為加強個人信息和重要數(shù)據(jù)保護，規(guī)范汽車數(shù)據(jù)處理活動，根據(jù)《網(wǎng)絡(luò)安全法》等法律法規(guī)，國家互聯(lián)網(wǎng)信息辦公室會同有關(guān)部門起草了《汽車數(shù)據(jù)安全管理若干規(guī)定（征求意見稿）》（以下簡稱《規(guī)定》）， 向社會公開征求意見。這是我國首個汽車行業(yè)數(shù)據(jù)安全管理的規(guī)章制度，是針對目前智能網(wǎng)聯(lián)汽車在發(fā)展過程中引發(fā)公眾關(guān)注的數(shù)據(jù)安全問題的監(jiān)管回應(yīng)?；?360 大數(shù)據(jù)協(xié)同安全技術(shù)國家工程實驗室多年來在數(shù)據(jù)安全治理方面的研究和實踐工作，本文在數(shù)據(jù)開發(fā)利用和保障數(shù)據(jù)安全相互促進與協(xié)調(diào)發(fā)展的基礎(chǔ)上，從技術(shù)層面和管理層面提出了保障汽車數(shù)據(jù)安全的具體方法。

　　一、汽車數(shù)據(jù)利用與數(shù)據(jù)安全應(yīng)達成平衡

　　1. 數(shù)字經(jīng)濟時代需鼓勵數(shù)字創(chuàng)新應(yīng)用

　　隨著人工智能、物聯(lián)網(wǎng)和大數(shù)據(jù)分析等技術(shù)的廣泛應(yīng)用，經(jīng)濟社會發(fā)展日益呈現(xiàn)數(shù)據(jù)驅(qū)動的新態(tài)勢，各類個人信息的處理活動不斷拓展，數(shù)據(jù)安全與發(fā)展的動態(tài)平衡已成為數(shù)字經(jīng)濟領(lǐng)域各類新業(yè)態(tài)、新產(chǎn)業(yè)、新模式創(chuàng)新發(fā)展的關(guān)鍵。剛發(fā)布的《數(shù)據(jù)安全法》明確提出，“國家統(tǒng)籌發(fā)展和安全，堅持以數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展促進數(shù)據(jù)安全，以數(shù)據(jù)安全保障數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展”，其明確了國家鼓勵數(shù)據(jù)依法合理有效利用，以促進數(shù)字經(jīng)濟發(fā)展。

　　從現(xiàn)在低級別的輔助駕駛，到未來高級別的自動駕駛，為了應(yīng)對復(fù)雜多樣的路況和行車場景，數(shù)據(jù)的收集與分析利用是汽車智能駕駛在發(fā)展道路上不可或缺的動力源泉。而且，汽車作為人們的一個重要的生活空間，也將發(fā)展成為一個智能綜合體，汽車擁有的數(shù)字創(chuàng)新應(yīng)用會成為一個品牌汽車能否取得市場成功的關(guān)鍵因素。因此，汽車產(chǎn)業(yè)需要鼓勵汽車數(shù)據(jù)的開發(fā)利用，鼓勵數(shù)字創(chuàng)新應(yīng)用的發(fā)展，不能單純?yōu)榱吮Ｕ蠑?shù)據(jù)安全而遏制了數(shù)據(jù)的合法合規(guī)收集與數(shù)據(jù)開發(fā)利用，需要在兩者之間根據(jù)數(shù)字經(jīng)濟時代的發(fā)展特點取得恰當?shù)钠胶狻?/p>

　　2. 需正確把握汽車數(shù)據(jù)采集的度

　　在汽車智能網(wǎng)聯(lián)化的大潮中，很多行車安全功能的實現(xiàn)離不開數(shù)據(jù)的采集，自動駕駛所需的感知、決策、控制都依賴于大數(shù)據(jù)采集的各種場景，保障車主人身安全也需要行車路線和位置數(shù)據(jù)的采集，只有收集了這些數(shù)據(jù)才能使人車配合得更加緊密。我們知道，疫情時期健康寶的使用雖然收集了大量個人敏感信息，但同時方便了大家的出行，維護了公共安全，這需要我們在個人隱私信息上有所讓渡。同樣地，汽車收集的數(shù)據(jù)，雖然也會涉及個人隱私信息，但它會提高駕駛者的人身安全和行車安全。如果要獲得汽車智能化的一些功能，確實需要汽車去收集必要的數(shù)據(jù)。

　　根據(jù)《個人信息保護法（草案）》和相關(guān)標準規(guī)范，充分告知與授權(quán)同意是個人信息采集的基礎(chǔ)性合規(guī)框架。具體到汽車數(shù)據(jù)的業(yè)務(wù)場景，我們認為也必須要滿足個人隱私合規(guī)的法規(guī)標準要求。因為汽車和智能手機一樣，都屬于個人的物品，所以汽車數(shù)據(jù)安全的重點應(yīng)放在對外交互數(shù)據(jù)特別是車企云服務(wù)平臺數(shù)據(jù)的安全管控上，不宜過度限制汽車數(shù)據(jù)的采集。對于《規(guī)定》的第六條（五）項中提出了“默認不收集原則”，要求“除非確有必要，每次駕駛時默認為不收集狀態(tài)，駕駛?cè)说耐馐跈?quán)只對本次駕駛有效”，以及在第八條（二）項中規(guī)定駕駛結(jié)束（駕駛?cè)穗x開駕駛席）后本次授權(quán)自動失效等條款，這在實踐中對于車主來說可能難以做到。我們建議對這些條款進行修改完善，車主只要有選擇的權(quán)利即可，從而可使車主更關(guān)注于車輛安全駕駛本身。

　　3. 區(qū)分車內(nèi)數(shù)據(jù)和車外交互數(shù)據(jù)

　　《規(guī)定》第六條（一）項提出的“車內(nèi)處理原則”，除非確有必要不向車外提供個人信息和重要數(shù)據(jù)。我們認為這是非常有必要的，也是科學(xué)進行汽車數(shù)據(jù)安全治理的關(guān)鍵。一方面，汽車屬于私人物品，必然會采集處理大量的個人隱私數(shù)據(jù)，只要這些數(shù)據(jù)在車內(nèi)就沒有問題；另一方面，基于安全駕駛的需要，汽車也會采集大量的環(huán)境、路況、位置和地理信息，其中可能會涉及敏感數(shù)據(jù)。如果這些數(shù)據(jù)只是在車內(nèi)由行車電腦進行處理，并不對外交互，可以認為不涉及數(shù)據(jù)安全和個人隱私保護問題。因此，“車內(nèi)處理原則”實質(zhì)上是區(qū)分了車內(nèi)數(shù)據(jù)和車外交互數(shù)據(jù)，對于車內(nèi)數(shù)據(jù)，其數(shù)據(jù)權(quán)屬于車主，應(yīng)重點關(guān)注如何利用和安全保護；而對于車外交互數(shù)據(jù)，比如云服務(wù)平臺，其數(shù)據(jù)管理權(quán)屬于車企，則重點關(guān)注數(shù)據(jù)泄露風(fēng)險，只有這樣才能更好地治理汽車數(shù)據(jù)，達到保障汽車數(shù)據(jù)安全的目的。

　　目前，行車電腦的性能已能滿足相關(guān)數(shù)據(jù)安全處理的要求。關(guān)鍵的一部分內(nèi)容是車路協(xié)同所需的車外交互數(shù)據(jù)的處理，包括車車互聯(lián)、人車互聯(lián)、車輛與路側(cè)基礎(chǔ)設(shè)施以及云服務(wù)平臺的交互數(shù)據(jù)的處理。這需要區(qū)分不同的情況來將車外交互數(shù)據(jù)進行安全處理，以防止產(chǎn)生數(shù)據(jù)泄露和隱私侵犯等安全風(fēng)險。例如，就像《規(guī)定》第六條條款所描述的，如果收集的車外行人個人信息經(jīng)過了數(shù)據(jù)匿名化和脫敏處理，就無需征得其授權(quán)同意。具體而言，就要求行車電腦能夠刪除可識別自然人的畫面或?qū)Ξ嬅嬷械娜四樳M行局部輪廓化處理，以及防止數(shù)據(jù)濫用或未經(jīng)授權(quán)的第三方訪問。這是車企在數(shù)據(jù)處理方面的實踐中通常會采用的方法，體現(xiàn)了官方對此種處理方式的認可。

　　二、全周期全方位保障汽車數(shù)據(jù)安全

　　數(shù)智時代的到來讓汽車迎來新一輪的變革，汽車智能化在帶來便利的同時也極易引發(fā)數(shù)據(jù)安全問題。據(jù)英特爾公司預(yù)測，一輛聯(lián)網(wǎng)的自動駕駛汽車每運行 8 小時將產(chǎn)生 4TB 的數(shù)據(jù)。這主要是因為汽車上安裝了越來越多的傳感器，汽車收集的數(shù)據(jù)種類和數(shù)量不斷上升。在數(shù)智時代，所有的業(yè)務(wù)都將是數(shù)據(jù)驅(qū)動的，一旦敏感數(shù)據(jù)被破壞或泄露，將會造成重大經(jīng)濟損失或生產(chǎn)癱瘓。因此，需要建立起數(shù)據(jù)全生命周期保護的理念，保障數(shù)據(jù)活動在每一個環(huán)節(jié)的數(shù)據(jù)安全。

　　1. 數(shù)據(jù)采集安全

　　汽車依賴其傳感器進行數(shù)據(jù)采集，通過網(wǎng)絡(luò)獲得來自云服務(wù)平臺或其他設(shè)備的交互數(shù)據(jù)。對于任何一個云服務(wù)平臺來說，汽車是主要的數(shù)據(jù)采集工具。因此，在某種程度上說，做好汽車數(shù)據(jù)采集安全，汽車數(shù)據(jù)安全就成功了大半。我們認為，汽車數(shù)據(jù)采集安全需要做到：1）在知情同意原則下進行數(shù)據(jù)采集，能夠獲得支撐汽車智能化發(fā)展所必須的數(shù)據(jù)；2）對采集的數(shù)據(jù)進行分類分級，至少區(qū)分車內(nèi)數(shù)據(jù)和車外交互數(shù)據(jù)，并采取相對應(yīng)的安全保護措施；3）對外發(fā)的車外交互數(shù)據(jù)進行匿名化、去標識化和脫敏等處理，防止敏感數(shù)據(jù)泄露；4）嚴禁汽車裝配超出地理信息測繪精度的部件，杜絕敏感測繪數(shù)據(jù)的采集；5）嚴禁采集相關(guān)法律法規(guī)禁止采集的數(shù)據(jù)。

　　2. 數(shù)據(jù)傳輸安全

　　汽車數(shù)據(jù)傳輸主要是針對車外交互數(shù)據(jù)，這存在很多潛在的攻擊入口和路徑，比如車內(nèi) Wi-Fi、藍牙和移動通信網(wǎng)絡(luò)等，需防止數(shù)據(jù)遭到嗅探、篡改和其他攻擊。因此，數(shù)據(jù)傳輸安全需要做到：1）對傳輸實體進行雙向身份鑒別，確保數(shù)據(jù)被正確的對象發(fā)送和接收；2）采取加密保護措施，防止傳輸過程中的數(shù)據(jù)劫持，防止惡意汽車控制交互；3）建立車與人、車與車、車與路、車與云協(xié)同的攻擊防御和無線通信安全防護機制；4）嚴禁汽車裝配衛(wèi)星通信部件，直接與境外服務(wù)器進行數(shù)據(jù)傳輸。

　　3. 數(shù)據(jù)存儲安全

　　數(shù)據(jù)存儲安全需要關(guān)注兩個點：一是數(shù)據(jù)在汽車內(nèi)的存儲安全，二是汽車數(shù)據(jù)在云服務(wù)平臺上的存儲安全。對于車內(nèi)數(shù)據(jù)，應(yīng)該有基本的訪問控制措施，防止未授權(quán)的訪問，且不需要長時間保存，例如，行車安全相關(guān)的數(shù)據(jù)可以用后即刪，或者根本不需要存儲。而對于云服務(wù)平臺上的數(shù)據(jù)，需要有數(shù)據(jù)庫安全防護和大數(shù)據(jù)平臺安全防護相關(guān)措施，并在管理上滿足相關(guān)法規(guī)標準要求。

　　4. 數(shù)據(jù)處理安全

　　汽車數(shù)據(jù)處理過程包括數(shù)據(jù)的使用和加工，應(yīng)注意防范數(shù)據(jù)濫用和數(shù)據(jù)泄露問題。根據(jù)《規(guī)定》中提出的汽車數(shù)據(jù)運營者處理個人信息和重要數(shù)據(jù)應(yīng)堅持 “車內(nèi)處理”、“匿名化處理”、“精度范圍適用”原則，大量汽車數(shù)據(jù)在加工、分析處理前應(yīng)對重要數(shù)據(jù)進行脫敏，保證數(shù)據(jù)可用性和安全性的平衡，在數(shù)據(jù)處理過程中應(yīng)采取適當?shù)陌踩刂拼胧?，防止?shù)據(jù)挖掘、分析過程中有價值數(shù)據(jù)和個人信息泄露的風(fēng)險。對于需要商業(yè)合作伙伴進行數(shù)據(jù)開發(fā)利用的場景，比如進行某種汽車智能化功能的開發(fā)，汽車數(shù)據(jù)運營者需審核其數(shù)據(jù)安全能力，以有效降低數(shù)據(jù)應(yīng)用開發(fā)過程中因提供數(shù)據(jù)帶來的數(shù)據(jù)泄露風(fēng)險。

　　5. 數(shù)據(jù)交換安全

　　汽車數(shù)據(jù)運營者應(yīng)嚴格控制汽車數(shù)據(jù)的交換，建議采用兩種方式：1）采用隱私計算技術(shù)，在確需多方汽車數(shù)據(jù)聯(lián)合計算的需求場景，通過隱私計算平臺來可控、安全地交換數(shù)據(jù)的使用權(quán)，保證自己的數(shù)據(jù)不離開本地，實現(xiàn)“數(shù)據(jù)可用不可見”模式下的汽車數(shù)據(jù)價值挖掘；2）對必須轉(zhuǎn)移或出售數(shù)據(jù)的需求場景，應(yīng)嚴格按照相關(guān)法律規(guī)范，對數(shù)據(jù)進行去標識化、匿名化和脫敏后方可實施。同時，對數(shù)據(jù)交換過程應(yīng)進行監(jiān)控與審計，共享的數(shù)據(jù)不能超出數(shù)據(jù)共享使用授權(quán)范圍。

　　6. 數(shù)據(jù)銷毀安全

　　數(shù)據(jù)銷毀安全體現(xiàn)在汽車數(shù)據(jù)存儲介質(zhì)上的數(shù)據(jù)銷毀和云服務(wù)平臺上的數(shù)據(jù)銷毀兩個地方。汽車應(yīng)提供數(shù)據(jù)擦除功能，以支持原車主在汽車轉(zhuǎn)移登記之前將所有數(shù)據(jù)清除。而對于云服務(wù)平臺上的數(shù)據(jù)，云服務(wù)平臺應(yīng)提供數(shù)據(jù)安全清除的功能。

　　7. 從“云、管、端”落實汽車數(shù)據(jù)安全保障措施

　　典型的車聯(lián)網(wǎng)結(jié)構(gòu)分為“端”、“管”、“云”三層，汽車數(shù)據(jù)安全包括數(shù)據(jù)在這三個層面的安全保障?！岸恕敝饕钙?，是屬于車主的個人物品；“管”指的是“云”和“端”之間連接的網(wǎng)絡(luò)通道，通常會通過移動通信網(wǎng)絡(luò)進行連接；“云”則是車企建立的云服務(wù)平臺，會從“端”獲取汽車相關(guān)的數(shù)據(jù)，為“端”提供相關(guān)服務(wù)。從“端”、“管”、“云”三個層面，更易于看清汽車數(shù)據(jù)安全保障措施的落地。汽車在出廠時就應(yīng)具備基本的數(shù)據(jù)安全防護能力，例如安全策略設(shè)置、身份鑒別、數(shù)據(jù)加密、訪問控制和安全審計等功能，并可以通過行車電腦進行持續(xù)升級。同時，建議逐步增加數(shù)據(jù)分類分級、去標識化、匿名化和數(shù)據(jù)脫敏等功能，確保上傳給“云”的數(shù)據(jù)不含與服務(wù)無關(guān)的個人信息。通過在汽車和“云”上裝載數(shù)據(jù)加密模塊，確?！肮堋钡臄?shù)據(jù)通信是受到加密保護的。“云”數(shù)據(jù)安全是大數(shù)據(jù)平臺的數(shù)據(jù)安全，既需要身份鑒別、授權(quán)管理、訪問控制和安全審計等基礎(chǔ)安全功能，也需要數(shù)據(jù)庫安全、數(shù)據(jù)脫敏、數(shù)據(jù)接口和數(shù)據(jù)銷毀等涉及數(shù)據(jù)全生命周期安全的功能組件或模塊，并要求在中國境內(nèi)建立云服務(wù)平臺。

　　三、加強汽車數(shù)據(jù)安全管理

　　除了采用上述數(shù)據(jù)安全的技術(shù)措施之外，還應(yīng)該從管理角度采取措施來有效管控數(shù)據(jù)安全風(fēng)險。

　　1. 限制汽車駛?cè)氲膱鏊?/p>

　　就像手機不能帶入涉密場所一樣，應(yīng)該對汽車駛?cè)朊舾袌鏊M行嚴格限制，比如軍事管理區(qū)、國防科工等涉及國家秘密的區(qū)域，這是最直接簡單有效的管理辦法，可以在數(shù)據(jù)采集源頭上就根本杜絕數(shù)據(jù)非法采集和泄露的風(fēng)險。

　　2. 限制汽車測繪精度

　　精準的自身位置定位和周邊環(huán)境感知是汽車自動駕駛的基礎(chǔ)，這涉及到對周邊道路環(huán)境和地理信息的測繪，也關(guān)系到國家安全。應(yīng)按照測繪地理信息相關(guān)法規(guī)標準的要求，禁止采集超出滿足汽車自動駕駛功能需求的地理環(huán)境數(shù)據(jù)，嚴禁汽車裝配超精度測繪的零部件，對涉及國家安全的地理信息數(shù)據(jù)加強監(jiān)管力度。而對于非自動駕駛汽車，則無需高精度測繪定位，相關(guān)零部件的測繪指標參數(shù)應(yīng)進一步降低。

　　3. 管控汽車數(shù)據(jù)流動的安全風(fēng)險

　　《意見稿》第十六條“科研和商業(yè)合作伙伴需要查詢利用境內(nèi)存儲的個人信息和重要數(shù)據(jù)的，運營者應(yīng)當采取有效措施保證數(shù)據(jù)安全，防止流失”。這是一個典型的涉及數(shù)據(jù)安全治理的問題，即在數(shù)據(jù)的流通共享中，如何確保數(shù)據(jù)的安全，它需要的是一個科學(xué)合理的數(shù)據(jù)安全治理體系。對于車企來說，采集上來的數(shù)據(jù)需要進行利用，很多科研和商業(yè)合作伙伴將會看到和利用這些數(shù)據(jù)，全量或部分數(shù)據(jù)將會流動到這些合作伙伴中。這需要汽車數(shù)據(jù)相關(guān)的車企、零部件供應(yīng)商、應(yīng)用軟件提供商、網(wǎng)約車企業(yè)、保險公司和科研機構(gòu)等，在相同的數(shù)據(jù)安全治理體系框架下運行，持續(xù)不斷地提升自己的數(shù)據(jù)安全能力，才能有效管控數(shù)據(jù)流動的安全風(fēng)險。建議采用基于數(shù)據(jù)安全能力成熟模型的數(shù)據(jù)安全治理體系，由專門的測評認證機構(gòu)對汽車數(shù)據(jù)相關(guān)企業(yè)或組織進行數(shù)據(jù)安全能力評價，只有具備一定數(shù)據(jù)安全能力的企業(yè)或組織，才能獲得相應(yīng)等級的汽車數(shù)據(jù)。

　　4. 對汽車數(shù)據(jù)出境嚴格管理

　　按照《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》的要求，如《規(guī)定》第十二條明確規(guī)定的“個人信息或者重要數(shù)據(jù)應(yīng)當依法在境內(nèi)存儲，確需向境外提供的，應(yīng)當通過國家網(wǎng)信部門組織的數(shù)據(jù)出境安全評估”，我們認為，汽車數(shù)據(jù)應(yīng)原則上不出境。這一方面是要求所有在國內(nèi)有銷售的汽車品牌，其車企應(yīng)該在國內(nèi)建立云服務(wù)平臺，數(shù)據(jù)在國內(nèi)存儲、分析和利用；另一方面是汽車數(shù)據(jù)出境不是行車安全和使用汽車的必要條件。只有汽車設(shè)計、行車安全、重大事故等相關(guān)的數(shù)據(jù)，在經(jīng)過匿名化、去標識化和脫敏處理，以及有關(guān)部門的安全審查之后，才能出境。

　　5. 嚴控大規(guī)模數(shù)據(jù)集的流動

　　《規(guī)定》中第十七條提出“處理個人信息涉及個人信息主體超過 10 萬人、或者處理重要數(shù)據(jù)的運營者，應(yīng)當在每年十二月十五日前將年度數(shù)據(jù)安全管理情況報省級網(wǎng)信部門和有關(guān)部門”。這一條非常重要，通常對每一個品牌的車企來說，其云服務(wù)平臺收集處理的數(shù)據(jù)都將超過百萬級用戶，涉及聯(lián)系方式、位置、身份證號碼等大量用戶隱私數(shù)據(jù)。而對車企來說，這些大規(guī)模數(shù)據(jù)集都很有可能交給科研和商業(yè)合作伙伴去處理。因此，對這些有大規(guī)模數(shù)據(jù)處理需求的云服務(wù)平臺應(yīng)進行嚴格監(jiān)管，特別是要通過限制流動的數(shù)據(jù)量級來管控數(shù)據(jù)處理時的安全風(fēng)險，并對其嚴格做好管理登記，要求數(shù)據(jù)流動所涉及的科研和商業(yè)合作伙伴應(yīng)具備相應(yīng)的數(shù)據(jù)安全能力。

　　6. 明確汽車數(shù)據(jù)分類分級規(guī)范

　　建議在交通領(lǐng)域數(shù)據(jù)分類分級標準規(guī)范的基礎(chǔ)上，盡快制定汽車數(shù)據(jù)分類分級規(guī)范，針對不同類別、不同級別的汽車數(shù)據(jù)，制定針對性的收集、存儲、傳輸和應(yīng)用技術(shù)要求，確保用戶信息、車輛信息、測繪地理信息等數(shù)據(jù)受到恰當?shù)谋Ｗo，其相關(guān)數(shù)據(jù)活動處于安全可控的狀態(tài)。

　　7. 嚴禁汽車裝配衛(wèi)星通信部件

　　為防止汽車采集的數(shù)據(jù)非法跨境傳輸，應(yīng)嚴禁汽車出廠裝載衛(wèi)星通信的零部件和軟件。