汽车智能化引申出的数据安全问题（二）汽车全生命周期中的数据处理

cqzyf

三、智能网联汽车数据处理

若在汽车的全生命周期中以SOP时间和车辆售出时间为节点进行划分，可将其分为研发阶段、量产阶段以及车辆使用阶段，此过程中车辆所产生的数据根据其所处阶段的不同亦可分为研发数据、生产数据以及使用数据三类，其中研发及生产数据属于企业内部数据，此类数据通常不会对外公开，而是作为企业资产的组成之一被单独存储。


图5 智能汽车全生命周期数据
就企业端而言，在想要将研发类数据以及生产相关数据进行合理有效的管控的前提下，鉴于工具链、系统以及规模的差异，不同企业在做法和重视程度上也大相径庭，鉴于此非本文目的，同时资料数据不全，因此此处不做讨论。

在智能网联汽车的市场应用过程中，其所产生的数据在车辆使用周期中通常可被分为数据采集、数据传输、数据存储、数据使用、数据共享以及数据销毁六个阶段。


图6 智能网联汽车使用数据生命周期
企业对于每个阶段所产生的数据在合理及合规性上需做出相关要求，以确保数据在其生命周期中的合法性，进而确保个人及企业的合法权益，现对不同数据阶段下的数据要求总结如下：

数据采集：在确保合理采集数据的基础上遵循最小化为原则，同时需按照数据的分类/分级要求对采集的数据进行及时处理，并通过有效评估及管理对采集的个人信息进行正确展示或应用；

数据传输：分车内传输与车外传输两类。对于车内的数据传输其原则上仅能在车内进行，对于车外的数据传输需满足但不限于如下要求：

1）获得用户单独同意；

2）确保传输后数据仅用于必要的功能；

3）在传输前进行必要的脱敏、加密等处理；

4）严格执行数据权限管控。

车外数据的传输是实现车辆网联功能的必要手段，如车辆OTA功能的实现，便属于车外数据传输范畴，因此其过程需要获得用户的单独同意。

为了确保数据传输的安全性，防止非授权用户利用所截获的授权用户信息去假冒授权用户，以此对系统的功能和数据进行访问，为此无论是对于车内数据还是车外数据的传输都需具备相应的防护机制，以对抗如溢出攻击、暴力破解、重放、篡改、伪造等安全威胁，为此车载软/硬件在面临此类安全威胁时常通过分层的安全系统架构去实现在不同系统层级下的安全管理，其架构示意如下：


图7 分层安全系统架构
数据存储：分为本地存储与车外存储两类。其中，本地存储指将行车等数据存储于相关控制单元中，当车辆发生交通事故时，通过此类数据可对事故过程进行还原，通过数据分析可对引发事故的因素进行排查，最终起到定位事故原因的作用。对于如之前在互联网上争论比较凶的一些交通事故的处理，其过程便是通过获取车内相关控制单元的数据并分析后得到的最终结果。

车外存储指将车辆产生的必要数据进行远程传输后存储于车外的云端或相关服务器中，此过程并不对车辆所产生的所有数据进行存储，而是仅存储必要数据，如车辆位置信息、用户生物信息、视频信息、语音信息等。


图8 数据存储类型
在车辆的应用中，对于存储在车外的数据通常主机厂会在不同地理位置建设数据中心。

数据使用：无论是对本地数据还是远端数据，当车辆对相关数据进行应用时，其过程需不影响车辆的正常运行。同时对于部分数据的使用，需根据分类/分级原则在适当时机对其进行授权与验证。如为了防止数据被滥用，对于远端数据在使用权限上需用户与主机厂共同在不同流程中参与操作方能实现数据的启用。此举也可打消用户对于其敏感数据可能被企业非法使用的顾虑。

数据共享：数据共享是实现汽车智能化的重要手段，在执行数据共享行为时需充分有效的对共享后的数据进行如可行性、风险、网络安全等方面的评估，同时需制定数据共享风险控制措施，以保证数据共享的安全；

数据销毁：大量数据需占用极大资源，同时对于相关数据会存在更新、覆盖等行为，为了有效利用相关资源，同时提升用户体验，需对相关数据进行及时销毁。在执行数据销毁行为时，相关企业应建立数据销毁策略和数据审批机制，明确销毁对象及销毁流程，保障数据在销毁过程中的安全性及合理性，同时销毁后应确保所有应销毁数据相关的副本、文件目录、数据库记录等资源所在的存储空间被释放或在重新分配给其他用户之前得到完全消除，并需采用技术手段禁止被销毁数据的恢复。于车端而言，用户可自行设定相关数据存储的时间，此后其数据应该不可再被恢复，如：


图9数据存储有效时间设置
在如今汽车智能化的趋势下，虽然不少企业已经认识到数据安全、信息安全的重要性，但限制于相关资源、技术、工具、资金等因素，在此领域有全面发展的车企目前依然凤毛麟角，而其中业内依然存在诸多企业对此抱着不上心、观望的态度，这对于未来网联化趋势下的汽车状态而言是相当危险的。而对于如我这般的小企业来说，能做的相当有限，但好在此领域相对于汽车行业的其他部分而言是新兴的，我们或可通过工具链、软件等方式为数据安全的发展添砖加瓦。