1732
在互联网通信交互过程中,有海量数据在通信双方之间相互传递,这些数据包含了各种各样的重要信息,保障这些数据的安全,保证数据的完整性,可用性和实时性,确保在通信过程中,数据不被篡改,丢失、泄露等。数据显示,目前全国机动车保有量达到3.8亿辆,驾驶人达4.65亿人,今年一季度新注册登记机动车996万辆,创同期历史新高。预计到2025年,中国的智能汽车渗透率达82%,数量将达到2800万辆。预计到2030年,渗透率将达到95%,约为3800万辆。
一、数据安全相关标准
(一)数据采集安全
为落实《网络安全法》相关要求,加快网联汽车标准研制工作,全国信息安全标准化技术委员会组织起草形成了《信息安全技术网联汽车采集数据的安全要求》标准草案,现面向社会公开征求意见。
标准草案里面主要提到,不得基于网联汽车所采集数据及经其处理得到的数据开展与车辆管理、行驶安全无关的数据处理活动。
征求意见稿的第二条明确了“运营者在中华人民共和国境内设计、生产、销售、运维、管理汽车过程中,收集、分析、存储、传输、查询、利用、删除以及向境外提供(以下统称处理)个人信息或重要数据,应当遵守相关法律法规和本规定的要求。”
个人信息或者重要数据应当依法在境内存储,确需向境外提供的,应当通过国家网信部门组织的数据出境安全评估。运营者向境外提供个人信息或者重要数据的,应当采取有效措施明确和监督接收者按照双方约定的目的、范围、方式使用数据,保证数据安全。
对于用户来说,如何查看和使用自己的汽车数据?征求意见稿第七条明确:运营者处理个人信息应当通过用户手册、车载显示面板或其他适当方式,告知负责处理用户权益责任人的有效联系方式,以及收集数据的类型,包括车辆位置、生物特征、驾驶习惯、音视频等,并提供以下信息:
(1)收集每种类型数据的触发条件以及停止收集的方法;
(2)收集各类型数据的目的、用途;
(3)数据保存地点、期限,或者确定保存地点、期限的规则;
(4)删除车内、请求删除已经提供给车外的个人信息的方法步骤。
对用户来讲,征求意见稿最大的价值之一就在于可以管理个人车内敏感数据,以前运营商对数据的采集、使用是几乎跳过用户授权的。对于用户来说,自己被收集的信息是个黑盒,更别提怎么用了。征求意见稿的有关规定,保障了用户对车辆数据的使用权,用户可时常查看自己被采集的数据,并有选择地管理部分数据,在卖车时,也可以提前删除车内个人数据。
汽车数据一旦被收集,如何保护也是一个重要的问题。《汽车数据安全若干管理规定(试行)》第五条明确:运营者应当落实网络安全等级保护制度,加强个人信息和重要数据保护,依法履行网络安全义务;第十七条提到:处理个人信息涉及个人信息主体超过10万人、或者处理重要数据的运营者,应当在每年十二月十五日前将年度数据安全管理情况报省级网信部门和有关部门。
(二)数据传输和储存安全
《汽车数据安全若干管理规定(试行)提到,运营者收集个人信息应当取得被收集人同意,法律法规规定不需取得个人同意的除外。个人信息或者重要数据应当依法在境内存储,确需向境外提供的,应当通过国家网信部门组织的数据出境安全评估。同时强调,运营者不得超出出境安全评估时明确的目的、范围、方式和数据类型、规模等,向境外提供个人信息或重要数据。
1.数据传输和存储方面
标准草案提出,未经被收集者的单独同意,网联汽车不得通过网络、物理接口向车外传输包含个人信息的数据。将清晰度转换为120万像素以下且已擦除可识别个人身份的人脸、车牌等信息的视频、图像数据除外。网联汽车不得通过网络、物理接口向车外传输汽车座舱内采集的音频、视频、图像等数据及经其处理得到的数据。网联汽车采集的车辆位置、轨迹相关数据在车内存储设备、远程信息服务平台(TSP)中保存时间均不得超过7天。
2.数据跨境方案
标准草案提出,网联汽车通过摄像头、雷达等传感器从车外环境采集的道路、建筑、地形、交通参与者等数据,以及车辆位置、轨迹相关数据,不得出境。网联汽车行驶状态参数、异常告警信息等数据如需出境,应当符合国家关于数据出境的相关规定。网联汽车通过加密方式跨境传输数据的,当监管部门开展抽查验证时,应提供传输的数据格式、加密方式等信息,并按要求明文提供相关数据内容。
(三)数据共享安全
汽车行业关于数据共享的理念早已萌生。这方面,美国的步伐迈得更大一些。而国内市场仍处于起步阶段。《智能网联汽车数据安全共享模型与规范》CSAE标准的推出,对智能网联汽车的内置属性数据和行驶数据进行规范化。模型对数据安全隐私级别进行分级,对数据内容进行分类,使得大规模数据的价值挖掘成为可能,在保障数据安全的前提下,获得更高的商业价值。
事实上,要做到数据共享非常难。基于目前的硬件设备和云端建设,并没有达到让车辆数据共享的程度。另外,数据共享的概念很广泛,怎样的数据需要共享?共享之后,数据如何支持算法和技术的优化?对于这些问题,行业内其实并没有定义清楚。同时,国内自动驾驶落地路线分支很多,有的着眼于Robotaxi,有的着眼于前装量产,路线不同对数据的要求和需求也就不同,共享得来的数据能否满足实际需求是一个需要思考的问题。以滴滴为例,它掌握了庞大的数据,但这些数据怎么提供给科技公司优化自动驾驶算法,如何为政府部门优化道路系统做出贡献,涉及技术、商业等多维度。总体而言,数据的能动性目前还比较有限。
数据共享的前提是数据分层。以高精度地图相关数据为例,底层基础数据客观描述了道路基础信息,可以共享,但车企之间的数据定义格式不尽相同,可能导致共享后也无法共用。中间层的数据算法是数据使用的方案,也可以在一定范围内共享;但最上层的自定义特殊场景属于商业化的范畴,代表了车辆自动驾驶功能和应用场景,这是车企的核心竞争力,这是他们无论如何也不能对外开放的。
当下,智能网联的核心数据基本掌握在车企手中,车企是数据共享的主体。那些偏向于研发类的数据、涉及到车辆内部算法策略和逻辑、关于核心技术机密的数据,车企必然不愿意共享,因为这是形成产品壁垒的关键所在。
而与用户应用和用户服务紧密关联的数据,如位置等可以考虑共享,但面临用户隐私泄露问题,需要进行“脱敏”处理。另外,有关车辆基本运动的数据如加速、转向等,也可以共享,但再向内纵深如传感系统数据,企业则会谨慎开放。
数据是未来汽车行业竞争的核心资源,车企花费巨大资金和精力在数据的采集、标注、处理上,要求企业无偿提供宝贵的、甚至包含有机密商业信息的数据,这确实令企业为难。虽然汽车企业共享数据的行为非常有意义,特别是对于无人驾驶这种需要大量且多样数据的技术,但汽车企业的高层担心这会削弱自身优势,并不愿意分享,这就使得共享数据资源变得难上加难。
抛开技术与竞争层面的因素,数据共享也存在法律方面的风险。因为智能网联传感器必然会扫描道路特征,我国自然资源部相关部门将其定义为测绘行为,从国家安全的法律法规角度来讲,有些数据是不能采集、无法处理的,更谈不上分享,这或许是非技术层面的一个很大障碍。
数据共享涉及到共享的动机和数据的划分,公共数据可以共享,但需要建立共享机制;私有数据事实上也可以共享,但要建立市场化的数据交易机制。
当前,因各车企使用不同的数据处理模式,使得汽车行业中存在数据格式不统一、内容记录不全面,甚至局部数据存储混乱的问题。这些海量的汽车数据具有极大的挖掘价值,但对数据应用方来说,分散且复杂多样的数据无法直接使用。常规的数据整合手段不仅会消耗大量的人力与资源,并会使数据安全受到威胁。
智能网联汽车共享数据模型与规范的提出,可以填补当前市场的标准空白。通过建立统一规范的数据格式,指导各车企进行科学规范的数据处理,减少人力与资源的消耗以提升经济价值。使用智能网联汽车共享数据模型,可以提升行业内的数据流通效率并保障数据的隐私安全,充分利用汽车行业数据中所蕴含的价值。
二、数据安全相关技术
数据发布是数据管理、数据挖掘、信息共享应用中的一个重要环节,行业、组织和政府发布的数据必须满足数据信息安全的要求,以及个人数据可能被该过程披露的隐私要求。简单的识别数据方法很容易受到攻击,这些攻击将数据与其他公开可用的信息结合起来,可以重新识别被代表的个体,被称为链接攻击。为了避免这种链接攻击,同时保持发布数据的完整性,下面将介绍几种保护数据发布安全的技术。
(一)数据匿名
数据匿名技术指以K-匿名为基础的一系列数据匿名发布技术,能保证发布数据的真实性和安全性,避免遭受链接攻击而泄露隐私。
1.K-匿名
K-匿名隐私保护模型通过单元值泛化和数据抑制、分解和排列以及微聚集和凝聚等方式对原始数据进行匿名化处理,有效地解决了链接攻击问题。一个K-匿名隐私保护模型拥有以下性质:每个记录与数据集中至少K-1个其他记录没有区别。K的值越大,可以隐藏的隐私就越大,因为仅通过链接攻击无法识别概率超过1/K的个体。
由于K-匿名存在两种类型的隐私泄露攻击:同质攻击和背景知识攻击。同质攻击指,在K-匿名化的数据表中,某个K-匿名组内所有记录对应的敏感属性值都相同,当攻击者攻击到该匿名组时,就会泄露某些记录的敏感属性,从而导致隐私泄露。背景知识攻击指,即使K-匿名组内的敏感属性值都不同,但攻击者可利用其拥有的背景知识以较高的概率推测出某些记录所对应个体的隐私信息。
2.L-多样性
同质化攻击,引出了敏感属性多样性的概念。即在公开的数据中,对于那些准标识符相同的数据中,敏感数据必须具有多样性,这样才能保证用户的隐私不能通过背景知识等方法推测出来。
为克服k匿名模型缺陷,Machanavajjhala等人提出一种增强的K匿名模型:L多样性(L−diversity)模型。要求发布数据表中每个k匿名组至少含有L种不同的敏感属性值。使攻击者推断出某一记录隐私信息的概率将低于1/L。
3.T-接近
L-多样性引出了T-接近的概念,T-接近是为了保证在相同的准标识符类型组中,敏感信息的分布情况与整个数据的敏感信息分布情况接近,不超过阈值T。但即使同时保证了K-匿名,L-多样性,T-接近,信息依然会因为攻击者的背景知识而遭到泄露。
4.差分隐私
2006年,微软的Dwork提出了差分隐私的概念,查询信息的结果与查询的数量没有直接关系,换句话说,攻击者不可以通过查询数据之间的数目差距,从而得到差别数据的信息。差分隐私就是为了防止这样的隐私窃取,通过使用随机数,增加查询的随机性,使得查询结果不因数据数目之间的差距发生改变。
(二)数据脱敏
数据脱敏工作需要去除数据所包含的敏感信息,同时也要降低脱敏工作的 花费。为了实现高效的数据脱敏,对所有数据应先进行分类处理,其次区分数据中的敏感信息,将这些敏感信息进行标注,内容包括敏感程度、泄露后果、应急手段等等。
1)泛化技术
泛化是指在保留原始数据局部特征的前提下使用一般值替代原始数据,泛化后的数据具有不可逆性,其中的技术方法有这几种:数据截断、日期偏移取整,规整等等。
2)数据扰乱
数据扰乱是一种数据失真技术,主要通过添加噪声的方式对原始数据进行随机扰动,使敏感数据失真,但扰动的过程保持数据的统计不变性,以便可继续对其进行统计分析,其中的技术方法有这几种:加密,重排,替换,重写,均化,散列等等。
3)数据有损技术
有损是指通过损失部分数据的方式来保护整个敏感数据集,适用于数据集的全部数据汇总后才构成敏感信息的场景,其中的技术方法有限制返回行数和限制返回列数。
欢迎相关企业和专家交流咨询!
联系人:朱云尧(zhuyunyao@caeri.com.cn)
下载ECAD模型
