關于智能網聯汽車數據安全治理框架的探究

宋 琦，武 波，劉永東

(1.國家工業信息安全發展研究中心，北京 100040；2.北京理工大學 網絡信息技術中心，北京 100081)

0 引言

隨著人工智能、車聯網、智能汽車等新興信息技術和交通工具不斷發展，智能網聯汽車從概念設計進入現實應用階段，研發及商業化進程不斷提速，將為交通運輸領域轉型升級帶來重大變革。其中，各類智能終端以及數字場景的應用交互，產生海量“車、路、云、網、圖”數據，面臨多重數據安全風險[1]。數據安全治理是支撐智能網聯汽車系統安全運行的基石，也是保障智能網聯汽車產業健康發展的關鍵。為更好地開展智能網聯汽車數據安全管理與保護，本文擬對智能網聯汽車數據安全治理體系進行探討。

1 智能網聯汽車數據安全風險挑戰

根據工信部統計顯示[2]，2022年我國搭載輔助自動駕駛系統的智能網聯乘用車市場滲透率提升至34.9%，至2025年僅乘用車部分新增產值將預計超1萬億元。與此同時，為有效降低駕駛失誤、提高交通效率，智能汽車集成大量感知、通信、控制等智能終端，使得相關數據應用規模呈爆發式增長。作為數字時代的關鍵生產要素，數據信息的有效利用對行業提質發展和個性化服務發揮重要作用。然而，數據安全因素不斷躍入行業視野，智能網聯汽車數據安全風險日益嚴峻，已成為監管部門和生產企業的關注焦點。

從數據生命周期來看，智能網聯汽車數據面臨多重安全風險疊加[3]。數據采集過程中，自動駕駛所需的核心高精地圖技術，使得未授權違規采集、處理、銷毀用戶信息風險激增；數據傳輸過程中，“車、路、云、網、圖”數據交互渠道增多，增加了數據在通信鏈路傳輸中被截獲、篡改、破壞、偽造的風險，涉及合資汽車廠商的數據跨境流動也增加了數據惡意泄露威脅；數據存儲中，車、云數據類型識別和分類分級存儲在實踐中仍缺乏統一規范，數據分級存儲評估和責任界定復雜，國家重要公共安全數據泄露風險影響較大；數據處理過程中，人臉、車牌、隧道和橋梁屬性等特殊敏感數據排查缺乏完善審計機制，潛在泄露隱患較多；數據交換過程中，智能網聯汽車數據的多源異構特性，導致數據協同與共享漏洞難，系統脆弱性帶來一系列安全風險；數據銷毀中，過程缺乏監管，銷毀不徹底、虛假銷毀、惡意恢復等數據泄露風險難以覺察。面對復雜的安全風險挑戰，智能網聯汽車數據安全治理能力亟待提升。

2 智能網聯汽車數據安全治理需求

2.1 智能網聯汽車數據安全治理概述

數據安全治理是數據治理體系中的重要內容，是以確保數據“可用性、完整性和保密性”目標宗旨，依托頂層數據安全戰略，由治理范圍內外相關方在組織、制度、技術等方面協作實施的治理活動集合。這一個概念最早由國際IT調研與咨詢服務公司高德納(Gartner)倡導提出：“數據安全治理不僅是一套工具組合的產品級解決方案，也是一個從決策層到技術層，從管理制度到技術工具，自上而下貫穿整個組織架構的完整支撐鏈條”[4]。總體來說，數據安全治理旨在促進數據安全保護，從數據業務出發，基于數據全生命周期建立以數據為中心的安全架構體系，實現數據資產價值、業務效益、企業安全的最優化。

智能網聯汽車數據安全治理是數據安全治理在智能網聯汽車行業的擴展應用[5-6]，其治理對象包括智能網聯汽車技術運用和行業發展過程中所采集、生產、使用及銷毀的數據，涵蓋數據類別包括個人、車輛、道路等交通信息，涉及的主要業務流程包括個人信息隱私保護、數據跨境流動監管、網絡信息安全管理等，體現于數據采集、傳輸、存儲、處理、使用、共享、銷毀生命周期各個階段。

2.2 智能網聯汽車數據安全合規要求

近年來，全球各主要國家相繼出臺數據安全法律規章[6]，智能網聯汽車數據應用與保護要求逐步完善。我國高度重視智能網聯汽車數據安全制度建設，已在數據安全及其智能網聯汽車細分領域發布多項國家法規和行業標準(如表1所示)。其中，《網絡安全法》《數據安全法》和《個人信息保護法》分別從系統、數據本身以及個人信息層面提供了智能網聯汽車數據安全保護總體原則與法律規定?！镀嚁祿踩芾砣舾梢幎?試行)》《關于加強智能網聯汽車生產企業及產品準入管理的意見》《關于加強車聯網網絡安全和數據安全工作的通知》等部門規章和指導文件逐步推動智能網聯汽車行業法律設計落地?！盾嚶摼W信息服務用戶個人信息保護要求》《信息安全技術汽車數據處理安全要求》等標準不斷布局，加強對智能網聯汽車數據安全管理實踐的引導和規范。

表1 智能網聯汽車數據安全制度

通過對當前法律規范文件分析，目前我國智能網聯汽車數據安全治理主要面臨如下合規要求：

一是符合數據安全治理基本原則。日益完善的法規框架為智能網聯汽車數據安全治理提供了總體原則目標。例如《網絡安全法》提出了“維護網絡數據的完整性、保密性和可用性”的數據安全治理總目標；《數據安全法》確定了保障數據安全與促進數據開發利用并重的數據安全治理思路；《個人信息保護法》明確了“最小必要、知情同意”的個人信息處理合規原則，劃定了個人信息不得“隨意收集、違法獲取、過度使用、非法買賣”前提；《汽車數據安全管理若干規定(試行)》框定了汽車數據范圍，規定了“車內處理、默認不收集、精度范圍適用、脫敏處理”數據利用原則，并明確重要數據分類。

二是覆蓋數據安全合規基本要素。我國法律法規及標準指南要求指出，智能網聯汽車的數據安全治理要打造以數據分類分級為核心的數據安全制度，構建汽車數據安全管理體系，實施全生命周期數據安全保護，建立合理的數據安全風險評估、報告、信息共享、監測預警及應急處置機制，同時也規定了各要素建設的相關支持活動。對智能網聯汽車數據處理活動主體而言，其數據安全治理框架必須相應涵蓋數據分類分級、數據全生命周期保護、數據安全評估、數據安全監測應急、數據安全監督等基本要素及其支持活動，進而從組織、管理、技術等方面進行配套建設，形成有機融合的綜合性數據安全治理體系。

三是滿足數據安全合規具體規則。我國法律法規及標準指南針對部分智能網聯汽車數據安全合規要素給出了遵循的具體規則和標準，包括數據分類分級和保護、數據全生命周期處理、敏感數據發現、隱私保護、用戶個人信息主體權利保護、數據跨境傳輸、數據披露等，相關的技術細則、責任劃分、授權與使用所需滿足的要求和標準不斷細化。智能網聯汽車數據安全治理框架，必須對以上要素綜合平衡考量，同時在規劃組織、設計開發、實施交付、運行維護中同步推進，為保障組織、管理、技術、運營、監督評價等基本要素合規，提供相應的工具支撐。

2.3 智能網聯汽車數據安全合規監管重點

2.3.1 數據分類分級監管

數據分類分級是實現智能網聯汽車數據安全有效治理的核心基礎，也是數據安全合規監管的重點[7]。

(1)數據分類

依據現有行業規范要求，智能網聯汽車的重點數據主要包括個人信息、車輛數據和環境信息。個人信息主要包括個人車內活動數據，如乘車人基本信息、生物識別信息，圖像與語音數據，駕駛行為數據(如駕駛速度、加速度和剎車數據，用戶與座艙交互數據，人類駕駛員操作數據等)。其中，生物識別信息和位置軌跡信息與個人主體生活習慣及生理狀態強相關，在處理和使用中應當嚴格遵守個人信息保護最小必要和知情同意原則。車輛數據包括車輛基礎屬性數據、車輛運行工況數據、車聯網移動終端應用軟件系統數據(如遠程監測數據、預測規劃數據、決策數據、駕駛輔助系統狀態數據等)。車輛數據是否涉及重要數據應根據數據狀態(靜態、動態)及其與個人的關聯度、與車輛駕駛功能展開的關聯度來判斷。環境信息是智能網聯汽車實現安全自動駕駛的基礎，包括交通數據、地圖數據、周邊環境感知數據等。其中，地圖數據的采集、測繪、處理、管理，交通數據中個人信息的采集處理均涉及公共安全，屬于應重點監管的數據類型。

(2)數據分級

根據已發布法規及標準中有關重要數據、敏感信息等概念定義，需要在數據分類的基礎上進一步確定智能網聯汽車數據的重要等級。數據分級可根據數據安全事件對國家、社會、組織、個人造成的影響程度劃分，如一般級、敏感級、重要級和核心級等。一般數據指主體之間信息交互使用時能從公開渠道獲取的一般性信息。敏感數據指該信息經非授權操作后對個人隱私、企業利益等主體造成嚴重損害的數據。重要數據指一類對車輛安全駕駛、人身安全、企業經濟效益等造成重大損害的數據。核心數據指關系到國家和社會安全穩定的數據。數據分級還可以根據不同主體類型(如車輛、個人、企業等)進行細分。同時，同類數據量的累積或場景的變化，不同類數據的組合、匯聚等，均可能造成數據級別變動，因此數據分級需根據實際情況進行動態調整。

2.3.2 數據生命周期安全監管

數據安全法律法規文件明確指出，企業應在數據生命周期內建立并盡可能系統化實施適當的控制流程，因此落實全生命周期數據合規監管是數據安全治理的重要基礎，在加強監管的同時考慮減少其對業務效率的影響[8]。

(1)數據采集。智能網聯汽車數據采集主要涉及用戶信息、生物識別特征、環境信息等敏感數據采集，典型安全合規要求包括：遵循“知情同意”“最小必要”“目的限定”原則；已制定數據分類分級安全合規要求并在數據采集中嚴格遵守等。

(2)數據傳輸。智能網聯汽車數據傳輸主要涉及車內傳輸和車外傳輸，典型安全合規要求包括：傳輸數據遵循“最小必要”原則；獲得用戶單獨同意；進行必要脫敏、加密；進行傳輸信道技術保護；執行數據訪問管控等。

(3)數據存儲。智能網聯汽車數據主要存儲在汽車和車聯網服務平臺上，典型安全合規要求包括：僅存儲必要數據；滿足事故風險排查及事故數據還原要求；進行存儲數據加密或脫敏；進行數據防篡改及刪除等安全控制配置；合理配置存儲期限等。

(4)數據使用。智能網聯汽車數據使用包括對數據的統計、計算、應用等操作，面臨多維場景的復雜環境，典型安全合規要求包括：依據數據分類分級進行數據使用授權和驗證；進行數據去標識、匿名化、加密等脫敏處理；進行數據使用行為審計等。

(5)數據共享。智能網聯汽車數據共享包括車輛與用戶、其他車輛、交通基礎設施之間的數據共享，典型安全合規要求包括：進行充分有效的數據共享評估，包括可行性評估、安全能力評估、風險評估等；制定數據共享風險控制措施；接收方承諾數據保護義務等。

(6)數據銷毀。智能網聯汽車數據銷毀是數據生命周期的“最后一公里”，往往也是最易忽視數據安全風險的環節，典型安全合規要求包括：建立數據銷毀策略和審批機制；確保應銷毀數據及其相關副本、文件、數據庫所在存儲空間完全清除并釋放；采用禁止銷毀數據恢復技術保護手段等。

2.3.3 數據跨境安全監管

汽車行業具有全球性產業鏈特征，數據跨境流動一方面可以推動創新和經濟增長[9]，另一方面也帶來較大數據安全隱患。智能網聯汽車數據跨境安全風險主要包括兩方面：一是重要數據、敏感信息非法傳輸至境外。其中用戶信息、車輛狀態及行駛路徑等可泄露國家敏感地區位置信息，影響國家安全。二是重要數據、敏感信息存儲至境外平臺被非法共享、利用和分析，損壞國家利益。我國合資車企數量眾多，車聯網數據境內外平臺的互聯、傳輸與共享需重點關注。對智能網聯汽車數據進行跨境安全監管，需要嚴格判斷用戶、車輛、環境等相關數據的分類分級狀態，做好重要數據與敏感信息存儲、傳輸及共享方式監督，按有關規定對確需向境外提供的數據實施出境安全評估，明確跨境傳輸數據的目的、范圍、方式、種類，采取技術措施實時監控數據出境狀態等。

3 智能網聯汽車數據安全治理框架

3.1 數據安全治理體系

依據上述智能網聯汽車數據安全合規要求和監管重點，本文構建智能網聯汽車數據安全治理框架的思路為：從數據安全戰略出發，聚焦數據安全合規，以數據分類分級為基礎，以數據生命周期安全管理為主線，構建數據安全管理體系、技術體系、運營體系，形成以愿景戰略為中心，以管理體系為保障，以運營體系為驅動，以技術體系為支撐的有機融合數據安全治理框架(如圖1所示)，主要包括以下部分：數據安全戰略、組織架構、數據分類分級、數據全生命周期安全管理體系、數據安全運營體系、數據安全技術體系、數據處理場景安全管理體系、基礎環境等。

3.2 數據安全戰略

數據安全戰略是實施數據安全治理工作的總體要求，指導整個數據安全治理體系建設。智能網聯汽車數據安全戰略主要從數據安全頂層規劃方面提出要求，設定智能網聯汽車數據安全治理愿景、目標、領域、指導原則等，為健全數據安全治理體系錨定發展方向，提供統一指引。制定智能網聯汽車數據安全戰略首先要在全面貫徹國家數據安全戰略，平衡安全合規約束與業務發展風險的基礎上，明確數據安全治理目標、原則、對象與場景，梳理所需遵守的相關法律、法規及標準。同時，可對智能網聯汽車數據安全重點領域及關鍵場景制定數據安全治理子目標，如數據跨境、個人隱私保護等，闡明實現目標的治理規劃與任務。

3.3 組織架構

數據安全治理組織架構是數據安全治理工作順利開展的前提，是數據安全治理戰略制定、落地并持續優化的組織保障。組織架構應面向智能網聯汽車整體數據安全治理目標、方針，支撐覆蓋數據安全決策、管理、執行與監督等多層級任務，落實人員管理和制度體系。在組織架構設計方面，決策層一般由負責智能網聯汽車安全治理工作領導擔任，負責制定數據安全戰略、愿景與目標，審批和決策數據安全治理制度，提供必要的資源，協調重大事項；管理層一般為數據安全治理專門機構，負責建立數據安全治理制度及實施指南，建設數據安全管理體系并推動落地實施，監督執行層執行并推動實施風險控制措施；執行層一般為各業務部門，負責根據管理制度建立業務數據安全管理流程并推動落地，執行內外審計要求，及時發現數據安全風險并上報管理層。監督層一般由公司內控審計部門擔任，負責審計數據資產、數據安全風險，并監督管理制度落實情況，及時向決策層匯報問題及整改建議。在人員管理方面，應定崗定責，注重能力培養與提升，加強安全教育。在制度體系建設方面，需構建包含方針政策、管理制度、流程規范、執行文檔的數據安全治理制度集合，并持續優化。隨著智能網聯汽車技術系統日趨復雜，數據安全治理面臨更加專業化的挑戰。作為智能網聯汽車數據安全治理專門機構，資源整合、功能完備的管理層日益成為組織架構中的核心部門，并形成與其他部門密切協作的有效運作機制。具體來講，管理層機構應包括功能安全團隊、標準與規范團隊、風險管理與評估團隊，納入專業工程師、安全專家和測試人員，負責整體數據安全治理體系的功能設計、驗證和評估，相關標準和最佳實踐的制定和推廣，并進行全面的風險評估并制定相應的應對策略。

3.4 數據分類分級

數據分類分級是構建數據安全治理框架的基礎工作。首先，需開展數據資產的盤點梳理，包括車輛基本數據、感知數據、決策數據、運行數據等。其次，應基于識別備案的數據資產，落實、審核、發布業務數據分類分級目錄。再次，通過敏感數據識別技術，全面、準確、快速發現和定位敏感數據，形成敏感數據目錄，明確數據保護對象，為構建完善的數據安全治理體系打造堅實基礎[10]。智能網聯汽車數據分類分級需要遵循合規合法(遵循有關法律、法規要求)、科學合理(充分考慮車、路、人、云的數據特征，合理設定數據類別和級別)、客觀明確(數據分類分級方法應是客觀且可校驗的)、簡單易用(數據分類分級方法應精煉且易于理解)等原則。智能網聯汽車數據分類分級重點在于制定數據分類分級方法。為了確保智能網聯汽車數據分類全面并界限明確，可基于數據來源對智能網聯汽車數據進行分類，從“車、路、云、人”的角度與產業鏈主體(公司、機構、業務部門等)聯動進行數據的盤點。同時，可基于定性指標判定智能網聯汽車數據的重要性等級：一般級、嚴重級、特別重要級。智能網聯汽車數據分類分級流程及示例如圖2所示。

圖2 智能網聯汽車數據分類分級示例

3.5 數據全生命周期安全管理體系

數據全生命周期安全管理體系可認為是數據安全治理框架的主體，主要針對現有數據安全合規要求，基于數據收集、存儲、傳輸、使用、交換和銷毀等數據全生命周期，從技術和管理角度，識別重要數據處理環節所存在的安全風險，明確數據安全管理要求，規范相應數據安全防護措施。智能網聯汽車數據全生命周期安全管理體系主要涉及車輛內部數據安全管理，數據安全風險識別與處理，車輛數據安全測試，監測、響應、上報針對車輛數據的網絡攻擊和威脅，以及相關主體之間數據安全依賴關系等。同時，智能網聯汽車數據全生命周期安全管理體系覆蓋涉及眾多管理功能，如與隱私保護管理、網絡安全管理、軟件管理等，并將具體安全管控要求在數據生命周期中落地。其中，隱私保護管理涉及用戶主體數據權力保障、默認隱私設計、數據出境影響評估等；網絡安全管理涉及車輛開發、生產、測試、運維中影響數據安全，包括車輛產品網絡安全漏洞管理、安全監控與響應管理等；軟件管理涉及軟件運營、更新、銷毀中的數據安全管理等。

3.6 數據安全運營體系

數據安全運營體系是實現數據安全事前預防、事中管控、事后審計的全面數據安全防護的組織運作規則及相應資源。數據安全運營體系目的是將數據全生命周期安全管理體系和數據安全技術體系以有效運營的方式持續推行下去，實現對其從制度指導與策略制定，到事件識別與風險處置，再回歸到優化改進制度及策略的閉環持續化運營。數據安全運營體系以數據全生命周期安全管理體系和數據安全技術體系為基礎，以持續性監控分析為核心，一般基于經典的IPDR理論，從識別(I)、防護(P)、監測(D)與響應處置及優化(R)四個維度出發，通過如數據安全策略優化、基于數據安全規范的業務持續改進、數據安全事件處理和數據安全風險評估及處置等運營措施，支撐閉環、持續化的數據安全運營。其中，“識別”主要涉及規范和策略管理、數據資產管理、敏感數據管理和應用信息備案等功能；“防護”主要涉及數據安全合規防護等功能；“監測”主要涉及數據安全合規監測、安全風險分析等功能；“響應處置及優化”主要涉及事件識別與響應處置、運營稽核與優化等功能。

3.7 數據安全技術體系

數據安全技術體系是基于數據分類分級成果構建的支持數據全生命周期安全及通用安全的技術防護體系，力圖通過技術手段落實全面、系統的數據安全管控措施。數據安全技術體系可分為基礎通用安全技術工具和全生命周期安全技術工具兩個層級?；A通用安全技術主要用于支撐通用安全管理，多采用統一賬號管理、日志管理、數據防泄漏技術、入侵檢測技術、備份/恢復等技術；全生命周期安全支持技術是在部署通用技術工具保證通用安全的基礎上，針對數據安全生命周期的各個階段實施保障安全技術，多采用數字簽名和身份認證技術、數據清洗技術、數據脫敏技術、數據溯源技術、密碼使用和密鑰管理技術等新技術應用，支持數據全生命周期安全管理實施。在智能網聯場景下的功能實現過程中，數據安全技術體系需結合智能網聯技術特性進行持續完善。一是加強區塊鏈、輕量化密碼等新安全技術與智能網聯汽車技術融合，推動零知識證明、同態加密、可信多方計算等技術應用；二是加大傳統數據安全技術創新，通過多層防護和多重檢測技術結合，實現對智能網聯汽車數據安全進行深度檢測與防護。

3.8 數據處理場景安全管理體系

數據處理場景安全管理體系是在保證數據正常使用目標下，基于智能網聯汽車不同使用場景特點及時發現數據風險，促進數據安全技術與數據場景業務深度融合，用于實現數據安全治理關注點的核心場景化安全。根據現有智能網聯汽車合規要求，隨著市場持續拓展和深化，個人信息保護、用戶數據主體權利保障、數據跨境傳輸等場景愈來愈體現出獨特的場景安全需求，迫切需要制定相應的數據安全策略，依法推動數據合理有效利用和依法有序流動。典型的數據使用場景，需要按照監管要求，從用戶主體、訪問途徑、使用需求、場景特點、安全策略等方面，建立健全相關技術和管理措施，保證數據安全。例如，智能網聯汽車跨境傳輸場景的安全管理體系，就需要全面審查數據跨境傳輸目的、數據類型、數據量、數據跨境方向，根據合規要求，明確數據跨境傳輸管理流程，并建立有針對性的場景化數據安全管理體系并加以實施，包括數據跨境傳輸需求申請、數據跨境自評估、數據跨境風險評估、數據出境工具審查、跨境計劃制定并執行、合規檢查與考核等。又如，智能網聯汽車個人隱私信息保護場景的安全管理體系，需要先就是否涉及個人敏感信息或對個人信息進行分析、監控、評估開展預評估，其次對數據處理活動進行分析，明確個人信息收集、處理、控制措施，制定相應風險應對措施，包括采用隱私政策、授權條款等方式告知個人信息處理方式、提供用戶撤回授權渠道等，最后對風險進行識別與定級，開展風險整改。同時，全程應開展個人隱私信息保護風險審核與監控。

3.9 基礎環境

基礎環境是針對智能網聯車涉及的大數據、云計算、車聯網等復雜多元異構軟硬件，采用區塊鏈、聯邦學習、多方安全計算等技術，搭建的統一規范、互聯互通、安全可控的智能網聯汽車數據流動基礎設施環境，實現數據“可用不可見” “可控可計量”“可信可追溯”等，提供數據安全流通和共享協同。

4 結論

智能網聯汽車時代，數據安全事關人身安全和隱私倫理，具有數據量龐大、安全風險大、經濟價值高、數據關聯復雜等特點，對智能網聯汽車數據安全風險進行治理是智能網聯汽車產業發展的首要任務。本文以數據安全合規為數據安全治理目標，從頂層設計的角度給出智能網聯汽車數據安全風險的治理框架，在數據安全戰略、數據分類分級、數據全生命周期安全管理體系、運營體系、技術體系、場景管理體系等方面，提出一套數據安全治理的可行路徑，為智能網聯汽車數據安全治理提供了參考。