有人說�,智能手機(jī)就如同一部竊聽器,無論你開機(jī)或者關(guān)機(jī)����,它都會無時不刻地監(jiān)聽著用戶的一舉一動,而隨著車聯(lián)網(wǎng)的發(fā)展�,汽車會越來越智能化,就像是一部“裝著四個輪子的手機(jī)”��,可想而知����,智能車輛上的信息安全問題可能比智能手機(jī)更加嚴(yán)重。比如車輛的定位信息�、相機(jī)所記錄下的路端畫面、車艙內(nèi)的乘客錄音錄像等等�����,這些數(shù)據(jù)作為智能車發(fā)展的“燃料劑”����,既是不可或缺的,又需要去避免敏感數(shù)據(jù)的泄露風(fēng)險���。
政府監(jiān)管部門也開始關(guān)注到了智能車的數(shù)據(jù)風(fēng)險�����,比如去年10月發(fā)布的《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》規(guī)定就提到車上攝像頭所采集到的人臉�、車牌等信息需要進(jìn)行匿名化處理�����,意味著車上產(chǎn)生的敏感信息必須要進(jìn)行脫敏處理��。筆者也了解到��,自動駕駛發(fā)展至今��,數(shù)據(jù)脫敏處理在今年引起了大部分主機(jī)廠的重點關(guān)注�����。
那么,數(shù)據(jù)脫敏具體指的是什么����?又是如何進(jìn)行數(shù)據(jù)脫敏?數(shù)據(jù)脫敏在自動駕駛的應(yīng)用中又面臨什么樣的挑戰(zhàn)�����?帶著這些問題�����,筆者有幸與行業(yè)內(nèi)的專家進(jìn)行了交流�����,包括但不限于中國汽車技術(shù)研究中心首席專家兼中汽數(shù)據(jù)車聯(lián)網(wǎng)業(yè)務(wù)部部長張亞楠����、中汽數(shù)據(jù)信息安全室主管劉天宇、木衛(wèi)四科技的解決方案總監(jiān)李浩文�、信大捷安的IoT事業(yè)部總經(jīng)理王建偉、整數(shù)科技的創(chuàng)始人兼CEO林群書等��。
在與各專家交流完后�,筆者整理出以下主要內(nèi)容��,以供讀者參閱。
一般來說���,數(shù)據(jù)脫敏技術(shù)指的是在對敏感數(shù)據(jù)進(jìn)行處理的過程中,通過數(shù)據(jù)變形(將數(shù)據(jù)變成模型想要的結(jié)構(gòu)����,如1234->1**4)的方式來降低數(shù)據(jù)的敏感程度的一種數(shù)據(jù)處理技術(shù)。
有時候�����,數(shù)據(jù)脫敏也會有一些相近的概念����,比如去標(biāo)識化、匿名化及假名化�,但數(shù)據(jù)脫敏與去標(biāo)識化和匿名化的相關(guān)技術(shù)本質(zhì)上是沒有任何區(qū)別的,而假名化則是匿名化和去標(biāo)識化的一種技術(shù)實現(xiàn)方式����。
總的來說�����,在一定層面上���,去標(biāo)識化、匿名化及假名化����,都可以歸為數(shù)據(jù)脫敏。
在大數(shù)據(jù)時代下���,數(shù)據(jù)脫敏技術(shù)并不是什么新鮮技術(shù)�,它在其它領(lǐng)域中已經(jīng)被廣泛應(yīng)用�����,比如政務(wù)��、金融���、醫(yī)療���、電信等�����。
在自動駕駛領(lǐng)域�,中汽協(xié)發(fā)布的《汽車傳輸視頻及圖像脫敏技術(shù)要求與方法》也定義了數(shù)據(jù)脫敏�����,其主要指通過一定方法在車端數(shù)據(jù)處理設(shè)備上消除原始環(huán)境數(shù)據(jù)中的敏感信息����,使得信息主體無法被識別或者關(guān)聯(lián)�,且處理后的信息不能被復(fù)原,同時保留目標(biāo)環(huán)境業(yè)務(wù)所需的數(shù)據(jù)特征或內(nèi)容的數(shù)據(jù)處理過程����。
為了讓讀者更好地理解,我們以人臉脫敏為例做個解釋:數(shù)據(jù)脫敏就是將人臉的關(guān)鍵信息隱去或者模糊化(通俗點說��,就是在臉部打了個馬賽克)��,甚至不能讓別人通過其它關(guān)聯(lián)信息(比如習(xí)慣性出沒的地方�、本人所穿的衣服等等)來識別出這個人“具體是誰”,并且整個過程是不可逆的,但該人臉的基礎(chǔ)語義信息仍然存在��,即自動駕駛系統(tǒng)還是能識別出“這是一個人”����。
從數(shù)據(jù)脫敏的類型來看,主要可分為靜態(tài)數(shù)據(jù)脫敏和動態(tài)數(shù)據(jù)脫敏����。
靜態(tài)數(shù)據(jù)脫敏指的是數(shù)據(jù)的管理方將數(shù)據(jù)抽取進(jìn)行脫敏處理后,下發(fā)給下游環(huán)節(jié)����,供下游隨意取用和讀寫,脫敏后數(shù)據(jù)與生產(chǎn)環(huán)境相隔離�����,滿足業(yè)務(wù)需求的同時保障生產(chǎn)數(shù)據(jù)庫的安全����,例如自動駕駛車輛的系統(tǒng)開發(fā)、仿真測試等��。
動態(tài)數(shù)據(jù)脫敏指的是數(shù)據(jù)使用方直接訪問生產(chǎn)數(shù)據(jù)的使用場景���,其特點為在處理敏感數(shù)據(jù)時��,需要實時進(jìn)行脫敏���,并且也可以實時修改脫敏規(guī)則����。
兩者最大的區(qū)別在于���,靜態(tài)數(shù)據(jù)脫敏是在脫離數(shù)據(jù)生產(chǎn)環(huán)境后進(jìn)行的,而動態(tài)數(shù)據(jù)脫敏則是直接在數(shù)據(jù)生產(chǎn)環(huán)境中進(jìn)行的���。
在智能汽車的行駛過程中����,車上的大部分敏感數(shù)據(jù)的產(chǎn)生及處理都是實時的���,所以�,在自動駕駛領(lǐng)域中�����,數(shù)據(jù)脫敏主要是采取動態(tài)數(shù)據(jù)脫敏。
1.3 自動駕駛中數(shù)據(jù)脫敏的痛點
在中央計算平臺的趨勢下���,智能汽車產(chǎn)生的敏感數(shù)據(jù)量會比手機(jī)更大���,甚至無法估量。以感知為例�����,車端的傳感器越來越多�,傳感器的性能也越來越好,這就造成整個感知系統(tǒng)能夠獲取到的數(shù)據(jù)也會越來越豐富�。
李浩文說:“如今單車的智能化水平越來越高,從某種意義上來說���,車輛實際上已經(jīng)具備了一定的地圖測繪能力”���。
也就是說,如果一輛自動駕駛車輛跑完全中國的道路���,在某種程度上����,它就能夠把一張中國地圖繪制下來,而這里面必然會包含大量的敏感地理位置信息����、道路標(biāo)識信息甚至個人隱私等。
這還僅僅只是感知系統(tǒng)帶來的敏感數(shù)據(jù)��,但自動駕駛系統(tǒng)又何止感知這一塊����。不同的系統(tǒng)會有不同的敏感數(shù)據(jù)產(chǎn)生,并且數(shù)據(jù)的格式也會非常多樣化����,這些都會造成日后數(shù)據(jù)脫敏難度的增加。
面對如此大規(guī)模的敏感數(shù)據(jù)����,行業(yè)早期在數(shù)據(jù)應(yīng)用方面�,做得并不規(guī)范。
在行業(yè)發(fā)展初期����,車企在數(shù)據(jù)的采集、存儲�����、處理等過程中,沒有做到任何數(shù)據(jù)脫敏措施���,數(shù)據(jù)在采集前是否征得用戶允許����、數(shù)據(jù)資產(chǎn)的歸屬問題等始終處于未解決的狀態(tài)���。
第一�����,數(shù)據(jù)的確權(quán)問題非常嚴(yán)重����。行業(yè)早期階段�����,車企認(rèn)為車內(nèi)外的數(shù)據(jù)都是車企自己的資產(chǎn)���,并且車上獲取的數(shù)據(jù)可以被傳輸?shù)阶约旱乃接性浦小?/span>
第二���,整個數(shù)據(jù)運轉(zhuǎn)流程不規(guī)范���。用戶在車內(nèi)的信息(如視頻、音頻等)是在不經(jīng)允許的情況下被采集����,或者是在用戶不知情的狀態(tài)下,默認(rèn)勾選了數(shù)據(jù)采集的“同意選項”�。再者,整個車聯(lián)網(wǎng)系統(tǒng)缺少數(shù)據(jù)的保護(hù)意識�,容易被黑客入侵,造成用戶的隱私信息被盜竊����。
歸根結(jié)底,造成行業(yè)內(nèi)數(shù)據(jù)應(yīng)用不規(guī)范的主要原因是數(shù)據(jù)脫敏相應(yīng)的政策法規(guī)不成熟導(dǎo)致的����。
雖然���,近兩年�,從國家法規(guī)層面到行業(yè)標(biāo)準(zhǔn)層面���,智能汽車數(shù)據(jù)脫敏的相關(guān)政策頻繁出臺�。值得注意的是,如《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》����,除了列舉出了6大類敏感數(shù)據(jù)外,也規(guī)定了敏感數(shù)據(jù)處理的標(biāo)準(zhǔn)原則�����,例如車內(nèi)處理原則����、默認(rèn)不收集原則等,這些規(guī)定讓行業(yè)對智能汽車的數(shù)據(jù)脫敏有了大致的方向����。
表:數(shù)據(jù)脫敏相關(guān)政策的進(jìn)展情況(按發(fā)布機(jī)構(gòu)層級劃分)
個別政策法規(guī)對敏感數(shù)據(jù)進(jìn)行了劃分,明確了具體哪些數(shù)據(jù)屬于敏感數(shù)據(jù)�。直至中汽協(xié)在今年8月發(fā)布的《汽車傳輸視頻及圖像脫敏技術(shù)要求與方法》,該行業(yè)標(biāo)準(zhǔn)細(xì)化了對于車外的人臉��、車牌的脫敏技術(shù)細(xì)節(jié)����。但縱觀這些政策法規(guī)���,現(xiàn)階段的政策法規(guī)僅屬于一種大的框架,并沒有嚴(yán)格地去定義如何去做數(shù)據(jù)脫敏���、又該脫敏到什么程度�����。
再者��,人臉和車牌僅僅是自動駕駛系統(tǒng)中感知環(huán)節(jié)所產(chǎn)生的敏感數(shù)據(jù)�,而感知環(huán)節(jié)產(chǎn)生的敏感數(shù)據(jù)又不僅限于這些數(shù)據(jù)�。甚至,在定位�、決策、控制環(huán)節(jié)中�,車輛也會產(chǎn)生大量的敏感數(shù)據(jù),比如道路定位信息���、車輛的操控習(xí)慣等等�����,而針對這些數(shù)據(jù)�,行業(yè)內(nèi)目前并沒有相關(guān)政策或者技術(shù)標(biāo)準(zhǔn)要求的出臺���。
不少專家也提到����,現(xiàn)階段關(guān)于數(shù)據(jù)脫敏的政策法規(guī)相對比較粗淺��,各家主機(jī)廠都是在一個大的框架下去完善自己的數(shù)據(jù)管理規(guī)范���。
關(guān)于數(shù)據(jù)脫敏的技術(shù)要求和方法的出臺時間���,張亞楠說:“目前還在制定當(dāng)中,預(yù)計很快就會面世�����?��!?/span>
二��、如何進(jìn)行數(shù)據(jù)脫敏
那么�,了解了何為數(shù)據(jù)脫敏后,智能汽車中具體是如何進(jìn)行數(shù)據(jù)脫敏的��?在數(shù)據(jù)脫敏的過程中���,又需要注意哪些事項���?
關(guān)于數(shù)據(jù)脫敏的具體步驟,某主機(jī)廠信息安全工程師介紹道:“數(shù)據(jù)脫敏主要處于數(shù)據(jù)全生命周期的處理環(huán)節(jié)��,首先�����,技術(shù)人員需要對數(shù)據(jù)做好分類分級����,并把敏感數(shù)據(jù)識別出來,要確定哪些數(shù)據(jù)屬于敏感數(shù)據(jù)字段�����;其次��,需要確定具體的脫敏策略�;再者���,將制定好的脫敏方案給到執(zhí)行者,執(zhí)行設(shè)定好的脫敏方案��;最后�,在數(shù)據(jù)脫敏執(zhí)行完畢后�����,對于整個數(shù)據(jù)的執(zhí)行過程也會有一些審計工作����。”
既然數(shù)據(jù)脫敏的第一步是要先對敏感數(shù)據(jù)進(jìn)行分類分級�����,但智能汽車上所產(chǎn)生的數(shù)據(jù)龐大且復(fù)雜�����,那么�����,在理清楚這些數(shù)據(jù)資產(chǎn)時,就需要整理出一份數(shù)據(jù)資產(chǎn)的目錄清單�。
那么,哪些數(shù)據(jù)是敏感數(shù)據(jù)�����?又該按照什么樣的邏輯或者標(biāo)準(zhǔn)來進(jìn)行分類分級����?
從宏觀層面來看,敏感數(shù)據(jù)主要可分為3類:結(jié)構(gòu)化數(shù)據(jù)���、非結(jié)構(gòu)化數(shù)據(jù)及半結(jié)構(gòu)化數(shù)據(jù)�。
結(jié)構(gòu)化數(shù)據(jù)是指可通過二維表結(jié)構(gòu)來表達(dá)和實現(xiàn)的數(shù)據(jù)����,比如銀行賬號、身份證號碼�、手機(jī)號、日期等��;
非結(jié)構(gòu)化數(shù)據(jù)是指數(shù)據(jù)結(jié)構(gòu)不規(guī)則或不完整����,沒有預(yù)定義的數(shù)據(jù)模型�,比如圖像�、聲音、文本等��;
半結(jié)構(gòu)化數(shù)據(jù)是指介于完全結(jié)構(gòu)化數(shù)據(jù)和完全無結(jié)構(gòu)的數(shù)據(jù)之間的數(shù)據(jù)�����,比如HTML文檔����、JSON�����、XML等��。
但智能汽車上的數(shù)據(jù)量非常大�����,數(shù)據(jù)類型也非常雜�,不能單純以這三個維度來對敏感數(shù)據(jù)進(jìn)行分類分級。
某主機(jī)廠信息安全工程師說:“國內(nèi)的《網(wǎng)絡(luò)安全法》提出了數(shù)據(jù)需要做到分類分級�����,隨后出臺的《數(shù)據(jù)安全法》也更加明確數(shù)據(jù)需要做到分類分級,但各行各業(yè)的數(shù)據(jù)類型比較豐富��,國內(nèi)沒有一個統(tǒng)一的標(biāo)準(zhǔn)去對數(shù)據(jù)進(jìn)行分類分級����, 2021年,汽車行業(yè)內(nèi)出臺了《車聯(lián)網(wǎng)信息服務(wù) 數(shù)據(jù)安全技術(shù)要求》對數(shù)據(jù)分類分級做出了一定標(biāo)準(zhǔn)���,但它并不是一個強(qiáng)制性標(biāo)準(zhǔn)�����?��!?/span>
圖:《車聯(lián)網(wǎng)信息服務(wù) 數(shù)據(jù)安全技術(shù)要求》中數(shù)據(jù)分類標(biāo)準(zhǔn)
李浩文也提到,智能汽車領(lǐng)域未來必然會有更細(xì)的數(shù)據(jù)分類分級規(guī)范�,但現(xiàn)階段已出臺的規(guī)范也僅僅做到概念級的建設(shè)指引,恐怕對于主機(jī)廠來說����,僅憑這些標(biāo)準(zhǔn)來做一些實操工作,其難度會有些大�����。
結(jié)合多位專家的觀點來看,智能汽車行業(yè)目前尚未形成細(xì)化的數(shù)據(jù)分類分級標(biāo)準(zhǔn)�����,主機(jī)廠需要根據(jù)自身的實際業(yè)務(wù)需求���,從不同場景�����、不同功能等維度出發(fā),去做敏感數(shù)據(jù)的分類���。同時����,在分類完后��,主機(jī)廠仍需要根據(jù)不同等級的敏感程度����,對數(shù)據(jù)進(jìn)行分級(如一般����、重要���、敏感)���,并對不同級別采取不同的脫敏策略。
在梳理完數(shù)據(jù)資產(chǎn)后���,又該如何選擇脫敏策略����?
脫敏規(guī)則指的是在原始脫敏算法的基礎(chǔ)上���,將一種或者多種脫敏算法進(jìn)行組合����,并應(yīng)用于特定場景下的敏感數(shù)據(jù)���,而脫敏策略指的是在不同場景下選擇怎樣的的脫敏規(guī)則��。
表:脫敏算法�、脫敏規(guī)則、脫敏策略概念示例
在智能汽車行業(yè)中���,目前還沒有形成統(tǒng)一的脫敏技術(shù)規(guī)范���,各家主機(jī)廠在采用相關(guān)技術(shù)或策略時,都借鑒了一些已出臺的信息安全相關(guān)標(biāo)準(zhǔn)規(guī)范���,如《信息安全技術(shù) 個人信息去標(biāo)識化指南》�����。
一方面�����,不同類型的數(shù)據(jù)所對應(yīng)的脫敏算法和脫敏策略都不同。
根據(jù)《汽車傳輸視頻及圖像脫敏技術(shù)要求與方法》中的介紹�����,非結(jié)構(gòu)化數(shù)據(jù)(如人臉�����、車牌)一般采用的是統(tǒng)一色塊的脫敏算法,即用統(tǒng)一色塊對視頻中每一幀中的人臉和車牌位置信息進(jìn)行替換����,通過色塊替換直接擦除原圖上像素級別數(shù)據(jù),確保擦除后的數(shù)據(jù)信息不可逆和不可復(fù)原����。
圖:人臉脫敏示意圖
而掩碼、取整等脫敏算法主要用于車主的身份信息�����、自車的車牌號�、車控數(shù)據(jù)等結(jié)構(gòu)化數(shù)據(jù)。以車主的個人姓名為例��,需要應(yīng)用映射技術(shù)(Hashing)將車主名“張三”變?yōu)閷?yīng)的hash值“456684923”���。
圖:部分結(jié)構(gòu)化數(shù)據(jù)相關(guān)的脫敏算法示例
(數(shù)據(jù)來源:《數(shù)據(jù)脫敏技術(shù)的探究與實現(xiàn)》)
另一方面��,為了滿足特定場景的需求����,更多地是需要有針對性且多樣化的脫敏算法和脫敏策略。
在不同的場景下��,車輛的感知系統(tǒng)所獲取到的敏感信息是不同的��,比如在高速場景下����,自車感知系統(tǒng)獲取到的敏感信息大部分是前方車輛的車牌,那需要對這些車牌采用統(tǒng)一色塊的脫敏算法��;而在城區(qū)場景下��,除了前方車牌需要脫敏外����,可能還會有很多行人和周邊建筑物信息等敏感數(shù)據(jù),需要對人臉采用統(tǒng)一色塊的脫敏算法的同時��,也要給敏感建筑信息采用偏轉(zhuǎn)的脫敏算法�。
也就是說,面對不同的場景特性��,敏感數(shù)據(jù)的差異就會導(dǎo)致脫敏策略的不同�����。此外���,脫敏策略不僅僅是采用一種脫敏算法���,而是會采用兩種以上的脫敏算法。
王建偉說:“在不同的場景下�,數(shù)據(jù)脫敏相關(guān)供應(yīng)商一定會給主機(jī)廠提供很多模型,主機(jī)廠會根據(jù)不同的場景����、不同的業(yè)務(wù)需求、不同的監(jiān)管要求來做針對性的處理��?���!?/span>
總的來說,脫敏策略的選擇必然不是“一招吃遍天下”����,而是需要針對不同數(shù)據(jù)、不同業(yè)務(wù)場景等����,做有針對性的開發(fā)���。
2.3 讓脫敏對自動駕駛系統(tǒng)的影響最小化
自動駕駛的首要原則是安全,而數(shù)據(jù)脫敏是否會造成過度脫敏����,從而影響自動駕駛系統(tǒng)整體的安全水平,又如何讓脫敏對自動駕駛系統(tǒng)的影響最小化���?
首先����,數(shù)據(jù)脫敏的最終目的是減少或消除敏感信息��,從而減小數(shù)據(jù)安全帶來的風(fēng)險����,而不是阻礙自動駕駛的發(fā)展,敏感數(shù)據(jù)在進(jìn)行脫敏后仍然需要保留目標(biāo)的基礎(chǔ)語義信息�����。
李浩文說:“車輛在采集完數(shù)據(jù)后���,數(shù)據(jù)并不一定需要存儲或者傳輸?shù)胶蠖?����,自動駕駛系統(tǒng)只需要識別出前方目標(biāo)物具體是什么�,根本沒必要識別出目標(biāo)物中的人的面部特征����、年齡甚至性別,或者這輛車是什么品牌�、車型或車身細(xì)節(jié)?����!?/span>
其次��,現(xiàn)階段先感知融合�、再做數(shù)據(jù)脫敏是較為可行的方案。
如果數(shù)據(jù)是先融合后再脫敏��,不僅不會降低融合的效果�,也可以減少時延的影響。此外��,融合后甚至可以直接銷毀敏感信息�,減少不必要的存儲空間占用����,但從感知到控制的整個過程中���,由于數(shù)據(jù)未脫敏���,數(shù)據(jù)傳輸過程需要加入一些數(shù)據(jù)加密的措施,這對加密算法的強(qiáng)度要求較高����,最終會導(dǎo)致數(shù)據(jù)處理難度會加大。
如果數(shù)據(jù)是先脫敏后再融合�,自動駕駛系統(tǒng)對敏感信息的保護(hù)難度會降低很多,但也會影響自動駕駛系統(tǒng)的算法訓(xùn)練�。另外,若要先做數(shù)據(jù)脫敏�����,傳感器在獲取數(shù)據(jù)時就需要先對敏感數(shù)據(jù)進(jìn)行脫敏�,而這意味著需要對傳感器芯片做一定改造(比如加入某些安全芯片或者植入某些特定算法),這會造成傳感器功耗上升�,從而降低傳感器的耐久性。
相反��,在域控制器上處理數(shù)據(jù)脫敏,可以使用安全芯片(配有相應(yīng)算法)或者SDK(數(shù)據(jù)脫敏軟件包)�����,讓整個數(shù)據(jù)脫敏更加標(biāo)準(zhǔn)化�����,這對相關(guān)軟硬件架構(gòu)的影響是最小的����。
劉天宇說:“理論上來說��,傳感器芯片或者域控制器處理都可以做數(shù)據(jù)脫敏���,只要算力能夠滿足要求即可�。一般來說���,我們建議是在域控制器上處理����,這樣可以避免對傳感器芯片的改造���,而且域控制器能夠使用傳感器獲取的原始數(shù)據(jù)進(jìn)行融合����,然后再進(jìn)行脫敏處理,可以實現(xiàn)對自動駕駛系統(tǒng)的干擾最小化�����?����!?/span>
綜合來看���,先做感知融合�����、再做數(shù)據(jù)脫敏的方案是對整個自動駕駛系統(tǒng)的影響是最小的��,也是較為可行的方案�����。
2.4 數(shù)據(jù)在全生命周期中需要加密
通常來說����,數(shù)據(jù)脫敏僅在數(shù)據(jù)處理環(huán)節(jié)出現(xiàn),但實際上�,數(shù)據(jù)脫敏其實在數(shù)據(jù)的整個生命周期中都是存在的。
數(shù)據(jù)的全生命周期包括采集���、傳輸���、存儲��、使用�、共享、銷毀�����。如果主機(jī)廠先做融合再去做脫敏��,那數(shù)據(jù)也會經(jīng)歷傳輸�����、存儲等,要么數(shù)據(jù)是直接脫敏后再去傳輸或者存儲�,要不然在些環(huán)節(jié)中數(shù)據(jù)也是有一定的安全風(fēng)險。
王建偉說:“數(shù)據(jù)從某個ECU到域控制器的過程中��,在每個數(shù)據(jù)處理節(jié)點都會伴隨著一定的被攻擊的風(fēng)險����,所以每個節(jié)點都需要做加密處理來保證數(shù)據(jù)的安全,并且還需要做整個車聯(lián)網(wǎng)的身份認(rèn)證���。再者����,未來車內(nèi)無線通信可能會逐漸增多���,比如通過藍(lán)牙��、WiFi及UWB的方式����,而這種通信方式是最容易被黑客攻擊的����。”
李浩文說:“加密算法在應(yīng)用上不像數(shù)據(jù)脫敏算法那么豐富,它嚴(yán)格遵循的是數(shù)學(xué)方法��,而最常用的則是對稱加密����、非對稱加密和摘要算法等,并且通常情況下�,密鑰長度會與加密強(qiáng)度呈正相關(guān)?����!?/span>
針對不同類型的數(shù)據(jù)��,在加密策略的選擇上也是有區(qū)別的�����。某主機(jī)廠信息安全工程師說:“對于一些不敏感的數(shù)據(jù)����,只需要采用一些弱的加密��;對于一些非常敏感的數(shù)據(jù)��,比如車控的數(shù)據(jù)或者藍(lán)牙鑰匙信號,可能需要采取較強(qiáng)的加密措施�。”
三�����、自動駕駛數(shù)據(jù)脫敏的市場格局
數(shù)據(jù)脫敏的主要玩家是主機(jī)廠和第三方數(shù)據(jù)服務(wù)商���,并且主機(jī)廠會是數(shù)據(jù)脫敏業(yè)務(wù)的主導(dǎo)方�����。
(1)主機(jī)廠
優(yōu)勢:主機(jī)廠業(yè)務(wù)部門會更了解自身業(yè)務(wù)���,在法律法規(guī)的指導(dǎo)下,區(qū)分哪些是敏感數(shù)據(jù)�����,哪些是非敏感數(shù)據(jù)����。
李浩文說:“對于主機(jī)廠來說,通常情況下數(shù)據(jù)脫敏是需要從內(nèi)部做起的�,某些主機(jī)廠的整個自動駕駛系統(tǒng)都是自己寫的�����,或者至少是由相關(guān)供應(yīng)商提供��,如果工作到位的話���,是很容易識別哪些數(shù)據(jù)是敏感數(shù)據(jù)。對于數(shù)據(jù)脫敏算法����,業(yè)內(nèi)的相關(guān)公開方案也有很多,這并不是難點����。”
挑戰(zhàn):數(shù)據(jù)脫敏所面對的數(shù)據(jù)量非常龐大�,是一個系統(tǒng)性的大工程,需要大量技術(shù)人員���,而主機(jī)廠相關(guān)人員儲備不足。
李浩文繼續(xù)說道:“當(dāng)前���,某些主機(jī)廠確實缺少相應(yīng)的復(fù)合型人才����,比如那些能理解數(shù)據(jù)脫敏的法律條文,也能夠?qū)φ諚l文將敏感數(shù)據(jù)一一梳理出來的人才���。再者���,現(xiàn)階段主機(jī)廠也確實人手不夠,或者缺少數(shù)據(jù)梳理工作����,所以主機(jī)廠才需要第三方數(shù)據(jù)服務(wù)商來幫助他們梳理數(shù)據(jù)資產(chǎn)?����!?/span>
再者��,一些主機(jī)廠認(rèn)為����,若將敏感數(shù)據(jù)交由第三方服務(wù)商處理,可能存在數(shù)據(jù)泄露的風(fēng)險�����。
(2)第三方數(shù)據(jù)服務(wù)商(比如木衛(wèi)四科技、信大捷安��、中汽數(shù)據(jù)等)
優(yōu)勢:專業(yè)性較強(qiáng)�����,有一定的人才儲備����。
第三方的數(shù)據(jù)服務(wù)商無論是在專業(yè)能力上,還是在技術(shù)人才的儲備上�����,都會優(yōu)于主機(jī)廠�。他們在其它行業(yè)內(nèi)有過豐富的數(shù)據(jù)脫敏項目經(jīng)驗,相關(guān)脫敏技術(shù)的應(yīng)用熟練度也較高��。
挑戰(zhàn):第三方在為主機(jī)廠提供數(shù)據(jù)脫敏服務(wù)時�����,還需要做一些脫敏模型的二次開發(fā)���。
某主機(jī)廠信息安全工程師說:“第三方數(shù)據(jù)安全廠商在其他行業(yè)���,如政務(wù)、金融行業(yè)�,可以做一些常見的數(shù)據(jù)字段類型的脫敏業(yè)務(wù)(如姓名、身份證號��、手機(jī)號等)��,但汽車行業(yè)����,車端的數(shù)據(jù)類型非常多,比如車內(nèi)語音圖像數(shù)據(jù)���、車控數(shù)據(jù)����、環(huán)境感知數(shù)據(jù)等等����。所以,智能汽車上會有一些新的數(shù)據(jù)類型�,對于這些數(shù)據(jù),數(shù)據(jù)安全廠商可能沒有現(xiàn)成的方案可以直接適配���,需要對現(xiàn)有的數(shù)據(jù)進(jìn)行人工打標(biāo)簽�,再對脫敏工具進(jìn)行二次開發(fā)和調(diào)試?���!?/span>
目前,主機(jī)廠在數(shù)據(jù)脫敏業(yè)務(wù)上缺人也缺經(jīng)驗���,所以仍然會選擇以外部合作為主��,那么��,具體合作模式是什么樣����?
首先�����,第三方數(shù)據(jù)服務(wù)商會連同tier 1(比如T-box�、傳感器等供應(yīng)商)為主機(jī)廠提供咨詢服務(wù),幫助其梳理數(shù)據(jù)資產(chǎn)��,并給出咨詢方案。
王建偉說:“主機(jī)廠也不會直接去向第三方數(shù)據(jù)服務(wù)商進(jìn)行采購��,還是會先去找自己的零部件供應(yīng)商或者tier 1(畢竟數(shù)據(jù)最終還是這些零部件產(chǎn)生的)�,告訴他們對于數(shù)據(jù)脫敏業(yè)務(wù)的需求細(xì)節(jié)�����,包括需要做到什么樣的脫敏效果��,同時會給與零部件供應(yīng)商或者tier 1幾個可供選擇的第三方數(shù)據(jù)服務(wù)商�����?���!?/span>
其次,在給出咨詢方案后���,第三方數(shù)據(jù)服務(wù)商也會提供相應(yīng)的軟硬件產(chǎn)品:安全芯片+數(shù)據(jù)脫敏SDK��,而這些都會集成在T-box上�,一同提供給主機(jī)廠���。
其中���,安全芯片主要是針對汽車的信息安全�,提供相應(yīng)密鑰或者數(shù)據(jù)保護(hù)算法的硬件產(chǎn)品����,可應(yīng)用于T-BOX、數(shù)字車鑰匙��、V2X等���;
數(shù)據(jù)脫敏SDK是指集成了脫敏算法���,預(yù)留脫敏數(shù)據(jù)輸入和輸出接口的軟件開發(fā)包。算法SDK一般具有一定的兼容性���,多種圖片格式可以做轉(zhuǎn)化��,劉天宇說��。
關(guān)于對數(shù)據(jù)脫敏SDK的理解��,李浩文說:“數(shù)據(jù)脫敏SDK作為附屬軟件���,它并不是獨立存在的�,一般跟自動駕駛的主程序或者其它數(shù)據(jù)處理程序融合在一起��,往往以庫的形式存在�,就好比是微信軟件中的某一個細(xì)分功能。并且�����,數(shù)據(jù)脫敏SDK內(nèi)部的脫敏策略都是可配置甚至在線升級調(diào)整的�����,就如自動駕駛的主程序一樣��,它也會定期升級�����?�!?/span>
最后��,在盈利模式上����,第三方數(shù)據(jù)服務(wù)商通過收取咨詢服務(wù)費及出售軟硬件產(chǎn)品來獲取收益。
四���、數(shù)據(jù)脫敏在自動駕駛應(yīng)用中的挑戰(zhàn)
自動駕駛車端的敏感數(shù)據(jù)會來自于自動駕駛系統(tǒng)的感知��、定位�����、決策����、控制各個環(huán)節(jié)��。
比如在感知系統(tǒng)中���,傳感器可不止是相機(jī)����。其它的傳感器也同樣會有一些敏感信息出現(xiàn)�。以FMCW激光雷達(dá)為例,除了可以獲取到一些測速測距的深度信息外����,激光雷達(dá)甚至可以配合其它傳感器�,實現(xiàn)三維的實時建圖��。當(dāng)前��,炙手可熱的4D毫米波雷達(dá)�,相比于傳統(tǒng)的毫米波雷達(dá)來說,它具備了如同激光雷達(dá)的一樣的點云生成能力�����,并能夠獲取到物體的高度信息����,比如橋墩的高度信號等����。
一方面,不同類型的傳感器會帶來不同的敏感數(shù)據(jù)����;另一方面,不同類型的傳感器所能提供的敏感數(shù)據(jù)等級也略有不同����。
相機(jī)帶來的是幀圖像的數(shù)據(jù)格式�,而激光雷達(dá)和毫米波雷達(dá)帶來的則是點云形式的數(shù)據(jù)格式����,在數(shù)據(jù)脫敏時,必須要在理解傳感器的前提下���,才可能更好地處理敏感數(shù)據(jù)��。
即使同一類型的傳感器�����,由于來自不同供應(yīng)商���,傳感器帶來的數(shù)據(jù)格式也有可能不同,需要對它們各自的數(shù)據(jù)分別進(jìn)行脫敏處理���。
一般來說�,相機(jī)所能獲取到的敏感數(shù)據(jù)量會多于激光雷達(dá)�,更多于毫米波雷達(dá),而數(shù)據(jù)敏感程度上�,相機(jī)的數(shù)據(jù)敏感程度也更高于其它二者�。
表:各傳感器之間的敏感數(shù)據(jù)情況
雖然��,《汽車傳輸視頻及圖像脫敏技術(shù)要求與方法》對人臉和車牌的脫敏處理做了一定的規(guī)范���,比如圖片的大小��、清晰度等���,但對于其它類型的數(shù)據(jù)或者其它傳感器所帶來的敏感數(shù)據(jù),行業(yè)內(nèi)并沒有做出任何指引規(guī)范��,各家主機(jī)廠也都是處于摸索中���,或者干脆就不去關(guān)注這方面。
敏感數(shù)據(jù)到底需要脫敏到什么程度�,才可以真正實現(xiàn)敏感信息的完全脫敏?同時�,數(shù)據(jù)脫敏是否會由于過度脫敏而造成某些關(guān)鍵信息的損失?
以人臉或者車牌的脫敏為例�����,相關(guān)的規(guī)定也做出了一定的約束���,從技術(shù)上來說���,要把這類圖像脫敏到“剛剛好”�����,或許并不會有很大的難點����,但事物之間是有一定的聯(lián)系存在的�,當(dāng)數(shù)據(jù)量級達(dá)到一定程度時,也可以通過某些信息來推斷出某人的個人信息��。
李浩文說:“雖然通過脫敏技術(shù)對某個人的人臉進(jìn)行了脫敏處理�,但還是可以從他的衣服、步態(tài)或者他個人經(jīng)常性出沒的位置等交叉信息���,來推斷出他的個人信息����。再比如�����,我們在做手機(jī)號碼的脫敏時,會常去把中間4位號碼隱去���,但那也只有1萬種排列組合的可能性�����,數(shù)據(jù)仍然有被推演出的風(fēng)險���。”
智能汽車上的硬件性能非常有限���,也非常寶貴��,那么算力在保證自動駕駛系統(tǒng)安全運行的同時���,是否也會滿足數(shù)據(jù)脫敏的需求?對此��,筆者在與各個專家進(jìn)行了探討�,專家們的結(jié)論各不同��,形成了兩種不同的答案��。
先給出結(jié)論:短期內(nèi),數(shù)據(jù)脫敏不會對車端的硬件造成過多的性能占用����,但長期方向上,隨著敏感數(shù)據(jù)的不斷增加�,數(shù)據(jù)脫敏對車端硬件性能的占用可能會成為一個挑戰(zhàn)。
從短期來看�����,如果只做圖像脫敏處理�����,對于帶有浮點運算的SoC芯片來說�,脫敏對硬件的消耗并不大。
目前的脫敏規(guī)范僅限于車外的人臉及車牌信息��,對于其它的敏感數(shù)據(jù)是否要進(jìn)行脫敏��,甚至如何進(jìn)行脫敏���,其實并沒有相關(guān)標(biāo)準(zhǔn)出臺�,這也在一定程度上將車輛上所需脫敏的數(shù)據(jù)范圍縮小到了一個當(dāng)前算力所能承受的范圍內(nèi)。
根據(jù)已落地的項目經(jīng)驗�,劉天宇說:“以高通8155芯片為例,部署脫敏算法后���,CPU占用率低于10% (不需要使用GPU算力)���,其余占用資源為:模型參數(shù)量<3M、FLOPS<5G����、運行ROM< 30MB、運行RAM<100MB�����、運行CPU<10kDMIPS�����?��!?/span>
從長期來看����,隨著敏感數(shù)據(jù)的定義不斷明朗化及中央計算的電氣架構(gòu)趨勢下��,車端敏感數(shù)據(jù)的范圍會被擴(kuò)大�����,同時如果大量的數(shù)據(jù)都集中在中央控制器上處理����,現(xiàn)有的SoC性能未必能在保證自動駕駛系統(tǒng)正常運行的情況下,再去處理數(shù)據(jù)脫敏���,顯然到那時候就需要更多的算力支持����。
參考資料
【1】數(shù)據(jù)脫敏�、加密、假名化���、去標(biāo)識化與匿名化的區(qū)分http://www.360doc.com/content/21/0516/19/70074794_977472415.shtmlhttps://mp.weixin.qq.com/s/mhpcVyr8WHCxoSe07uZ2dw
