高巍海促会浦江学术委员会高级研究员,字节云智创始人,宝马中国原首席架构师

谢谢大家。非常感谢海促会秘书长张礼立秘书长的邀请,非常荣幸今天有机会跟大家一块分享一下我以前的一些心得,以及我最近的一些感受。

刚才听江总讲的这些问题,感觉又像回到几年前的车企一样。其实江总刚才讲的一些问题,不只是沃尔沃的现状,其实是很多车企普遍的现状。我从车企出来之后,做了一些跟数据安全和隐私保护相关的工作,今天主要给大家分享一下我的一点点心得。主要是三个方面:第一,当前的挑战是什么。第二,主要的法律法规与标准。第三,实践与应对。

首先看一下当前的挑战,今天在座基本都是跟车相关的专家,车从创造出来到现在已经百多年来。最右边是大众在它建厂的时候,它的一个产品。左边是ID4,大众新上市的产品。可以看到它的差异是非常大的。在早期大众的车,或者是全世界的车就为了解决一个问题,把人从A点运到B点。那我们现在,大家可以看到不管什么品牌、国产的,还是进口的。不管是造车新势力还是传统车企,对车的理解和定义已经完全不一样了,所以它的内涵发生了巨大的变化,那对我们来讲意味着什么。尤其我们现在讲汽车的新四化。给我们带来的是极大的便捷和便利。

那智能化,我们说车里面所有辅助性的功能,如果没有这些功能的话,可能我们开车是一件非常痛苦的事情。每天堵车,不停地踩油门、踩刹车,我们已经没有力气了。智能化就能够大大让我们驾驶的乐趣得到非常大的增长。其次,互联网化。我相信现在卖的新车基本上没有哪一家车厂说我的车里面是没有车联网功能的,互联网化是一个非常普遍的功能。我记得宝马车联网上市在国内是2012年,那个时候大家对于车联网的概念仅限于把车跟网络连接起来提供一些服务。

电动化,现在基本上大家都在做电动车。以及最后的共享,其实都已经进入我们的生活了。已经是现在习以为常的事情了,给我们带来了非常大的便利。但是同时,这些新的技术、新的理念、新的方法、新的方式,对我们来讲,除了对于车厂的造车人来说,以往大家关注的是什么?是功能安全,我怎么确保开车的人,这个车尽量避免出现故障。第二,出现故障的时候对于这个驾驶者、乘坐者没有危险,大家更多是从功能安全的角度来看的。

但是随着信息技术,ICT技术越来越引入到车里面,我们开始逐渐关注到网络安全,就像特斯拉,就像大众,就像很多新的造车新势力,他们希望用什么?用标准化,用ICT的技术去颠覆传统的造车方式和理念,我们就可以参照手机行业,被苹果颠覆是一样的。一旦它被高度标准化,那它就会面临ICT领域网络安全的挑战。

我刚才也在想这个数据,经常看到和被告知的一种说法是什么?数据是石油。其实我一个新的感受,数据是什么?数据是一个双刃剑。你用好了,它是石油。你用不好,它就是一个炸弹。网络安全就是一个很典型的例子。这是给大家看的一个案例,这是在英国由监控设备录下的视频。这两个盗贼在30秒时间以内盗窃了一辆特斯拉的车,他们怎么盗窃的?他们没有这辆车的钥匙,他们没有接触这辆车。他们利用了特斯拉的数字钥匙系统的设计。那你可能离这个车几米、十几米,按一下,车开了。这两个人用了中继设备,这个设备是干嘛的?就像手机的机站一样,他把车钥匙的信号接入了之后,通过中继设备转移到车的附近,那这个车的感应器会接收到这个车钥匙的信号,它会认为车主已经走到车旁边,自动车门打开,车被开走了。

这个时候我们可以感受到,当我们没有充分的手段,没有做到充分准备的时候,拥有数据的人就是主人,但是我们不一定就是那个主人。那在英国这种中继设备是非常普遍的,所以导致车辆盗窃是非常频繁的,这是一个非常典型的例子。接下来这张图是卡巴斯基实验室,在2017年进行了一个统计分析,列了一下基于一辆车,我们现在主流的车都会有哪些潜在的危险向量。什么意思呢?就是有哪些有可能会产生被攻击,被破坏的一些潜在的渠道、方法。大家其实可以看到很多方面都是我们日常会接触到的,比如说现在任何一个人买车,车厂都会推荐你至少装一个App。把你的个人名字、身份证号、车架号这些信息输进去之后,就能在App里面看到车的信息、车的定位,车的行驶里程,车的油量,保养日期等等这些信息。你认为这是很方便的。

但是你会不会想到有一天,另外一个你根本不认识的人,在他的手机上装了他的App,输入了他的信息之后,他居然能看到你车的信息,甚至对你的车的配置信息做一些修改。特斯拉前段时间出现这样的问题,是在美国。一个用户买了特斯拉之后,在这个手机上装了自己的App,用自己的信息登陆之后看到别人的车,再一刷新又看到另外一辆车,第三次刷新又看到另外一个不同的人。

上面还有什么?我们都有车联网。我们车在联车联网的时候,如果这个安全设计,在安全方面没有做充分考虑的话,很容易导致什么?举个例子证书问题,可能会出现中间人攻击。那你所有的数据传输,你认为是安全的,你认为所有的数据只有车厂看到了,对不起,所有的数据都是中间人先看到,他可以按照自己的意愿去进行数据的替代、篡改,甚至删除。车厂看到的只是中间人想让他看到的数据而已,他可以盗用你的身份,可以去做任何他想做的事情,而你是不知道的。

我们说新的车都支持OTA,通过远程方式去升级我们的软件,还有进一步升级它的固件。可是你有没有想过如果这个产品,如果这个车厂的方案设计得不合理,很有可能会导致什么?恶意的固件升级,那很有可能会导致什么?这个车事实上已经被第三方控制了,他可以在他希望的时候,把车停下来,把车门打开。他可以在他希望的时候把车开出去。我坐在车里面,但是已经控制不了这辆车了,这已经不是电影里面的场景,这是可以现实中发生的事情。

有一部电影里面特别震撼的一幕,就是一帮坏人控制了这个城市里所有的车去追杀一个总统,我不记得是什么电影了,但是那个镜头印象特别深。现在某种程度上已经可以做到了,所以这个也是同样说明什么?对于我们的车来讲,我们用到的技术越多越先进,我们所面临潜在安全的威胁越大,那我们为此需要付出的这些安全的手段也就需要越多。

那我们是不是只有这一方面的威胁,只有安全问题,其实不是的。今年从年初疫情开始,大家可能会意识到一个新的挑战,是什么?隐私的威胁。这些内容,就是每一个买车的人,我的信息给经销商很安全,我的信息给了保险公司很安全,我的信息给了车厂很安全,真的是这样的吗?你所有的信息都可以被收集,但是这些信息谁持有,你并不知道。这中间过程可能有经销商,可能有保险公司,可能有车厂,可能还有第三方,很多环节都会有。

那收集这些信息干什么用?在年初疫情期间,我相信每个人的感受都会印象特别深,街道居委会的大妈一定会上门,让你把祖孙三代所有的信息都拿过来告诉她。然后怎么样?她怎么保管这个信息呢?我们就不得而知了,甚至我们知道,但是我们控制不了。然后某一天你发现你个人信息被放在网上了,说你隔壁的谁谁谁,被检查出来是病毒携带者,你住他的隔壁,你马上就会遭到歧视。

同样,我们的信息在整个购买产品生命周期过程中,如果没有经过良好的评估分析去保护的话,这些信息会在任何一个环节被泄露、被滥用、被篡改,从而造成对我们直接的威胁。有家汽车经销商的员工邮箱因为使用了弱密码,被人猜出来了。他的邮箱里面有大量的潜客以及成交客户的车辆成交价格。猜出来之后这个信息被曝光了。不巧的是曝光了之后,这个经销商的某一个客户看到了这个信息,他就发现自己买贵了,然后他因此就去投诉了,他还要去起诉。

所以,这就是一个特别典型的例子。看起来是一个安全的问题,但实际上更多的,当我们持有的数据越多,我们不知道怎么正确去处理它们,正确保护它们的时候,这些数据对我们造成的伤害就会越大,而不是给我们创造的价值越多。可以看到我们直接收集这些信息类型非常多,我们在第一次接触经销商的时候,甚至我们还没有接触经销商,例如大家在网上看一些网站,看到某一款车很感兴趣,这个时候这些网站已经在收集我们的信息了。IP地址,浏览器的指纹,设备的ID,这些信息其实在很多互联网公司都有了,知道我们是谁,当我们的行为符合一定特征之后,它把这些信息收集之后做匹配。然后干什么?把我们当作一个潜客卖给主机厂,这个时候主机厂已经知道我们想干什么了。

当你去试乘试驾的时候,经销商一定会要求你留身份证号,姓名,手机号,然后问你感兴趣的车型车系,预约试乘试驾的日期,带你去试乘试驾,这些信息全部都会记录下来,但是是不是真的有必要,这是一个问号。以及下面所有的生物特征,车架号、通信记录、驾驶记录。你买的这个车越智能越现代化,新的技术越多,黑科技越多,意味着什么?你的个人信息被收集的越多,这还是直接收集的个人信息。甚至有一些不算个人信息的内容,我只不过开车去了一趟世贸天街而已,我只不过每个礼拜四的早上9点去世贸天街的一个面包店买了一个蛋糕而已,但是它都会记录下来。

一个月以后会怎么样?它有可能会建议你,明天天气不好,你可以早点出门。它就知道了你的什么?出行模式、驾驶特征、购买行为、性格特点、行为和偏好。车厂可以拿它干什么?把这些内容可以卖给保险公司,可以卖给其他的企业,卖给它的合作伙伴,都是创造价值。刚才江总说如何价值变现,很多企业是这么价值变现的。但是这在以前是OK的。那在去年,政府打击了一批所谓的数据公司,他们是做什么生意呢?就是干这些事。那打击了之后,很多数据公司就不敢再这么大张旗鼓卖个人数据了,只能是关上门自己搞。

这种个人信息的滥用,又缺乏有效的保护措施给我们造成的威胁是什么?我们的个人信息被未授权的收集使用、分享披露,以及我们的数据有可能被丢失了,有可能被滥用,甚至冒用。有可能导致我们被迫做一些不想做的事情,或者导致我们想做一些事情,从而没有办法去做,这都是对我们的影响。那前面我们说安全可能人人都有意识,但是隐私的风险、隐私的挑战,到目前为止很多人是没有意识的,或者觉得这个问题还离我很远。很多人会觉得自己的个人信息不值钱,没存款,每个月还要还银行的钱,所以个人信息不值钱,但是实际上不是这样的。自己可能认为个人信息不值钱,但是你的信息被他人收集,有意的去冒用,去欺诈他人的时候,你的信息就值钱了,而这个过程你可能是不知道的。

接下来,我们再来看一下这两个方面,我们都有哪些法律法规与标准。跟安全相关的,我们说车厂两个方面的安全。第一,功能安全,车本身的,主动性的安全和被动性的安全等等,这是从车的角度来看。第二,从车以及车的周边,以及传统IT的部门,我们说网络安全。这两个方面我简单介绍一些,不是完整涵盖所有内容,跟安全相关的一些国际标准与法规。国外来讲,ISO 26262功能安全,ISO 27001大家应该都比较清楚了,是国际公认的安全管理体系。那ISO 21434是车上的,以及下面的WP29,估计国内很多车厂现在都比较关注这些东西。这些都是从产品,从车的角度关注它的安全。

以及右边国内,我们说国标,GB/T 34590。左边是跟功能安全相关,右边是我们的网络安全法,以及跟网络安全法相关的等保。这些同样会对我们的车,车的周边,以及车上所用的IT技术密切相关,会影响到它的安全的设计,这是从安全的角度有一些相关的法律法规与国际标准,我们需要去考虑和遵循。那从隐私的角度可以看到更多了,那可能在国内,这是刚刚开始关注。从美国可以看到2017年,美国有一个汽车安全与隐私法案,它就是从两个角度交叉在一起关注几个原则。

第一,透明;第二,消费者者控制,不是车厂控制,不是经销商控制,不是保险公司控制。这是在美国的汽车安全隐私法案里面,赋予了消费者控制的明确责任边界。同样,在2017年可以看到一个自动驾驶法案,自动驾驶的测试和实验已经越来越广了,很多车厂都在这个领域投入大量的资金在做。北京和上海应该已经有自动驾驶的出租车了。同样是对自动驾驶法案有明确的要求,比如说隐私政策要有书面的、明确的隐私政策,而不是默认的;要明示,告知我们的消费者或者是数据主体。并且处理个人信息的时候,要匿名化或者是加密。如果这个数据没有被匿名化或者是加密处理,这是不可以的。

这是从美国的角度,最后一个就是2018年新出的CCPA加州消费者法案,这是从美国的角度。对于GDPR我相信在座绝大部分的专家都是有所耳闻的,只要涉及到个人信息,监管范围是非常广的。其次可以看到2016年同年,欧盟又出了欧盟网联汽车战略简称欧盟战略,同样对于车联网有了明确的要求。理论上车联网上的所有数据都被视为是个人数据,基于这条原则,它被视为要求跟GDPR要保持一致性。所以在这一点上,可以看到欧盟对于个人信息,对于个人隐私保护的力度是全球最高水平。

同时在欧盟有一个组织,发布了智能汽车网络安全与使用力,里面同样对于个人隐私有大量明确的建议和要求。这个如果涉及到我们业务欧盟跨境,这些都是需要考虑的因素。除了国家地区以外的专有法律法规,全球还有一个行业性跟个人隐私相关的,隐私保护原则是全球汽车制造商联盟发布的,这些原则看起来很容易理解,但是坦率来说车企里要达到这些原则是非常有挑战的。就像刚才江总讲的,汽车领域的一个特点就是大量系统,数千个IT系统之间的集成耦合度是非常高的,我们现在讲的ESB、SOA、微服务只是解决了这个应用本身的架构,但是业务仍然没有变,业务所需要的这些数据没有变,系统与系统之间集成的紧密程度仍然没有变,所以意味着要想达到这些隐私保护的原则是非常非常难的。

这些是从国外和全球行业角度来看,那对于我们国家来说,首先2016年的网络安全法大家很熟悉了,里面也涉及到对个人信息保护的要求,以及今年年初35273个人信息安全规范以及上周刷屏的个人信息保护法草案。

其实人信息保护法里不少内容借鉴了GDPR的思路。欧洲在制定GDPR的时候有一系列渊源,这个渊源来自于二战结束之后,欧洲地区是战争摧残非常惨烈的地方,源自于对人权的尊重和敬畏,欧洲人非常强烈关注人权和隐私。这就是为什么欧洲地区人权保护程度、个人隐私保护水平现在发展到了全球最高水平,远超了美国。

这些是跟隐私相关的法律法规和行业标准跟大家做一个分享,最后相对简单一些,数据安全治理方法论马老师已经跟大家分享了很多了,我就不再在这边过多介绍。结合数据安全以及隐私保护,我们要关注的不只是数据的生命周期,在很多场合里,一些专家喜欢讲的是我们应该围绕数据的生命周期来看,但我觉得应该增加另外一个维度,不管是产品生命周期还是业务维度,我们应该结合这两方面来看,如果抛开业务,只关注数据的生命周期,那数据的生命周期可能没有太大的意义和价值,如果把业务周期或者产品生命周期结合在一起,我们才可以获得更多的支持,减少这种内部合作沟通的阻力。

在隐私保护方法论提一句,像隐私保护的原则前面讲了,全球汽车行业保护的原则有透明、数据最小化、参与等等原则是我们要遵循的,其次我们需要做数据分类与数据清单,这个源自于DAMA体系,和数据治理体系是可以复用的。对于隐私保护方法论里其中有一项是跟其他地方不太一样的是隐私增强技术,这个概念可能在其他地方没有看到,实际上这个里面有一系列跟隐私保护相关的独有技术,比如说Privacy-By-Design、Privacy engineering等等,这些内容都是隐私保护方法论里的独有的方面,当然它也结合了大量IT技术手段,比如说数据加密、访问控制等,这些都是隐私增强技术里更好确保手里持有的个人信息能够被良好的保护。

在很多情况下,大家一谈到个人信息保护只会关注哪个部门手里有客户数据,销售、售后、CRM、Marketing。但是我们的目光不能只放在外面,企业员工的个人信息同样在法律的保护范围内,就是对外我们要考虑客户的个人信息,对内要考虑公司员工信息,这些都是需要考虑的。

最后我们要考虑最大的驱动因素就是合规,法律法规行业标准以及其他的监管要求,这些共同构成了我们要考虑如何保护组织里业务持有的个人数据、个人信息、隐私,才能确保我们不会出现违规风险。以上就是我想跟大家分享的我的一点点的心得和经验,谢谢大家。

(本内容为作者独立观点,不代表海促会立场。)