智能汽车数据大爆发，如何安全合规地挖掘数据价值？

今天的智能汽车，已经成为一个移动的数字节点，通过车身摄像头、传感器以及车内服务交互等方式，一辆智能汽车每天可产生10TB级的数据。这些数据，也成为了车企宝贵的数字资产。

车企开始通过上云，将海量的数据进行云端存储、处理、分析和训练，深度挖掘数据价值，希望通过数据价值的挖掘，去寻找新的收益增值空间。基于云，车企逐步建立起从产研到营销全链条的数据通路，打破各个环节的数据孤岛，一方面通过精确的数据作为参考，来优化研发、制造、营销、服务全产业链的运营效率，另一方面，通过数据分析进一步拓展新的增值服务和商业模式。

数据驱动也带来汽车产业用云量大增，据统计，2020年我国汽车云市场交易规模已经达到1180亿元，并有望在2025年突破两千亿。

随着汽车数据规模壮大，汽车数据处理能力的增强，汽车数据安全问题和风险隐患也日益突出。数据的收集、存储和处理都有极为严格的规范，特别是去年《汽车数据安全管理若干规定试行》和《个人信息保护法》的相继出台，对汽车产业的数据使用提出了更为明确的规范和要求。如何在自主可控、合规安全的背景下，高效的利用好海量数据，成为车企数字化转型的关键难题。

数据安全法新规下，对海量数据存储和管理提出新要求

《汽车数据安全管理若干规定试行》和《个人信息保护法》的适时出台，从政策法规层面为汽车数据安全保护提出要求，为有序开展汽车领域重要数据和个人信息保护工作指明了方向。

《若干规定》明确了受保护的信息范围，汽车数据包括了汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据，汽车数据处理包括汽车数据的收集、存储、使用、加工、传输、提供、公开等。

首先，要对数据进行合理分类。在收集数据时进行分类分型，针对不同的类型利用手段去处理数据。腾讯安全策略发展中心总经理吕一平认为，需要关注三类重要的数据。第一种，是汽车研发过程中车辆状态的相关数据,这一类数据一直被车企所收集,并留作自用。第二种，与用户相关的隐私数据,当前国家有明确的法律法规要求车企对这类数据进行保护,并对不同的使用场景,对数据要进行明确的分类分级,并依据法规使用用户隐私相关数据。第三种，敏感数据的使用,比如传感器收集到的地理位置数据、高精度地图数据,这一块主要涉到国安部分,是车企需要非常关注的点。数据分类分级之后,则是数据的合规使用问题。

其次，要针对不同类型的数据，遵循合理的处理原则。《若干规定》倡导汽车数据处理者在开展汽车数据处理活动中坚持四项原则：一、车内处理原则除非确有必要不向车外提供;二、默认不收集原则除非驾驶人自主设定，每次驾驶时默认设定为不收集状态;三、精度范围适用原则根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率;四、脱敏处理原则尽可能进行匿名化、去标识化等处理。

上海帆一尚行科技有限公司网络安全总监、上汽腾讯网络安全联合实验室负责人陈宁表示:“如果车企能够建立起针对网络安全问题的 48 小时之内的安全补丁或修复能力，这将是未来车企很大的竞争力。”

中国汽车工业协会秘书长助理兼技术部部长王耀表示：“未来智能网联汽车产业链各环节之间必然会通过自采或数据交互等方式来获取相关各类数据，如何构建智能网联汽车产业数据安全监管体系，以保障数据交互过程中的产业安全，如何建设安全、健康、可持续发展的汽车产业数据生态将是汽车产业必须解决的重要课题。”

“黑客”进攻汽车领域，如何构筑云上安全防线

数据的合规处理利用，还处在一个初步规范阶段，需要进一步制定行业细则标准。与此同时，车企还要打好很多地基工作，如云上的边界防护、安全监测、网络安全的漏洞或者网络安全响应的能力等，实时防范网络安全风险，预防数据安全隐患。

在过去5年时间里，智能汽车被黑客攻击的次数增长了20倍，工信部网络安全管理局曾披露，2020年1-9月，针对整车企业车联网信息服务提供商等相关企业和平台的恶意攻击达280余万次。并且工信部在一项调研中发现，85的关键部件存在安全漏洞，近六成企业缺乏自动化网络安全检测响应能力。

随着汽车上云，汽车物理边界逐渐被打破，如果被别有用心的黑客入侵到客户的车上，方向盘、刹车、油门等关键设施被控制，这无疑是极大的危险隐患。前不久，德国19岁少年大卫利用特斯拉的第三方软件漏洞，同时控制了13个国家的25多辆特斯拉汽车打开车窗、无钥匙驾驶等，并及时公开发帖公布这一漏洞。

国内还有很多像大卫这样不断探索汽车存在安全漏洞，帮助车企完善数据安全建设的“白帽子”团队。如腾讯科恩实验室，在宝马多款车型中发现了14个安全漏洞，随后向宝马报告了这些问题;还曾以“远程无物理接触”的方式成功入侵了特斯拉汽车，实现远程控制刹车、车门、后备箱等，甚至通过获取“Autopilot”的控制权实现了第三方遥控装置对车辆行驶方向的操控。

“安全”一直是汽车行业高度关注的领域，过去车企在功能安全方面和研发的投入和体系建设非常完备。如今车企数字化逐渐深入，迎来的是汽车智能网络安全和数据安全风险和挑战，这和汽车所谓的功能安全不同，它的边界相对模糊，没有绝对的安全，对于车企来说这是一个相对比较新的领域，这就需要与一些网络安全企业合作，优势互补，为汽车安全打造坚实的护城河。

例如，上汽与腾讯成立了联合安全实验室，在智能网联汽车的网络安全规范、攻防技术安全运营等多个领域开展深度合作，携手打造集车辆安全，云安全等多个领域于一体的“网络安全底座”。在数据安全治理和数据分类分级的基础上，针对数据全生命周期各个阶段，实施数据可信接入、数据加密、数据脱敏、认证授权、数据操作审计等措施，确保数据可见、可控、可管，为车企业务的稳定可靠运行保驾护航。

上汽腾讯网络安全联合实验室负责人陈宁表示，上汽从云端到车端的通讯链路,用加密方法进行了加密,确保上汽的链路不会被截断或者被中间人截取掉。同时,上汽也对车与车之间进行传输的信息给予加密保护,保证数据的安全性和唯 一性。在车辆交付之后,上汽也会建立相关的防御措施,比如网关或者 IDPS 等,通过它将车辆相关的模块或者相关的服务隔开,确保车辆在行驶过程中关键通信和关键指令不会被人恶意篡改掉。

智能汽车大数据时代,应当安全先行。一方面要打好安全地基，建设完毕的网络安全体系，实时防范网络攻击、数据泄漏带来的安全风险。另一方面需要进一步建立数据安全标准规范，更加合理、规范的利用和管理数据资产。

附相关安全法规参考：

1.2022年3月7日，工信部印发《车联网网络安全和数据安全标准体系建设指南》

2.2021年8月20日，国家互联网信息办审议通过《汽车数据安全管理若干规定试行》《个人信息保护法》，国家发展和改革委员会、工业和信息化部、公安部、交通运输部同意，现予公布，自2021年10月1日起施行

3.2021年8月20日,十三届全国人大常委会第三十次会议表决通过了《中华人民共和国个人信息保护法》，于2021年11月1日起施行。