外，整車功能服務以及個人信息在整車流轉(zhuǎn)所涉及到零部件眾多，此時有效識別《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》提到的敏感個人信息，并進行針對性的處理，并通過流程化，結(jié)構(gòu)化的方式，將隱私分析嵌入到整車研發(fā)過程中是業(yè)界亟待解決的問題。

整車隱私開發(fā)流程

汽車智能化和網(wǎng)聯(lián)化除了帶來用戶體驗的提升，同時也會導致汽車本身系統(tǒng)的復雜和海量的數(shù)據(jù)交互，其中在考慮隱私分析時，不僅僅是圍繞隱私各個方面，還應當考慮以下問題：

1）隱私意識：汽車智能網(wǎng)聯(lián)技術(shù)發(fā)展，導致涉及到個人信息和敏感個人信息信息量增多，此外是隱私防護又會提升汽車本身的復雜性，此時隱私意識顯得尤為重要，落實隱私防護的基礎(chǔ)，需要重視隱私意識的主體包括車輛制造商及相關(guān)的工程師以及用戶，他們需要識別隱私問題的影響，并在研發(fā)和使用過程中，引起高度的重視。

2）整體視野：在引入隱私概念時要盡可能考慮到隱私所涉及到的范圍，盡管在標準要求和執(zhí)行層面聚焦在單點的隱私防護技術(shù)上，但考慮全范圍的隱私問題有助于提升隱私防護。局部的隱私方案落實，隨著隱私信息范圍的擴大，可能會導致原先的隱私防護措施失效，因此將車作為整體考慮可以發(fā)現(xiàn)新的隱私威脅。此外，還要考慮不同的隱私數(shù)據(jù)類型，除了車聯(lián)網(wǎng)數(shù)據(jù)之外，還要考慮位置信息，最好是相關(guān)數(shù)據(jù)類型進行逐一分析，比如診斷數(shù)據(jù)，傳感器數(shù)據(jù)等。

3）隱私預防：在隱私保護理念方面，應以預防為主，積極采取措施提前響應，避免隱私問題爆發(fā)之后才處理，這樣也就不需要駕駛員交互處理，減少了駕駛員的注意力分散。通過技術(shù)實現(xiàn)和流程化的方式預防處理，盡可能的減少對駕駛員注意力的分散。

4）整車開發(fā)技術(shù)要求：由于整車開發(fā)流程復雜，需求和約束條件也多，由此也會對隱私概念造成影響，在整車開發(fā)過程中需要考慮合規(guī)需求，車輛功能開發(fā)，以及安全性的要求，在設(shè)計隱私概念的同時，也需要考慮車輛架構(gòu)技術(shù)特征，以便更好的實現(xiàn)隱私防護。

5）整車開發(fā)流程：一般而言，整車開發(fā)流程分為三個階段開發(fā)階段、生產(chǎn)階段、后生產(chǎn)階段。每個階段都有不同的特點，在開發(fā)階段主要是做概念和架構(gòu)設(shè)計，定義零部件規(guī)范，此時對于隱私分析也需要考慮這方面的內(nèi)容，在生產(chǎn)階段，涉及到生產(chǎn)安裝，此時隱私方案已經(jīng)落地，在后生產(chǎn)階段主要涉及到汽車的運維，在這個階段也有可能引入新的隱私威脅，需要持續(xù)監(jiān)控隱私相關(guān)的問題。

以上作為隱私開發(fā)流程需要考慮的前提，避免單點隱私方案落實的片面，不足以系統(tǒng)性的應對隱私威脅。本篇所介紹的整車隱私開發(fā)流程主要集中在整車產(chǎn)品開發(fā)階段，在整車開發(fā)約束條件與隱私保護措施中取得平衡。其它階段的隱私保護可以重點參考前面介紹到的全生命周期數(shù)據(jù)安全的技術(shù)要求。

基于開發(fā)階段的隱私分析方法整體來說，包括四個階段數(shù)據(jù)采集、數(shù)據(jù)建模、隱私評估和隱私設(shè)計，具體交互如圖3所示：

資料來源：Naim Asaj 《ProTACD: A Generic Privacy Process for Vehicle Development》

（一）數(shù)據(jù)采集

由于智能網(wǎng)聯(lián)相關(guān)的功能增多，導致在數(shù)據(jù)采集和處理階段的場景更加復雜，數(shù)據(jù)采集也是隱私分析的非常重要的基礎(chǔ)。除了考慮重要的單一類型的數(shù)據(jù)類型，比如位置隱私數(shù)據(jù)之外，還應考慮車輛不同的功能域，或者不同的分類，可以通過收集和分析不同的技術(shù)文檔，提煉出隱私相關(guān)的數(shù)據(jù)。

在車輛的設(shè)計階段，數(shù)據(jù)采集主要來自車輛功能和架構(gòu)規(guī)范，還有具體的零部件技術(shù)規(guī)范。在這個階段所涉及到的個人信息尚不明確，可以基于隱私默認的原則，比如數(shù)據(jù)最小化原則，去標識化，保持數(shù)據(jù)處理透明度等原則，提出高層級的隱私防護需求。通過相應的技術(shù)手段實現(xiàn)數(shù)據(jù)最小化，這樣有利于降低敏感數(shù)據(jù)的隱私影響。

基于整體的數(shù)據(jù)視角可以從不同角度考慮，比如具體抽象層的數(shù)據(jù)，或者垂直考慮不同的子系統(tǒng)內(nèi)容，不管是從功能入手，細分到各個子功能，還是基于不同的系統(tǒng)，要盡可能覆蓋到整體的數(shù)據(jù)類型?？傊覀冃枰紤]不同的數(shù)據(jù)類型。

按照數(shù)據(jù)安全推進計劃在2022年發(fā)布的《智能網(wǎng)聯(lián)汽車數(shù)據(jù)分類分級實踐指南》，指南中提到的數(shù)據(jù)類型可以按照車、人、路、云四類數(shù)據(jù)劃分。

車端數(shù)據(jù)：包含基本數(shù)據(jù)類、感知數(shù)據(jù)類、決策數(shù)據(jù)類、運行數(shù)據(jù)類、控制數(shù)據(jù)類

用戶數(shù)據(jù)：包含用戶身份證明信息類、用戶服務相關(guān)信息類、用戶其他相關(guān)信息。

路端數(shù)據(jù)：包含基本信息類、感知數(shù)據(jù)類、融合計算類、應用服務類、運行狀態(tài)數(shù)據(jù)類、地圖數(shù)據(jù)類、交通大數(shù)據(jù)

云端數(shù)據(jù)：基本信息類、控制數(shù)據(jù)類、網(wǎng)絡監(jiān)測數(shù)據(jù)類、生活服務類、車輛服務類、應用服務類、用戶服務內(nèi)容信息類、車輛銷售數(shù)據(jù)類。

在數(shù)據(jù)采集階段，按照數(shù)據(jù)類型分類收集，然后識別出對應的隱私信息。

（二）數(shù)據(jù)建模

在數(shù)據(jù)采集完成之后，由于涉及到的數(shù)據(jù)類型較多，此次是需要進行數(shù)據(jù)建模，以結(jié)構(gòu)化的形式整理收集到的數(shù)據(jù)，可以通過數(shù)據(jù)流圖的方式進行數(shù)據(jù)建模。比如數(shù)據(jù)來源，數(shù)據(jù)傳輸，數(shù)據(jù)處理，再到數(shù)據(jù)的存儲。如果按照整車架構(gòu)劃分，按照不同功能域進行劃分，基于執(zhí)行功能對應的零部件繪制數(shù)據(jù)流圖，理清隱私數(shù)據(jù)多對應的ECU和通信協(xié)議。數(shù)據(jù)建模有兩方面的作用，為隱私分析提供數(shù)據(jù)平臺基礎(chǔ)，同時也方便未來的隱私方案部署。

在數(shù)據(jù)建模方面也可以考慮另外一種方法，基于車輛身份標識圖的方式考慮，具體邏輯如下圖所示。

圖4.基于車輛身份的標識圖

資料來源：Naim Asaj 《Towards an Identity-based Data Model for an Automotive Privacy Process》

在基于車輛身份的標識圖里標識主要分為五個層級，原子標識、提煉標識、聯(lián)合標識、部分標識、車輛標識和個人標識，從真實標識數(shù)據(jù)入手，通過自下而上的數(shù)據(jù)推演出相應的車輛數(shù)據(jù)和隱私信息，具體定義如下：

原子標識：在車輛系統(tǒng)是不可再拆分且單一的元數(shù)據(jù)，而且真實存在，比如VIN碼

提煉標識：這種元素是一種特殊的節(jié)點化身，它定義了從原子標識符中提取語義信息。它可以被視為原子標識符的語義子集。通常，原子標識符可以包含更多信息，其中必須將此信息拆分為單獨的元素。通過原子標識數(shù)據(jù)進行拆解，推導出更多的語義信息，比如VIN碼可以讀出世界代碼、車輛屬性和車型的年限。

聯(lián)合標識：它屬于邏輯標識，并非真實存在，可以通過兩個原子數(shù)據(jù)組合構(gòu)成標識，推導出進一步的信息。

部分標識：關(guān)于特定的汽車特性，部分標識代表了汽車部分功能域，比如網(wǎng)聯(lián)域，由于基于標識的數(shù)據(jù)模型處于動態(tài)變化中，可以通過部分標識推導出更大范圍的數(shù)據(jù)標識。

車輛標識：與車輛相關(guān)的所有標識集合，區(qū)別單點的VIN碼

個人標識：一組與特定個人（駕駛員或者乘客）相關(guān)的個人身份識別信息。同時可以通過將個人信息與車輛標識符一起使用部分標識。

通過數(shù)據(jù)建模的方式可以構(gòu)建出各個原子數(shù)據(jù)之間的聯(lián)系，通過演繹的方式推導出敏感個人信息，通過此種方式可以對整車的數(shù)據(jù)進行系統(tǒng)的建模，為進一步的隱私評估提供參考。

（三）隱私評估

隱私評估階段的主要目的是識別相應的隱私威脅，同時選擇并評估隱私方案的有效性。本階段可以采用基于LINDDUN威脅模型建模，然后基于固定場景進行分析。在《智能網(wǎng)聯(lián)汽車網(wǎng)絡安全與數(shù)據(jù)安全發(fā)展報告（2022）》B.4 智能網(wǎng)聯(lián)汽車隱私保護發(fā)展動態(tài)有詳細的介紹，在這里對每個階段做簡單的描述。

圖5. 隱私評估流程圖

資料來源：Mina Deng 《A privacy threat analysis framework: supporting the elicitation and fulfillment of privacy requirements》

1）數(shù)據(jù)流圖(DFD)的創(chuàng)建：按數(shù)據(jù)流向繪制數(shù)據(jù)流圖，主要考慮數(shù)據(jù)實體、處理單元、數(shù)據(jù)存儲和數(shù)據(jù)流四大要素。

2）隱私威脅與數(shù)據(jù)流圖映射關(guān)系：

圖6. 隱私威脅與數(shù)據(jù)流圖映射關(guān)系

資料來源：Mina Deng 《A privacy threat analysis framework: supporting the elicitation and fulfillment of privacy requirements》

3）基于威脅樹的隱私威脅細化：按照不同的資產(chǎn)類型與威脅類別進行對應，然后再具體細化隱私所對應的威脅內(nèi)容。

4）風險評估：對識別的威脅進行優(yōu)先級排序，然后參考對個人權(quán)益影響程度，劃分不同的等級，可以參考《智能網(wǎng)聯(lián)汽車數(shù)據(jù)分類分級指南》中數(shù)據(jù)分級的思路，將風險分為一般危害、嚴重危害、特別嚴重危害、對公共利益造成嚴重危害四個等級進行劃分。

5）提煉隱私需求：通過風險評估確定相應的安全風險之后，針對風險所對應的場景進行需求提煉。一般對應的是LINDDUN模型對匹配的隱私目標進行需求定義。

（四）隱私設(shè)計

在需求定義清楚之后，開始進行隱私方案設(shè)計，一般而言，隱私設(shè)計方案是一系列要素的組合，包括增強型隱私防護技術(shù)，車輛約束條件，比如車輛技術(shù)需求，生命周期不同階段的工作特點，特殊的車輛隱私防護形式?；谡嚬δ芩治龀鰜淼碾[私設(shè)計方案，由于具有一定的普適性，無法適用于特定的車輛，需要結(jié)合整車的實際合理采用，也就是說基于此流程得出的隱私方案只是技術(shù)層面的隱私防護參考，還需要考慮實際的項目需求。

在具體車型的設(shè)計隱私方案過程所得到的隱私設(shè)計并不是固定的隱私方案，允許調(diào)整和優(yōu)化隱私方案，也可以通過仿真的方式減少隱私方案的錯誤使用，在持續(xù)迭代的過程實現(xiàn)隱私方案的優(yōu)化。

（五）隱私方案開發(fā)

具體的隱私方案開發(fā)如圖1所示包括四個方面,隱私方案，隱私工具，隱私策略和車輛架構(gòu)。隱私方案包括技術(shù)實現(xiàn)概念，對應的隱私評估結(jié)果和隱私特點。由于隱私方案的部署并不能直接使用，我們要用軟件工具將不同的隱私方案文檔化存儲下來。通過隱私流程的引入變相的影響到了整車開發(fā)流程，由此帶來的新信息也可以作為隱私方案的輸入反饋，為優(yōu)化隱私方案提供流程機制的保障。

本章節(jié)詳細介紹基于開發(fā)階段的隱私分析流程四個階段，數(shù)據(jù)采集、數(shù)據(jù)建模、隱私評估和隱私設(shè)計，通過整車數(shù)據(jù)交互迭代，以及與整車開發(fā)流程的匹配，完成了基于整車開發(fā)階段流程設(shè)計的構(gòu)想，為業(yè)界做隱私流程開發(fā)提供了參考。

智能網(wǎng)聯(lián)汽車隱私開發(fā)挑戰(zhàn)與展望

隨著《個人信息保護法》、《數(shù)據(jù)安全法》、《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》等法律法規(guī)的發(fā)布，個人信息保護與數(shù)據(jù)安全的問題逐漸受到行業(yè)的重視，但是汽車行業(yè)如何在實際工作中如何有效且系統(tǒng)的應對合規(guī)需求，目前尚無明確的標準指導和行業(yè)共識。目前業(yè)界普遍關(guān)注在數(shù)據(jù)安全方面，隱私保護屬于個人信息與數(shù)據(jù)安全交叉的部分，更加的滯后，那么數(shù)據(jù)安全目前存在以下挑戰(zhàn)，對于隱私保護依然是適用的。

（一）數(shù)據(jù)資產(chǎn)梳理不清晰

隨著智能網(wǎng)聯(lián)汽車業(yè)務快速發(fā)展，業(yè)務運行過程中衍生的汽車數(shù)據(jù)往往體量大、數(shù)據(jù)類型繁多、應用場景復雜。對于企業(yè)來說，梳理數(shù)據(jù)類型，應用場景面臨巨大的挑戰(zhàn)。

（二）數(shù)據(jù)使用流轉(zhuǎn)不明

由于車聯(lián)網(wǎng)之后構(gòu)建成完整的車聯(lián)網(wǎng)生態(tài)系統(tǒng)，智能網(wǎng)聯(lián)汽車數(shù)據(jù)是從何而來、經(jīng)于何地、存于何處、這些散布在車、路、云、網(wǎng)的汽車數(shù)據(jù)使用流向不明，對于數(shù)據(jù)的流轉(zhuǎn)路徑、數(shù)據(jù)流轉(zhuǎn)具體字段、數(shù)據(jù)流轉(zhuǎn)量級、數(shù)據(jù)流轉(zhuǎn)的接口等，無法進行有效的識別和監(jiān)控，對于整個數(shù)據(jù)安全與隱私保護的處置造成了挑戰(zhàn)。

（三）數(shù)據(jù)風險監(jiān)測不準

以往技術(shù)聚焦在靜態(tài)單點的數(shù)據(jù)風險監(jiān)測，無法應對日趨復雜的車聯(lián)網(wǎng)生態(tài)系統(tǒng)，導致數(shù)據(jù)風險監(jiān)測不準。

（四）數(shù)據(jù)安全防護不足

業(yè)內(nèi)對于數(shù)據(jù)安全尚未形成成熟的解決方案，盡管企業(yè)積累了大量的車聯(lián)網(wǎng)數(shù)據(jù)，但由于數(shù)據(jù)量大、類型繁多、分布廣泛，企業(yè)在開展數(shù)據(jù)分類分級工作時，需要多方參與，人力成本高，周期長，見效慢。

（五）審計溯源能力不足

在智能網(wǎng)聯(lián)汽車數(shù)據(jù)使用和流轉(zhuǎn)過程中，涉及車、路、云、網(wǎng)、端等各種各樣的賬號、應用、數(shù)據(jù)庫和數(shù)據(jù)等重要對象，傳統(tǒng)技術(shù)難以應對智能網(wǎng)聯(lián)汽車數(shù)據(jù)重要對象進行關(guān)聯(lián)審計。一般所獲取的部分對象的日志信息，無法形成鏈路級關(guān)聯(lián)審計。

企業(yè)該如何應對以上數(shù)據(jù)安全與個人信息保護的挑戰(zhàn)，這是需要業(yè)界共同應對的方向。那么從個人角度，有如下建議：

1）加快數(shù)據(jù)安全與隱私保護相關(guān)的標準制定

盡管目前有法規(guī)出臺，在汽車領(lǐng)域有《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》，但企業(yè)不知道該如何實施，一方面標準制定部門加大投入，另外一方面鼓勵企業(yè)建立數(shù)據(jù)安全與隱私保護流程規(guī)范，整體來說要通過政府監(jiān)管和行業(yè)聯(lián)盟推動各項標準的制定。

2）提高企業(yè)對數(shù)據(jù)安全與隱私保護的意識

安全和隱私是需要全員參與的工作，尤其是在車輛制造商及其上下游，將數(shù)據(jù)安全與隱私保護的意識導入到日常工作?？梢酝ㄟ^活動宣傳，流程制定，領(lǐng)導參與監(jiān)管的方式，提升整體的安全意識。

3）加強數(shù)據(jù)安全與個人隱私信息保護的監(jiān)管

合規(guī)驅(qū)動的數(shù)據(jù)安全與個人信息保護需要通過自上而下的方式加強監(jiān)管，通過進一步細化法規(guī)要求，制定相應的標準內(nèi)容，積極引導行業(yè)在數(shù)據(jù)安全與個人信息保護的發(fā)展，同時也要加強各部門的監(jiān)管，將法規(guī)所要求的內(nèi)容真正落實到產(chǎn)品方案。

本文節(jié)選自《智能網(wǎng)聯(lián)汽車網(wǎng)絡安全與數(shù)據(jù)安全發(fā)展報告（2023）》B.21

審核編輯：湯梓紅