做笔记：毕马威：2022车联网数据安全监管研究报告

做笔记：毕马威：2022车联网数据安全监管研究报告

数据安全：车联网安全的核心

车联网安全与数据安全关系概述

车联网是新一代网络通信技术与汽车、电子、道路交通运输等领域深度融合的新兴产业形态，是人、车、路、云平台之间全方位连接和信息交互。狭义的车联网应用通常指车载信息服务类应用，即通过车辆把车主与各种服务资源整合在一起；广义的车联网应用还包括面向交通安全的效率类应用以及自动驾驶为基础的协同服务类应用。

数据是车联网的核心要素，车辆与车联网服务平台之间的 “车 - 云通信” , 车辆之间的 “车 - 车通信” , 车辆与路基设施之间的 “车 - 路通信” , 车辆与移动智能终端之间的 “车 - 人通信” , 以及汽车内部设施与应用之间的车内通信都离不开数据的传输与使用。车联网数据安全关系到行车安全、生命财产安全甚至国家安全。

数据与车联网互动下的数据特征

车联网技术发展背景下，行业数据有着以下特点：
数据的多样性、数据的规模性、数据的非结构性（不同厂商数据格式不同）、数据的流动性、数据的涉密性

车联网数据安全的监管重点问题

（一）重点数据类型：车联网数据安全的关键

1、环境数据，自动驾驶的基础：环境数据的采集与处理是网联汽车实现自动驾驶的基础，包括实时交通数据、地图数据、周边环境感知数据和高级驾驶辅助系统（ADAS）状态数据。环境数据中涉及数据安全的是地图数据。高精定位技术下，采集自然地理信息的行为很大程度上会落入《测绘法》第2 条所规定的测绘范围。

2、汽车自身数据，驾驶功能的必备：汽车自身数据包括座舱数据、运行数据和位置轨迹数据。智能汽车电子构架变革路径是从ECU到域控制器，再到超级计算机。因此，智能汽车电子架构一般划分为五个域 : 驾驶辅助 / 自动驾驶域、智能座舱控制域、车身控制域、底盘控制域、动力总成域。其中驾驶辅助/自动驾驶域、智能座舱控制域与汽车数据安全直接相关。从两个维度进行判断，一是与个人的关联度，与个人关联度越高，这类数据安全等级应当越高；二是静态数据与动态数据的区分，动态数据的安全等级应当高于静态数据。但一般认为，这些数据收集是围绕车辆的基本驾驶功能开展，是实现车辆驾驶的必备数据，此外互联网时代的车辆监测、快速维修的需要也使得这类数据的收集具有必要性。因此，这类数据的收集使用可以达到必要性的要求。

3、用户数据，车人交互的桥梁：用户数据包括个人车内活动数据，如车主和乘客信息（如姓名、身份证、电话）、消费与生活习惯信息、用户部分生理数据（体温、心跳频率等）、车主、乘客图像及语音数据，以及驾驶活动数据，如驾驶员习惯、车辆静态信息（如车牌号、车辆识别码）、车辆动态信息（如位置信息、行驶轨迹）等。在使用生物识别信息时，应当保证数据主体对其涉及的数据具有完全的控制权限。一方面，不能将生物识别作为认证的唯一方案，应当提供非生物识别的替代方案，且不会向个人数据主体施加额外的约束条件。另一方面，对生物识别信息采用本地、加密方式存储，不使用外部终端处理。而对构成生物识别模板和用于用户验证的原始数据进行实时处理时，坚决不存储原始生物识别数据。遵循生物识别数据相关的其他要求，例如避免存储原始数据，对构成生物识别模板和用户验证的原始数据进行实时处理。因此，信息处理者在处理地理信息和生物识别信息时，应当严格遵守个人信息保护领域相关原则，最重要的是最小必要原则和知情同意原则。

（二）重点业务环节： 数据安全监管的风险与隐患

1、数据采集：大数据背景下数据过度采集和滥用隐患
根据我国个人信息保护原则，个人信息的搜集需遵循 “知情同意” “最小必要” “目的限定”三大原则。而处理敏感个人信息需要在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，且取得个人的单独同意。由于车联网属于新兴行业，管理还在完善中，对于哪些数据可被采集、数据如何利用、是否可以分享给第三方等关键问题，还需要细化管理要求，因此目前数据采集还存在过度采集和滥用的风险。

2、数据传输：产业链条过长加大数据泄露风险
车联网服务具有场景复杂化和功能多元化的特点。车联网生态整合了出行、娱乐、交通管理、导航、车辆远程检测与控制及其他服务等。目前，车联网相关数据主要存储在智能网联汽车和车联网服务平台上，存储和传输方案主要由整车厂商、车联网服务商设计实现。由于数据的采集、传输、存储等环节没有统一的安全要求，即数据具有非结构性特征，可能因访问控制不严、数据存储不当等原因导致数据被窃。

目前主要存在两类风险：一是数据内部传输风险，主要包括 CAN报文被篡改和伪造的安全风险，连接接口、通信总线被阻塞从而导致数据不可用或无法及时反馈的风险以及 CAN总线与 ECU之间缺少相应的认证保护技术引起的风险；二是数据外部传输风险，主要包括车外通信网络传输数据时，在通信链路上会面临被窃听或遭受中间人攻击的风险；以及在特定模式下智能网联汽车会通过 V2V 广播本车的坐标和轨迹信息，从而带来的地理位置信息数据泄露的风险。另外 ,车联网所构建的网络架构中数据呈双向甚至是多向的流动状态。例如 , 数据可能从车辆端流向某服务供应商 , 服务供应商向车辆端反馈特定的信息内容 , 上下游服务供应商之间、相关人员的移动智能终端与服务供应商之间也会发生点对点或链条式的数据流动，多向流动状态与非结构性特征导致数据传输风险加剧。

因此，《汽车数据安全管理若干规定（试行））》第六条提出了车内处理原则，即除非确有必要不向车外提供数据。第六条还规定了脱敏处理原则，即要求汽车数据处理者对汽车数据尽可能进行匿名化、去标识化等处理。脱敏处理原则可认为是对车内处理原则的补充。EDPB 的指南实际上也提出了类似的 “车内处理” 原则，其建议车辆和设备制造商、服务提供商和其他数据控制者处理的数据时应尽可能不涉及个人数据或不将个人数据传输到车辆外部（即数据在车内处理），以保证用户对个人数据的完全控制。

3、数据出境：全球产业链融合引发数据跨境流动安全隐患
从形式上看，数据跨境问题主要体现在两个方面：一是存在境外车联网服务商跨境服务隐患。我国大部分汽车是合资品牌汽车，还有部分汽车属于境外进口汽车，其车联网服务可能由境外企业及其子公司提供，需将车主身份信息、使用习惯、车辆状态及行驶路径等用户信息传往境外。此外，通信数据及车联网数据传往境外，可能泄露国家地理位置信息，危害国家安全。二是存在境内外云平台数据共享隐患，合资企业车联网服务以境内云平台为主，但其外资公司通常负责全球车联网运营，境内平台与境外平台是否互联，是否存在数据传输共享，是国家数据管理需要关注的重点内容。车联网企业应当构建自身的数据评估体系，对于无法出境，或无法判定是否能够出境的数据，应存储在境内的服务器，境内数据中心的设立和管理是数据跨境战略的重要安排。