智能網(wǎng)聯(lián)汽車隱私開發(fā)方法與流程探究

本報(bào)告針對(duì)智能網(wǎng)聯(lián)汽車用戶的隱私泄露的問題，對(duì)智能網(wǎng)聯(lián)汽車隱私開發(fā)方法與流程進(jìn)行分析。

通過汽車整車開發(fā)流程及數(shù)據(jù)安全開發(fā)流程分析，結(jié)合相關(guān)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范，提出了基于全生命周期的智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全要求，包括數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲(chǔ)安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全以及數(shù)據(jù)銷毀安全。

通過對(duì)開發(fā)階段的整車隱私方法進(jìn)行分析，將整車隱私開發(fā)流程分為四個(gè)階段：數(shù)據(jù)采集、數(shù)據(jù)建模、隱私評(píng)估和隱私設(shè)計(jì)。隱私方案開發(fā)包括隱私方案、隱私工具、隱私策略以及車輛架構(gòu)四個(gè)方面。通過對(duì)智能網(wǎng)聯(lián)汽車隱私開發(fā)方法與流程的分析，為智能網(wǎng)聯(lián)汽車行業(yè)的隱私流程開發(fā)提供了參考，對(duì)智能網(wǎng)聯(lián)汽車發(fā)展有重要借鑒意義。

汽車整車開發(fā)流程及數(shù)據(jù)安全開發(fā)

流程背景介紹

在《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》發(fā)布實(shí)施的背景下，汽車行業(yè)對(duì)于汽車數(shù)據(jù)安全的問題重視程度在空前加深。該規(guī)定倡導(dǎo)汽車數(shù)據(jù)處理者在開展汽車數(shù)據(jù)處理活動(dòng)中堅(jiān)持四大原則：車內(nèi)處理原則，默認(rèn)不收集原則，精度范圍適用原則，脫敏處理原則。目前業(yè)界普遍關(guān)注單點(diǎn)的技術(shù)問題，以滿足合規(guī)需求，比如數(shù)據(jù)匿名化，圖像脫敏處理，同時(shí)更多關(guān)注全生命周期的汽車數(shù)據(jù)運(yùn)營(yíng)，忽略了汽車整車產(chǎn)品本身的隱私分析，難以真正實(shí)現(xiàn)“privacy by default”。

本篇嘗試介紹一種基于整車開發(fā)的結(jié)構(gòu)化隱私流程，整體將其分析四個(gè)階段：數(shù)據(jù)采集，數(shù)據(jù)建模，隱私評(píng)估和隱私設(shè)計(jì)，最終實(shí)現(xiàn)隱私方案落地。此隱私分析流程與整車開發(fā)的概念階段和開發(fā)階段融合，解決了汽車行業(yè)研發(fā)階段的隱私分析保護(hù)的工作，同時(shí)有助于為車輛制造商和駕駛員提供可持續(xù)的隱私保護(hù)，以及隱私意識(shí)。

本篇將介紹的隱私開發(fā)流程將與整車開發(fā)流程進(jìn)行融合，參考基于全生命周期的數(shù)據(jù)安全進(jìn)行參考，將簡(jiǎn)單介紹整車開發(fā)流程以及全生命周期的數(shù)據(jù)安全流程。

汽車整車開發(fā)流程概覽

一般而言，汽車整車開發(fā)流程遵循”V”字型正向開發(fā)邏輯，需要定義整車開發(fā)各階段關(guān)鍵活動(dòng)，并明確相應(yīng)的時(shí)間節(jié)點(diǎn)及交付物，整體來(lái)說共分為五個(gè)階段，具體階段如圖1整車開發(fā)流程簡(jiǎn)圖：

圖1. 汽車整車開發(fā)流程階段

資料來(lái)源：《數(shù)據(jù)資產(chǎn)全生命周期安全管理》--倪文靜，胡震（中國(guó)院刊電子出版社）

1）規(guī)劃階段：基于商業(yè)化調(diào)研以及市場(chǎng)定位，按照企業(yè)自身實(shí)力，確定具體需要開發(fā)的車型構(gòu)想，明確相應(yīng)的配置清單，主要尺寸，合規(guī)需求，整車目標(biāo)等車型開發(fā)所需條件。

2）概念階段：按照車型規(guī)劃的要求，啟動(dòng)具體的車型技術(shù)需求定義，包括功能開發(fā)，系統(tǒng)開發(fā)，屬性定義，驗(yàn)證策略定義和電子電氣架構(gòu)開發(fā)等，為車型各項(xiàng)技術(shù)方案開發(fā)提供技術(shù)輸入。

3）開發(fā)階段：按照概念階段輸入的高層級(jí)需求，開始進(jìn)行零部件選型以零部件開發(fā)，包括機(jī)械開發(fā)和軟件開發(fā)，整車開發(fā)各層級(jí)所對(duì)應(yīng)的測(cè)試驗(yàn)證，比如整車級(jí)驗(yàn)證，同時(shí)也會(huì)進(jìn)行造型凍結(jié)。

4）生產(chǎn)階段：車型產(chǎn)品研發(fā)之后，產(chǎn)品進(jìn)入生產(chǎn)階段，工裝樣車確認(rèn)生產(chǎn)工藝裝配的可行性，試生產(chǎn)和小批量檢驗(yàn)生產(chǎn)線的生產(chǎn)能力，爬坡量產(chǎn)到SOP，此階段的重點(diǎn)是考驗(yàn)生產(chǎn)線的能力。

5）運(yùn)營(yíng)階段：在傳統(tǒng)的汽車工業(yè)里，運(yùn)營(yíng)階段主要負(fù)責(zé)車型的售后處理，從網(wǎng)絡(luò)安全的領(lǐng)域，運(yùn)營(yíng)階段也包括安全運(yùn)營(yíng)，應(yīng)急響應(yīng)和漏洞管理，軟件更新等工作。

汽車零部件的數(shù)量眾多，電子控制單元在100~150個(gè)左右， 整車研發(fā)的周期較長(zhǎng)，汽車供應(yīng)鏈上下游玩家眾多，同時(shí)隨著自動(dòng)駕駛和網(wǎng)聯(lián)功能技術(shù)的發(fā)展，信息數(shù)據(jù)和個(gè)人信息交互增多，一方面網(wǎng)絡(luò)安全和數(shù)據(jù)安全，個(gè)人信息保護(hù)的問題也日益增多，此外汽車本身的復(fù)雜性，導(dǎo)致安全防護(hù)和個(gè)人信息保護(hù)也日趨復(fù)雜，單點(diǎn)技術(shù)方案無(wú)法解決系統(tǒng)問題，此時(shí)更需要結(jié)構(gòu)的化的流程進(jìn)行整車層級(jí)的數(shù)據(jù)梳理。

基于全生命周期的數(shù)據(jù)安全

在《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》，首先便對(duì)汽車領(lǐng)域內(nèi)有關(guān)數(shù)據(jù)的重要名詞進(jìn)行界定，其中包括“汽車數(shù)據(jù)”、“個(gè)人信息”、“敏感個(gè)人信息”、“重要數(shù)據(jù)”等，明確定義“個(gè)人信息”和“敏感個(gè)人信息”。

根據(jù)《若干規(guī)定》第三條的規(guī)定，所謂汽車數(shù)據(jù)，即“包括汽車設(shè)計(jì)、生產(chǎn)、銷售、使用、運(yùn)維等過程中的涉及個(gè)人信息數(shù)據(jù)和重要數(shù)據(jù)”。這說明并不是汽車設(shè)計(jì)、生產(chǎn)、銷售、使用、運(yùn)維等過程中的所有數(shù)據(jù)都被劃入了汽車數(shù)據(jù)的范疇，而僅僅是其中的個(gè)人信息數(shù)據(jù)和重要數(shù)據(jù)。

此處暫且將隱私與敏感個(gè)人信息數(shù)據(jù)等同，在深入介紹介紹隱私分析流程之前，有必要對(duì)基于全生命周期的數(shù)據(jù)安全流程做簡(jiǎn)單的介紹。

圖2. 汽車生命周期各階段安全

資料來(lái)源：《數(shù)據(jù)資產(chǎn)全生命周期安全管理》--倪文靜，胡震（中國(guó)院刊電子出版社）

（一）數(shù)據(jù)采集階段

采集階段，首先要明確采集規(guī)范，制定采集策略，完善數(shù)據(jù)采集風(fēng)險(xiǎn)評(píng)估以及保證數(shù)據(jù)采集的合規(guī)合法性。數(shù)據(jù)采集規(guī)范中要明確數(shù)據(jù)采集的目的、用途、方式、范圍、采集源、采集渠道等內(nèi)容，并對(duì)數(shù)據(jù)來(lái)源進(jìn)行源鑒別和記錄。制定明確的采集策略，只采集經(jīng)過授權(quán)的數(shù)據(jù)并進(jìn)行日志記錄。對(duì)數(shù)據(jù)采集過程中的風(fēng)險(xiǎn)項(xiàng)進(jìn)行定義，形成數(shù)據(jù)采集風(fēng)險(xiǎn)評(píng)估規(guī)范。數(shù)據(jù)采集全過程需要符合相關(guān)法律法規(guī)和監(jiān)管要求，做到合規(guī)合法的采集。

（二）數(shù)據(jù)傳輸安全

數(shù)據(jù)傳輸階段，采用合適的加密算法對(duì)數(shù)據(jù)進(jìn)行加密傳輸，其中用到的對(duì)稱加密算法主要是對(duì)稱和非對(duì)稱算法，采用加密、簽名、鑒別和認(rèn)證等機(jī)制對(duì)傳輸中的數(shù)據(jù)進(jìn)行安全管理。

（三）數(shù)據(jù)存儲(chǔ)安全

數(shù)據(jù)存儲(chǔ)階段，制定存儲(chǔ)介質(zhì)標(biāo)準(zhǔn)和存儲(chǔ)系統(tǒng)的安全防護(hù)重要標(biāo)準(zhǔn)。存儲(chǔ)介質(zhì)標(biāo)準(zhǔn)需要覆蓋存儲(chǔ)介質(zhì)的定義、質(zhì)量、存儲(chǔ)介質(zhì)的收發(fā)運(yùn)輸、存儲(chǔ)介質(zhì)的使用記錄及管理、存儲(chǔ)介質(zhì)的維修規(guī)范。對(duì)存儲(chǔ)系統(tǒng)的安全防護(hù)，需要包括數(shù)據(jù)備份、歸檔和恢復(fù)以及對(duì)存儲(chǔ)系統(tǒng)弱點(diǎn)的識(shí)別及維護(hù)。

（四）數(shù)據(jù)處理安全

數(shù)據(jù)處理應(yīng)該遵循合規(guī)、最小授權(quán)、可審計(jì)原則，對(duì)數(shù)據(jù)處理結(jié)果進(jìn)行風(fēng)險(xiǎn)評(píng)估，確保分布式處理，數(shù)據(jù)分析，數(shù)據(jù)加密，數(shù)據(jù)脫敏和數(shù)據(jù)溯源的安全。

（五）數(shù)據(jù)交換安全

數(shù)據(jù)交換和共享安全階段，需建立數(shù)據(jù)交換和共享審核流程和監(jiān)管平臺(tái)。建立數(shù)據(jù)導(dǎo)入導(dǎo)出的流程化規(guī)范，統(tǒng)一權(quán)限管理和流程審批以及監(jiān)控審計(jì)，以確保數(shù)據(jù)對(duì)于數(shù)據(jù)共享的所有操作和行為進(jìn)行日志記錄，并對(duì)高危行為進(jìn)行風(fēng)險(xiǎn)識(shí)別和管控。

（六）數(shù)據(jù)銷毀安全

結(jié)合場(chǎng)景保障銷毀技術(shù)的多樣化。針對(duì)不同的存儲(chǔ)介質(zhì)和設(shè)備有其不可逆的銷毀技術(shù)及流程，實(shí)現(xiàn)針對(duì)磁盤、光盤各類數(shù)據(jù)存儲(chǔ)介質(zhì)的不同銷毀技術(shù)及流程，建立銷毀監(jiān)察機(jī)制，嚴(yán)防數(shù)據(jù)銷毀階段可能出現(xiàn)的數(shù)據(jù)泄露問題。

基于全生命周期的數(shù)據(jù)安全各階段邏輯同樣適用于汽車數(shù)據(jù)安全，GB/T 《智能網(wǎng)聯(lián)汽車 數(shù)據(jù)通用要求（征求意見稿）》提到個(gè)人信息保護(hù)和重要數(shù)據(jù)要求，依然包括收集、存儲(chǔ)、使用、傳輸、刪除五個(gè)階段，此外還有個(gè)人信息處理通用要求，個(gè)人同意的取得，個(gè)人信息出境以及處理記錄的要求。

GB/T 《智能網(wǎng)聯(lián)汽車 數(shù)據(jù)通用要求（征求意見稿）》對(duì)個(gè)人信息和重要數(shù)據(jù)各階段直接提出了要求，比如針對(duì)個(gè)人信息收集，標(biāo)準(zhǔn)提到汽車數(shù)據(jù)處理者應(yīng)根據(jù)所提供功能服務(wù)對(duì)數(shù)據(jù)精度的要求確定攝像頭，雷達(dá)等的覆蓋范圍、分辨率。

除了標(biāo)準(zhǔn)直接的技術(shù)要求之外，整車功能服務(wù)以及個(gè)人信息在整車流轉(zhuǎn)所涉及到零部件眾多，此時(shí)有效識(shí)別《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》提到的敏感個(gè)人信息，并進(jìn)行針對(duì)性的處理，并通過流程化，結(jié)構(gòu)化的方式，將隱私分析嵌入到整車研發(fā)過程中是業(yè)界亟待解決的問題。

整車隱私開發(fā)流程

汽車智能化和網(wǎng)聯(lián)化除了帶來(lái)用戶體驗(yàn)的提升，同時(shí)也會(huì)導(dǎo)致汽車本身系統(tǒng)的復(fù)雜和海量的數(shù)據(jù)交互，其中在考慮隱私分析時(shí)，不僅僅是圍繞隱私各個(gè)方面，還應(yīng)當(dāng)考慮以下問題：

1）隱私意識(shí)：汽車智能網(wǎng)聯(lián)技術(shù)發(fā)展，導(dǎo)致涉及到個(gè)人信息和敏感個(gè)人信息信息量增多，此外是隱私防護(hù)又會(huì)提升汽車本身的復(fù)雜性，此時(shí)隱私意識(shí)顯得尤為重要，落實(shí)隱私防護(hù)的基礎(chǔ)，需要重視隱私意識(shí)的主體包括車輛制造商及相關(guān)的工程師以及用戶，他們需要識(shí)別隱私問題的影響，并在研發(fā)和使用過程中，引起高度的重視。

2）整體視野：在引入隱私概念時(shí)要盡可能考慮到隱私所涉及到的范圍，盡管在標(biāo)準(zhǔn)要求和執(zhí)行層面聚焦在單點(diǎn)的隱私防護(hù)技術(shù)上，但考慮全范圍的隱私問題有助于提升隱私防護(hù)。局部的隱私方案落實(shí)，隨著隱私信息范圍的擴(kuò)大，可能會(huì)導(dǎo)致原先的隱私防護(hù)措施失效，因此將車作為整體考慮可以發(fā)現(xiàn)新的隱私威脅。此外，還要考慮不同的隱私數(shù)據(jù)類型，除了車聯(lián)網(wǎng)數(shù)據(jù)之外，還要考慮位置信息，最好是相關(guān)數(shù)據(jù)類型進(jìn)行逐一分析，比如診斷數(shù)據(jù)，傳感器數(shù)據(jù)等。

3）隱私預(yù)防：在隱私保護(hù)理念方面，應(yīng)以預(yù)防為主，積極采取措施提前響應(yīng)，避免隱私問題爆發(fā)之后才處理，這樣也就不需要駕駛員交互處理，減少了駕駛員的注意力分散。通過技術(shù)實(shí)現(xiàn)和流程化的方式預(yù)防處理，盡可能的減少對(duì)駕駛員注意力的分散。

4）整車開發(fā)技術(shù)要求：由于整車開發(fā)流程復(fù)雜，需求和約束條件也多，由此也會(huì)對(duì)隱私概念造成影響，在整車開發(fā)過程中需要考慮合規(guī)需求，車輛功能開發(fā)，以及安全性的要求，在設(shè)計(jì)隱私概念的同時(shí)，也需要考慮車輛架構(gòu)技術(shù)特征，以便更好的實(shí)現(xiàn)隱私防護(hù)。

5）整車開發(fā)流程：一般而言，整車開發(fā)流程分為三個(gè)階段開發(fā)階段、生產(chǎn)階段、后生產(chǎn)階段。每個(gè)階段都有不同的特點(diǎn)，在開發(fā)階段主要是做概念和架構(gòu)設(shè)計(jì)，定義零部件規(guī)范，此時(shí)對(duì)于隱私分析也需要考慮這方面的內(nèi)容，在生產(chǎn)階段，涉及到生產(chǎn)安裝，此時(shí)隱私方案已經(jīng)落地，在后生產(chǎn)階段主要涉及到汽車的運(yùn)維，在這個(gè)階段也有可能引入新的隱私威脅，需要持續(xù)監(jiān)控隱私相關(guān)的問題。

以上作為隱私開發(fā)流程需要考慮的前提，避免單點(diǎn)隱私方案落實(shí)的片面，不足以系統(tǒng)性的應(yīng)對(duì)隱私威脅。本篇所介紹的整車隱私開發(fā)流程主要集中在整車產(chǎn)品開發(fā)階段，在整車開發(fā)約束條件與隱私保護(hù)措施中取得平衡。其它階段的隱私保護(hù)可以重點(diǎn)參考前面介紹到的全生命周期數(shù)據(jù)安全的技術(shù)要求。

基于開發(fā)階段的隱私分析方法整體來(lái)說，包括四個(gè)階段數(shù)據(jù)采集、數(shù)據(jù)建模、隱私評(píng)估和隱私設(shè)計(jì)，具體交互如圖3所示：

資料來(lái)源：Naim Asaj 《ProTACD: A Generic Privacy Process for Vehicle Development》

（一）數(shù)據(jù)采集

由于智能網(wǎng)聯(lián)相關(guān)的功能增多，導(dǎo)致在數(shù)據(jù)采集和處理階段的場(chǎng)景更加復(fù)雜，數(shù)據(jù)采集也是隱私分析的非常重要的基礎(chǔ)。除了考慮重要的單一類型的數(shù)據(jù)類型，比如位置隱私數(shù)據(jù)之外，還應(yīng)考慮車輛不同的功能域，或者不同的分類，可以通過收集和分析不同的技術(shù)文檔，提煉出隱私相關(guān)的數(shù)據(jù)。

在車輛的設(shè)計(jì)階段，數(shù)據(jù)采集主要來(lái)自車輛功能和架構(gòu)規(guī)范，還有具體的零部件技術(shù)規(guī)范。在這個(gè)階段所涉及到的個(gè)人信息尚不明確，可以基于隱私默認(rèn)的原則，比如數(shù)據(jù)最小化原則，去標(biāo)識(shí)化，保持?jǐn)?shù)據(jù)處理透明度等原則，提出高層級(jí)的隱私防護(hù)需求。通過相應(yīng)的技術(shù)手段實(shí)現(xiàn)數(shù)據(jù)最小化，這樣有利于降低敏感數(shù)據(jù)的隱私影響。

基于整體的數(shù)據(jù)視角可以從不同角度考慮，比如具體抽象層的數(shù)據(jù)，或者垂直考慮不同的子系統(tǒng)內(nèi)容，不管是從功能入手，細(xì)分到各個(gè)子功能，還是基于不同的系統(tǒng)，要盡可能覆蓋到整體的數(shù)據(jù)類型?？傊?，我們需要考慮不同的數(shù)據(jù)類型。

按照數(shù)據(jù)安全推進(jìn)計(jì)劃在2022年發(fā)布的《智能網(wǎng)聯(lián)汽車數(shù)據(jù)分類分級(jí)實(shí)踐指南》，指南中提到的數(shù)據(jù)類型可以按照車、人、路、云四類數(shù)據(jù)劃分。

車端數(shù)據(jù)：包含基本數(shù)據(jù)類、感知數(shù)據(jù)類、決策數(shù)據(jù)類、運(yùn)行數(shù)據(jù)類、控制數(shù)據(jù)類

用戶數(shù)據(jù)：包含用戶身份證明信息類、用戶服務(wù)相關(guān)信息類、用戶其他相關(guān)信息。

路端數(shù)據(jù)：包含基本信息類、感知數(shù)據(jù)類、融合計(jì)算類、應(yīng)用服務(wù)類、運(yùn)行狀態(tài)數(shù)據(jù)類、地圖數(shù)據(jù)類、交通大數(shù)據(jù)

云端數(shù)據(jù)：基本信息類、控制數(shù)據(jù)類、網(wǎng)絡(luò)監(jiān)測(cè)數(shù)據(jù)類、生活服務(wù)類、車輛服務(wù)類、應(yīng)用服務(wù)類、用戶服務(wù)內(nèi)容信息類、車輛銷售數(shù)據(jù)類。

在數(shù)據(jù)采集階段，按照數(shù)據(jù)類型分類收集，然后識(shí)別出對(duì)應(yīng)的隱私信息。

（二）數(shù)據(jù)建模

在數(shù)據(jù)采集完成之后，由于涉及到的數(shù)據(jù)類型較多，此次是需要進(jìn)行數(shù)據(jù)建模，以結(jié)構(gòu)化的形式整理收集到的數(shù)據(jù)，可以通過數(shù)據(jù)流圖的方式進(jìn)行數(shù)據(jù)建模。比如數(shù)據(jù)來(lái)源，數(shù)據(jù)傳輸，數(shù)據(jù)處理，再到數(shù)據(jù)的存儲(chǔ)。如果按照整車架構(gòu)劃分，按照不同功能域進(jìn)行劃分，基于執(zhí)行功能對(duì)應(yīng)的零部件繪制數(shù)據(jù)流圖，理清隱私數(shù)據(jù)多對(duì)應(yīng)的ECU和通信協(xié)議。數(shù)據(jù)建模有兩方面的作用，為隱私分析提供數(shù)據(jù)平臺(tái)基礎(chǔ)，同時(shí)也方便未來(lái)的隱私方案部署。

在數(shù)據(jù)建模方面也可以考慮另外一種方法，基于車輛身份標(biāo)識(shí)圖的方式考慮，具體邏輯如下圖所示。

圖4.基于車輛身份的標(biāo)識(shí)圖

資料來(lái)源：Naim Asaj 《Towards an Identity-based Data Model for an Automotive Privacy Process》

在基于車輛身份的標(biāo)識(shí)圖里標(biāo)識(shí)主要分為五個(gè)層級(jí)，原子標(biāo)識(shí)、提煉標(biāo)識(shí)、聯(lián)合標(biāo)識(shí)、部分標(biāo)識(shí)、車輛標(biāo)識(shí)和個(gè)人標(biāo)識(shí)，從真實(shí)標(biāo)識(shí)數(shù)據(jù)入手，通過自下而上的數(shù)據(jù)推演出相應(yīng)的車輛數(shù)據(jù)和隱私信息，具體定義如下：

原子標(biāo)識(shí)：在車輛系統(tǒng)是不可再拆分且單一的元數(shù)據(jù)，而且真實(shí)存在，比如VIN碼

提煉標(biāo)識(shí)：這種元素是一種特殊的節(jié)點(diǎn)化身，它定義了從原子標(biāo)識(shí)符中提取語(yǔ)義信息。它可以被視為原子標(biāo)識(shí)符的語(yǔ)義子集。通常，原子標(biāo)識(shí)符可以包含更多信息，其中必須將此信息拆分為單獨(dú)的元素。通過原子標(biāo)識(shí)數(shù)據(jù)進(jìn)行拆解，推導(dǎo)出更多的語(yǔ)義信息，比如VIN碼可以讀出世界代碼、車輛屬性和車型的年限。

聯(lián)合標(biāo)識(shí)：它屬于邏輯標(biāo)識(shí)，并非真實(shí)存在，可以通過兩個(gè)原子數(shù)據(jù)組合構(gòu)成標(biāo)識(shí)，推導(dǎo)出進(jìn)一步的信息。

部分標(biāo)識(shí)：關(guān)于特定的汽車特性，部分標(biāo)識(shí)代表了汽車部分功能域，比如網(wǎng)聯(lián)域，由于基于標(biāo)識(shí)的數(shù)據(jù)模型處于動(dòng)態(tài)變化中，可以通過部分標(biāo)識(shí)推導(dǎo)出更大范圍的數(shù)據(jù)標(biāo)識(shí)。

車輛標(biāo)識(shí)：與車輛相關(guān)的所有標(biāo)識(shí)集合，區(qū)別單點(diǎn)的VIN碼

個(gè)人標(biāo)識(shí)：一組與特定個(gè)人（駕駛員或者乘客）相關(guān)的個(gè)人身份識(shí)別信息。同時(shí)可以通過將個(gè)人信息與車輛標(biāo)識(shí)符一起使用部分標(biāo)識(shí)。

通過數(shù)據(jù)建模的方式可以構(gòu)建出各個(gè)原子數(shù)據(jù)之間的聯(lián)系，通過演繹的方式推導(dǎo)出敏感個(gè)人信息，通過此種方式可以對(duì)整車的數(shù)據(jù)進(jìn)行系統(tǒng)的建模，為進(jìn)一步的隱私評(píng)估提供參考。

（三）隱私評(píng)估

隱私評(píng)估階段的主要目的是識(shí)別相應(yīng)的隱私威脅，同時(shí)選擇并評(píng)估隱私方案的有效性。本階段可以采用基于LINDDUN威脅模型建模，然后基于固定場(chǎng)景進(jìn)行分析。在《智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全與數(shù)據(jù)安全發(fā)展報(bào)告（2022）》B.4 智能網(wǎng)聯(lián)汽車隱私保護(hù)發(fā)展動(dòng)態(tài)有詳細(xì)的介紹，在這里對(duì)每個(gè)階段做簡(jiǎn)單的描述。

圖5. 隱私評(píng)估流程圖

資料來(lái)源：Mina Deng 《A privacy threat analysis framework: supporting the elicitation and fulfillment of privacy requirements》

1）數(shù)據(jù)流圖(DFD)的創(chuàng)建：按數(shù)據(jù)流向繪制數(shù)據(jù)流圖，主要考慮數(shù)據(jù)實(shí)體、處理單元、數(shù)據(jù)存儲(chǔ)和數(shù)據(jù)流四大要素。

2）隱私威脅與數(shù)據(jù)流圖映射關(guān)系：

圖6. 隱私威脅與數(shù)據(jù)流圖映射關(guān)系

資料來(lái)源：Mina Deng 《A privacy threat analysis framework: supporting the elicitation and fulfillment of privacy requirements》

3）基于威脅樹的隱私威脅細(xì)化：按照不同的資產(chǎn)類型與威脅類別進(jìn)行對(duì)應(yīng)，然后再具體細(xì)化隱私所對(duì)應(yīng)的威脅內(nèi)容。

4）風(fēng)險(xiǎn)評(píng)估：對(duì)識(shí)別的威脅進(jìn)行優(yōu)先級(jí)排序，然后參考對(duì)個(gè)人權(quán)益影響程度，劃分不同的等級(jí)，可以參考《智能網(wǎng)聯(lián)汽車數(shù)據(jù)分類分級(jí)指南》中數(shù)據(jù)分級(jí)的思路，將風(fēng)險(xiǎn)分為一般危害、嚴(yán)重危害、特別嚴(yán)重危害、對(duì)公共利益造成嚴(yán)重危害四個(gè)等級(jí)進(jìn)行劃分。

5）提煉隱私需求：通過風(fēng)險(xiǎn)評(píng)估確定相應(yīng)的安全風(fēng)險(xiǎn)之后，針對(duì)風(fēng)險(xiǎn)所對(duì)應(yīng)的場(chǎng)景進(jìn)行需求提煉。一般對(duì)應(yīng)的是LINDDUN模型對(duì)匹配的隱私目標(biāo)進(jìn)行需求定義。

（四）隱私設(shè)計(jì)

在需求定義清楚之后，開始進(jìn)行隱私方案設(shè)計(jì)，一般而言，隱私設(shè)計(jì)方案是一系列要素的組合，包括增強(qiáng)型隱私防護(hù)技術(shù)，車輛約束條件，比如車輛技術(shù)需求，生命周期不同階段的工作特點(diǎn)，特殊的車輛隱私防護(hù)形式?；谡嚬δ芩治龀鰜?lái)的隱私設(shè)計(jì)方案，由于具有一定的普適性，無(wú)法適用于特定的車輛，需要結(jié)合整車的實(shí)際合理采用，也就是說基于此流程得出的隱私方案只是技術(shù)層面的隱私防護(hù)參考，還需要考慮實(shí)際的項(xiàng)目需求。

在具體車型的設(shè)計(jì)隱私方案過程所得到的隱私設(shè)計(jì)并不是固定的隱私方案，允許調(diào)整和優(yōu)化隱私方案，也可以通過仿真的方式減少隱私方案的錯(cuò)誤使用，在持續(xù)迭代的過程實(shí)現(xiàn)隱私方案的優(yōu)化。

（五）隱私方案開發(fā)

具體的隱私方案開發(fā)如圖1所示包括四個(gè)方面,隱私方案，隱私工具，隱私策略和車輛架構(gòu)。隱私方案包括技術(shù)實(shí)現(xiàn)概念，對(duì)應(yīng)的隱私評(píng)估結(jié)果和隱私特點(diǎn)。由于隱私方案的部署并不能直接使用，我們要用軟件工具將不同的隱私方案文檔化存儲(chǔ)下來(lái)。通過隱私流程的引入變相的影響到了整車開發(fā)流程，由此帶來(lái)的新信息也可以作為隱私方案的輸入反饋，為優(yōu)化隱私方案提供流程機(jī)制的保障。

本章節(jié)詳細(xì)介紹基于開發(fā)階段的隱私分析流程四個(gè)階段，數(shù)據(jù)采集、數(shù)據(jù)建模、隱私評(píng)估和隱私設(shè)計(jì)，通過整車數(shù)據(jù)交互迭代，以及與整車開發(fā)流程的匹配，完成了基于整車開發(fā)階段流程設(shè)計(jì)的構(gòu)想，為業(yè)界做隱私流程開發(fā)提供了參考。

智能網(wǎng)聯(lián)汽車隱私開發(fā)挑戰(zhàn)與展望

隨著《個(gè)人信息保護(hù)法》、《數(shù)據(jù)安全法》、《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》等法律法規(guī)的發(fā)布，個(gè)人信息保護(hù)與數(shù)據(jù)安全的問題逐漸受到行業(yè)的重視，但是汽車行業(yè)如何在實(shí)際工作中如何有效且系統(tǒng)的應(yīng)對(duì)合規(guī)需求，目前尚無(wú)明確的標(biāo)準(zhǔn)指導(dǎo)和行業(yè)共識(shí)。目前業(yè)界普遍關(guān)注在數(shù)據(jù)安全方面，隱私保護(hù)屬于個(gè)人信息與數(shù)據(jù)安全交叉的部分，更加的滯后，那么數(shù)據(jù)安全目前存在以下挑戰(zhàn)，對(duì)于隱私保護(hù)依然是適用的。

（一）數(shù)據(jù)資產(chǎn)梳理不清晰

隨著智能網(wǎng)聯(lián)汽車業(yè)務(wù)快速發(fā)展，業(yè)務(wù)運(yùn)行過程中衍生的汽車數(shù)據(jù)往往體量大、數(shù)據(jù)類型繁多、應(yīng)用場(chǎng)景復(fù)雜。對(duì)于企業(yè)來(lái)說，梳理數(shù)據(jù)類型，應(yīng)用場(chǎng)景面臨巨大的挑戰(zhàn)。

（二）數(shù)據(jù)使用流轉(zhuǎn)不明

由于車聯(lián)網(wǎng)之后構(gòu)建成完整的車聯(lián)網(wǎng)生態(tài)系統(tǒng)，智能網(wǎng)聯(lián)汽車數(shù)據(jù)是從何而來(lái)、經(jīng)于何地、存于何處、這些散布在車、路、云、網(wǎng)的汽車數(shù)據(jù)使用流向不明，對(duì)于數(shù)據(jù)的流轉(zhuǎn)路徑、數(shù)據(jù)流轉(zhuǎn)具體字段、數(shù)據(jù)流轉(zhuǎn)量級(jí)、數(shù)據(jù)流轉(zhuǎn)的接口等，無(wú)法進(jìn)行有效的識(shí)別和監(jiān)控，對(duì)于整個(gè)數(shù)據(jù)安全與隱私保護(hù)的處置造成了挑戰(zhàn)。

（三）數(shù)據(jù)風(fēng)險(xiǎn)監(jiān)測(cè)不準(zhǔn)

以往技術(shù)聚焦在靜態(tài)單點(diǎn)的數(shù)據(jù)風(fēng)險(xiǎn)監(jiān)測(cè)，無(wú)法應(yīng)對(duì)日趨復(fù)雜的車聯(lián)網(wǎng)生態(tài)系統(tǒng)，導(dǎo)致數(shù)據(jù)風(fēng)險(xiǎn)監(jiān)測(cè)不準(zhǔn)。

（四）數(shù)據(jù)安全防護(hù)不足

業(yè)內(nèi)對(duì)于數(shù)據(jù)安全尚未形成成熟的解決方案，盡管企業(yè)積累了大量的車聯(lián)網(wǎng)數(shù)據(jù)，但由于數(shù)據(jù)量大、類型繁多、分布廣泛，企業(yè)在開展數(shù)據(jù)分類分級(jí)工作時(shí)，需要多方參與，人力成本高，周期長(zhǎng)，見效慢。

（五）審計(jì)溯源能力不足

在智能網(wǎng)聯(lián)汽車數(shù)據(jù)使用和流轉(zhuǎn)過程中，涉及車、路、云、網(wǎng)、端等各種各樣的賬號(hào)、應(yīng)用、數(shù)據(jù)庫(kù)和數(shù)據(jù)等重要對(duì)象，傳統(tǒng)技術(shù)難以應(yīng)對(duì)智能網(wǎng)聯(lián)汽車數(shù)據(jù)重要對(duì)象進(jìn)行關(guān)聯(lián)審計(jì)。一般所獲取的部分對(duì)象的日志信息，無(wú)法形成鏈路級(jí)關(guān)聯(lián)審計(jì)。

企業(yè)該如何應(yīng)對(duì)以上數(shù)據(jù)安全與個(gè)人信息保護(hù)的挑戰(zhàn)，這是需要業(yè)界共同應(yīng)對(duì)的方向。那么從個(gè)人角度，有如下建議：

1）加快數(shù)據(jù)安全與隱私保護(hù)相關(guān)的標(biāo)準(zhǔn)制定

盡管目前有法規(guī)出臺(tái)，在汽車領(lǐng)域有《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》，但企業(yè)不知道該如何實(shí)施，一方面標(biāo)準(zhǔn)制定部門加大投入，另外一方面鼓勵(lì)企業(yè)建立數(shù)據(jù)安全與隱私保護(hù)流程規(guī)范，整體來(lái)說要通過政府監(jiān)管和行業(yè)聯(lián)盟推動(dòng)各項(xiàng)標(biāo)準(zhǔn)的制定。

2）提高企業(yè)對(duì)數(shù)據(jù)安全與隱私保護(hù)的意識(shí)

安全和隱私是需要全員參與的工作，尤其是在車輛制造商及其上下游，將數(shù)據(jù)安全與隱私保護(hù)的意識(shí)導(dǎo)入到日常工作。可以通過活動(dòng)宣傳，流程制定，領(lǐng)導(dǎo)參與監(jiān)管的方式，提升整體的安全意識(shí)。

3）加強(qiáng)數(shù)據(jù)安全與個(gè)人隱私信息保護(hù)的監(jiān)管

合規(guī)驅(qū)動(dòng)的數(shù)據(jù)安全與個(gè)人信息保護(hù)需要通過自上而下的方式加強(qiáng)監(jiān)管，通過進(jìn)一步細(xì)化法規(guī)要求，制定相應(yīng)的標(biāo)準(zhǔn)內(nèi)容，積極引導(dǎo)行業(yè)在數(shù)據(jù)安全與個(gè)人信息保護(hù)的發(fā)展，同時(shí)也要加強(qiáng)各部門的監(jiān)管，將法規(guī)所要求的內(nèi)容真正落實(shí)到產(chǎn)品方案。

本文節(jié)選自《智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全與數(shù)據(jù)安全發(fā)展報(bào)告（2023）》B.21

審核編輯：湯梓紅