關于智能網聯汽車的數據安全分析及應對措施

【摘要】? ? 隨著智能網聯汽車行業的快速發展，輔助駕駛、自動駕駛、無人駕駛汽車將逐步融入民眾的日常生活。但隨之產生的數據隱私問題、數據使用問題層出不窮。本文，論述了智能網聯汽車關于數據方面的相關數據問題，并從推進立法、加強監管、技術創新、制度保障等方面給出建議，確保數據安全、數據可用，從而保護國家數據安全、車主隱私安全及人身安全。

【關鍵字】? ? 智能網聯汽車? ? 數據保護? ? 隱私

在車輛逐步智能化的今天，車輛產生的各類數據，如車輛傳感器、攝像頭采集的數據，行駛過程中記錄、產生的數據，如何進行數據分類并明確數據權屬？如何防止數據被篡改？哪些政府部門應該監管數據的使用？這些問題，不僅關系到車主切身利益，還將制約智能網聯汽車產業乃至數字經濟產業、國家數字化建設領域的高質量發展。本文主要對智能網聯汽車行業中數據處置相關問題進行了闡述，并從推進立法、加強監管、技術創新、制度保障等四個方面給出了建議。

一、智能網聯汽車的數據存儲、使用過程中存在的問題

1.1車輛數據是否屬于個人數據，車主是否擁有數據的知情權？

發生在2021年4月的特斯拉車主“維權事件”中，車主曾多次向特斯拉索要車輛的行駛數據，但特斯拉拒不提供。后經鄭州市場監督管理局的多次協調，特斯拉向當事車主提供了事故前30分鐘的車輛數據，并將其中1分鐘的數據發送給了媒體。

根據常理，用戶一旦購買了某產品，一般情況下，即擁有該產品有形、無形的所有權和使用權。車主對于自己的車輛行駛所產生的相關數據和信息的應有基本的知情權。同時，監管部門已經明確車主對車輛行數據擁有知情權，但在實際處置過程中，部分智能網聯汽車生產企業（以下簡稱“車企”）可能基于自身利益而以各種理由搪塞車主甚至拒絕提供或者僅提供部分數據。

1.2如何確保行駛數據的真實性、可用性？

根據此次車主“維權事件”中特斯拉的說法，行駛數據是傳回特斯拉自己的數據庫中，然后再從數據庫中抽取出來公布提供給車主及媒體。但是，如何保障車企數據庫中的數據是從汽車實時獲取并傳回到車企的數據庫，并且保障在傳遞過程中的數據真實性？目前，從特斯拉數據流轉的方式來看，沒有任何機制、技術來確保其提供的汽車相關數據是真實的、原始的、非篡改的。從數據監管的角度來看，這一領域目前是缺失的。

特斯拉公司公布的行駛數據和剎車數據等，是否滿足交通事故判定的需要，是否還應該加入其它的輔助數據？當前，車企之間未形成統一的標準，監管部門暫未制定國家或行業標準規范。

1.3是否存在數據過度采集和存儲現象？

以特斯拉Model 3為例，該車車身四周配備了8個攝像頭，前后共有12處超聲波傳感器，前保險杠還有雷達，構成了特斯拉自動輔助駕駛組件。其中，車內攝像頭可作為“哨兵模式”使用，特斯拉稱該功能有助于全面保障車輛安全，如遇有突發事件將作為直接證據使用。

從市場主要智能網聯汽車來看，特斯拉等車企都存在此類問題：未經車主授意，汽車上以各種名義安裝了采集用戶信息的設備，隨意或者過度收集車主信息甚至隱私。如何界定采集的數據類型、數據范圍、數據時限？車主采集大量的數據，在當前數據權屬未能明確的情況下，車主是否有權調取這類數據？如何調取這類數據？這類數據歸屬于車主還是車企？這些問題均沒有明確的規定，還存在法律上的盲區。

1.4如何對車企采集的數據進行監管，保障數據安全？

車企掌握著大量的數據，包含車主的個人信息、行駛信息、駕駛習慣、常去的位置和車載攝像頭采集的各類視頻數據。通過這些信息足以推斷出個人車主的個人生活習慣及隱私數據;而車企掌握著數以萬計的車輛數據，通過成熟的數據挖掘算法，完全可以推斷出大量的高價值信息。7月初的“滴滴事件”就是給各車企敲響的警鐘。

車企利用掌握的大量原始數據，可對個人、單位的情況進行畫像，獲取重要個人情況。據報道在2019年，滴滴一天能夠處理超4875TB數據，其中超過106TB的軌跡數據，4875TB的綜合數據。一旦數據外泄，將造成嚴重威脅。

二、確保用戶數據安全、真實可用的政策建議

2.1完善立法，保護用戶數據隱私

隨著科技的發展，將會有更多的公司進入智能汽車制造領域，在做到行駛安全、隱私保護、數據可靠的基礎上，還應全力避免車主隱私泄露、數據倒賣等問題的發生。

從宏觀角度出發，全國信息安全標準化技術委員會于4月發布了《信息安全技術網聯汽車采集數據的安全要求（草案）》、國家網信辦于5月發布了《汽車數據安全管理若干規定（征求意見稿）》、工信部于6月發布了《關于加強車聯網（智能網聯汽車）網聯安全工作的通知（征求意見稿）》和《車聯網（智能網聯汽車）網絡安全標準體系建設指南》，從法律層面為智能網聯汽車行業，在數據安全、數據采集、個人隱私保護等方面提供了法律保障。建議應加強頂層設計、優化部門協同、統籌考慮、集中管理、推進多規合一，建立健全法律保障。

從微觀角度分析，對于智能網聯汽車行業，建議發改委、工信部、公安部、交通部、網信辦等部門制定相關標準規范，科學謀劃、系統推進，從產業角度進行分析，對智能網聯汽車產業進行科學規劃，制定行業標準，明確數據共享、數據分析、事故定位等環節。各車企必須在滿足國家標準、行業標準的基礎上，可以再豐富自己品牌的特色數據內容，滿足不同車主定制化的需求。

從數據角度著手，智能網聯汽車所包含的數據包括外部環境數據、車輛數據和用戶駕駛行為及隱私數據等。首先，要對數據進行明確的分級分類，如與交通安全相關的監管類數據、車輛系統及零部件運行數據、用戶隱私數據等;其次，在將數據進行明確界定后，進一步確認各項數據合理的歸屬權，再界定用戶知情權范疇;再次，統籌兼顧當前新技術發展的現狀和社會對行駛數據共享的需要，對于不涉及公眾個人隱私的數據，在法律規定的范圍內、以合理形式進行共享，便于政府用來提升治理能力、車企用來改進車輛系統、民間組織機構用來數據創新。

數據保護應在合理范圍內進行，不應以“數據安全猛于虎”為借口，限制數據共享、數據開放利用。若某個數據安全制度只是增加限制，導致緊急情況下無法開啟預防措施，生命財產受到威脅，那么這種“數據安全”就不是真正的安全。

2.2加強監管，確保數據按需采集、可靠使用

蘋果、華為、百度、阿里巴巴、小米等互聯網企業均宣布進軍智能汽車領域，未來智能汽車制造領域將會有更多的企業進入。建議由相關部門、協會、車企共同參與制定數據備案監管體系和行業標準，保障行駛安全、隱私保護、數據可靠，避免該領域成為隱私泄露、數據倒賣的重災區。

隨著智能網聯技術發展，安全監管除了關注車輛本身也就是傳統機械裝置外，同時也要關注車聯系統控制和系統升級等方面。這將對監管部門的技術能力提出更高的要求，需要涵蓋車聯網全生命周期及車聯網網絡全架構的安全監管，參見車聯網網絡安全架構。

智能聯網汽車產生和采集的各類數據，在真實可信的前提下，首先，要確保數據必須能夠滿足界定事故原因及責任判定等情況的需要，即數據內容、數據格式、數據時間跨度必須滿足事故界定的需求;其次，在保護車主隱私情況下，可為公共管理部門、車主、車企等提供特殊的、定制化的、可擴展的數據服務。

對于數據安全和監管，建議發揮市場機制，以汽車產業協會為主導，政府相關部門、智能網聯車企為主要參與者，構建適應行業發展、保證數據安全、滿足政府有效監管的數據管理體系、監管平臺和行業標準，明確采集方式、數據類型、存儲時長、調用方法等關鍵信息，并保證按需采集和合理使用，以便在安全事故調查中厘清責任，保護車主的生命及財產安全。

2.3增強創新，確保用戶數據真實、有效

1.機制創新。鼓勵建立試點，車企應主動探索“智能汽車”數據保護、使用機制，以政府監管、車企主導的數據保護、運營方式，開展機制優化、政策制度完善、技術創新等，既保障行業長效發展，又保證車主數據安全，形成可推廣、可復制的經驗。

2.技術創新。隨著科技的不斷進步，防篡改手段得以實現。如通過區塊鏈技術，可以建立車輛網數據存儲、監管平臺。在數據收集階段，車主數據被加密傳輸入區塊鏈中，以保障機密性和不可篡改性。在數據承載與處理階段，驗證每一個數據處理應用的可信性，并確保該應用始終處于可信狀態。數據處理結果被加密存入區塊鏈中。在數據分發階段，加密返回區塊鏈中數據處理結果，并同時返回可信審計記錄。

3.手段創新。智能車輛可采用“邊緣計算”等技術，在車輛端進行運算和結果存儲，并將數據保存在汽車的“汽車行駛記錄儀”或“事故數據記錄器EDR”中。若發生事故，可由第三方檢測機構對記錄儀中的數據進行分析。同時，建議汽車生產商開放部分數據接口，具備條件的單位或車主，通過部署私有云、家庭云等方式，將部分數據進行云端備份、保存。

2.4制度保障，建立汽車網絡安全管理制度

車企應當建立健全汽車網絡安全管理制度，依法落實網絡安全等級保護制度要求和車聯網卡實名登記管理要求，明確智能網聯汽車網絡安全責任部門和負責人。智能網聯車的整體系統不僅要具備保障汽車電子電氣系統、組件和功能免受網絡威脅的技術措施，還要具備汽車網絡安全風險監測、網絡安全缺陷和漏洞等發現和處置技術條件，確保車輛及其功能處于被保護的狀態，保障車輛安全行駛。

同時，應完善保障制度。車企應當建立自查制度，發現產品存在數據安全、網絡安全、在線升級安全、駕駛輔助和自動駕駛等嚴重安全問題，應當依法依規立即停止相關汽車的生產、銷售，采取措施進行整改，并及時報告。依法依規落實網絡安全事件報告和處置要求，一旦發現網聯系統被入侵現象，應及時向相關部門報告，依歸處置并告知車主及時進行系統升級，保證車主的行車安全。

三、結束語

當前，我國車聯網產業發展進入快車道，產業規模不斷擴大。目前我國汽車保有量為3.8億輛。其中，智能網聯汽車數量快速增加，預計到2022年，智能網聯汽車預計會超過7800萬輛。

面對如此龐大的新興產業和潛在的各類問題，需要盡快建立數據安全法、智能網聯車行業標準等法律及標準規范，推動數據高效采集、有效互聯、規范使用的行業數據監管體系建設，及時進行科學有效引導，建立行業標準，同時加強技術創新，勇于使用新技術解決實際問題，從而保障行駛安全、隱私保護、數據可靠，切實促進智能網聯汽車行業健康有序發展。

車聯網網絡安全架構圖

對于數據安全和監管，建議發揮市場機制，以汽車產業協會為主導，政府相關部門、智能網聯車企為主要參與者，構建適應行業發展、保證數據安全、滿足政府有效監管的數據管理體系、監管平臺和行業標準，明確采集方式、數據類型、存儲時長、調用方法等關鍵信息，并保證按需采集和合理使用，以便在安全事故調查中厘清責任，保護車主的生命及財產安全。

（三）增強創新，確保用戶數據真實、有效

①機制創新。鼓勵建立試點，車企應主動探索“智能汽車”數據保護、使用機制，以政府監管、車企主導的數據保護、運營方式，開展機制優化、政策制度完善、技術創新等，既保障行業長效發展，又保證車主數據安全，形成可推廣、可復制的經驗。②技術創新。隨著科技的不斷進步，防篡改手段得以實現。如通過區塊鏈技術，可以建立車輛網數據存儲、監管平臺。在數據收集階段，車主數據被加密傳輸入區塊鏈中，以保障機密性和不可篡改性。在數據承載與處理階段，驗證每一個數據處理應用的可信性，并確保該應用始終處于可信狀態。數據處理結果被加密存入區塊鏈中。在數據分發階段，加密返回區塊鏈中數據處理結果，并同時返回可信審計記錄。③手段創新。智能車輛可采用“邊緣計算”等技術，在車輛端進行運算和結果存儲，并將數據保存在汽車的“汽車行駛記錄儀”或“事故數據記錄器EDR”中。若發生事故，可由第三方檢測機構對記錄儀中的數據進行分析。同時，建議汽車生產商開放部分數據接口，具備條件的單位或車主，通過部署私有云、家庭云等方式，將部分數據進行云端備份、保存。

（四）制度保障，建立汽車網絡安全管理制度

車企應當建立健全汽車網絡安全管理制度，依法落實網絡安全等級保護制度要求和車聯網卡實名登記管理要求，明確智能網聯汽車網絡安全責任部門和負責人。智能網聯車的整體系統不僅要具備保障汽車電子電氣系統、組件和功能免受網絡威脅的技術措施，還要具備汽車網絡安全風險監測、網絡安全缺陷和漏洞等發現和處置技術條件，確保車輛及其功能處于被保護的狀態，保障車輛安全行駛。

同時，應完善保障制度。車企應當建立自查制度，發現產品存在數據安全、網絡安全、在線升級安全、駕駛輔助和自動駕駛等嚴重安全問題，應當依法依規立即停止相關汽車的生產、銷售，采取措施進行整改，并及時報告。依法依規落實網絡安全事件報告和處置要求，一旦發現網聯系統被入侵現象，應及時向相關部門報告，依歸處置并告知車主及時進行系統升級，保證車主的行車安全。

三、展望

當前，我國車聯網產業發展進入快車道，產業規模不斷擴大。目前我國汽車保有量為3.8億輛。其中，智能網聯汽車數量快速增加，預計到2022年，智能網聯汽車預計會超過7800萬輛。

面對如此龐大的新興產業和潛在的各類問題，需要盡快建立數據安全法、智能網聯車行業標準等法律及標準規范，推動數據高效采集、有效互聯、規范使用的行業數據監管體系建設，及時進行科學有效引導，建立行業標準，同時加強技術創新，勇于使用新技術解決實際問題，從而保障行駛安全、隱私保護、數據可靠，切實促進智能網聯汽車行業健康有序發展。

參考文獻

[1]何蒲，于戈，張巖峰，鮑玉斌.區塊鏈技術與應用前瞻綜述[J].計算機科學，2017，44（04）：1-7.

[2]沈玲.美歐無人駕駛汽車相關立法的最新進展及對我國的啟示建議[J].現代電信科技，2017，47（03）：13-17.

[3]王達，伍旭川.歐盟《一般數據保護條例》的主要內容及對我國的啟示[J].金融與經濟，2018（04）：78-81.

[4]肖瑤，劉會衡，程曉紅.車聯網關鍵技術及其發展趨勢與挑戰[J].通信技術，2021，54（01）：1-8.

作者信息

焦偉（1983.12--），性別：男，民族：漢，籍貫：河北石家莊，學歷：碩士研究生，職稱：國家信息中心公共技術服務部工程師，研究方向：政務信息系統建設與運維，數據開放與數據安全、網絡運維等。

參? 考? 文? 獻

[1]何蒲，于戈，張巖峰，鮑玉斌.區塊鏈技術與應用前瞻綜述[J].計算機科學，2017，44（04）：1-7.

[2]沈玲.美歐無人駕駛汽車相關立法的最新進展及對我國的啟示建議[J].現代電信科技，2017，47（03）：13-17.

[3]王達，伍旭川.歐盟《一般數據保護條例》的主要內容及對我國的啟示[J].金融與經濟，2018（04）：78-81.

[4]肖瑤，劉會衡，程曉紅.車聯網關鍵技術及其發展趨勢與挑戰[J].通信技術，2021，54（01）：1-8.