本報告針對智能網聯汽車用戶的隱私泄露的問題，對智能網聯汽車隱私開發方法與流程進行分析。

通過汽車整車開發流程及數據安全開發流程分析，結合相關法律法規和標準規范，提出了基于全生命周期的智能網聯汽車數據安全要求，包括數據采集安全、數據傳輸安全、數據存儲安全、數據處理安全、數據交換安全以及數據銷毀安全。

通過對開發階段的整車隱私方法進行分析，將整車隱私開發流程分為四個階段：數據采集、數據建模、隱私評估和隱私設計。隱私方案開發包括隱私方案、隱私工具、隱私策略以及車輛架構四個方面。通過對智能網聯汽車隱私開發方法與流程的分析，為智能網聯汽車行業的隱私流程開發提供了參考，對智能網聯汽車發展有重要借鑒意義。

汽車整車開發流程及數據安全開發

流程背景介紹

在《汽車數據安全管理若干規定（試行）》發布實施的背景下，汽車行業對于汽車數據安全的問題重視程度在空前加深。該規定倡導汽車數據處理者在開展汽車數據處理活動中堅持四大原則：車內處理原則，默認不收集原則，精度范圍適用原則，脫敏處理原則。目前業界普遍關注單點的技術問題，以滿足合規需求，比如數據匿名化，圖像脫敏處理，同時更多關注全生命周期的汽車數據運營，忽略了汽車整車產品本身的隱私分析，難以真正實現“privacy by default”。

本篇嘗試介紹一種基于整車開發的結構化隱私流程，整體將其分析四個階段：數據采集，數據建模，隱私評估和隱私設計，最終實現隱私方案落地。此隱私分析流程與整車開發的概念階段和開發階段融合，解決了汽車行業研發階段的隱私分析保護的工作，同時有助于為車輛制造商和駕駛員提供可持續的隱私保護，以及隱私意識。

本篇將介紹的隱私開發流程將與整車開發流程進行融合，參考基于全生命周期的數據安全進行參考，將簡單介紹整車開發流程以及全生命周期的數據安全流程。

汽車整車開發流程概覽

一般而言，汽車整車開發流程遵循”V”字型正向開發邏輯，需要定義整車開發各階段關鍵活動，并明確相應的時間節點及交付物，整體來說共分為五個階段，具體階段如圖1整車開發流程簡圖：

圖1. 汽車整車開發流程階段

資料來源：《數據資產全生命周期安全管理》--倪文靜，胡震（中國院刊電子出版社）

1）規劃階段：基于商業化調研以及市場定位，按照企業自身實力，確定具體需要開發的車型構想，明確相應的配置清單，主要尺寸，合規需求，整車目標等車型開發所需條件。

2）概念階段：按照車型規劃的要求，啟動具體的車型技術需求定義，包括功能開發，系統開發，屬性定義，驗證策略定義和電子電氣架構開發等，為車型各項技術方案開發提供技術輸入。

3）開發階段：按照概念階段輸入的高層級需求，開始進行零部件選型以零部件開發，包括機械開發和軟件開發，整車開發各層級所對應的測試驗證，比如整車級驗證，同時也會進行造型凍結。

4）生產階段：車型產品研發之后，產品進入生產階段，工裝樣車確認生產工藝裝配的可行性，試生產和小批量檢驗生產線的生產能力，爬坡量產到SOP，此階段的重點是考驗生產線的能力。

5）運營階段：在傳統的汽車工業里，運營階段主要負責車型的售后處理，從網絡安全的領域，運營階段也包括安全運營，應急響應和漏洞管理，軟件更新等工作。

汽車零部件的數量眾多，電子控制單元在100~150個左右， 整車研發的周期較長，汽車供應鏈上下游玩家眾多，同時隨著自動駕駛和網聯功能技術的發展，信息數據和個人信息交互增多，一方面網絡安全和數據安全，個人信息保護的問題也日益增多，此外汽車本身的復雜性，導致安全防護和個人信息保護也日趨復雜，單點技術方案無法解決系統問題，此時更需要結構的化的流程進行整車層級的數據梳理。

基于全生命周期的數據安全

在《汽車數據安全管理若干規定（試行）》，首先便對汽車領域內有關數據的重要名詞進行界定，其中包括“汽車數據”、“個人信息”、“敏感個人信息”、“重要數據”等，明確定義“個人信息”和“敏感個人信息”。

根據《若干規定》第三條的規定，所謂汽車數據，即“包括汽車設計、生產、銷售、使用、運維等過程中的涉及個人信息數據和重要數據”。這說明并不是汽車設計、生產、銷售、使用、運維等過程中的所有數據都被劃入了汽車數據的范疇，而僅僅是其中的個人信息數據和重要數據。

此處暫且將隱私與敏感個人信息數據等同，在深入介紹介紹隱私分析流程之前，有必要對基于全生命周期的數據安全流程做簡單的介紹。

圖2. 汽車生命周期各階段安全

資料來源：《數據資產全生命周期安全管理》--倪文靜，胡震（中國院刊電子出版社）

（一）數據采集階段

采集階段，首先要明確采集規范，制定采集策略，完善數據采集風險評估以及保證數據采集的合規合法性。數據采集規范中要明確數據采集的目的、用途、方式、范圍、采集源、采集渠道等內容，并對數據來源進行源鑒別和記錄。制定明確的采集策略，只采集經過授權的數據并進行日志記錄。對數據采集過程中的風險項進行定義，形成數據采集風險評估規范。數據采集全過程需要符合相關法律法規和監管要求，做到合規合法的采集。

（二）數據傳輸安全

數據傳輸階段，采用合適的加密算法對數據進行加密傳輸，其中用到的對稱加密算法主要是對稱和非對稱算法，采用加密、簽名、鑒別和認證等機制對傳輸中的數據進行安全管理。

（三）數據存儲安全

數據存儲階段，制定存儲介質標準和存儲系統的安全防護重要標準。存儲介質標準需要覆蓋存儲介質的定義、質量、存儲介質的收發運輸、存儲介質的使用記錄及管理、存儲介質的維修規范。對存儲系統的安全防護，需要包括數據備份、歸檔和恢復以及對存儲系統弱點的識別及維護。

（四）數據處理安全

數據處理應該遵循合規、最小授權、可審計原則，對數據處理結果進行風險評估，確保分布式處理，數據分析，數據加密，數據脫敏和數據溯源的安全。

（五）數據交換安全

數據交換和共享安全階段，需建立數據交換和共享審核流程和監管平臺。建立數據導入導出的流程化規范，統一權限管理和流程審批以及監控審計，以確保數據對于數據共享的所有操作和行為進行日志記錄，并對高危行為進行風險識別和管控。

（六）數據銷毀安全

結合場景保障銷毀技術的多樣化。針對不同的存儲介質和設備有其不可逆的銷毀技術及流程，實現針對磁盤、光盤各類數據存儲介質的不同銷毀技術及流程，建立銷毀監察機制，嚴防數據銷毀階段可能出現的數據泄露問題。

基于全生命周期的數據安全各階段邏輯同樣適用于汽車數據安全，GB/T 《智能網聯汽車 數據通用要求（征求意見稿）》提到個人信息保護和重要數據要求，依然包括收集、存儲、使用、傳輸、刪除五個階段，此外還有個人信息處理通用要求，個人同意的取得，個人信息出境以及處理記錄的要求。

GB/T 《智能網聯汽車 數據通用要求（征求意見稿）》對個人信息和重要數據各階段直接提出了要求，比如針對個人信息收集，標準提到汽車數據處理者應根據所提供功能服務對數據精度的要求確定攝像頭，雷達等的覆蓋范圍、分辨率。

除了標準直接的技術要求之外，整車功能服務以及個人信息在整車流轉所涉及到零部件眾多，此時有效識別《汽車數據安全管理若干規定（試行）》提到的敏感個人信息，并進行針對性的處理，并通過流程化，結構化的方式，將隱私分析嵌入到整車研發過程中是業界亟待解決的問題。

整車隱私開發流程

汽車智能化和網聯化除了帶來用戶體驗的提升，同時也會導致汽車本身系統的復雜和海量的數據交互，其中在考慮隱私分析時，不僅僅是圍繞隱私各個方面，還應當考慮以下問題：

1）隱私意識：汽車智能網聯技術發展，導致涉及到個人信息和敏感個人信息信息量增多，此外是隱私防護又會提升汽車本身的復雜性，此時隱私意識顯得尤為重要，落實隱私防護的基礎，需要重視隱私意識的主體包括車輛制造商及相關的工程師以及用戶，他們需要識別隱私問題的影響，并在研發和使用過程中，引起高度的重視。

2）整體視野：在引入隱私概念時要盡可能考慮到隱私所涉及到的范圍，盡管在標準要求和執行層面聚焦在單點的隱私防護技術上，但考慮全范圍的隱私問題有助于提升隱私防護。局部的隱私方案落實，隨著隱私信息范圍的擴大，可能會導致原先的隱私防護措施失效，因此將車作為整體考慮可以發現新的隱私威脅。此外，還要考慮不同的隱私數據類型，除了車聯網數據之外，還要考慮位置信息，最好是相關數據類型進行逐一分析，比如診斷數據，傳感器數據等。

3）隱私預防：在隱私保護理念方面，應以預防為主，積極采取措施提前響應，避免隱私問題爆發之后才處理，這樣也就不需要駕駛員交互處理，減少了駕駛員的注意力分散。通過技術實現和流程化的方式預防處理，盡可能的減少對駕駛員注意力的分散。

4）整車開發技術要求：由于整車開發流程復雜，需求和約束條件也多，由此也會對隱私概念造成影響，在整車開發過程中需要考慮合規需求，車輛功能開發，以及安全性的要求，在設計隱私概念的同時，也需要考慮車輛架構技術特征，以便更好的實現隱私防護。

5）整車開發流程：一般而言，整車開發流程分為三個階段開發階段、生產階段、后生產階段。每個階段都有不同的特點，在開發階段主要是做概念和架構設計，定義零部件規范，此時對于隱私分析也需要考慮這方面的內容，在生產階段，涉及到生產安裝，此時隱私方案已經落地，在后生產階段主要涉及到汽車的運維，在這個階段也有可能引入新的隱私威脅，需要持續監控隱私相關的問題。

以上作為隱私開發流程需要考慮的前提，避免單點隱私方案落實的片面，不足以系統性的應對隱私威脅。本篇所介紹的整車隱私開發流程主要集中在整車產品開發階段，在整車開發約束條件與隱私保護措施中取得平衡。其它階段的隱私保護可以重點參考前面介紹到的全生命周期數據安全的技術要求。

基于開發階段的隱私分析方法整體來說，包括四個階段數據采集、數據建模、隱私評估和隱私設計，具體交互如圖3所示：

資料來源：Naim Asaj 《ProTACD: A Generic Privacy Process for Vehicle Development》

（一）數據采集

由于智能網聯相關的功能增多，導致在數據采集和處理階段的場景更加復雜，數據采集也是隱私分析的非常重要的基礎。除了考慮重要的單一類型的數據類型，比如位置隱私數據之外，還應考慮車輛不同的功能域，或者不同的分類，可以通過收集和分析不同的技術文檔，提煉出隱私相關的數據。

在車輛的設計階段，數據采集主要來自車輛功能和架構規范，還有具體的零部件技術規范。在這個階段所涉及到的個人信息尚不明確，可以基于隱私默認的原則，比如數據最小化原則，去標識化，保持數據處理透明度等原則，提出高層級的隱私防護需求。通過相應的技術手段實現數據最小化，這樣有利于降低敏感數據的隱私影響。

基于整體的數據視角可以從不同角度考慮，比如具體抽象層的數據，或者垂直考慮不同的子系統內容，不管是從功能入手，細分到各個子功能，還是基于不同的系統，要盡可能覆蓋到整體的數據類型。總之，我們需要考慮不同的數據類型。

按照數據安全推進計劃在2022年發布的《智能網聯汽車數據分類分級實踐指南》，指南中提到的數據類型可以按照車、人、路、云四類數據劃分。

車端數據：包含基本數據類、感知數據類、決策數據類、運行數據類、控制數據類

用戶數據：包含用戶身份證明信息類、用戶服務相關信息類、用戶其他相關信息。

路端數據：包含基本信息類、感知數據類、融合計算類、應用服務類、運行狀態數據類、地圖數據類、交通大數據

云端數據：基本信息類、控制數據類、網絡監測數據類、生活服務類、車輛服務類、應用服務類、用戶服務內容信息類、車輛銷售數據類。

在數據采集階段，按照數據類型分類收集，然后識別出對應的隱私信息。

（二）數據建模

在數據采集完成之后，由于涉及到的數據類型較多，此次是需要進行數據建模，以結構化的形式整理收集到的數據，可以通過數據流圖的方式進行數據建模。比如數據來源，數據傳輸，數據處理，再到數據的存儲。如果按照整車架構劃分，按照不同功能域進行劃分，基于執行功能對應的零部件繪制數據流圖，理清隱私數據多對應的ECU和通信協議。數據建模有兩方面的作用，為隱私分析提供數據平臺基礎，同時也方便未來的隱私方案部署。

在數據建模方面也可以考慮另外一種方法，基于車輛身份標識圖的方式考慮，具體邏輯如下圖所示。

圖4.基于車輛身份的標識圖

資料來源：Naim Asaj 《Towards an Identity-based Data Model for an Automotive Privacy Process》

在基于車輛身份的標識圖里標識主要分為五個層級，原子標識、提煉標識、聯合標識、部分標識、車輛標識和個人標識，從真實標識數據入手，通過自下而上的數據推演出相應的車輛數據和隱私信息，具體定義如下：

原子標識：在車輛系統是不可再拆分且單一的元數據，而且真實存在，比如VIN碼

提煉標識：這種元素是一種特殊的節點化身，它定義了從原子標識符中提取語義信息。它可以被視為原子標識符的語義子集。通常，原子標識符可以包含更多信息，其中必須將此信息拆分為單獨的元素。通過原子標識數據進行拆解，推導出更多的語義信息，比如VIN碼可以讀出世界代碼、車輛屬性和車型的年限。

聯合標識：它屬于邏輯標識，并非真實存在，可以通過兩個原子數據組合構成標識，推導出進一步的信息。

部分標識：關于特定的汽車特性，部分標識代表了汽車部分功能域，比如網聯域，由于基于標識的數據模型處于動態變化中，可以通過部分標識推導出更大范圍的數據標識。

車輛標識：與車輛相關的所有標識集合，區別單點的VIN碼

個人標識：一組與特定個人（駕駛員或者乘客）相關的個人身份識別信息。同時可以通過將個人信息與車輛標識符一起使用部分標識。

通過數據建模的方式可以構建出各個原子數據之間的聯系，通過演繹的方式推導出敏感個人信息，通過此種方式可以對整車的數據進行系統的建模，為進一步的隱私評估提供參考。

（三）隱私評估

隱私評估階段的主要目的是識別相應的隱私威脅，同時選擇并評估隱私方案的有效性。本階段可以采用基于LINDDUN威脅模型建模，然后基于固定場景進行分析。在《智能網聯汽車網絡安全與數據安全發展報告（2022）》B.4 智能網聯汽車隱私保護發展動態有詳細的介紹，在這里對每個階段做簡單的描述。

圖5. 隱私評估流程圖

資料來源：Mina Deng 《A privacy threat analysis framework: supporting the elicitation and fulfillment of privacy requirements》

1）數據流圖(DFD)的創建：按數據流向繪制數據流圖，主要考慮數據實體、處理單元、數據存儲和數據流四大要素。

2）隱私威脅與數據流圖映射關系：

圖6. 隱私威脅與數據流圖映射關系

資料來源：Mina Deng 《A privacy threat analysis framework: supporting the elicitation and fulfillment of privacy requirements》

3）基于威脅樹的隱私威脅細化：按照不同的資產類型與威脅類別進行對應，然后再具體細化隱私所對應的威脅內容。

4）風險評估：對識別的威脅進行優先級排序，然后參考對個人權益影響程度，劃分不同的等級，可以參考《智能網聯汽車數據分類分級指南》中數據分級的思路，將風險分為一般危害、嚴重危害、特別嚴重危害、對公共利益造成嚴重危害四個等級進行劃分。

5）提煉隱私需求：通過風險評估確定相應的安全風險之后，針對風險所對應的場景進行需求提煉。一般對應的是LINDDUN模型對匹配的隱私目標進行需求定義。

（四）隱私設計

在需求定義清楚之后，開始進行隱私方案設計，一般而言，隱私設計方案是一系列要素的組合，包括增強型隱私防護技術，車輛約束條件，比如車輛技術需求，生命周期不同階段的工作特點，特殊的車輛隱私防護形式。基于整車功能所分析出來的隱私設計方案，由于具有一定的普適性，無法適用于特定的車輛，需要結合整車的實際合理采用，也就是說基于此流程得出的隱私方案只是技術層面的隱私防護參考，還需要考慮實際的項目需求。

在具體車型的設計隱私方案過程所得到的隱私設計并不是固定的隱私方案，允許調整和優化隱私方案，也可以通過仿真的方式減少隱私方案的錯誤使用，在持續迭代的過程實現隱私方案的優化。

（五）隱私方案開發

具體的隱私方案開發如圖1所示包括四個方面,隱私方案，隱私工具，隱私策略和車輛架構。隱私方案包括技術實現概念，對應的隱私評估結果和隱私特點。由于隱私方案的部署并不能直接使用，我們要用軟件工具將不同的隱私方案文檔化存儲下來。通過隱私流程的引入變相的影響到了整車開發流程，由此帶來的新信息也可以作為隱私方案的輸入反饋，為優化隱私方案提供流程機制的保障。

本章節詳細介紹基于開發階段的隱私分析流程四個階段，數據采集、數據建模、隱私評估和隱私設計，通過整車數據交互迭代，以及與整車開發流程的匹配，完成了基于整車開發階段流程設計的構想，為業界做隱私流程開發提供了參考。

智能網聯汽車隱私開發挑戰與展望

隨著《個人信息保護法》、《數據安全法》、《汽車數據安全管理若干規定（試行）》等法律法規的發布，個人信息保護與數據安全的問題逐漸受到行業的重視，但是汽車行業如何在實際工作中如何有效且系統的應對合規需求，目前尚無明確的標準指導和行業共識。目前業界普遍關注在數據安全方面，隱私保護屬于個人信息與數據安全交叉的部分，更加的滯后，那么數據安全目前存在以下挑戰，對于隱私保護依然是適用的。

（一）數據資產梳理不清晰

隨著智能網聯汽車業務快速發展，業務運行過程中衍生的汽車數據往往體量大、數據類型繁多、應用場景復雜。對于企業來說，梳理數據類型，應用場景面臨巨大的挑戰。

（二）數據使用流轉不明

由于車聯網之后構建成完整的車聯網生態系統，智能網聯汽車數據是從何而來、經于何地、存于何處、這些散布在車、路、云、網的汽車數據使用流向不明，對于數據的流轉路徑、數據流轉具體字段、數據流轉量級、數據流轉的接口等，無法進行有效的識別和監控，對于整個數據安全與隱私保護的處置造成了挑戰。

（三）數據風險監測不準

以往技術聚焦在靜態單點的數據風險監測，無法應對日趨復雜的車聯網生態系統，導致數據風險監測不準。

（四）數據安全防護不足

業內對于數據安全尚未形成成熟的解決方案，盡管企業積累了大量的車聯網數據，但由于數據量大、類型繁多、分布廣泛，企業在開展數據分類分級工作時，需要多方參與，人力成本高，周期長，見效慢。

（五）審計溯源能力不足

在智能網聯汽車數據使用和流轉過程中，涉及車、路、云、網、端等各種各樣的賬號、應用、數據庫和數據等重要對象，傳統技術難以應對智能網聯汽車數據重要對象進行關聯審計。一般所獲取的部分對象的日志信息，無法形成鏈路級關聯審計。

企業該如何應對以上數據安全與個人信息保護的挑戰，這是需要業界共同應對的方向。那么從個人角度，有如下建議：

1）加快數據安全與隱私保護相關的標準制定

盡管目前有法規出臺，在汽車領域有《汽車數據安全管理若干規定（試行）》，但企業不知道該如何實施，一方面標準制定部門加大投入，另外一方面鼓勵企業建立數據安全與隱私保護流程規范，整體來說要通過政府監管和行業聯盟推動各項標準的制定。

2）提高企業對數據安全與隱私保護的意識

安全和隱私是需要全員參與的工作，尤其是在車輛制造商及其上下游，將數據安全與隱私保護的意識導入到日常工作。可以通過活動宣傳，流程制定，領導參與監管的方式，提升整體的安全意識。

3）加強數據安全與個人隱私信息保護的監管

合規驅動的數據安全與個人信息保護需要通過自上而下的方式加強監管，通過進一步細化法規要求，制定相應的標準內容，積極引導行業在數據安全與個人信息保護的發展，同時也要加強各部門的監管，將法規所要求的內容真正落實到產品方案。

本文節選自《智能網聯汽車網絡安全與數據安全發展報告（2023）》B.21

審核編輯：湯梓紅