智能汽車數據大爆發，如何安全合規地挖掘數據價值？

　　今天的智能汽車，已經成為一個移動的數字節點，通過車身攝像頭、傳感器以及車內服務交互等方式，一輛智能汽車每天可產生10TB級的數據。這些數據，也成為了車企寶貴的數字資產。

　　車企開始通過上云，將海量的數據進行云端存儲、處理、分析和訓練，深度挖掘數據價值，希望通過數據價值的挖掘，去尋找新的收益增值空間。基于云，車企逐步建立起從產研到營銷全鏈條的數據通路，打破各個環節的數據孤島，一方面通過精確的數據作為參考，來優化研發、制造、營銷、服務全產業鏈的運營效率，另一方面，通過數據分析進一步拓展新的增值服務和商業模式。

　　數據驅動也帶來汽車產業用云量大增，據統計，2020年我國汽車云市場交易規模已經達到1180億元，并有望在2025年突破兩千億。

　　隨著汽車數據規模壯大，汽車數據處理能力的增強，汽車數據安全問題和風險隱患也日益突出。數據的收集、存儲和處理都有極為嚴格的規范，特別是去年《汽車數據安全管理若干規定（試行）》和《個人信息保護法》的相繼出臺，對汽車產業的數據使用提出了更為明確的規范和要求。如何在自主可控、合規安全的背景下，高效的利用好海量數據，成為車企數字化轉型的關鍵難題。

　　數據安全法新規下，對海量數據存儲和管理提出新要求

　　《汽車數據安全管理若干規定（試行）》和《個人信息保護法》的適時出臺，從政策法規層面為汽車數據安全保護提出要求，為有序開展汽車領域重要數據和個人信息保護工作指明了方向。

　　《若干規定》明確了受保護的信息范圍，汽車數據包括了汽車設計、生產、銷售、使用、運維等過程中的涉及個人信息數據和重要數據，汽車數據處理包括汽車數據的收集、存儲、使用、加工、傳輸、提供、公開等。

　　首先，要對數據進行合理分類。在收集數據時進行分類分型，針對不同的類型利用手段去處理數據。騰訊安全策略發展中心總經理呂一平認為，需要關注三類重要的數據。第一種，是汽車研發過程中車輛狀態的相關數據,這一類數據一直被車企所收集,并留作自用。第二種，與用戶相關的隱私數據,當前國家有明確的法律法規要求車企對這類數據進行保護,并對不同的使用場景,對數據要進行明確的分類分級,并依據法規使用用戶隱私相關數據。第三種，敏感數據的使用,比如傳感器收集到的地理位置數據、高精度地圖數據,這一塊主要涉到國安部分,是車企需要非常關注的點。數據分類分級之后,則是數據的合規使用問題。

　　其次，要針對不同類型的數據，遵循合理的處理原則。《若干規定》倡導汽車數據處理者在開展汽車數據處理活動中堅持四項原則：一、車內處理原則（除非確有必要不向車外提供）；二、默認不收集原則（除非駕駛人自主設定，每次駕駛時默認設定為不收集狀態；三、精度范圍適用原則（根據所提供功能服務對數據精度的要求確定攝像頭、雷達等的覆蓋范圍、分辨率）；四、脫敏處理原則（盡可能進行匿名化、去標識化等處理）。

　　上海帆一尚行科技有限公司網絡安全總監、上汽騰訊網絡安全聯合實驗室負責人陳寧表示:“如果車企能夠建立起針對網絡安全問題的 48 小時之內的安全補丁或修復能力，這將是未來車企很大的競爭力。”

　　中國汽車工業協會秘書長助理兼技術部部長王耀表示：“未來智能網聯汽車產業鏈各環節之間必然會通過自采或數據交互等方式來獲取相關各類數據，如何構建智能網聯汽車產業數據安全監管體系，以保障數據交互過程中的產業安全，如何建設安全、健康、可持續發展的汽車產業數據生態將是汽車產業必須解決的重要課題。”

　　“黑客”進攻汽車領域，如何構筑云上安全防線

　　數據的合規處理利用，還處在一個初步規范階段，需要進一步制定行業細則標準。與此同時，車企還要打好很多地基工作，如云上的邊界防護、安全監測、網絡安全的漏洞或者網絡安全響應的能力等，實時防范網絡安全風險，預防數據安全隱患。

　　在過去5年時間里，智能汽車被黑客攻擊的次數增長了20倍，工信部網絡安全管理局曾披露，2020年1-9月，針對整車企業車聯網信息服務提供商等相關企業和平臺的惡意攻擊達280余萬次。并且工信部在一項調研中發現，85%的關鍵部件存在安全漏洞，近六成企業缺乏自動化網絡安全檢測響應能力。

　　隨著汽車上云，汽車物理邊界逐漸被打破，如果被別有用心的黑客入侵到客戶的車上，方向盤、剎車、油門等關鍵設施被控制，這無疑是極大的危險隱患。前不久，德國19歲少年大衛利用特斯拉的第三方軟件漏洞，同時控制了13個國家的25多輛特斯拉汽車打開車窗、無鑰匙駕駛等，并及時公開發帖公布這一漏洞。

　　國內還有很多像大衛這樣不斷探索汽車存在安全漏洞，幫助車企完善數據安全建設的“白帽子”團隊。如騰訊科恩實驗室，在寶馬多款車型中發現了14個安全漏洞，隨后向寶馬報告了這些問題；還曾以“遠程無物理接觸”的方式成功入侵了特斯拉汽車，實現遠程控制剎車、車門、后備箱等，甚至通過獲取“Autopilot”的控制權實現了第三方遙控裝置對車輛行駛方向的操控。

　　“安全”一直是汽車行業高度關注的領域，過去車企在功能安全方面和研發的投入和體系建設非常完備。如今車企數字化逐漸深入，迎來的是汽車智能網絡安全和數據安全風險和挑戰，這和汽車所謂的功能安全不同，它的邊界相對模糊，沒有絕對的安全，對于車企來說這是一個相對比較新的領域，這就需要與一些網絡安全企業合作，優勢互補，為汽車安全打造堅實的護城河。

　　例如，上汽與騰訊成立了聯合安全實驗室，在智能網聯汽車的網絡安全規范、攻防技術安全運營等多個領域開展深度合作，攜手打造集車輛安全，云安全等多個領域于一體的“網絡安全底座”。在數據安全治理和數據分類分級的基礎上，針對數據全生命周期各個階段，實施數據可信接入、數據加密、數據脫敏、認證授權、數據操作審計等措施，確保數據可見、可控、可管，為車企業務的穩定可靠運行保駕護航。

　　上汽騰訊網絡安全聯合實驗室負責人陳寧表示，上汽從云端到車端的通訊鏈路,用加密方法進行了加密,確保上汽的鏈路不會被截斷或者被中間人截取掉。同時,上汽也對車與車之間進行傳輸的信息給予加密保護,保證數據的安全性和唯一性。在車輛交付之后,上汽也會建立相關的防御措施,比如網關或者 IDPS 等,通過它將車輛相關的模塊或者相關的服務隔開,確保車輛在行駛過程中關鍵通信和關鍵指令不會被人惡意篡改掉。

　　智能汽車大數據時代,應當安全先行。一方面要打好安全地基，建設完畢的網絡安全體系，實時防范網絡攻擊、數據泄漏帶來的安全風險。另一方面需要進一步建立數據安全標準規范，更加合理、規范的利用和管理數據資產。

　　附相關安全法規參考：

　　1.2022年3月7日，工信部印發《車聯網網絡安全和數據安全標準體系建設指南》

　　2.2021年8月20日，國家互聯網信息辦審議通過《汽車數據安全管理若干規定（試行）》《個人信息保護法》，國家發展和改革委員會、工業和信息化部、公安部、交通運輸部同意，現予公布，自2021年10月1日起施行

　　3.2021年8月20日,十三屆全國人大常委會第三十次會議表決通過了《中華人民共和國個人信息保護法》，于2021年11月1日起施行。