《工信部：2020自動駕駛數據安全白皮書（57頁）.pdf》由會員分享，可在線閱讀，更多相關《工信部：2020自動駕駛數據安全白皮書（57頁）.pdf（57頁珍藏版）》請在三個皮匠報告上搜索。

1、 自動駕駛數據安全白皮書自動駕駛數據安全白皮書 （2020） 2020 年年 1 月月 版權版權聲聲明明 本白皮書版權屬于國家工業信息安全發展研究中心及各參編單位共有，受法律保護。轉載、摘編或利用其它方式使用白皮書文字或者觀點的，應注明“來源：自動駕駛數據安全白皮書（2020）”。違反上述聲明者，國家工業信息安全發展研究中心及各參編單位將追究其相關法律責任。 牽頭編寫單位：牽頭編寫單位：國家工業信息安全發展研究中心 聯合編寫單位：聯合編寫單位：中國社會科學院大學、北京航空航天大學、電子科技大學、 華為技術有限公司、 北京四維圖新科技股份有限公司、北京天融信網絡安全技術有限公司、 北京梆梆安全科

2、技有限公司、重慶長安汽車股份有限公司、中國第一汽車集團有限公司 參編人員：參編人員：潘妍、李衛、蘇仟、余宇舟、范戴芫、聞書韻、劉曉春、許滌非、李夢雪、王云娜、張雯滔、王可欣、秦洪懋、王穎會、楊純穎、冀浩杰、羅蕾、陳虹、陳幼雷、李燕華、王怡然、伍勇、孟慶昕、石清華、馬周、侯燕、姚保軍、嚴明、王璽偉、范雪儉、李沛盈、陳強、王海羅、王晨煜、陳博、李木犀、何文、汪向陽、羅薇、盧佐華、龔偉煒 （排名不分先后）（排名不分先后） 前前 言言 當前，信息化、數字化已經成為人們重要的生活和生產方式，數據驅動的智能時代正加速來臨。自動駕駛被認為是未來智慧交通的重要組成部分，其功能實現依賴于海量數據，其安全運行的關

3、鍵在于數據安全。因此，如何在保障安全的基礎上促進數據的充分利用，是發展自動駕駛及更多“智能+”領域需要面對和解決的問題。 目前對于自動駕駛的定義，國際上并未達成統一認識，本白皮書主要研究基于車路協同的自動駕駛。 本白皮書在梳理自動駕駛數據安全政策法規和技術現狀的基礎上，系統分析了自動駕駛數據的特點及產生流程，按自動駕駛功能的實現流程提出了數據的分類方法，并依據數據安全遭受破壞后所產生的影響和危害程度，參考信息安全等級保護要求，對自動駕駛數據進行了分級。 此外，本白皮書按照采集層、通信層、平臺層、應用層的技術架構，系統分析了自動駕駛數據安全風險，并提出了相應的防護手段和對策。最后，本白皮書就自動

4、駕駛數據全生命周期安全提出了自動駕駛數據安全防護體系，并針對目標體系的落地實現給出了相關建議。 目錄目錄 第一章 自動駕駛數據安全概述 . 1 一、編制背景 . 1 二、編制目標 . 2 三、特別聲明 . 2 第二章 技術與政策標準現狀 . 4 一、技術發展現狀 . 4 （一）自動駕駛相關技術發展現狀 . 4 （二）自動駕駛數據安全發展現狀 . 5 二、政策標準現狀 . 8 （一）自動駕駛數據安全法律政策 . 8 （二）自動駕駛數據安全標準規范 . 12 第三章 自動駕駛數據風險分析 . 15 一、自動駕駛數據分析 . 15 （一）數據特點 . 15 （二）數據產生流程 . 18 （三）數據分

5、級分類 . 22 二、數據安全風險分析 . 27 第四章 自動駕駛數據安全體系 . 35 一、目標體系 . 35 二、政策法規 . 36 三、安全標準 . 37 四、安全防護技術 . 39 第五章 發展建議與展望 . 48 附錄：縮略語附錄：縮略語 . 50 自動自動駕駛數據安全白皮書駕駛數據安全白皮書（20202020） 1 第一章 自動駕駛數據安全概述 一、一、編制編制背景背景 自動駕駛汽車指主要依靠人工智能、視覺計算、雷達和全球定位及車路協同等技術，使汽車具有環境感知、路徑規劃和自主控制的能力，從而可讓計算機自動操作的機動車輛。 美國、 德國等國家均將自動駕駛汽車視為未來汽車產業發展的主

6、流趨勢， 各方面投入持續加大。 2018 年自動駕駛行業分析報告指出，綜合分析行業和市場兩個維度，目前德國與美國保持領先地位，瑞典和英國位列第三、第四名，中國位于第七位。 近些年， 中國汽車產業鏈上的企業在自動駕駛領域積極探索前進，并在基于 V2X 技術的自動駕駛感知、自動跟車和自動泊車等多項關鍵技術方面實現了突破。 但對相關技術的掌握與歐美等發達國家仍存在一定的差距。 有別于傳統人工駕駛車輛，自動駕駛車輛的最大特點是 AI 技術的主導， 其駕駛過程是機器不斷收集駕駛信息并進行信息分析和自我學習從而達到自動駕駛的系統工程。伴隨自動駕駛汽車的發展，每輛汽車將從過去的封閉轉向開放， 融入到聯網的平

7、臺中進行實時的信息交互。黑客可以通過網絡對車輛進行遠程攻擊，使車輛做出熄火、剎車、加減速、解鎖等操作，也可以通過截獲通訊信息、攻擊云端服務器，達到竊取用戶信息和車輛數據的目的，嚴重的還會威脅駕駛員和自動自動駕駛數據安全白皮書駕駛數據安全白皮書（20202020） 2 乘客的生命安全。同時，在自動駕駛產業鏈中，數據的采集、存儲、處理、傳輸、共享等生命周期各環節潛在的安全威脅都給自動駕駛數據防護帶來了全新的挑戰，要想實現自動駕駛汽車規?；?、商業化落地，必須解決“數據安全”這一“攔路虎”。 二、編制目標二、編制目標 本白皮書是國內首份專門面向自動駕駛數據安全領域的白皮書，旨在進一步貫徹落實網絡安全法

8、、信息安全技術個人信息安全規范 、 個人信息和重要數據出境安全評估辦法 （征求意見稿） 、車聯網（智能網聯汽車）產業發展行動計劃等法規政策要求，梳理國內外自動駕駛數據安全領域相關標準與實踐， 推進當前及未來一段時間自動駕駛數據安全相關工作，推動解決相關標準不健全、安全體系不完善等問題，為行業主管部門提供決策參考，推動行業安全健康發展。 三、特別三、特別聲聲明明 （一）研究范圍聚焦自動駕駛數據安全領域 自動駕駛數據安全涉及法律法規、技術標準、安全體系等諸多方面， 白皮書的編制主要是為了給相關行業主管部門和企業提供決策參考，集中關注自動駕駛本身的數據安全問題，并圍繞相關風險和防護展開研究，暫未涉及

9、其他方面。 （二）研究內容仍有待進一步豐富完善 自動自動駕駛數據安全白皮書駕駛數據安全白皮書（20202020） 3 本白皮書主要觀點和內容僅代表編制組目前對自動駕駛數據安全的研究和思考，歡迎業界專家指導和提出意見，共同推進白皮書的不斷更新與完善。 自動自動駕駛數據安全白皮書駕駛數據安全白皮書（20202020） 4 第二章 技術與政策標準現狀 一一、技術技術發展現狀發展現狀 （一）自動駕駛相關技術發展現狀（一）自動駕駛相關技術發展現狀 自動駕駛最早應用于 20 世紀 90 年代的美國軍事領域， 產業化開始于 21 世紀谷歌 Moonshot 計劃中的無人車項目。 以英特爾 153 億美金收購

10、自動駕駛視覺芯片公司 Mobileye 為標志事件，全球進入供應鏈整合期。2020 年開始，主流車廠預計將陸續推出 L3 及以上自動駕駛量產車輛，自動駕駛產業有望進入黃金發展期。 當前，美國、德國、日本等國家對自動駕駛的研究起步較早，并擁有了一定的技術和數據優勢，中國屬于后起之秀，大有利用領先的5G 技術實現彎道超車之勢。從全球自動駕駛技術方案來進行劃分，主要分為以激光雷達感知為主和以視覺感知為主的兩大陣營， 其中以前者為主的產品包括百度阿波羅平臺、四維圖新智能汽車大腦，以及以小馬智行、禾多科技等一批初創企業。除此之外，國外以谷歌Waymo、通用 Cruise、戴姆勒、寶馬等為代表的主流車企均

11、是以激光雷達為主要感知設備。 以后者為主的企業主要包括以特斯拉為典型代表的少數國內外公司， 它們更看好用視覺感知技術推動自動駕駛產業的落地，而未采用成本較高的激光雷達感知技術。 關于自動駕駛分級，國際上通常采用的是美國機動車工程學會（SAE）定義的標準，其中 L2 及以下定義為高級輔助駕駛技術，L3自動自動駕駛數據安全白皮書駕駛數據安全白皮書（20202020） 5 及以上定義為自動駕駛技術，從 L3 向 L4 或 L5 升級的過程，最主要的區別在于駕駛員的手腳、眼睛及注意力的可釋放程度，可釋放程度越大， 自動駕駛等級越高， L5 是自動駕駛技術的終極目標。 目前國內外還處在 L2 及部分 L

12、3 場景量產落地的前期探索階段，而若想實現全場景的 L4 或 L5 級別的自動駕駛，尚需 5 到 10 年以上的不斷探索與發展。 現階段的單車智能可以簡單理解為感知、決策及執行三大模塊。車身上預裝的攝像頭、 激光雷達、 毫米波雷達、 超聲波雷達、 GPS+IMU、高精度地圖等感知單元通過對環境進行數據采集， 獲取行駛環境信息，對信息中的數據進行處理，然后依托車輛的“大腦”中央處理平臺通過合適的算法挖掘出有價值的數據并賦予其物理含義進而做出最優決策，最后執行模塊將決策的信號轉換為車輛的動作行為。 （二（二）自動駕駛自動駕駛數據安全發展現狀數據安全發展現狀 與傳統數據類似， 自動駕駛數據安全的特性

13、也主要表現為機密性、完整性、可用性。自動駕駛數據的機密性是指用戶隱私數據、測試場景數據、人機交互數據等不泄露給未授權的個人、實體、進程，并保證其不會被利用的特性。 自動駕駛數據的完整性是指自動駕駛決策與控制數據、 動態交通環境數據等沒有遭受以未授權方式所作的更改或破壞，保證自動駕駛車輛信息數據的正確生成、存儲和傳輸的特性。自動駕駛數據的可用性是指已授權的個人、 實體一旦需要就可以訪問和使用自動駕駛數據和資源的特性。 自動自動駕駛數據安全白皮書駕駛數據安全白皮書（20202020） 6 如果自動駕駛相關數據遭到竊取或篡改， 會直接造成財產或生命損失，相比傳統數據破壞危害更大。近幾年，自動駕駛數據

14、安全領域事件頻發，標志性事件如 2015 年查理米勒和克里斯瓦拉塞克攻擊了 Jeep Cherokee 車聯網系統，利用 Linux 系統漏洞，遠程控制汽車的多媒體系統，進而對瑞薩 V850 控制器固件進行修改，獲取遠程向CAN 總線發送指令的權限，從而能夠完全控制車輛；2015 年，來自德國 ADAC 汽車協會的安全研究人員對寶馬 Connected Drive 進行中間人攻擊，通過偽基站對通信控制協議進行逆向工程后，偽造控制指令數據解鎖汽車；2016 年，寶馬車載娛樂系統爆出遠程操縱 0day 漏洞， 惡意攻擊者可以借助此漏洞繞過 VIN 碼 （車輛識別碼） 會話驗證環節獲取另一用戶的 V

15、IN，然后利用該 VIN 接入訪問和編輯其他用戶的汽車設置。2016 年，安全研究院卡姆卡爾發現，利用安吉星導航系統的漏洞，能夠遠程控制超過數百萬輛的通用汽車；2016 年，在Black Hat 大會上， 相關人員演示了通過 OBD 接口設備攻擊汽車 CAN總線， 干擾汽車駕駛。 此外， OBD 設備還可采集總線數據、 偽造 ECU控制數據，造成 TCU 自動變速箱控制單位等系統的故障；2016 年，來自挪威安全公司 Promon 的專家在入侵用戶手機后，獲取了特斯拉App 賬戶用戶名和密碼等數據，然后登錄特斯拉車聯網服務平臺，從而可以隨時對車輛進行定位、追蹤，并可解鎖、啟動車輛；2018 年

16、 7月，由于數據管理平臺在使用遠程數據同步工具 rsync 處理數據時，備份服務器沒有限制使用者的 IP 地址，也未設置身份驗證等用戶訪問權限，導致百余家車企的機密文件被曝光，包括大眾、特斯拉、豐自動自動駕駛數據安全白皮書駕駛數據安全白皮書（20202020） 7 田、福特、通用、菲亞特克萊斯勒等車企。上述安全事件，都和車輛數據相關，并且都能造成大規模的車輛控制和用戶數據泄露。因此，自動駕駛車輛數據安全的等級以及防護手段和技術， 也應高于傳統 IT網絡和終端。 目前，自動駕駛數據安全技術仍是以傳統數據安全技術為主，如數據安全隔離、安全認證、安全授權、數據脫敏、安全存儲、安全傳輸、數據審計、數據

17、備份、數據恢復、安全擦除等。但是在自動駕駛場景下以及自動駕駛功能實現的過程中， 相關安全防護技術需要結合自動駕駛的差異性特點進行改進， 如自動駕駛車輛的車內數據安全要求車輛認證加密或密鑰的管理具備輕量、易集成和延遲低的特點，車路協同自動駕駛的 V2X 安全傳輸要求海量證書管理能滿足廣播、小批量數據傳輸的安全要求。 同時， 按數據重要程度和面臨的風險不同，所采用的數據安全防護技術也需要做出相應的完善與調整。 一方面， 現階段自動駕駛數據產生和保存還局限于相關研發機構、企業以及國家級自動駕駛測試區。 各機構雖建立了較大規模的數據庫，開源了實時訓練數據集，但自動駕駛數據的實際應用交互尚未普及，相關的

18、安全風險尚未完全暴露。另一方面，隨著自動駕駛汽車的不斷發展，車輛相關的數據量將日益增大。保守估計，當前一輛配備三顆攝像頭、一顆 32 線激光雷達以及組合慣導系統等傳感器的自動駕駛測試車，每小時約產生 20GB 數據。后續，隨著 L3 或 L4 級別的車輛量產落地，為了保證自動駕駛車輛安全運行，傳感器和計算模塊的數量必然會大幅增加， 也就意味著每天產生的數據量將成倍甚至幾十倍自動自動駕駛數據安全白皮書駕駛數據安全白皮書（20202020） 8 增加。這些數據不管是實時存儲在云端，還是暫時存儲在車輛上，如何保證海量數據的安全，都將是巨大的難題與挑戰。 二、政策二、政策標準現狀標準現狀 （一（一）自

19、動駕駛數據安全法律政策自動駕駛數據安全法律政策 1、美國自動駕駛法案美國自動駕駛法案汽車安全與隱私法案汽車安全與隱私法案 2017 年 9 月，美國眾議院通過了 HR3388 號自動駕駛法案，其全稱為（車輛發展中確保生命安全的未來開發和研究法），該法案從自動駕駛汽車的管理、 安全標準的制定、 系統網絡安全的構建、檢測和評估、隱私保護等方面為監管確立了基本框架，并規定美國高速公路安全管理局及各州的行政部門僅可執行與自動駕駛法案中所規定尺度一致或更為嚴格的標準， 同時美國高速公路安全管理局可通過修訂現行法規和豁免的方式統一監管自動駕駛汽車的設計、 制造等生產環節。 除此之外，美國兩位議員提交的汽車

20、安全與隱私法案還提出了 “駕駛數據” 這一概念， 其主要包括收集的與車輛狀態 （包括位置、速度、用戶信息）相關的電子信息。 2、歐盟及其成員國歐盟及其成員國 （1） 歐盟 歐盟 通用數據保護條例通用數據保護條例 智能汽車網絡安全與適應力智能汽車網絡安全與適應力 通用數據保護條例（GDPR）于 2018 年 5 月 25 日生效并取代 1995 年的數據保護指令。GDPR 旨在加強和統一歐盟境內所有個人數據保護有關規定， 并對歐盟境內的個人數據出境問題做出了自動自動駕駛數據安全白皮書駕駛數據安全白皮書（20202020） 9 明確的規定。 歐盟委員會于 2016 年 11 月 30 日發布了歐盟

21、網聯汽車戰略 （ “歐盟戰略”），表明了個人數據和隱私保護對于自動駕駛汽車能否成功落地應用起著決定性作用。 歐盟認為必須使用戶對他們的個人數據未被當作商品感到放心， 且消費者對于如何及以何種目的使用他們的數據保有有效的控制權力。 2017 年 1 月 13 日，歐盟網絡和信息安全機構（ENISA)發布了智能汽車網絡安全與適應力的研究報告（“ENISA 指南”），提出了應對網絡威脅，保障智能汽車安全的最佳實踐和建議。 （2）德國道路交通法德國道路交通法 德國聯邦議院于 2017 年 5 月 12 日修訂了德國道路交通法，通過了德國首部針對智能汽車的法律規范，澄清了包括基本概念、許可條件、責任歸屬

22、等重要問題，在一定程度上為智能汽車在德國的發展清除了法律上的障礙。 就數據而言， 法案規定當駕駛操作方在駕駛員和高度或完全自動系統之間發生轉變時， 自動駕駛汽車將儲存由衛星導航系統確定的地點和時間信息；如果系統對駕駛員提出了接管汽車駕駛的要求，或者系統出現了技術故障，這些信息也同樣會被保存。同時，針對智能汽車采集數據的利用，法案規定了車主提供數據的義務，并且規定了高度或全自動化功能的汽車必須具有根據通用的國際標準來記錄汽車在某一時刻究竟由駕駛人控制，還是由高度或全自動化功能控制，即所謂的“黑匣子”記錄功能。上述數據應根據道路交通監管部門的要自動自動駕駛數據安全白皮書駕駛數據安全白皮書（2020

23、2020） 10 求依法提交，相關部門同時享有保存和使用相關數據的權利。此外，數據的保存時效也需滿足特定要求， 在發生交通事故的情況下需保存三年。 3、中國中國民法總則網絡安全法民法總則網絡安全法個人信息安全規范等個人信息安全規范等 （1）民法總則網絡安全法和信息安全技術個人信息安民法總則網絡安全法和信息安全技術個人信息安全規范全規范 民法總則要求任何組織和個人在獲取他人個人信息時，應依法取得并確保信息安全， 不得對他人信息進行非法收集、 使用、 加工、傳輸，不得非法買賣、提供或公開他人個人信息。 2017 年 6 月 1 日，中華人民共和國網絡安全法（簡稱“網絡安全法”）正式施行。網絡安全法

24、第三十七條規定，“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的， 應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規另有規定的，依照其規定”。作為網絡安全法的配套規則，國家互聯網信息辦公室（簡稱“國家網信辦”）制定了個人信息和重要數據出境安全評估辦法（征求意見稿）（簡稱“數據出境辦法”），并于 2017 年 4 月向社會公開發布征求意見的通知。2019 年 5 月 28 日，國家網信辦公布了數據安全管理辦法（征求意見稿），對于重要數據的發布、共享和出境作出了原則性審批規定。 2019 年

25、6 月 12 日，國家網信辦公布了個人信息出境安全評估辦法 （征求意見稿） （簡稱 “ 個人信息出境辦法 ” ） ，自動自動駕駛數據安全白皮書駕駛數據安全白皮書（20202020） 11 與數據出境辦法相比，刪去了重要數據出境評估的內容，對個人信息出境作出了專門規范。 （2）軍事設施保護法軍事設施保護法 自動駕駛過程中不可避免地要實時采集和分析行駛過程中的地理地貌和道路建筑信息。如果相關設備一旦靠近軍事設施，就有可能違反軍事設施保護法第三章和第四章中，關于軍事禁區和軍事管理區的規定。通常軍事管理區的劃定范圍比較大，一般來說，部隊家屬院、營區生活區等都屬于軍事管理區。而這類地域正是車輛進出比較頻

26、繁的地方。如果自動駕駛汽車進入此類地區，所有采集的道路信息都需經軍事管理區管理單位審查同意。 （3）中華人民共和國測繪法中華人民共和國測繪法 中華人民共和國測繪法 中第八章第四十七條規定地理信息生產、保管、利用單位應當對屬于國家秘密的地理信息的獲取、持有、提供、利用情況進行登記并長期保存，實行可追溯管理。自動駕駛數據感知收集過程中會不斷采集地理信息， 相關地理信息中若涉及到屬于國家秘密的地理信息需要在有關部門登記并保存。 但目前如何界定自動駕駛過程中采集的地理信息是否屬于國家秘密仍是自動駕駛數據領域的一個重要課題。 此外，汽車行業的最大特點是全球產業鏈的高度融合，當前在中國市場上銷售的車輛中，

27、 進口車及中外合資生產的車輛占到相當大的比例。車廠通過互聯網集中收集車輛信息，由此而產生的自動駕駛數據出境問題幾乎是一個無法回避的問題，值得高度關注。 自動自動駕駛數據安全白皮書駕駛數據安全白皮書（20202020） 12 （二）（二）自動駕駛數據安全標準自動駕駛數據安全標準規范規范 1、ISO/TC22 制定道路車輛制定道路車輛信息安全標準信息安全標準 ISO/TC22 是國際標準化組織下設的道路車輛技術委員會。2018年，該組織圍繞 ISO/SAE 21434（道路車輛-信息安全工程）在美國、波蘭、以色列等地召開聯合工作組會議，明確了該標準的結構框架、適用范圍、特定對象和主要內容等，并指出

28、該標準適用于道路車輛的電子電氣系統以及各系統間的接口交互與通信， 規范了企業對車輛信息安全的管理，提出了道路車輛在安全生命周期內的電子電氣系統、系統間接口交互、系統間通信的信息安全技術要求，總結了安全風險與威脅評估方法、信息安全系統測試評價方法、信息安全流程開發管控要求等內容。 2、企業聯合白皮書自動駕駛企業聯合白皮書自動駕駛安全第一安全第一 白皮書由安波福、奧迪、百度、寶馬、德國大陸集團、戴姆勒、菲亞特克萊斯勒、HERE、英飛凌、英特爾和大眾等 11 家公司聯合發布。該白皮書為基于安全的自動駕駛乘用車的開發、測試及驗證等各階段提供了指導，旨在共同建立自動駕駛的行業安全標準，同時強調通過設計、

29、測試與驗證實現安全的重要性。 該白皮書表明可以通過車輛感知傳感器（如攝像頭、激光雷達、超聲波、 麥克風等） 獲取周圍環境中的所有相關信息， 包括辨別行人、障礙物、交通標志和聲音信號等，來降低風險。同時指出，自動駕駛車輛在記錄用戶個人數據時，應符合隱私保護規范。 3、英國英國聯網與自動駕駛汽車網絡安全主要原則聯網與自動駕駛汽車網絡安全主要原則 自動自動駕駛數據安全白皮書駕駛數據安全白皮書（20202020） 13 英國運輸部及國家基礎保護中心于 2017 年 8 月 6 日公布聯網與自動駕駛汽車網絡安全主要原則，其中八大原則如下： （1）董事會負責管理并改進組織機構安全。（2）按適當比例評估、管

30、理安全風險，包括車輛供應鏈特有安全風險。（3）組織機構需建立產品后期維護和事件響應機制，確保系統在整個生命周期的安全。（4）所有組織機構，包括子承包商、供應商和第三方應合作改進系統安全。（5）應采用深度防御方式設計各相關系統。（6）實行軟件全生命周期安全管理。（7）確保數據存儲與傳輸安全可控。（8）確保系統對各類攻擊的防御具備彈性。其中每個原則均包含各類子原則，該原則同時要求自動駕駛相關組織機構應確保系統能支持數據取證或支持可恢復用于司法認定的唯一可識別數據， 這些數據可用來發現任何網絡或其它事件的原因。 4、美國現代汽車的網絡安全美國現代汽車的網絡安全最佳實踐最佳實踐自動駕駛系統自動駕駛系統

31、 2.0：安全愿景安全愿景自動駕駛汽車自動駕駛汽車 3.0：為未來交通做準備：為未來交通做準備 美國在 2016 年 10 月發布的現代汽車的網絡安全最佳實踐要求在開發階段考慮數據安全，遵循產品開發流程，避免設計系統存在不合理的安全風險；構建特定流程，明確考慮汽車全生命周期的隱私和網絡安全風險，其全過程監管原則更體現在具體風險規避制度中。 2017 年 9 月，美國高速公路安全管理局發布了自動駕駛系統2.0：安全展望，取代了 2016 年發布的聯邦自動駕駛汽車政策。該文件建議汽車行業應投入一定資源來測試評估車輛安全風險尤其是車輛數據安全風險。 自動自動駕駛數據安全白皮書駕駛數據安全白皮書（20

32、202020） 14 2018 年 10 月，美國交通部發布了自動駕駛汽車 3.0：為未來交通做準備，旨在推動自動駕駛技術與地面交通系統多種運輸模式的安全融合，并明確了自動駕駛的六大原則，其中主要強調了自動駕駛領域中的安全優先問題。 5、中國智能網聯汽車信息安全評價測試技術規范（征求意見中國智能網聯汽車信息安全評價測試技術規范（征求意見稿）稿） 2019 年 6 月 11 日，由中國汽車工業協會牽頭，百度 Apollo 等國內機構參與制定的智能網聯汽車信息安全評價測試技術規范（征求意見稿）（簡稱“規范”）正式發布。該規范由產學研各界共同制定，是國內首個智能網聯汽車的信息安全測評標準。參編單位既

33、包括百度、 中國一汽、 北汽新能源、 長城汽車、 福特中國等國內知名企業，也有清華大學、北京理工大學、北京航空航天大學等國內一流高等院校。規范基于風險轉化概率、風險可能計算、風險影響計算等多個評測模型，提出了對智能網聯汽車的汽車中央網關、移動通信終端等共計 13 個單元進行評測的技術規范，主要針對 OTA 安全、數據安全、網絡安全等 6 大維度進行安全測評。 自動自動駕駛數據安全白皮書駕駛數據安全白皮書（20202020） 15 第三章 自動駕駛數據風險分析 一一、自動駕駛、自動駕駛數據數據分析分析 （一）數據（一）數據特點特點 1、自動駕駛數據與車聯網數據的區別自動駕駛數據與車聯網數據的區別

34、 目前自動駕駛數據與車聯網數據略有不同。 車聯網數據從傳統車聯網狹義概念到智能網聯廣義概念的變化過程中， 數據特點也發生了變化。傳統車聯網數據量少，數據僅來自終端功能簡單的信息服務，隨著智能網聯下車聯網服務范圍不斷豐富，車內外交互信息增多，未來車聯網數據的特點會與自動駕駛數據的特點愈加相似。 在自動駕駛時代， 無論是測試階段還是實際運行階段都會產生并使用大量多種類型數據。在測試階段在測試階段：需要使用大量的測試數據來驗證自動駕駛的功能，并對自動駕駛未來的服務進行預研。在對大量數據進行標注后，感知和決策模型開始利用數據進行訓練，同時提取自動駕駛場景數據構建虛擬仿真模型以提升車輛的自動駕駛能力，

35、保證自動駕駛車輛的安全性和魯棒性。在實際運行階段在實際運行階段：自動駕駛車輛的正常運行不僅依賴于車端傳感器采集的大量數據， 同時也依賴于高精地圖數據、實時交通數據、天氣數據等，而自動駕駛車輛運行過程中也會產生或接收大量的車輛數據、控制數據、用戶駕駛數據等。 自動駕駛數據與車聯網數據的區別主要如下： 自動駕駛對自動駕駛對數據的數據的精度要求精度要求更更高高。 由于大量數據會作為自動駕駛自動自動駕駛數據安全白皮書駕駛數據安全白皮書（20202020） 16 系統下發指令的決策依據，如有偏差會對人身安全構成巨大威脅，因此自動駕駛原型車一般都會加裝精度更高的 GNSS 設備或其他輔助設備以保證各類關鍵

36、數據的高效準確安全傳輸。 自動駕駛數據自動駕駛數據高度還原真實世界高度還原真實世界。 自動駕駛數據中不僅包含道路及其兩旁的全要素靜態信息，還包括道路上動態的車輛、行人、交通信號等數據，以及部分敏感地理信息，諸如軍區、核設施、港口、電力設施等。 自動駕駛數據包含自動駕駛數據包含用戶用戶個人個人數據數據。如用戶操作、應用使用等操作習慣數據，也包括行程軌跡，用戶導航、歷史及即時地理位置等駕駛習慣數據，此外還包括用戶個人虹膜、指紋、聲紋等生物特征數據。 自動駕駛車輛自動駕駛車輛實時產生海量實時產生海量數據。數據。目前的測試單車產生數據量一般在 20GB/小時左右, 在 5G 網絡未大規模應用以后，產生

37、的數據量將變得更加巨大。 2、自動駕駛數據的特點、自動駕駛數據的特點 自動駕駛數據與車聯網數據存在眾多差異， 因此需要針對自動駕駛數據的特點進行分級分類以全面考量其安全威脅及保障手段。 綜合考慮自動駕駛的人工智能屬性以及自動駕駛數據多樣性、規模性、非結構性、流動性的特點。除此之外，自動駕駛車輛還具有汽車本身的安全屬性和智能網聯下跨產業技術融合的特點。 數據多樣性：數據多樣性：根據不同自動駕駛級別，數據產生的來源不同。數據類別不僅包括了汽車基礎數據（車牌號、車輛品牌和型號、車輛識別碼、車輛顏色、車身長度和寬度外觀等相關數據），也包括基礎設自動自動駕駛數據安全白皮書駕駛數據安全白皮書（202020

38、20） 17 施、交通數據、地理信息數據（紅綠燈信息、道路基礎設施相關、道路行人的具體位置、行駛和運動的方向、車外街景、交通標志、建筑外觀等真實交通數據），以及車主的大量用戶身份類數據（姓名、手機號碼、駕照、證件號碼、支付信息、家庭住址、用戶的指紋、面部等生物特征信息等） 、 用戶狀態數據 （語音、 手勢、 眼球位置變化等） 、行為類數據（登錄、瀏覽、搜索、交易等操作信息等）等。 數據規模性：數據規模性：自動駕駛車輛作為跨產業技術的融合載體，融合了來自汽車、道路、天氣、用戶、智能計算系統等多方面的海量數據，涉及數據類型多，需要統計分析的數據總量大。 數據非結構性：數據非結構性： 數據多樣性決定

39、了不同來源的數據格式不同， 數據的非結構性和非標準性對數據聚合或拆分技術以及權限管理和安全存儲都帶來了巨大的挑戰。 數據流動性：數據流動性：大量自動駕駛數據在用戶端、車端、云端等多場景的交互使得數據的流動性增大。除此之外，自動駕駛數據還具有跨行業共享交換的特點。因此，如何確保交互數據的安全性，是一個亟待解決的問題。 數據涉密性：數據涉密性：自動駕駛汽車在公開道路駕駛過程中，會采集大量的地理信息數據，根據中國法律法規要求，采集地理信息數據可能涉及涉密測繪成果，因此需要按照中華人民共和國保守國家秘密法中的相關規定要求進行分級管理。 自動自動駕駛數據安全白皮書駕駛數據安全白皮書（20202020）

40、18 （二）數據產生（二）數據產生流程流程 自動駕駛的整個流程歸結起來有三個部分。首先，是通過激光雷達、 攝像頭、 車載網聯系統等設備對外界的環境進行感知識別； 然后，在融合多方面感知信息的基礎上，通過智能算法學習外界場景信息，預測場景中交通參與者的軌跡，規劃車輛運行軌跡，實現車輛擬人化控制融入交通流中；最后，跟蹤決策規劃的軌跡目標，控制車輛的油門、 剎車和轉向等駕駛動作， 調節車輛行駛速度、 位置和方向等狀態，以保證汽車的安全性、操縱性和穩定性。自動駕駛在測試和實際運行過程中將會產生大量的數據，主要包括感知數據、決策與控制數據、測試與仿真數據以及用戶個人數據四大類數據。 1、感知數據感知數據

41、 在感知數據中主要包含自動駕駛傳感器原始數據、 動態交通數據、自動駕駛地圖數據和車聯網數據。 自動駕駛傳感器原始數據：主要包括點云、視頻、照片、高精度定位坐標等。此類數據是由加裝在車輛上的自動駕駛傳感器（包括：激光雷達、攝像機、高精度定位模組等）進行采集。 動態交通的數據：通常包含兩部分，車輛軌跡通常從手機端和車輛的 GPS 裝置獲得，經由智能出行公司、出租車管理公司等平臺回傳至有相關資質的公司，經數據處理、校驗再進行發布，形成動態交通信息，給用戶提示道路的擁堵信息。動態事件信息一般由用戶手動上報、行車記錄儀識別上報，路邊監控設備提取、政府機構官方發布等渠道生成， 數據回傳至有相關資質公司的平

42、臺后進行分析聚類等處自動自動駕駛數據安全白皮書駕駛數據安全白皮書（20202020） 19 理，校驗后發布，形成動態事件信息，提醒用戶注意道路上的危險事件。 自動駕駛地圖數據：由擁有相關資質的地圖供應商提供，一般的生產流程包括數據采集、數據處理、數據出品及審圖。數據采集一般使用配備高精度傳感器的車輛進行作業， 同時作業人員必須具有專門的測繪作業證。 數據處理將采集的原始數據進行整合處理、 格式轉化、地圖數據制作、數據校驗。數據出品會按照客戶要求將地圖數據轉化成相關的規格。生產完畢的地圖需送至國家相關機構進行審圖，獲得審圖號和出版號后方可進行發布。 車聯網數據：主要有兩條產生途徑。一是由車機系統

43、、車機應用產生，經由 T-BOX（Telematics BOX），通過運營商網絡回傳至車聯網后臺。二是通過車聯網應用回傳車聯網數據，通過車聯網應用（如呼叫中心，賓館預訂，興趣點搜索等）將車輛的請求和響應數據存儲在云端。 2、決策與控制數據決策與控制數據 車輛控制技術是無人駕駛汽車行駛的核心。 包括決策規劃和控制執行兩個環節， 這兩項技術相輔相成共同構成自動駕駛汽車的關鍵技術。相關模塊會匯集車輛所有重要信息，不僅包括自動駕駛汽車本身的實時位置、速度、方向，還包括車輛周邊一定距離以內所有障礙物信息數據、預測軌跡數據以及平臺下發的動態交通數據。決策層依據感知數據來進行決策判斷，確定適當工作模型，制定

44、相應控制策略產生決策數據，從而替代人類駕駛員做出駕駛決策。執行層在系統做出自動自動駕駛數據安全白皮書駕駛數據安全白皮書（20202020） 20 決策后，按照決策結果對車輛進行控制。車輛的各個操控系統都需要通過總線或網絡與決策系統相連， 并能夠按照決策系統發出的指令精確地控制車輛的加速程度、制動程度、轉向程度等駕駛動作，以實現車輛的自主駕駛。 3、測試與仿真數據測試與仿真數據 自動駕駛汽車測試分為硬件在環測試、 軟件在環測試以及模型在環測試，分別對應檢驗自動駕駛汽車感知、決策兩大模塊。感知模塊的硬件在環測試主要分為兩類， 一類為測試硬件設施在極端環境下能否正常工作；另一類為測試傳感器自身 AI

45、 識別能力。決策模塊的軟件在環測試則主要檢驗系統在不同情況下是否可以做出正確決策。 感知與決策模塊的檢驗可以兩種形式完成， 一種為實際場景下的實車測試，另一種為模擬環境下的數據測試。由于實車測試在短期內可預見的極端環境較少，測試有較大的局限性，因此各大車廠在檢驗過程中更傾向于進行數據測試。在數據測試的過程中，基于全面的仿真能力與云平臺本身的數據存儲，將大量實景數據、駕駛行為數據以及交通動態數據融合，模擬真實行車環境。最后將環境模擬數據打包輸送至硬件在環與軟件在環進行測試， 在理論上檢驗該種車型是否能夠達到上路指標。 一個完整的自動駕駛仿真平臺，需要包括靜態場景還原、動態案例仿真、傳感器仿真、車

46、輛動力學仿真、并行加速計算等功能，并能夠較為容易的接入自動駕駛感知和決策控制系統，形成閉環，達到持續迭代和優化的狀態。自動駕駛仿真一般包括擬真環境仿真、動態場自動自動駕駛數據安全白皮書駕駛數據安全白皮書（20202020） 21 景仿真、天氣和氣候仿真、傳感器仿真、車輛動力學仿真。其中： 擬真環境仿真： 可以采集實際環境信息及已有的高精度地圖構建靜態場景， 通過采集激光點云數據， 建立高精度地圖， 構建環境模型，并通過自動化工具鏈完成厘米級道路還原。 動態場景仿真： 可以采集實際道路上的海量數據， 經過算法抽取，結合已有的高精地圖，重建動態場景。 天氣和氣候仿真： 在仿真環境里設置不同天氣，

47、并調節天氣參數，比如太陽高度角，霧的濃度，雨滴的大小等，模擬出極端天氣，訓練無人車應對這些情況， 然后將訓練好的數據模型運用于真實駕駛過程中。 傳感器仿真：包括物理信號、原始信號、傳感器目標三個層級的仿真，仿真對象為激光雷達、視覺（攝像頭）、雷達、輔助傳感器等系統。 車輛動力學仿真：包括車體模型參數化，輪胎模型參數化，制動系統模型參數化，轉向系統模型參數化，動力系統模型參數化，傳動系統模型參數化， 空氣動力學模型參數化， 硬件 IO 接口模型參數化，根據實際測試車輛的動力學配置合適參數。 交通場景數據是自動駕駛汽車研發與測試的基礎數據資源， 是評價其功能安全的關鍵參考， 也是定義自動駕駛汽車技

48、術標準的重要依據。場景庫能夠通過軟件以及仿真工具包對測試場景進行虛擬復現，其元素包含各種道路路況、交通標志、氣象環境、事故場景、法律法規場景，駕駛人員及其他交通參與者的行為習慣等。將這些場景元素自動自動駕駛數據安全白皮書駕駛數據安全白皮書（20202020） 22 及車輛駕駛行為進一步數字化， 有利于進行數據提取并量化分析自動駕駛的安全性能和不足， 測試過程產生的數據也能更好地支撐場景庫的建設。 4、用戶個人用戶個人數據數據 汽車的車載娛樂系統將不僅限于播放音樂、視頻、通信等功能，還能保存個人設置和偏好。出于導航目的，汽車將收集并使用位置數據，諸如目的地信息、路線信息、速度和花費的時間。地理位

49、置功能在現有的傳統車輛中也同樣被用于記錄位置， 提供旅途相關的其他信息，比如實時交通數據和規劃路線沿途名勝，以及設定道路偏好，從而避開高速公路或收費公路。到目前為止，汽車收集的個人數據量是較少的。然而，自動駕駛汽車的發展和使用將使大量的個人數據被收集，這其中包括駕駛人的詳細資料、位置、行駛方向、歷史路線、平均速度和里程數。相關企業將可以針對特定用戶制作人物畫像，做到精準服務。 以上幾類數據可以用于研發和測試自動駕駛的功能和應用， 其重要性不言而喻。因此，實施數據安全分類分級和差異化分級防護，加強自動駕駛數據安全防護刻不容緩。 （三）（三）數據分級分類數據分級分類 1、自動駕駛數據安全分類、自動

50、駕駛數據安全分類 自動駕駛系統的實現主要依賴感知、決策與執行三大模塊。在行駛過程中以各類慣導、雷達、視覺等傳感器搜集車輛動態與周邊環境自動自動駕駛數據安全白皮書駕駛數據安全白皮書（20202020） 23 數據，將數據傳輸至車載計算平臺進行分析并作出相應決策，最后由決策層發送指令至執行模塊改變車輛行駛狀態。 （1）分類原則。分類原則。針對自動駕駛數據特征及其相互間存在的客觀聯系進行科學和系統化的分類。 做到分類盡可能覆蓋自動駕駛所有數據，不設置無意義的類目，同時在總體上應具有包容性和可擴展性。 （2）分類方法。分類方法。遵循自動駕駛數據安全分類原則，按照自動駕駛功能實現流程，結合我國自動駕駛產