青骥荐读 l 智能网联汽车隐私开发方法与流程探究

一、汽车整车开发流程及数据安全开发流程背景介绍

在《汽车数据安全管理若干规定（试行）》发布实施的背景下，汽车行业对于汽车数据安全的问题重视程度在空前加深。该规定倡导汽车数据处理者在开展汽车数据处理活动中坚持四大原则：车内处理原则，默认不收集原则，精度范围适用原则，脱敏处理原则。目前业界普遍关注单点的技术问题，以满足合规需求，比如数据匿名化，图像脱敏处理，同时更多关注全生命周期的汽车数据运营，忽略了汽车整车产品本身的隐私分析，难以真正实现“privacy by default”。

本篇尝试介绍一种基于整车开发的结构化隐私流程，整体将其分析四个阶段：数据采集，数据建模，隐私评估和隐私设计，最终实现隐私方案落地。此隐私分析流程与整车开发的概念阶段和开发阶段融合，解决了汽车行业研发阶段的隐私分析保护的工作，同时有助于为车辆制造商和驾驶员提供可持续的隐私保护，以及隐私意识。

本篇将介绍的隐私开发流程将与整车开发流程进行融合，参考基于全生命周期的数据安全进行参考，将简单介绍整车开发流程以及全生命周期的数据安全流程。

二、汽车整车开发流程概览

一般而言，汽车整车开发流程遵循”V”字型正向开发逻辑，需要定义整车开发各阶段关键活动，并明确相应的时间节点及交付物，整体来说共分为五个阶段，具体阶段如图1整车开发流程简图：

图1. 汽车整车开发流程阶段

资料来源：《数据资产全生命周期安全管理》--倪文静，胡震（中国院刊电子出版社）

1）规划阶段：基于商业化调研以及市场定位，按照企业自身实力，确定具体需要开发的车型构想，明确相应的配置清单，主要尺寸，合规需求，整车目标等车型开发所需条件。

2）概念阶段：按照车型规划的要求，启动具体的车型技术需求定义，包括功能开发，系统开发，属性定义，验证策略定义和电子电气架构开发等，为车型各项技术方案开发提供技术输入。

3）开发阶段：按照概念阶段输入的高层级需求，开始进行零部件选型以零部件开发，包括机械开发和软件开发，整车开发各层级所对应的测试验证，比如整车级验证，同时也会进行造型冻结。

4）生产阶段：车型产品研发之后，产品进入生产阶段，工装样车确认生产工艺装配的可行性，试生产和小批量检验生产线的生产能力，爬坡量产到SOP，此阶段的重点是考验生产线的能力。

5）运营阶段：在传统的汽车工业里，运营阶段主要负责车型的售后处理，从网络安全的领域，运营阶段也包括安全运营，应急响应和漏洞管理，软件更新等工作。

汽车零部件的数量众多，电子控制单元在100~150个左右， 整车研发的周期较长，汽车供应链上下游玩家众多，同时随着自动驾驶和网联功能技术的发展，信息数据和个人信息交互增多，一方面网络安全和数据安全，个人信息保护的问题也日益增多，此外汽车本身的复杂性，导致安全防护和个人信息保护也日趋复杂，单点技术方案无法解决系统问题，此时更需要结构的化的流程进行整车层级的数据梳理。

三、基于全生命周期的数据安全

   在《汽车数据安全管理若干规定（试行）》，首先便对汽车领域内有关数据的重要名词进行界定，其中包括“汽车数据”、“个人信息”、“敏感个人信息”、“重要数据”等，明确定义“个人信息”和“敏感个人信息”。

根据《若干规定》第三条的规定，所谓汽车数据，即“包括汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据”。这说明并不是汽车设计、生产、销售、使用、运维等过程中的所有数据都被划入了汽车数据的范畴，而仅仅是其中的个人信息数据和重要数据。

此处暂且将隐私与敏感个人信息数据等同，在深入介绍介绍隐私分析流程之前，有必要对基于全生命周期的数据安全流程做简单的介绍。

图2. 汽车生命周期各阶段安全

资料来源：《数据资产全生命周期安全管理》--倪文静，胡震（中国院刊电子出版社）

（一）数据采集阶段

采集阶段，首先要明确采集规范，制定采集策略，完善数据采集风险评估以及保证数据采集的合规合法性。数据采集规范中要明确数据采集的目的、用途、方式、范围、采集源、采集渠道等内容，并对数据来源进行源鉴别和记录。制定明确的采集策略，只采集经过授权的数据并进行日志记录。对数据采集过程中的风险项进行定义，形成数据采集风险评估规范。数据采集全过程需要符合相关法律法规和监管要求，做到合规合法的采集。

（二）数据传输安全

数据传输阶段，采用合适的加密算法对数据进行加密传输，其中用到的对称加密算法主要是对称和非对称算法，采用加密、签名、鉴别和认证等机制对传输中的数据进行安全管理。

（三）数据存储安全

数据存储阶段，制定存储介质标准和存储系统的安全防护重要标准。存储介质标准需要覆盖存储介质的定义、质量、存储介质的收发运输、存储介质的使用记录及管理、存储介质的维修规范。对存储系统的安全防护，需要包括数据备份、归档和恢复以及对存储系统弱点的识别及维护。

（四）数据处理安全

数据处理应该遵循合规、最小授权、可审计原则，对数据处理结果进行风险评估，确保分布式处理，数据分析，数据加密，数据脱敏和数据溯源的安全。

（五）数据交换安全

数据交换和共享安全阶段，需建立数据交换和共享审核流程和监管平台。建立数据导入导出的流程化规范，统一权限管理和流程审批以及监控审计，以确保数据对于数据共享的所有操作和行为进行日志记录，并对高危行为进行风险识别和管控。

（六）数据销毁安全

结合场景保障销毁技术的多样化。针对不同的存储介质和设备有其不可逆的销毁技术及流程，实现针对磁盘、光盘各类数据存储介质的不同销毁技术及流程，建立销毁监察机制，严防数据销毁阶段可能出现的数据泄露问题。

基于全生命周期的数据安全各阶段逻辑同样适用于汽车数据安全，GB/T 《智能网联汽车 数据通用要求（征求意见稿）》提到个人信息保护和重要数据要求，依然包括收集、存储、使用、传输、删除五个阶段，此外还有个人信息处理通用要求，个人同意的取得，个人信息出境以及处理记录的要求。

GB/T 《智能网联汽车 数据通用要求（征求意见稿）》对个人信息和重要数据各阶段直接提出了要求，比如针对个人信息收集，标准提到汽车数据处理者应根据所提供功能服务对数据精度的要求确定摄像头，雷达等的覆盖范围、分辨率。

除了标准直接的技术要求之外，整车功能服务以及个人信息在整车流转所涉及到零部件众多，此时有效识别《汽车数据安全管理若干规定（试行）》提到的敏感个人信息，并进行针对性的处理，并通过流程化，结构化的方式，将隐私分析嵌入到整车研发过程中是业界亟待解决的问题。

四、整车隐私开发流程

汽车智能化和网联化除了带来用户体验的提升，同时也会导致汽车本身系统的复杂和海量的数据交互，其中在考虑隐私分析时，不仅仅是围绕隐私各个方面，还应当考虑以下问题：

1）隐私意识：汽车智能网联技术发展，导致涉及到个人信息和敏感个人信息信息量增多，此外是隐私防护又会提升汽车本身的复杂性，此时隐私意识显得尤为重要，落实隐私防护的基础，需要重视隐私意识的主体包括车辆制造商及相关的工程师以及用户，他们需要识别隐私问题的影响，并在研发和使用过程中，引起高度的重视。

2）整体视野：在引入隐私概念时要尽可能考虑到隐私所涉及到的范围，尽管在标准要求和执行层面聚焦在单点的隐私防护技术上，但考虑全范围的隐私问题有助于提升隐私防护。局部的隐私方案落实，随着隐私信息范围的扩大，可能会导致原先的隐私防护措施失效，因此将车作为整体考虑可以发现新的隐私威胁。此外，还要考虑不同的隐私数据类型，除了车联网数据之外，还要考虑位置信息，最好是相关数据类型进行逐一分析，比如诊断数据，传感器数据等。

3）隐私预防：在隐私保护理念方面，应以预防为主，积极采取措施提前响应，避免隐私问题爆发之后才处理，这样也就不需要驾驶员交互处理，减少了驾驶员的注意力分散。通过技术实现和流程化的方式预防处理，尽可能的减少对驾驶员注意力的分散。

4）整车开发技术要求：由于整车开发流程复杂，需求和约束条件也多，由此也会对隐私概念造成影响，在整车开发过程中需要考虑合规需求，车辆功能开发，以及安全性的要求，在设计隐私概念的同时，也需要考虑车辆架构技术特征，以便更好的实现隐私防护。

5）整车开发流程：一般而言，整车开发流程分为三个阶段开发阶段、生产阶段、后生产阶段。每个阶段都有不同的特点，在开发阶段主要是做概念和架构设计，定义零部件规范，此时对于隐私分析也需要考虑这方面的内容，在生产阶段，涉及到生产安装，此时隐私方案已经落地，在后生产阶段主要涉及到汽车的运维，在这个阶段也有可能引入新的隐私威胁，需要持续监控隐私相关的问题。

以上作为隐私开发流程需要考虑的前提，避免单点隐私方案落实的片面，不足以系统性的应对隐私威胁。本篇所介绍的整车隐私开发流程主要集中在整车产品开发阶段，在整车开发约束条件与隐私保护措施中取得平衡。其它阶段的隐私保护可以重点参考前面介绍到的全生命周期数据安全的技术要求。

基于开发阶段的隐私分析方法整体来说，包括四个阶段数据采集、数据建模、隐私评估和隐私设计，具体交互如图3所示：

资料来源：Naim Asaj 《ProTACD: A Generic Privacy Process for Vehicle Development》

（一）数据采集

由于智能网联相关的功能增多，导致在数据采集和处理阶段的场景更加复杂，数据采集也是隐私分析的非常重要的基础。除了考虑重要的单一类型的数据类型，比如位置隐私数据之外，还应考虑车辆不同的功能域，或者不同的分类，可以通过收集和分析不同的技术文档，提炼出隐私相关的数据。

在车辆的设计阶段，数据采集主要来自车辆功能和架构规范，还有具体的零部件技术规范。在这个阶段所涉及到的个人信息尚不明确，可以基于隐私默认的原则，比如数据最小化原则，去标识化，保持数据处理透明度等原则，提出高层级的隐私防护需求。通过相应的技术手段实现数据最小化，这样有利于降低敏感数据的隐私影响。

 基于整体的数据视角可以从不同角度考虑，比如具体抽象层的数据，或者垂直考虑不同的子系统内容，不管是从功能入手，细分到各个子功能，还是基于不同的系统，要尽可能覆盖到整体的数据类型。总之，我们需要考虑不同的数据类型。

 按照数据安全推进计划在2022年发布的《智能网联汽车数据分类分级实践指南》，指南中提到的数据类型可以按照车、人、路、云四类数据划分。

车端数据：包含基本数据类、感知数据类、决策数据类、运行数据类、控制数据类

用户数据：包含用户身份证明信息类、用户服务相关信息类、用户其他相关信息。

路端数据：包含基本信息类、感知数据类、融合计算类、应用服务类、运行状态数据类、地图数据类、交通大数据

云端数据：基本信息类、控制数据类、网络监测数据类、生活服务类、车辆服务类、应用服务类、用户服务内容信息类、车辆销售数据类。

在数据采集阶段，按照数据类型分类收集，然后识别出对应的隐私信息。

（二）数据建模

在数据采集完成之后，由于涉及到的数据类型较多，此次是需要进行数据建模，以结构化的形式整理收集到的数据，可以通过数据流图的方式进行数据建模。比如数据来源，数据传输，数据处理，再到数据的存储。如果按照整车架构划分，按照不同功能域进行划分，基于执行功能对应的零部件绘制数据流图，理清隐私数据多对应的ECU和通信协议。数据建模有两方面的作用，为隐私分析提供数据平台基础，同时也方便未来的隐私方案部署。

在数据建模方面也可以考虑另外一种方法，基于车辆身份标识图的方式考虑，具体逻辑如下图所示。

图4.基于车辆身份的标识图

资料来源：Naim Asaj 《Towards an Identity-based Data Model for an Automotive Privacy Process》

在基于车辆身份的标识图里标识主要分为五个层级，原子标识、提炼标识、联合标识、部分标识、车辆标识和个人标识，从真实标识数据入手，通过自下而上的数据推演出相应的车辆数据和隐私信息，具体定义如下：

原子标识：在车辆系统是不可再拆分且单一的元数据，而且真实存在，比如VIN码

提炼标识：这种元素是一种特殊的节点化身，它定义了从原子标识符中提取语义信息。它可以被视为原子标识符的语义子集。通常，原子标识符可以包含更多信息，其中必须将此信息拆分为单独的元素。通过原子标识数据进行拆解，推导出更多的语义信息，比如VIN码可以读出世界代码、车辆属性和车型的年限。

联合标识：它属于逻辑标识，并非真实存在，可以通过两个原子数据组合构成标识，推导出进一步的信息。

部分标识：关于特定的汽车特性，部分标识代表了汽车部分功能域，比如网联域，由于基于标识的数据模型处于动态变化中，可以通过部分标识推导出更大范围的数据标识。

车辆标识：与车辆相关的所有标识集合，区别单点的VIN码

个人标识：一组与特定个人（驾驶员或者乘客）相关的个人身份识别信息。同时可以通过将个人信息与车辆标识符一起使用部分标识。

通过数据建模的方式可以构建出各个原子数据之间的联系，通过演绎的方式推导出敏感个人信息，通过此种方式可以对整车的数据进行系统的建模，为进一步的隐私评估提供参考。

（三）隐私评估

隐私评估阶段的主要目的是识别相应的隐私威胁，同时选择并评估隐私方案的有效性。本阶段可以采用基于LINDDUN威胁模型建模，然后基于固定场景进行分析。在《智能网联汽车网络安全与数据安全发展报告（2022）》B.4 智能网联汽车隐私保护发展动态有详细的介绍，在这里对每个阶段做简单的描述。

图5. 隐私评估流程图

资料来源：Mina Deng 《A privacy threat analysis framework: supporting the elicitation and fulfillment of privacy requirements》

1）数据流图(DFD)的创建：按数据流向绘制数据流图，主要考虑数据实体、处理单元、数据存储和数据流四大要素。

2）隐私威胁与数据流图映射关系：

图6. 隐私威胁与数据流图映射关系

资料来源：Mina Deng 《A privacy threat analysis framework: supporting the elicitation and fulfillment of privacy requirements》

3）基于威胁树的隐私威胁细化：按照不同的资产类型与威胁类别进行对应，然后再具体细化隐私所对应的威胁内容。

4）风险评估：对识别的威胁进行优先级排序，然后参考对个人权益影响程度，划分不同的等级，可以参考《智能网联汽车数据分类分级指南》中数据分级的思路，将风险分为一般危害、严重危害、特别严重危害、对公共利益造成严重危害四个等级进行划分。

5）提炼隐私需求：通过风险评估确定相应的安全风险之后，针对风险所对应的场景进行需求提炼。一般对应的是LINDDUN模型对匹配的隐私目标进行需求定义。

（四）隐私设计

在需求定义清楚之后，开始进行隐私方案设计，一般而言，隐私设计方案是一系列要素的组合，包括增强型隐私防护技术，车辆约束条件，比如车辆技术需求，生命周期不同阶段的工作特点，特殊的车辆隐私防护形式。基于整车功能所分析出来的隐私设计方案，由于具有一定的普适性，无法适用于特定的车辆，需要结合整车的实际合理采用，也就是说基于此流程得出的隐私方案只是技术层面的隐私防护参考，还需要考虑实际的项目需求。

在具体车型的设计隐私方案过程所得到的隐私设计并不是固定的隐私方案，允许调整和优化隐私方案，也可以通过仿真的方式减少隐私方案的错误使用，在持续迭代的过程实现隐私方案的优化。

（五）隐私方案开发

具体的隐私方案开发如图1所示包括四个方面,隐私方案，隐私工具，隐私策略和车辆架构。隐私方案包括技术实现概念，对应的隐私评估结果和隐私特点。由于隐私方案的部署并不能直接使用，我们要用软件工具将不同的隐私方案文档化存储下来。通过隐私流程的引入变相的影响到了整车开发流程，由此带来的新信息也可以作为隐私方案的输入反馈，为优化隐私方案提供流程机制的保障。

本章节详细介绍基于开发阶段的隐私分析流程四个阶段，数据采集、数据建模、隐私评估和隐私设计，通过整车数据交互迭代，以及与整车开发流程的匹配，完成了基于整车开发阶段流程设计的构想，为业界做隐私流程开发提供了参考。

五、 智能网联汽车隐私开发挑战与展望

随着《个人信息保护法》、《数据安全法》、《汽车数据安全管理若干规定（试行）》等法律法规的发布，个人信息保护与数据安全的问题逐渐受到行业的重视，但是汽车行业如何在实际工作中如何有效且系统的应对合规需求，目前尚无明确的标准指导和行业共识。目前业界普遍关注在数据安全方面，隐私保护属于个人信息与数据安全交叉的部分，更加的滞后，那么数据安全目前存在以下挑战，对于隐私保护依然是适用的。

（一）数据资产梳理不清晰。

随着智能网联汽车业务快速发展，业务运行过程中衍生的汽车数据往往体量大、数据类型繁多、应用场景复杂。对于企业来说，梳理数据类型，应用场景面临巨大的挑战。

（二）数据使用流转不明

由于车联网之后构建成完整的车联网生态系统，智能网联汽车数据是从何而来、经于何地、存于何处、这些散布在车、路、云、网的汽车数据使用流向不明，对于数据的流转路径、数据流转具体字段、数据流转量级、数据流转的接口等，无法进行有效的识别和监控，对于整个数据安全与隐私保护的处置造成了挑战。

（三）数据风险监测不准

以往技术聚焦在静态单点的数据风险监测，无法应对日趋复杂的车联网生态系统，导致数据风险监测不准。

（四）数据安全防护不足

业内对于数据安全尚未形成成熟的解决方案，尽管企业积累了大量的车联网数据，但由于数据量大、类型繁多、分布广泛，企业在开展数据分类分级工作时，需要多方参与，人力成本高，周期长，见效慢。

（五）审计溯源能力不足

在智能网联汽车数据使用和流转过程中，涉及车、路、云、网、端等各种各样的账号、应用、数据库和数据等重要对象，传统技术难以应对智能网联汽车数据重要对象进行关联审计。一般所获取的部分对象的日志信息，无法形成链路级关联审计。

企业该如何应对以上数据安全与个人信息保护的挑战，这是需要业界共同应对的方向。那么从个人角度，有如下建议。

1）加快数据安全与隐私保护相关的标准制定

尽管目前有法规出台，在汽车领域有《汽车数据安全管理若干规定（试行）》，但企业不知道该如何实施，一方面标准制定部门加大投入，另外一方面鼓励企业建立数据安全与隐私保护流程规范，整体来说要通过政府监管和行业联盟推动各项标准的制定。

2）提高企业对数据安全与隐私保护的意识。

安全和隐私是需要全员参与的工作，尤其是在车辆制造商及其上下游，将数据安全与隐私保护的意识导入到日常工作。可以通过活动宣传，流程制定，领导参与监管的方式，提升整体的安全意识。

3）加强数据安全与个人隐私信息保护的监管

合规驱动的数据安全与个人信息保护需要通过自上而下的方式加强监管，通过进一步细化法规要求，制定相应的标准内容，积极引导行业在数据安全与个人信息保护的发展，同时也要加强各部门的监管，将法规所要求的内容真正落实到产品方案。

本文节选自《智能网联汽车网络安全与数据安全发展报告（2023）》B.21