智能网联汽车隐私开发方法与流程探究

  网联汽车用户的隐私泄露的问题，对智能网联汽车隐私开发方法与流程进行分析。

  通过汽车整车开发流程及数据安全开发流程分析，结合有关规定法律法规和标准规范，提出了基于全生命周期的智能网联汽车数据安全要求，包括数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全以及数据销毁安全。

  通过对开发阶段的整车隐私方法进行分析，将整车隐私开发流程分为四个阶段：数据采集、数据建模、隐私评估和隐私设计。隐私方案开发包括隐私方案、隐私工具、隐私策略以及车辆架构四个方面。通过对智能网联汽车隐私开发方法与流程的分析，为智能网联汽车行业的隐私流程开发提供了参考，对智能网联汽车发展有重要借鉴意义。

  在《汽车数据安全管理若干规定（试行）》发布实施的背景下，汽车行业对于汽车数据安全的问题重视程度在空前加深。该规定倡导汽车数据处理者在开展汽车数据处理活动中坚持四大原则：车内处理原则，默认不收集原则，精度范围适用原则，脱敏处理原则。目前业界普遍关注单点的技术问题，以满足合规需求，比如数据匿名化，图像脱敏处理，同时更多关注全生命周期的汽车数据运营，忽略了汽车整车产品本身的隐私分析，难以真正实现“privacy by default”。

  本篇尝试介绍一种基于整车开发的结构化隐私流程，整体将其分析四个阶段：数据采集，数据建模，隐私评估和隐私设计，最终实现隐私方案落地。此隐私分析流程与整车开发的概念阶段和开发阶段融合，解决了汽车行业研发阶段的隐私分析保护的工作，同时有助于为车辆制造商和驾驶员提供可持续的隐私保护，以及隐私意识。

  本篇将介绍的隐私开发流程将与整车开发流程进行融合，参考基于全生命周期的数据安全进行参考，将简单介绍整车开发流程以及全生命周期的数据安全流程。

  一般而言，汽车整车开发流程遵循”V”字型正向开发逻辑，需要定义整车开发各阶段关键活动，并明确相应的时间节点及交付物，整体来说共分为五个阶段，具体阶段如图1整车开发流程简图：

  资料来源：《数据资产全生命周期安全管理》--倪文静，胡震（中国院刊电子出版社）

  1）规划阶段：基于商业化调研以及市场定位，按照企业自身实力，确定具体需要开发的车型构想，明确相应的配置清单，主要尺寸，合规需求，整车目标等车型开发所需条件。

  2）概念阶段：按照车型规划的要求，启动具体的车型技术需求定义，包括功能开发，系统开发，属性定义，验证策略定义和电子电气架构开发等，为车型各项技术方案开发提供技术输入。

  3）开发阶段：按照概念阶段输入的高层级需求，开始进行零部件选型以零部件开发，包括机械开发和软件开发，整车开发各层级所对应的测试验证，比如整车级验证，同时也会进行造型冻结。

  4）生产阶段：车型产品研发之后，产品进入生产阶段，工装样车确认生产工艺装配的可行性，试生产和小批量检验生产线的生产能力，爬坡量产到SOP，此阶段的重点是考验生产线）运营阶段

  工业里，运营阶段主要负责车型的售后处理，从网络安全的领域，运营阶段也包括安全运营，应急响应和漏洞管理，软件更新等工作。汽车零部件的数量众多，电子控制单元在100~150个左右， 整车研发的周期较长，汽车供应链上下游玩家众多，同时随着自动驾驶

  信息数据和个人信息交互增多，一方面网络安全和数据安全，个人信息保护的问题也日益增多，此外汽车本身的复杂性，导致安全防护和个人信息保护也日趋复杂，单点技术方案无法解决系统问题，此时更需要结构的化的流程进行整车层级的数据梳理。基于全生命周期的数据安全

  在《汽车数据安全管理若干规定（试行）》，首先便对汽车领域内有关数据的重要名词进行界定，其中包括“汽车数据”、“个人信息”、“敏感个人信息”、“重要数据”等，明确定义“个人信息”和“敏感个人信息”。

  采集阶段，首先要明确采集规范，制定采集策略，完善数据采集风险评估以及保证数据采集的合规合法性。数据采集规范中要明确数据采集的目的、用途、方式、范围、采集源、采集渠道等内容，并对数据来源进行源鉴别和记录。制定明确的采集策略，只采集经过授权的数据并进行日志记录。对数据采集过程中的风险项进行定义，形成数据采集风险评估规范。数据采集全过程需要符合相关法律和法规和监管要求，做到合规合法的采集。

  数据存储阶段，制定存储介质标准和存储系统的安全防护重要标准。存储介质标准需要覆盖存储介质的定义、质量、存储介质的收发运输、存储介质的使用记录及管理、存储介质的维修

  数据处理应该遵循合规、最小授权、可审计原则，对数据处理结果进行风险评估，确保分布式处理，数据分析，数据加密，数据脱敏和数据溯源的安全。

  数据交换和共享安全阶段，需建立数据交换和共享审核流程和监管平台。建立数据导入导出的流程化规范，统一权限管理和流程审批以及监控审计，以确保数据对于数据共享的所有操作和行为进行日志记录，并对高危行为进行风险识别和管控。

  结合场景保障销毁技术的多样化。针对不同的存储介质和设备有其不可逆的销毁技术及流程，实现针对磁盘、光盘各类数据存储介质的不同销毁技术及流程，建立销毁监察机制，严防数据销毁阶段可能出现的数据泄露问题。

  汽车智能化和网联化除了带来用户体验的提升，同时也会导致汽车本身系统的复杂和海量的数据交互，其中在考虑隐私分析时，不仅仅是围绕隐私各个方面，还应当考虑以下问题：

  工程师以及用户，他们需要识别隐私问题的影响，并在研发和使用过程中，引起高度的重视。2）整体视野

  ：在引入隐私概念时要尽可能考虑到隐私所涉及到的范围，尽管在标准要求和执行层面聚焦在单点的隐私防护技术上，但考虑全范围的隐私问题有助于提升隐私防护。局部的隐私方案落实，随着隐私信息范围的扩大，可能会导致原先的隐私防护措施失效，因此将车作为整体考虑可以发现新的隐私威胁。此外，还要考虑不同的隐私数据类型，除了车联网数据之外，还要考虑位置信息，最好是相关数据类型进行逐一分析，比如诊断数据，

  ：一般而言，整车开发流程分为三个阶段开发阶段、生产阶段、后生产阶段。每个阶段都有不同的特点，在开发阶段主要是做概念和架构设计，定义零部件规范，此时对于隐私分析也需要考虑这方面的内容，在生产阶段，涉及到生产安装，此时隐私方案已经落地，在后生产阶段主要涉及到汽车的运维，在这个阶段也有可能引入新的隐私威胁，需要持续监控隐私相关的问题。

  以上作为隐私开发流程需要考虑的前提，避免单点隐私方案落实的片面，不足以系统性的应对隐私威胁。本篇所介绍的整车隐私开发流程主要集中在整车产品开发阶段，在整车开发约束条件与隐私保护措施中取得平衡。其它阶段的隐私保护可以重点参考前面介绍到的全生命周期数据安全的技术要求。

  资料来源：Naim Asaj 《ProTACD: A Generic Privacy Process f

  由于智能网联相关的功能增多，导致在数据采集和处理阶段的场景更加复杂，数据采集也是隐私分析的非常重要的基础。除了考虑重要的单一类型的数据类型，比如位置隐私数据之外，还应考虑车辆不同的功能域，或者不同的分类，可以通过收集和分析不同的技术文档，提炼出隐私相关的数据。

  在车辆的设计阶段，数据采集主要来自车辆功能和架构规范，还有具体的零部件技术规范。在这个阶段所涉及到的个人信息尚不明确，可以基于隐私默认的原则，比如数据最小化原则，去标识化，保持数据处理透明度等原则，提出高层级的隐私防护需求。通过相应的技术手段实现数据最小化，这样有利于降低敏感数据的隐私影响。

  在数据采集完成之后，由于涉及到的数据类型较多，此次是需要进行数据建模，以结构化的形式整理收集到的数据，可以通过数据流图的方式进行数据建模。比如数据来源，数据传输，数据处理，再到数据的存储。如果按照整车架构划分，按照不同功能域进行划分，基于执行功能对应的零部件绘制数据流图，理清隐私数据多对应的ECU和通信

  在数据建模方面也可以考虑另外一种方法，基于车辆身份标识图的方式考虑，具体逻辑如下图所示。

  在基于车辆身份的标识图里标识主要分为五个层级，原子标识、提炼标识、联合标识、部分标识、车辆标识和个人标识，从真实标识数据入手，通过自下而上的数据推演出相应的车辆数据和隐私信息，具体定义如下：

  拆解，推导出更多的语义信息，比如VIN码可以读出世界代码、车辆属性和车型的年限。联合标识

  通过数据建模的方式可以构建出各个原子数据之间的联系，通过演绎的方式推导出敏感个人信息，通过此种方式可以对整车的数据进行系统的建模，为进一步的隐私评估提供参考。

  隐私评估阶段的主要目的是识别相应的隐私威胁，同时选择并评估隐私方案的有效性。本阶段可以采用基于LINDDUN威胁模型建模，然后基于固定场景做多元化的分析。在《智能网联汽车网络安全与数据安全发展报告（2022）》B.4 智能网联汽车隐私保护发展动态有详细的介绍，在这里对每个阶段做简单的描述。

  在需求定义清楚之后，开始做隐私方案设计，一般而言，隐私设计方案是一系列要素的组合，包括增强型隐私防护技术，车辆约束条件，比如车辆技术需求，生命周期不同阶段的工作特点，特殊的车辆隐私防护形式。基于整车功能所分析出来的隐私设计方案，由于具有一定的普适性，无法适用于特定的车辆，需要结合整车的实际合理采用，也就是说基于此流程得出的隐私方案只是技术层面的隐私防护参考，还需要考虑实际的项目需求。

  具体的隐私方案开发如图1所示包括四个方面,隐私方案，隐私工具，隐私策略和车辆架构。隐私方案包括技术实现概念，对应的隐私评估结果和隐私特点。由于隐私方案的部署并不能直接使用，我们要用软件工具将不同的隐私方案文档化存储下来。通过隐私流程的引入变相的影响到了整车开发流程，由此带来的新信息也可以作为隐私方案的输入反馈，为优化隐私方案提供流程机制的保障。

  随着《个人隐私信息保护法》、《数据安全法》、《汽车数据安全管理若干规定（试行）》等法律法规的发布，个人隐私信息保护与数据安全的问题逐渐受到行业的重视，但是汽车行业如何在实际工作中如何有效且系统的应对合规需求，目前尚无明确的标准指导和行业共识。目前业界普遍关注在数据安全方面，隐私保护属于个人隐私信息与数据安全交叉的部分，更加的滞后，那么数据安全目前存在以下挑战，对于隐私保护依然是适用的。

  随着智能网联汽车业务快速发展，业务运行过程中衍生的汽车数据往往体量大、数据类型繁多、应用场景复杂。对于企业来说，梳理数据类型，应用场景面临巨大的挑战。

  由于车联网之后构建成完整的车联网生态系统，智能网联汽车数据是从何而来、经于何地、存于何处、这些散布在车、路、云、网的汽车数据使用流向不明，对于数据的流转路径、数据流转具体字段、数据流转量级、数据流转的接口

  以往技术聚焦在静态单点的数据风险监测，无法应对日趋复杂的车联网生态系统，导致数据风险监测不准。

  业内对于数据安全尚未形成成熟的解决方案，尽管企业积累了大量的车联网数据，但由于数据量大、类型繁多、分布广泛，企业在开展数据分类分级工作时，需要多方参与，人力成本高，周期长，见效慢。

  在智能网联汽车数据使用和流转过程中，涉及车、路、云、网、端等各种各样的账号、应用、数据库和数据等重要对象，传统技术难以应对智能网联汽车数据重要对象进行关联审计。一般所获取的部分对象的日志信息，无法形成链路级关联审计。

  尽管目前有法规出台，在汽车领域有《汽车数据安全管理若干规定（试行）》，但企业不知道该如何实施，一方面标准制定部门加大投入，另外一方面鼓励企业建立数据安全与隐私保护流程规范，整体来说要通过政府监管和行业联盟推动各项标准的制定。

  安全和隐私是需要全员参与的工作，尤其是在车辆制造商及其上下游，将数据安全与隐私保护的意识导入到日常工作。可以通过活动宣传，流程制定，领导参与监管的方式，提升整体的安全意识。

  合规驱动的数据安全与个人隐私信息保护需要通过自上而下的方式加强监管，通过进一步细化法规要求，制定相应的标准内容，积极引导行业在数据安全与个人隐私信息保护的发展，同时也要加强各部门的监管，将法规所要求的内容真正落实到产品方案

  本文节选自《智能网联汽车网络安全与数据安全发展报告（2023）》B.21

  声明：本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人，不代表电子发烧友网立场。文章及其配图仅供工程师学习之用，如有内容侵权或者其他违规问题，请联系本站处理。举报投诉

  。国内政策支持针对此技术框架，***也启动了相关的项目，包括工信部、科技部、交通部，以及国家自然科学基金对

  展时间：2017年11月7-11日地点：国家会展中心（上海）主办：国家发改委、商务部、工信部、科技部、中科院、中国工程院、中国贸促会、上海市人民***承办

  系统中提供 “云—管—端”整体解决方案，将本地解决能力与云连接相结合，融合更集成高效的硬件设备平台和丰富场景体验的软件平台，依托大数据和

  终端存在安全风险 /

  的三重境界 /

  测试问题 /

  测试策略研究（下） /

  什么是busoff？BUSOFF是怎么样产生的？BUSOFF恢复机制和故障码记录

  如何使用MATLAB和MATLAB Parallel Server扩展整车仿真呢？

  三星电子可能加入收购ARM的竞争；由于处理器散热问题，苹果 AR / VR 头显推迟到明年推出；