智能汽車數(shù)據(jù)大爆發(fā)，如何安全合規(guī)地挖掘數(shù)據(jù)價值？

　　今天的智能汽車，已經(jīng)成為一個移動的數(shù)字節(jié)點，通過車身攝像頭、傳感器以及車內(nèi)服務(wù)交互等方式，一輛智能汽車每天可產(chǎn)生10TB級的數(shù)據(jù)。這些數(shù)據(jù)，也成為了車企寶貴的數(shù)字資產(chǎn)。

　　車企開始通過上云，將海量的數(shù)據(jù)進行云端存儲、處理、分析和訓(xùn)練，深度挖掘數(shù)據(jù)價值，希望通過數(shù)據(jù)價值的挖掘，去尋找新的收益增值空間。基于云，車企逐步建立起從產(chǎn)研到營銷全鏈條的數(shù)據(jù)通路，打破各個環(huán)節(jié)的數(shù)據(jù)孤島，一方面通過精確的數(shù)據(jù)作為參考，來優(yōu)化研發(fā)、制造、營銷、服務(wù)全產(chǎn)業(yè)鏈的運營效率，另一方面，通過數(shù)據(jù)分析進一步拓展新的增值服務(wù)和商業(yè)模式。

　　數(shù)據(jù)驅(qū)動也帶來汽車產(chǎn)業(yè)用云量大增，據(jù)統(tǒng)計，2020年我國汽車云市場交易規(guī)模已經(jīng)達到1180億元，并有望在2025年突破兩千億。

　　隨著汽車數(shù)據(jù)規(guī)模壯大，汽車數(shù)據(jù)處理能力的增強，汽車數(shù)據(jù)安全問題和風(fēng)險隱患也日益突出。數(shù)據(jù)的收集、存儲和處理都有極為嚴格的規(guī)范，特別是去年《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》和《個人信息保護法》的相繼出臺，對汽車產(chǎn)業(yè)的數(shù)據(jù)使用提出了更為明確的規(guī)范和要求。如何在自主可控、合規(guī)安全的背景下，高效的利用好海量數(shù)據(jù)，成為車企數(shù)字化轉(zhuǎn)型的關(guān)鍵難題。

　　數(shù)據(jù)安全法新規(guī)下，對海量數(shù)據(jù)存儲和管理提出新要求

　　《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》和《個人信息保護法》的適時出臺，從政策法規(guī)層面為汽車數(shù)據(jù)安全保護提出要求，為有序開展汽車領(lǐng)域重要數(shù)據(jù)和個人信息保護工作指明了方向。

　　《若干規(guī)定》明確了受保護的信息范圍，汽車數(shù)據(jù)包括了汽車設(shè)計、生產(chǎn)、銷售、使用、運維等過程中的涉及個人信息數(shù)據(jù)和重要數(shù)據(jù)，汽車數(shù)據(jù)處理包括汽車數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等。

　　首先，要對數(shù)據(jù)進行合理分類。在收集數(shù)據(jù)時進行分類分型，針對不同的類型利用手段去處理數(shù)據(jù)。騰訊安全策略發(fā)展中心總經(jīng)理呂一平認為，需要關(guān)注三類重要的數(shù)據(jù)。第一種，是汽車研發(fā)過程中車輛狀態(tài)的相關(guān)數(shù)據(jù),這一類數(shù)據(jù)一直被車企所收集,并留作自用。第二種，與用戶相關(guān)的隱私數(shù)據(jù),當(dāng)前國家有明確的法律法規(guī)要求車企對這類數(shù)據(jù)進行保護,并對不同的使用場景,對數(shù)據(jù)要進行明確的分類分級,并依據(jù)法規(guī)使用用戶隱私相關(guān)數(shù)據(jù)。第三種，敏感數(shù)據(jù)的使用,比如傳感器收集到的地理位置數(shù)據(jù)、高精度地圖數(shù)據(jù),這一塊主要涉到國安部分,是車企需要非常關(guān)注的點。數(shù)據(jù)分類分級之后,則是數(shù)據(jù)的合規(guī)使用問題。

　　其次，要針對不同類型的數(shù)據(jù)，遵循合理的處理原則。《若干規(guī)定》倡導(dǎo)汽車數(shù)據(jù)處理者在開展汽車數(shù)據(jù)處理活動中堅持四項原則：一、車內(nèi)處理原則（除非確有必要不向車外提供）；二、默認不收集原則（除非駕駛?cè)俗灾髟O(shè)定，每次駕駛時默認設(shè)定為不收集狀態(tài)；三、精度范圍適用原則（根據(jù)所提供功能服務(wù)對數(shù)據(jù)精度的要求確定攝像頭、雷達等的覆蓋范圍、分辨率）；四、脫敏處理原則（盡可能進行匿名化、去標識化等處理）。

　　上海帆一尚行科技有限公司網(wǎng)絡(luò)安全總監(jiān)、上汽騰訊網(wǎng)絡(luò)安全聯(lián)合實驗室負責(zé)人陳寧表示:“如果車企能夠建立起針對網(wǎng)絡(luò)安全問題的 48 小時之內(nèi)的安全補丁或修復(fù)能力，這將是未來車企很大的競爭力。”

　　中國汽車工業(yè)協(xié)會秘書長助理兼技術(shù)部部長王耀表示：“未來智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)鏈各環(huán)節(jié)之間必然會通過自采或數(shù)據(jù)交互等方式來獲取相關(guān)各類數(shù)據(jù)，如何構(gòu)建智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)數(shù)據(jù)安全監(jiān)管體系，以保障數(shù)據(jù)交互過程中的產(chǎn)業(yè)安全，如何建設(shè)安全、健康、可持續(xù)發(fā)展的汽車產(chǎn)業(yè)數(shù)據(jù)生態(tài)將是汽車產(chǎn)業(yè)必須解決的重要課題。”

　　“黑客”進攻汽車領(lǐng)域，如何構(gòu)筑云上安全防線

　　數(shù)據(jù)的合規(guī)處理利用，還處在一個初步規(guī)范階段，需要進一步制定行業(yè)細則標準。與此同時，車企還要打好很多地基工作，如云上的邊界防護、安全監(jiān)測、網(wǎng)絡(luò)安全的漏洞或者網(wǎng)絡(luò)安全響應(yīng)的能力等，實時防范網(wǎng)絡(luò)安全風(fēng)險，預(yù)防數(shù)據(jù)安全隱患。

　　在過去5年時間里，智能汽車被黑客攻擊的次數(shù)增長了20倍，工信部網(wǎng)絡(luò)安全管理局曾披露，2020年1-9月，針對整車企業(yè)車聯(lián)網(wǎng)信息服務(wù)提供商等相關(guān)企業(yè)和平臺的惡意攻擊達280余萬次。并且工信部在一項調(diào)研中發(fā)現(xiàn)，85%的關(guān)鍵部件存在安全漏洞，近六成企業(yè)缺乏自動化網(wǎng)絡(luò)安全檢測響應(yīng)能力。

　　隨著汽車上云，汽車物理邊界逐漸被打破，如果被別有用心的黑客入侵到客戶的車上，方向盤、剎車、油門等關(guān)鍵設(shè)施被控制，這無疑是極大的危險隱患。前不久，德國19歲少年大衛(wèi)利用特斯拉的第三方軟件漏洞，同時控制了13個國家的25多輛特斯拉汽車打開車窗、無鑰匙駕駛等，并及時公開發(fā)帖公布這一漏洞。

　　國內(nèi)還有很多像大衛(wèi)這樣不斷探索汽車存在安全漏洞，幫助車企完善數(shù)據(jù)安全建設(shè)的“白帽子”團隊。如騰訊科恩實驗室，在寶馬多款車型中發(fā)現(xiàn)了14個安全漏洞，隨后向?qū)汃R報告了這些問題；還曾以“遠程無物理接觸”的方式成功入侵了特斯拉汽車，實現(xiàn)遠程控制剎車、車門、后備箱等，甚至通過獲取“Autopilot”的控制權(quán)實現(xiàn)了第三方遙控裝置對車輛行駛方向的操控。

　　“安全”一直是汽車行業(yè)高度關(guān)注的領(lǐng)域，過去車企在功能安全方面和研發(fā)的投入和體系建設(shè)非常完備。如今車企數(shù)字化逐漸深入，迎來的是汽車智能網(wǎng)絡(luò)安全和數(shù)據(jù)安全風(fēng)險和挑戰(zhàn)，這和汽車所謂的功能安全不同，它的邊界相對模糊，沒有絕對的安全，對于車企來說這是一個相對比較新的領(lǐng)域，這就需要與一些網(wǎng)絡(luò)安全企業(yè)合作，優(yōu)勢互補，為汽車安全打造堅實的護城河。

　　例如，上汽與騰訊成立了聯(lián)合安全實驗室，在智能網(wǎng)聯(lián)汽車的網(wǎng)絡(luò)安全規(guī)范、攻防技術(shù)安全運營等多個領(lǐng)域開展深度合作，攜手打造集車輛安全，云安全等多個領(lǐng)域于一體的“網(wǎng)絡(luò)安全底座”。在數(shù)據(jù)安全治理和數(shù)據(jù)分類分級的基礎(chǔ)上，針對數(shù)據(jù)全生命周期各個階段，實施數(shù)據(jù)可信接入、數(shù)據(jù)加密、數(shù)據(jù)脫敏、認證授權(quán)、數(shù)據(jù)操作審計等措施，確保數(shù)據(jù)可見、可控、可管，為車企業(yè)務(wù)的穩(wěn)定可靠運行保駕護航。

　　上汽騰訊網(wǎng)絡(luò)安全聯(lián)合實驗室負責(zé)人陳寧表示，上汽從云端到車端的通訊鏈路,用加密方法進行了加密,確保上汽的鏈路不會被截斷或者被中間人截取掉。同時,上汽也對車與車之間進行傳輸?shù)男畔⒔o予加密保護,保證數(shù)據(jù)的安全性和唯一性。在車輛交付之后,上汽也會建立相關(guān)的防御措施,比如網(wǎng)關(guān)或者 IDPS 等,通過它將車輛相關(guān)的模塊或者相關(guān)的服務(wù)隔開,確保車輛在行駛過程中關(guān)鍵通信和關(guān)鍵指令不會被人惡意篡改掉。

　　智能汽車大數(shù)據(jù)時代,應(yīng)當(dāng)安全先行。一方面要打好安全地基，建設(shè)完畢的網(wǎng)絡(luò)安全體系，實時防范網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄漏帶來的安全風(fēng)險。另一方面需要進一步建立數(shù)據(jù)安全標準規(guī)范，更加合理、規(guī)范的利用和管理數(shù)據(jù)資產(chǎn)。

　　附相關(guān)安全法規(guī)參考：

　　1.2022年3月7日，工信部印發(fā)《車聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全標準體系建設(shè)指南》

　　2.2021年8月20日，國家互聯(lián)網(wǎng)信息辦審議通過《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》《個人信息保護法》，國家發(fā)展和改革委員會、工業(yè)和信息化部、公安部、交通運輸部同意，現(xiàn)予公布，自2021年10月1日起施行

　　3.2021年8月20日,十三屆全國人大常委會第三十次會議表決通過了《中華人民共和國個人信息保護法》，于2021年11月1日起施行。