自動駕駛數(shù)據(jù)安全白皮書

1、目錄 HYPERLINK l _bookmark0 第一章 自動駕駛數(shù)據(jù)安全概述 1 HYPERLINK l _bookmark1 一、編制背景 1 HYPERLINK l _bookmark2 二、編制目標(biāo) 2 HYPERLINK l _bookmark3 三、特別聲明 2 HYPERLINK l _bookmark4 第二章 技術(shù)與政策標(biāo)準(zhǔn)現(xiàn)狀 4 HYPERLINK l _bookmark5 一、技術(shù)發(fā)展現(xiàn)狀 4 HYPERLINK l _bookmark6 （一）自動駕駛相關(guān)技術(shù)發(fā)展現(xiàn)狀 4 HYPERLINK l _bookmark7 （二）自動駕駛數(shù)據(jù)安全發(fā)展現(xiàn)狀 5 HYPERL

2、INK l _bookmark8 二、政策標(biāo)準(zhǔn)現(xiàn)狀 8 HYPERLINK l _bookmark9 （一）自動駕駛數(shù)據(jù)安全法律政策 8 HYPERLINK l _bookmark10 （二）自動駕駛數(shù)據(jù)安全標(biāo)準(zhǔn)規(guī)范 12 HYPERLINK l _bookmark11 第三章 自動駕駛數(shù)據(jù)風(fēng)險分析 15 HYPERLINK l _bookmark12 一、自動駕駛數(shù)據(jù)分析 15 HYPERLINK l _bookmark13 （一）數(shù)據(jù)特點(diǎn) 15 HYPERLINK l _bookmark14 （二）數(shù)據(jù)產(chǎn)生流程 18 HYPERLINK l _bookmark15 （三）數(shù)據(jù)分級分類 22

3、 HYPERLINK l _bookmark16 二、數(shù)據(jù)安全風(fēng)險分析 27 HYPERLINK l _bookmark17 第四章 自動駕駛數(shù)據(jù)安全體系 35 HYPERLINK l _bookmark18 一、目標(biāo)體系 35 HYPERLINK l _bookmark19 二、政策法規(guī) 36 HYPERLINK l _bookmark20 三、安全標(biāo)準(zhǔn) 37 HYPERLINK l _bookmark21 四、安全防護(hù)技術(shù) 39 HYPERLINK l _bookmark22 第五章 發(fā)展建議與展望 48 HYPERLINK l _bookmark23 附錄：縮略語 50第一章 自動駕駛數(shù)

4、據(jù)安全概述一、編制背景自動駕駛汽車指主要依靠人工智能、視覺計算、雷達(dá)和全球定位及車路協(xié)同等技術(shù)，使汽車具有環(huán)境感知、路徑規(guī)劃和自主控制的能力，從而可讓計算機(jī)自動操作的機(jī)動車輛。美國、德國等國家均將自動駕駛汽車視為未來汽車產(chǎn)業(yè)發(fā)展的主流趨勢，各方面投入持續(xù)加大。2018 年自動駕駛行業(yè)分析報告指出，綜合分析行業(yè)和市場兩個維度，目前德國與美國保持領(lǐng)先地位，瑞典和英國位列第三、第四名，中國位于第七位。近些年，中國汽車產(chǎn)業(yè)鏈上的企業(yè)在自動駕駛領(lǐng)域積極探索前進(jìn)，并在基于 V2X 技術(shù)的自動駕駛感知、自動跟車和自動泊車等多項關(guān) 鍵技術(shù)方面實(shí)現(xiàn)了突破。但對相關(guān)技術(shù)的掌握與歐美等發(fā)達(dá)國家仍存 在一定的差距。有

5、別于傳統(tǒng)人工駕駛車輛，自動駕駛車輛的最大特點(diǎn)是 AI 技術(shù)的主導(dǎo)，其駕駛過程是機(jī)器不斷收集駕駛信息并進(jìn)行信息分析和自我學(xué)習(xí)從而達(dá)到自動駕駛的系統(tǒng)工程。伴隨自動駕駛汽車的發(fā)展，每輛汽車將從過去的封閉轉(zhuǎn)向開放，融入到聯(lián)網(wǎng)的平臺中進(jìn)行實(shí)時的信息交互。黑客可以通過網(wǎng)絡(luò)對車輛進(jìn)行遠(yuǎn)程攻擊，使車輛做出熄火、剎車、加減速、解鎖等操作，也可以通過截獲通訊信息、攻擊云端服務(wù)器，達(dá)到竊取用戶信息和車輛數(shù)據(jù)的目的，嚴(yán)重的還會威脅駕駛員和乘客的生命安全。同時，在自動駕駛產(chǎn)業(yè)鏈中，數(shù)據(jù)的采集、存儲、處理、傳輸、共享等生命周期各環(huán)節(jié)潛在的安全威脅都給自動駕駛數(shù)據(jù)防護(hù)帶來了全新的挑戰(zhàn)，要想實(shí)現(xiàn)自動駕駛汽車規(guī)?；?、商業(yè)化落地

6、，必須解決“數(shù)據(jù)安全”這一“攔路虎”。二、編制目標(biāo)本白皮書是國內(nèi)首份專門面向自動駕駛數(shù)據(jù)安全領(lǐng)域的白皮書，旨在進(jìn)一步貫徹落實(shí)網(wǎng)絡(luò)安全法、信息安全技術(shù)個人信息安全規(guī)范、個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）、車聯(lián)網(wǎng)（智能網(wǎng)聯(lián)汽車）產(chǎn)業(yè)發(fā)展行動計劃等法規(guī)政策要求，梳理國內(nèi)外自動駕駛數(shù)據(jù)安全領(lǐng)域相關(guān)標(biāo)準(zhǔn)與實(shí)踐，推進(jìn)當(dāng)前及未來一段時間自動駕駛數(shù)據(jù)安全相關(guān)工作，推動解決相關(guān)標(biāo)準(zhǔn)不健全、安全體系不完善等問題，為行業(yè)主管部門提供決策參考，推動行業(yè)安全健康發(fā)展。三、特別聲明（一）研究范圍聚焦自動駕駛數(shù)據(jù)安全領(lǐng)域自動駕駛數(shù)據(jù)安全涉及法律法規(guī)、技術(shù)標(biāo)準(zhǔn)、安全體系等諸多方面，白皮書的編制主要是為了給相關(guān)行

7、業(yè)主管部門和企業(yè)提供決策參考，集中關(guān)注自動駕駛本身的數(shù)據(jù)安全問題，并圍繞相關(guān)風(fēng)險和防護(hù)展開研究，暫未涉及其他方面。（二）研究內(nèi)容仍有待進(jìn)一步豐富完善本白皮書主要觀點(diǎn)和內(nèi)容僅代表編制組目前對自動駕駛數(shù)據(jù)安全的研究和思考，歡迎業(yè)界專家指導(dǎo)和提出意見，共同推進(jìn)白皮書的不斷更新與完善。第二章 技術(shù)與政策標(biāo)準(zhǔn)現(xiàn)狀一、技術(shù)發(fā)展現(xiàn)狀（一）自動駕駛相關(guān)技術(shù)發(fā)展現(xiàn)狀自動駕駛最早應(yīng)用于 20 世紀(jì) 90 年代的美國軍事領(lǐng)域，產(chǎn)業(yè)化開始于 21 世紀(jì)谷歌 Moonshot 計劃中的無人車項目。以英特爾 153 億美金收購自動駕駛視覺芯片公司 Mobileye 為標(biāo)志事件，全球進(jìn)入供應(yīng)鏈整合期。2020 年開始，主流

8、車廠預(yù)計將陸續(xù)推出 L3 及以上自動駕駛量產(chǎn)車輛，自動駕駛產(chǎn)業(yè)有望進(jìn)入黃金發(fā)展期。當(dāng)前，美國、德國、日本等國家對自動駕駛的研究起步較早，并擁有了一定的技術(shù)和數(shù)據(jù)優(yōu)勢，中國屬于后起之秀，大有利用領(lǐng)先的 5G 技術(shù)實(shí)現(xiàn)彎道超車之勢。從全球自動駕駛技術(shù)方案來進(jìn)行劃分，主要分為以激光雷達(dá)感知為主和以視覺感知為主的兩大陣營，其中以前者為主的產(chǎn)品包括百度阿波羅平臺、四維圖新智能汽車大腦，以及以小馬智行、禾多科技等一批初創(chuàng)企業(yè)。除此之外，國外以谷歌 Waymo、通用 Cruise、戴姆勒、寶馬等為代表的主流車企均是以激光雷達(dá)為主要感知設(shè)備。以后者為主的企業(yè)主要包括以特斯拉為典型代表的少數(shù)國內(nèi)外公司，它們更看

9、好用視覺感知技術(shù)推動自動駕駛產(chǎn)業(yè)的落地，而未采用成本較高的激光雷達(dá)感知技術(shù)。關(guān)于自動駕駛分級，國際上通常采用的是美國機(jī)動車工程學(xué)會（SAE）定義的標(biāo)準(zhǔn)，其中 L2 及以下定義為高級輔助駕駛技術(shù)，L3及以上定義為自動駕駛技術(shù)，從 L3 向 L4 或 L5 升級的過程，最主要的區(qū)別在于駕駛員的手腳、眼睛及注意力的可釋放程度，可釋放程度越大，自動駕駛等級越高，L5 是自動駕駛技術(shù)的終極目標(biāo)。目前國內(nèi)外還處在 L2 及部分 L3 場景量產(chǎn)落地的前期探索階段，而若想實(shí)現(xiàn)全場景的 L4 或 L5 級別的自動駕駛，尚需 5 到 10 年以上的不斷探索與發(fā)展?，F(xiàn)階段的單車智能可以簡單理解為感知、決策及執(zhí)行三大

10、模塊。車身上預(yù)裝的攝像頭、激光雷達(dá)、毫米波雷達(dá)、超聲波雷達(dá)、GPS+IMU、高精度地圖等感知單元通過對環(huán)境進(jìn)行數(shù)據(jù)采集，獲取行駛環(huán)境信息，對信息中的數(shù)據(jù)進(jìn)行處理，然后依托車輛的“大腦”中央處理平臺通 過合適的算法挖掘出有價值的數(shù)據(jù)并賦予其物理含義進(jìn)而做出最優(yōu) 決策，最后執(zhí)行模塊將決策的信號轉(zhuǎn)換為車輛的動作行為。（二）自動駕駛數(shù)據(jù)安全發(fā)展現(xiàn)狀與傳統(tǒng)數(shù)據(jù)類似，自動駕駛數(shù)據(jù)安全的特性也主要表現(xiàn)為機(jī)密性、完整性、可用性。自動駕駛數(shù)據(jù)的機(jī)密性是指用戶隱私數(shù)據(jù)、測試場 景數(shù)據(jù)、人機(jī)交互數(shù)據(jù)等不泄露給未授權(quán)的個人、實(shí)體、進(jìn)程，并保 證其不會被利用的特性。自動駕駛數(shù)據(jù)的完整性是指自動駕駛決策與 控制數(shù)據(jù)、動態(tài)

11、交通環(huán)境數(shù)據(jù)等沒有遭受以未授權(quán)方式所作的更改或 破壞，保證自動駕駛車輛信息數(shù)據(jù)的正確生成、存儲和傳輸?shù)奶匦浴Ｗ詣玉{駛數(shù)據(jù)的可用性是指已授權(quán)的個人、實(shí)體一旦需要就可以訪問 和使用自動駕駛數(shù)據(jù)和資源的特性。如果自動駕駛相關(guān)數(shù)據(jù)遭到竊取或篡改，會直接造成財產(chǎn)或生命損失，相比傳統(tǒng)數(shù)據(jù)破壞危害更大。近幾年，自動駕駛數(shù)據(jù)安全領(lǐng)域事件頻發(fā)，標(biāo)志性事件如 2015 年查理米勒和克里斯瓦拉塞克攻擊了 Jeep Cherokee 車聯(lián)網(wǎng)系統(tǒng)，利用 Linux 系統(tǒng)漏洞，遠(yuǎn)程控制汽車的多媒體系統(tǒng)，進(jìn)而對瑞薩 V850 控制器固件進(jìn)行修改，獲取遠(yuǎn)程向 CAN 總線發(fā)送指令的權(quán)限，從而能夠完全控制車輛；2015 年，來

12、自德國 ADAC 汽車協(xié)會的安全研究人員對寶馬 Connected Drive 進(jìn)行中間人攻擊，通過偽基站對通信控制協(xié)議進(jìn)行逆向工程后，偽造控制指令數(shù)據(jù)解鎖汽車；2016 年，寶馬車載娛樂系統(tǒng)爆出遠(yuǎn)程操縱 0day 漏洞，惡意攻擊者可以借助此漏洞繞過 VIN 碼（車輛識別碼）會話驗(yàn)證環(huán)節(jié)獲取另一用戶的 VIN，然后利用該 VIN 接入訪問和編輯其他用戶的汽車設(shè)置。2016 年，安全研究院卡姆卡爾發(fā)現(xiàn)，利用安吉星導(dǎo)航系統(tǒng)的漏洞，能夠遠(yuǎn)程控制超過數(shù)百萬輛的通用汽車；2016 年，在 Black Hat 大會上，相關(guān)人員演示了通過 OBD 接口設(shè)備攻擊汽車 CAN總線，干擾汽車駕駛。此外，OBD 設(shè)

13、備還可采集總線數(shù)據(jù)、偽造 ECU控制數(shù)據(jù)，造成 TCU 自動變速箱控制單位等系統(tǒng)的故障；2016 年，來自挪威安全公司 Promon 的專家在入侵用戶手機(jī)后，獲取了特斯拉 App 賬戶用戶名和密碼等數(shù)據(jù)，然后登錄特斯拉車聯(lián)網(wǎng)服務(wù)平臺，從而可以隨時對車輛進(jìn)行定位、追蹤，并可解鎖、啟動車輛；2018 年 7月，由于數(shù)據(jù)管理平臺在使用遠(yuǎn)程數(shù)據(jù)同步工具 rsync 處理數(shù)據(jù)時，備份服務(wù)器沒有限制使用者的 IP 地址，也未設(shè)置身份驗(yàn)證等用戶訪問權(quán)限，導(dǎo)致百余家車企的機(jī)密文件被曝光，包括大眾、特斯拉、豐田、福特、通用、菲亞特克萊斯勒等車企。上述安全事件，都和車輛數(shù)據(jù)相關(guān)，并且都能造成大規(guī)模的車輛控制和用戶

14、數(shù)據(jù)泄露。因此，自動駕駛車輛數(shù)據(jù)安全的等級以及防護(hù)手段和技術(shù)，也應(yīng)高于傳統(tǒng) IT網(wǎng)絡(luò)和終端。目前，自動駕駛數(shù)據(jù)安全技術(shù)仍是以傳統(tǒng)數(shù)據(jù)安全技術(shù)為主，如數(shù)據(jù)安全隔離、安全認(rèn)證、安全授權(quán)、數(shù)據(jù)脫敏、安全存儲、安全傳輸、數(shù)據(jù)審計、數(shù)據(jù)備份、數(shù)據(jù)恢復(fù)、安全擦除等。但是在自動駕駛場景下以及自動駕駛功能實(shí)現(xiàn)的過程中，相關(guān)安全防護(hù)技術(shù)需要結(jié)合自動駕駛的差異性特點(diǎn)進(jìn)行改進(jìn)，如自動駕駛車輛的車內(nèi)數(shù)據(jù)安全要求車輛認(rèn)證加密或密鑰的管理具備輕量、易集成和延遲低的特點(diǎn)，車路協(xié)同自動駕駛的 V2X 安全傳輸要求海量證書管理能滿足廣播、小批量數(shù)據(jù)傳輸?shù)陌踩?。同時，按數(shù)據(jù)重要程度和面臨的風(fēng)險不同，所采用的數(shù)據(jù)安全防護(hù)技術(shù)也

15、需要做出相應(yīng)的完善與調(diào)整。一方面，現(xiàn)階段自動駕駛數(shù)據(jù)產(chǎn)生和保存還局限于相關(guān)研發(fā)機(jī)構(gòu)、企業(yè)以及國家級自動駕駛測試區(qū)。各機(jī)構(gòu)雖建立了較大規(guī)模的數(shù)據(jù)庫，開源了實(shí)時訓(xùn)練數(shù)據(jù)集，但自動駕駛數(shù)據(jù)的實(shí)際應(yīng)用交互尚未普及，相關(guān)的安全風(fēng)險尚未完全暴露。另一方面，隨著自動駕駛汽車的不斷 發(fā)展，車輛相關(guān)的數(shù)據(jù)量將日益增大。保守估計，當(dāng)前一輛配備三顆 攝像頭、一顆 32 線激光雷達(dá)以及組合慣導(dǎo)系統(tǒng)等傳感器的自動駕駛 測試車，每小時約產(chǎn)生 20GB 數(shù)據(jù)。后續(xù)，隨著 L3 或 L4 級別的車輛 量產(chǎn)落地，為了保證自動駕駛車輛安全運(yùn)行，傳感器和計算模塊的數(shù) 量必然會大幅增加，也就意味著每天產(chǎn)生的數(shù)據(jù)量將成倍甚至幾十倍增加

16、。這些數(shù)據(jù)不管是實(shí)時存儲在云端，還是暫時存儲在車輛上，如何保證海量數(shù)據(jù)的安全，都將是巨大的難題與挑戰(zhàn)。二、政策標(biāo)準(zhǔn)現(xiàn)狀（一）自動駕駛數(shù)據(jù)安全法律政策1、美國自動駕駛法案汽車安全與隱私法案2017 年 9 月，美國眾議院通過了 HR3388 號自動駕駛法案，其全稱為（車輛發(fā)展中確保生命安全的未來開發(fā)和研究法），該法案從自動駕駛汽車的管理、安全標(biāo)準(zhǔn)的制定、系統(tǒng)網(wǎng)絡(luò)安全的構(gòu)建、檢測和評估、隱私保護(hù)等方面為監(jiān)管確立了基本框架，并規(guī)定美國高速公路安全管理局及各州的行政部門僅可執(zhí)行與自動駕駛法案中所規(guī)定尺度一致或更為嚴(yán)格的標(biāo)準(zhǔn)，同時美國高速公路安全管理局可通過修訂現(xiàn)行法規(guī)和豁免的方式統(tǒng)一監(jiān)管自動駕駛汽車的

17、設(shè)計、制造等生產(chǎn)環(huán)節(jié)。除此之外，美國兩位議員提交的汽車安全與隱私法案還提出了“駕駛數(shù)據(jù)”這一概念，其主要包括收集的與車輛狀態(tài)（包括位置、速度、用戶信息）相關(guān)的電子信息。2、歐盟及其成員國歐盟通用數(shù)據(jù)保護(hù)條例智能汽車網(wǎng)絡(luò)安全與適應(yīng)力通用數(shù)據(jù)保護(hù)條例（GDPR）于 2018 年 5 月 25 日生效并取代 1995 年的數(shù)據(jù)保護(hù)指令。GDPR 旨在加強(qiáng)和統(tǒng)一歐盟境內(nèi)所有個人數(shù)據(jù)保護(hù)有關(guān)規(guī)定，并對歐盟境內(nèi)的個人數(shù)據(jù)出境問題做出了明確的規(guī)定。歐盟委員會于 2016 年 11 月 30 日發(fā)布了歐盟網(wǎng)聯(lián)汽車戰(zhàn)略（“歐盟戰(zhàn)略”），表明了個人數(shù)據(jù)和隱私保護(hù)對于自動駕駛汽車能否成功落地應(yīng)用起著決定性作用。歐盟

18、認(rèn)為必須使用戶對他們的個人數(shù)據(jù)未被當(dāng)作商品感到放心，且消費(fèi)者對于如何及以何種目的使用他們的數(shù)據(jù)保有有效的控制權(quán)力。2017 年 1 月 13 日，歐盟網(wǎng)絡(luò)和信息安全機(jī)構(gòu)（ENISA)發(fā)布了智能汽車網(wǎng)絡(luò)安全與適應(yīng)力的研究報告（“ENISA 指南”），提出了應(yīng)對網(wǎng)絡(luò)威脅，保障智能汽車安全的最佳實(shí)踐和建議。德國道路交通法德國聯(lián)邦議院于 2017 年 5 月 12 日修訂了德國道路交通法，通過了德國首部針對智能汽車的法律規(guī)范，澄清了包括基本概念、許可條件、責(zé)任歸屬等重要問題，在一定程度上為智能汽車在德國的發(fā)展清除了法律上的障礙。就數(shù)據(jù)而言，法案規(guī)定當(dāng)駕駛操作方在駕駛員和高度或完全自動系統(tǒng)之間發(fā)生轉(zhuǎn)變時

19、，自動駕駛汽車將儲存由衛(wèi)星導(dǎo)航系統(tǒng)確定的地點(diǎn)和時間信息；如果系統(tǒng)對駕駛員提出了接管汽車駕駛的要求，或者系統(tǒng)出現(xiàn)了技術(shù)故障，這些信息也同樣會被保存。同時，針對智能汽車采集數(shù)據(jù)的利用，法案規(guī)定了車主提供數(shù)據(jù)的義務(wù)，并且規(guī)定了高度或全自動化功能的汽車必須具有根據(jù)通用的國際標(biāo)準(zhǔn)來記錄汽車在某一時刻究竟由駕駛?cè)丝刂?，還是由高度或全自動化功能控制，即所謂的“黑匣子”記錄功能。上述數(shù)據(jù)應(yīng)根據(jù)道路交通監(jiān)管部門的要求依法提交，相關(guān)部門同時享有保存和使用相關(guān)數(shù)據(jù)的權(quán)利。此外，數(shù)據(jù)的保存時效也需滿足特定要求，在發(fā)生交通事故的情況下需保存三年。3、中國民法總則網(wǎng)絡(luò)安全法個人信息安全規(guī)范等民法總則網(wǎng)絡(luò)安全法和信息安全技

20、術(shù)個人信息安全規(guī)范民法總則要求任何組織和個人在獲取他人個人信息時，應(yīng)依法取得并確保信息安全，不得對他人信息進(jìn)行非法收集、使用、加工、傳輸，不得非法買賣、提供或公開他人個人信息。2017 年 6 月 1 日，中華人民共和國網(wǎng)絡(luò)安全法（簡稱“網(wǎng)絡(luò)安全法”）正式施行。網(wǎng)絡(luò)安全法第三十七條規(guī)定，“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定”。作為網(wǎng)絡(luò)安全法的配套規(guī)則，國家互聯(lián)網(wǎng)信息辦公室（簡稱“國家網(wǎng)信辦”）制定了個人信息

21、和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）（簡稱“數(shù)據(jù)出境辦法”），并于 2017 年 4 月向社會公開發(fā)布征求意見的通知。2019 年 5 月 28 日，國家網(wǎng)信辦公布了數(shù)據(jù)安全管理辦法（征求意見稿），對于重要數(shù)據(jù)的發(fā)布、共享和出境作出了原則性審批規(guī)定。 2019 年 6 月 12 日，國家網(wǎng)信辦公布了個人信息出境安全評估辦法（征求意見稿）（簡稱“個人信息出境辦法”），與數(shù)據(jù)出境辦法相比，刪去了重要數(shù)據(jù)出境評估的內(nèi)容，對個人信息出境作出了專門規(guī)范。軍事設(shè)施保護(hù)法自動駕駛過程中不可避免地要實(shí)時采集和分析行駛過程中的地理地貌和道路建筑信息。如果相關(guān)設(shè)備一旦靠近軍事設(shè)施，就有可能違反軍事設(shè)施保護(hù)法第

22、三章和第四章中，關(guān)于軍事禁區(qū)和軍事管理區(qū)的規(guī)定。通常軍事管理區(qū)的劃定范圍比較大，一般來說，部隊家屬院、營區(qū)生活區(qū)等都屬于軍事管理區(qū)。而這類地域正是車輛進(jìn)出比較頻繁的地方。如果自動駕駛汽車進(jìn)入此類地區(qū)，所有采集的道路信息都需經(jīng)軍事管理區(qū)管理單位審查同意。中華人民共和國測繪法中華人民共和國測繪法中第八章第四十七條規(guī)定地理信息生產(chǎn)、保管、利用單位應(yīng)當(dāng)對屬于國家秘密的地理信息的獲取、持有、提供、利用情況進(jìn)行登記并長期保存，實(shí)行可追溯管理。自動駕駛數(shù)據(jù)感知收集過程中會不斷采集地理信息，相關(guān)地理信息中若涉及到屬于國家秘密的地理信息需要在有關(guān)部門登記并保存。但目前如何界定自動駕駛過程中采集的地理信息是否屬于

23、國家秘密仍是自動駕駛數(shù)據(jù)領(lǐng)域的一個重要課題。此外，汽車行業(yè)的最大特點(diǎn)是全球產(chǎn)業(yè)鏈的高度融合，當(dāng)前在中國市場上銷售的車輛中，進(jìn)口車及中外合資生產(chǎn)的車輛占到相當(dāng)大的比例。車廠通過互聯(lián)網(wǎng)集中收集車輛信息，由此而產(chǎn)生的自動駕駛數(shù)據(jù)出境問題幾乎是一個無法回避的問題，值得高度關(guān)注。（二）自動駕駛數(shù)據(jù)安全標(biāo)準(zhǔn)規(guī)范1、ISO/TC22 制定道路車輛信息安全標(biāo)準(zhǔn)ISO/TC22 是國際標(biāo)準(zhǔn)化組織下設(shè)的道路車輛技術(shù)委員會。2018年，該組織圍繞 ISO/SAE 21434（道路車輛-信息安全工程）在美國、波蘭、以色列等地召開聯(lián)合工作組會議，明確了該標(biāo)準(zhǔn)的結(jié)構(gòu)框架、適用范圍、特定對象和主要內(nèi)容等，并指出該標(biāo)準(zhǔn)適用于

24、道路車輛的電子電氣系統(tǒng)以及各系統(tǒng)間的接口交互與通信，規(guī)范了企業(yè)對車輛信息安全的管理，提出了道路車輛在安全生命周期內(nèi)的電子電氣系統(tǒng)、系統(tǒng)間接口交互、系統(tǒng)間通信的信息安全技術(shù)要求，總結(jié)了安全風(fēng)險與威脅評估方法、信息安全系統(tǒng)測試評價方法、信息安全流程開發(fā)管控要求等內(nèi)容。2、企業(yè)聯(lián)合白皮書自動駕駛安全第一白皮書由安波福、奧迪、百度、寶馬、德國大陸集團(tuán)、戴姆勒、菲亞特克萊斯勒、HERE、英飛凌、英特爾和大眾等 11 家公司聯(lián)合發(fā)布。該白皮書為基于安全的自動駕駛乘用車的開發(fā)、測試及驗(yàn)證等各階段提供了指導(dǎo)，旨在共同建立自動駕駛的行業(yè)安全標(biāo)準(zhǔn)，同時強(qiáng)調(diào)通過設(shè)計、測試與驗(yàn)證實(shí)現(xiàn)安全的重要性。該白皮書表明可以通過

25、車輛感知傳感器（如攝像頭、激光雷達(dá)、超聲波、麥克風(fēng)等）獲取周圍環(huán)境中的所有相關(guān)信息，包括辨別行人、障礙物、交通標(biāo)志和聲音信號等，來降低風(fēng)險。同時指出，自動駕駛車輛在記錄用戶個人數(shù)據(jù)時，應(yīng)符合隱私保護(hù)規(guī)范。3、英國聯(lián)網(wǎng)與自動駕駛汽車網(wǎng)絡(luò)安全主要原則英國運(yùn)輸部及國家基礎(chǔ)保護(hù)中心于 2017 年 8 月 6 日公布聯(lián)網(wǎng)與自動駕駛汽車網(wǎng)絡(luò)安全主要原則，其中八大原則如下：（1）董事會負(fù)責(zé)管理并改進(jìn)組織機(jī)構(gòu)安全。（2）按適當(dāng)比例評估、管理安全風(fēng)險，包括車輛供應(yīng)鏈特有安全風(fēng)險。（3）組織機(jī)構(gòu)需建立產(chǎn)品后期維護(hù)和事件響應(yīng)機(jī)制，確保系統(tǒng)在整個生命周期的安全。（4）所有組織機(jī)構(gòu)，包括子承包商、供應(yīng)商和第三方應(yīng)合作

26、改進(jìn)系統(tǒng)安全。（5）應(yīng)采用深度防御方式設(shè)計各相關(guān)系統(tǒng)。（6）實(shí)行軟件全生命周期安全管理。（7）確保數(shù)據(jù)存儲與傳輸安全可控。（8）確保系統(tǒng)對各類攻擊的防御具備彈性。其中每個原則均包含各類子原則，該原則同時要求自動駕駛相關(guān)組織機(jī)構(gòu)應(yīng)確保系統(tǒng)能支持?jǐn)?shù)據(jù)取證或支持可恢復(fù)用于司法認(rèn)定的唯一可識別數(shù)據(jù)，這些數(shù)據(jù)可用來發(fā)現(xiàn)任何網(wǎng)絡(luò)或其它事件的原因。4、美國現(xiàn)代汽車的網(wǎng)絡(luò)安全最佳實(shí)踐自動駕駛系統(tǒng) 2.0：安全愿景自動駕駛汽車 3.0：為未來交通做準(zhǔn)備美國在 2016 年 10 月發(fā)布的現(xiàn)代汽車的網(wǎng)絡(luò)安全最佳實(shí)踐要求在開發(fā)階段考慮數(shù)據(jù)安全，遵循產(chǎn)品開發(fā)流程，避免設(shè)計系統(tǒng)存在不合理的安全風(fēng)險；構(gòu)建特定流程，明確考

27、慮汽車全生命周期的隱私和網(wǎng)絡(luò)安全風(fēng)險，其全過程監(jiān)管原則更體現(xiàn)在具體風(fēng)險規(guī)避制度中。2017 年 9 月，美國高速公路安全管理局發(fā)布了自動駕駛系統(tǒng)2.0：安全展望，取代了 2016 年發(fā)布的聯(lián)邦自動駕駛汽車政策。該文件建議汽車行業(yè)應(yīng)投入一定資源來測試評估車輛安全風(fēng)險尤其是車輛數(shù)據(jù)安全風(fēng)險。2018 年 10 月，美國交通部發(fā)布了自動駕駛汽車 3.0：為未來交通做準(zhǔn)備，旨在推動自動駕駛技術(shù)與地面交通系統(tǒng)多種運(yùn)輸模式的安全融合，并明確了自動駕駛的六大原則，其中主要強(qiáng)調(diào)了自動駕駛領(lǐng)域中的安全優(yōu)先問題。5、中國智能網(wǎng)聯(lián)汽車信息安全評價測試技術(shù)規(guī)范（征求意見稿）2019 年 6 月 11 日，由中國汽車工

28、業(yè)協(xié)會牽頭，百度 Apollo 等國內(nèi)機(jī)構(gòu)參與制定的智能網(wǎng)聯(lián)汽車信息安全評價測試技術(shù)規(guī)范（征求意見稿）（簡稱“規(guī)范”）正式發(fā)布。該規(guī)范由產(chǎn)學(xué)研各界共同制定，是國內(nèi)首個智能網(wǎng)聯(lián)汽車的信息安全測評標(biāo)準(zhǔn)。參編單位既包括百度、中國一汽、北汽新能源、長城汽車、福特中國等國內(nèi)知名企業(yè)，也有清華大學(xué)、北京理工大學(xué)、北京航空航天大學(xué)等國內(nèi)一流高等院校。規(guī)范基于風(fēng)險轉(zhuǎn)化概率、風(fēng)險可能計算、風(fēng)險影響計算等多個評測模型，提出了對智能網(wǎng)聯(lián)汽車的汽車中央網(wǎng)關(guān)、移動通信終端等共計 13 個單元進(jìn)行評測的技術(shù)規(guī)范，主要針對 OTA 安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全等 6 大維度進(jìn)行安全測評。第三章 自動駕駛數(shù)據(jù)風(fēng)險分析一、自動駕駛

29、數(shù)據(jù)分析（一）數(shù)據(jù)特點(diǎn)1、自動駕駛數(shù)據(jù)與車聯(lián)網(wǎng)數(shù)據(jù)的區(qū)別目前自動駕駛數(shù)據(jù)與車聯(lián)網(wǎng)數(shù)據(jù)略有不同。車聯(lián)網(wǎng)數(shù)據(jù)從傳統(tǒng)車聯(lián)網(wǎng)狹義概念到智能網(wǎng)聯(lián)廣義概念的變化過程中，數(shù)據(jù)特點(diǎn)也發(fā)生了變化。傳統(tǒng)車聯(lián)網(wǎng)數(shù)據(jù)量少，數(shù)據(jù)僅來自終端功能簡單的信息服務(wù)，隨著智能網(wǎng)聯(lián)下車聯(lián)網(wǎng)服務(wù)范圍不斷豐富，車內(nèi)外交互信息增多，未來車聯(lián)網(wǎng)數(shù)據(jù)的特點(diǎn)會與自動駕駛數(shù)據(jù)的特點(diǎn)愈加相似。在自動駕駛時代，無論是測試階段還是實(shí)際運(yùn)行階段都會產(chǎn)生并使用大量多種類型數(shù)據(jù)。在測試階段：需要使用大量的測試數(shù)據(jù)來驗(yàn)證自動駕駛的功能，并對自動駕駛未來的服務(wù)進(jìn)行預(yù)研。在對大量數(shù)據(jù)進(jìn)行標(biāo)注后，感知和決策模型開始利用數(shù)據(jù)進(jìn)行訓(xùn)練，同時提取自動駕駛場景數(shù)據(jù)構(gòu)建虛擬

30、仿真模型以提升車輛的自動駕駛能力，保證自動駕駛車輛的安全性和魯棒性。在實(shí)際運(yùn)行階段：自動駕駛車輛的正常運(yùn)行不僅依賴于車端傳感器采集的大量數(shù)據(jù)，同時也依賴于高精地圖數(shù)據(jù)、實(shí)時交通數(shù)據(jù)、天氣數(shù)據(jù)等，而自動駕駛車輛運(yùn)行過程中也會產(chǎn)生或接收大量的車輛數(shù)據(jù)、控制數(shù)據(jù)、用戶駕駛數(shù)據(jù)等。自動駕駛數(shù)據(jù)與車聯(lián)網(wǎng)數(shù)據(jù)的區(qū)別主要如下：自動駕駛對數(shù)據(jù)的精度要求更高。由于大量數(shù)據(jù)會作為自動駕駛系統(tǒng)下發(fā)指令的決策依據(jù)，如有偏差會對人身安全構(gòu)成巨大威脅，因此自動駕駛原型車一般都會加裝精度更高的 GNSS 設(shè)備或其他輔助設(shè)備以保證各類關(guān)鍵數(shù)據(jù)的高效準(zhǔn)確安全傳輸。自動駕駛數(shù)據(jù)高度還原真實(shí)世界。自動駕駛數(shù)據(jù)中不僅包含道路及其兩旁

31、的全要素靜態(tài)信息，還包括道路上動態(tài)的車輛、行人、交通信號等數(shù)據(jù)，以及部分敏感地理信息，諸如軍區(qū)、核設(shè)施、港口、電力設(shè)施等。自動駕駛數(shù)據(jù)包含用戶個人數(shù)據(jù)。如用戶操作、應(yīng)用使用等操作習(xí)慣數(shù)據(jù)，也包括行程軌跡，用戶導(dǎo)航、歷史及即時地理位置等駕駛習(xí)慣數(shù)據(jù)，此外還包括用戶個人虹膜、指紋、聲紋等生物特征數(shù)據(jù)。自動駕駛車輛實(shí)時產(chǎn)生海量數(shù)據(jù)。目前的測試單車產(chǎn)生數(shù)據(jù)量一般在 20GB/小時左右, 在 5G 網(wǎng)絡(luò)未大規(guī)模應(yīng)用以后，產(chǎn)生的數(shù)據(jù)量將變得更加巨大。2、自動駕駛數(shù)據(jù)的特點(diǎn)自動駕駛數(shù)據(jù)與車聯(lián)網(wǎng)數(shù)據(jù)存在眾多差異，因此需要針對自動駕駛數(shù)據(jù)的特點(diǎn)進(jìn)行分級分類以全面考量其安全威脅及保障手段。綜合考慮自動駕駛的人工智

32、能屬性以及自動駕駛數(shù)據(jù)多樣性、規(guī)模性、非結(jié)構(gòu)性、流動性的特點(diǎn)。除此之外，自動駕駛車輛還具有汽車本身的安全屬性和智能網(wǎng)聯(lián)下跨產(chǎn)業(yè)技術(shù)融合的特點(diǎn)。數(shù)據(jù)多樣性：根據(jù)不同自動駕駛級別，數(shù)據(jù)產(chǎn)生的來源不同。數(shù)據(jù)類別不僅包括了汽車基礎(chǔ)數(shù)據(jù)（車牌號、車輛品牌和型號、車輛識別碼、車輛顏色、車身長度和寬度外觀等相關(guān)數(shù)據(jù)），也包括基礎(chǔ)設(shè)施、交通數(shù)據(jù)、地理信息數(shù)據(jù)（紅綠燈信息、道路基礎(chǔ)設(shè)施相關(guān)、道路行人的具體位置、行駛和運(yùn)動的方向、車外街景、交通標(biāo)志、建筑外觀等真實(shí)交通數(shù)據(jù)），以及車主的大量用戶身份類數(shù)據(jù)（姓名、手機(jī)號碼、駕照、證件號碼、支付信息、家庭住址、用戶的指紋、面部等生物特征信息等）、用戶狀態(tài)數(shù)據(jù)（語音、手

33、勢、眼球位置變化等）、行為類數(shù)據(jù)（登錄、瀏覽、搜索、交易等操作信息等）等。數(shù)據(jù)規(guī)模性：自動駕駛車輛作為跨產(chǎn)業(yè)技術(shù)的融合載體，融合了來自汽車、道路、天氣、用戶、智能計算系統(tǒng)等多方面的海量數(shù)據(jù)，涉及數(shù)據(jù)類型多，需要統(tǒng)計分析的數(shù)據(jù)總量大。數(shù)據(jù)非結(jié)構(gòu)性：數(shù)據(jù)多樣性決定了不同來源的數(shù)據(jù)格式不同，數(shù)據(jù)的非結(jié)構(gòu)性和非標(biāo)準(zhǔn)性對數(shù)據(jù)聚合或拆分技術(shù)以及權(quán)限管理和安全存儲都帶來了巨大的挑戰(zhàn)。數(shù)據(jù)流動性：大量自動駕駛數(shù)據(jù)在用戶端、車端、云端等多場景的交互使得數(shù)據(jù)的流動性增大。除此之外，自動駕駛數(shù)據(jù)還具有跨行業(yè)共享交換的特點(diǎn)。因此，如何確保交互數(shù)據(jù)的安全性，是一個亟待解決的問題。數(shù)據(jù)涉密性：自動駕駛汽車在公開道路駕駛過

34、程中，會采集大量的地理信息數(shù)據(jù)，根據(jù)中國法律法規(guī)要求，采集地理信息數(shù)據(jù)可能涉及涉密測繪成果，因此需要按照中華人民共和國保守國家秘密法中的相關(guān)規(guī)定要求進(jìn)行分級管理。（二）數(shù)據(jù)產(chǎn)生流程自動駕駛的整個流程歸結(jié)起來有三個部分。首先，是通過激光雷達(dá)、攝像頭、車載網(wǎng)聯(lián)系統(tǒng)等設(shè)備對外界的環(huán)境進(jìn)行感知識別；然后，在融合多方面感知信息的基礎(chǔ)上，通過智能算法學(xué)習(xí)外界場景信息，預(yù)測場景中交通參與者的軌跡，規(guī)劃車輛運(yùn)行軌跡，實(shí)現(xiàn)車輛擬人化控制融入交通流中；最后，跟蹤決策規(guī)劃的軌跡目標(biāo)，控制車輛的油門、剎車和轉(zhuǎn)向等駕駛動作，調(diào)節(jié)車輛行駛速度、位置和方向等狀態(tài)，以保證汽車的安全性、操縱性和穩(wěn)定性。自動駕駛在測試和實(shí)際運(yùn)行

35、過程中將會產(chǎn)生大量的數(shù)據(jù)，主要包括感知數(shù)據(jù)、決策與控制數(shù)據(jù)、測試與仿真數(shù)據(jù)以及用戶個人數(shù)據(jù)四大類數(shù)據(jù)。1、感知數(shù)據(jù)在感知數(shù)據(jù)中主要包含自動駕駛傳感器原始數(shù)據(jù)、動態(tài)交通數(shù)據(jù)、自動駕駛地圖數(shù)據(jù)和車聯(lián)網(wǎng)數(shù)據(jù)。自動駕駛傳感器原始數(shù)據(jù)：主要包括點(diǎn)云、視頻、照片、高精度定位坐標(biāo)等。此類數(shù)據(jù)是由加裝在車輛上的自動駕駛傳感器（包括：激光雷達(dá)、攝像機(jī)、高精度定位模組等）進(jìn)行采集。動態(tài)交通的數(shù)據(jù)：通常包含兩部分，車輛軌跡通常從手機(jī)端和車輛的 GPS 裝置獲得，經(jīng)由智能出行公司、出租車管理公司等平臺回傳至有相關(guān)資質(zhì)的公司，經(jīng)數(shù)據(jù)處理、校驗(yàn)再進(jìn)行發(fā)布，形成動態(tài)交通信息，給用戶提示道路的擁堵信息。動態(tài)事件信息一般由用戶

36、手動上報、行車記錄儀識別上報，路邊監(jiān)控設(shè)備提取、政府機(jī)構(gòu)官方發(fā)布等渠道生成，數(shù)據(jù)回傳至有相關(guān)資質(zhì)公司的平臺后進(jìn)行分析聚類等處理，校驗(yàn)后發(fā)布，形成動態(tài)事件信息，提醒用戶注意道路上的危險事件。自動駕駛地圖數(shù)據(jù)：由擁有相關(guān)資質(zhì)的地圖供應(yīng)商提供，一般的生產(chǎn)流程包括數(shù)據(jù)采集、數(shù)據(jù)處理、數(shù)據(jù)出品及審圖。數(shù)據(jù)采集一般使用配備高精度傳感器的車輛進(jìn)行作業(yè)，同時作業(yè)人員必須具有專門的測繪作業(yè)證。數(shù)據(jù)處理將采集的原始數(shù)據(jù)進(jìn)行整合處理、格式轉(zhuǎn)化、地圖數(shù)據(jù)制作、數(shù)據(jù)校驗(yàn)。數(shù)據(jù)出品會按照客戶要求將地圖數(shù)據(jù)轉(zhuǎn)化成相關(guān)的規(guī)格。生產(chǎn)完畢的地圖需送至國家相關(guān)機(jī)構(gòu)進(jìn)行審圖，獲得審圖號和出版號后方可進(jìn)行發(fā)布。車聯(lián)網(wǎng)數(shù)據(jù)：主要有兩條產(chǎn)

37、生途徑。一是由車機(jī)系統(tǒng)、車機(jī)應(yīng)用產(chǎn)生，經(jīng)由 T-BOX（Telematics BOX），通過運(yùn)營商網(wǎng)絡(luò)回傳至車聯(lián)網(wǎng)后臺。二是通過車聯(lián)網(wǎng)應(yīng)用回傳車聯(lián)網(wǎng)數(shù)據(jù)，通過車聯(lián)網(wǎng)應(yīng)用（如呼叫中心，賓館預(yù)訂，興趣點(diǎn)搜索等）將車輛的請求和響應(yīng)數(shù)據(jù)存儲在云端。2、決策與控制數(shù)據(jù)車輛控制技術(shù)是無人駕駛汽車行駛的核心。包括決策規(guī)劃和控制執(zhí)行兩個環(huán)節(jié)，這兩項技術(shù)相輔相成共同構(gòu)成自動駕駛汽車的關(guān)鍵技術(shù)。相關(guān)模塊會匯集車輛所有重要信息，不僅包括自動駕駛汽車本身的實(shí)時位置、速度、方向，還包括車輛周邊一定距離以內(nèi)所有障礙物信息數(shù)據(jù)、預(yù)測軌跡數(shù)據(jù)以及平臺下發(fā)的動態(tài)交通數(shù)據(jù)。決策層依據(jù)感知數(shù)據(jù)來進(jìn)行決策判斷，確定適當(dāng)工作模型，制定

38、相應(yīng)控制策略產(chǎn)生決策數(shù)據(jù)，從而替代人類駕駛員做出駕駛決策。執(zhí)行層在系統(tǒng)做出決策后，按照決策結(jié)果對車輛進(jìn)行控制。車輛的各個操控系統(tǒng)都需要通過總線或網(wǎng)絡(luò)與決策系統(tǒng)相連，并能夠按照決策系統(tǒng)發(fā)出的指令精確地控制車輛的加速程度、制動程度、轉(zhuǎn)向程度等駕駛動作，以實(shí)現(xiàn)車輛的自主駕駛。3、測試與仿真數(shù)據(jù)自動駕駛汽車測試分為硬件在環(huán)測試、軟件在環(huán)測試以及模型在環(huán)測試，分別對應(yīng)檢驗(yàn)自動駕駛汽車感知、決策兩大模塊。感知模塊的硬件在環(huán)測試主要分為兩類，一類為測試硬件設(shè)施在極端環(huán)境下能否正常工作；另一類為測試傳感器自身 AI 識別能力。決策模塊的軟件在環(huán)測試則主要檢驗(yàn)系統(tǒng)在不同情況下是否可以做出正確決策。感知與決策模塊

39、的檢驗(yàn)可以兩種形式完成，一種為實(shí)際場景下的實(shí)車測試，另一種為模擬環(huán)境下的數(shù)據(jù)測試。由于實(shí)車測試在短期內(nèi)可預(yù)見的極端環(huán)境較少，測試有較大的局限性，因此各大車廠在檢驗(yàn)過程中更傾向于進(jìn)行數(shù)據(jù)測試。在數(shù)據(jù)測試的過程中，基于全面的仿真能力與云平臺本身的數(shù)據(jù)存儲，將大量實(shí)景數(shù)據(jù)、駕駛行為數(shù)據(jù)以及交通動態(tài)數(shù)據(jù)融合，模擬真實(shí)行車環(huán)境。最后將環(huán)境模擬數(shù)據(jù)打包輸送至硬件在環(huán)與軟件在環(huán)進(jìn)行測試，在理論上檢驗(yàn)該種車型是否能夠達(dá)到上路指標(biāo)。一個完整的自動駕駛仿真平臺，需要包括靜態(tài)場景還原、動態(tài)案例仿真、傳感器仿真、車輛動力學(xué)仿真、并行加速計算等功能，并能夠較為容易的接入自動駕駛感知和決策控制系統(tǒng)，形成閉環(huán)，達(dá)到持續(xù)迭代

40、和優(yōu)化的狀態(tài)。自動駕駛仿真一般包括擬真環(huán)境仿真、動態(tài)場景仿真、天氣和氣候仿真、傳感器仿真、車輛動力學(xué)仿真。其中：擬真環(huán)境仿真：可以采集實(shí)際環(huán)境信息及已有的高精度地圖構(gòu)建靜態(tài)場景，通過采集激光點(diǎn)云數(shù)據(jù)，建立高精度地圖，構(gòu)建環(huán)境模型，并通過自動化工具鏈完成厘米級道路還原。動態(tài)場景仿真：可以采集實(shí)際道路上的海量數(shù)據(jù)，經(jīng)過算法抽取，結(jié)合已有的高精地圖，重建動態(tài)場景。天氣和氣候仿真：在仿真環(huán)境里設(shè)置不同天氣，并調(diào)節(jié)天氣參數(shù)，比如太陽高度角，霧的濃度，雨滴的大小等，模擬出極端天氣，訓(xùn)練無人車應(yīng)對這些情況，然后將訓(xùn)練好的數(shù)據(jù)模型運(yùn)用于真實(shí)駕駛過程中。傳感器仿真：包括物理信號、原始信號、傳感器目標(biāo)三個層級的仿

41、真，仿真對象為激光雷達(dá)、視覺（攝像頭）、雷達(dá)、輔助傳感器等系統(tǒng)。車輛動力學(xué)仿真：包括車體模型參數(shù)化，輪胎模型參數(shù)化，制動系統(tǒng)模型參數(shù)化，轉(zhuǎn)向系統(tǒng)模型參數(shù)化，動力系統(tǒng)模型參數(shù)化，傳動系統(tǒng)模型參數(shù)化，空氣動力學(xué)模型參數(shù)化，硬件 IO 接口模型參數(shù)化，根據(jù)實(shí)際測試車輛的動力學(xué)配置合適參數(shù)。交通場景數(shù)據(jù)是自動駕駛汽車研發(fā)與測試的基礎(chǔ)數(shù)據(jù)資源，是評價其功能安全的關(guān)鍵參考，也是定義自動駕駛汽車技術(shù)標(biāo)準(zhǔn)的重要依據(jù)。場景庫能夠通過軟件以及仿真工具包對測試場景進(jìn)行虛擬復(fù)現(xiàn)，其元素包含各種道路路況、交通標(biāo)志、氣象環(huán)境、事故場景、法律法規(guī)場景，駕駛?cè)藛T及其他交通參與者的行為習(xí)慣等。將這些場景元素及車輛駕駛行為進(jìn)一步

42、數(shù)字化，有利于進(jìn)行數(shù)據(jù)提取并量化分析自動駕駛的安全性能和不足，測試過程產(chǎn)生的數(shù)據(jù)也能更好地支撐場景庫的建設(shè)。4、用戶個人數(shù)據(jù)汽車的車載娛樂系統(tǒng)將不僅限于播放音樂、視頻、通信等功能，還能保存?zhèn)€人設(shè)置和偏好。出于導(dǎo)航目的，汽車將收集并使用位置數(shù)據(jù)，諸如目的地信息、路線信息、速度和花費(fèi)的時間。地理位置功能在現(xiàn)有的傳統(tǒng)車輛中也同樣被用于記錄位置，提供旅途相關(guān)的其他信息，比如實(shí)時交通數(shù)據(jù)和規(guī)劃路線沿途名勝，以及設(shè)定道路偏好，從而避開高速公路或收費(fèi)公路。到目前為止，汽車收集的個人數(shù)據(jù)量是較少的。然而，自動駕駛汽車的發(fā)展和使用將使大量的個人數(shù)據(jù)被收集，這其中包括駕駛?cè)说脑敿?xì)資料、位置、行駛方向、歷史路線、平

43、均速度和里程數(shù)。相關(guān)企業(yè)將可以針對特定用戶制作人物畫像，做到精準(zhǔn)服務(wù)。以上幾類數(shù)據(jù)可以用于研發(fā)和測試自動駕駛的功能和應(yīng)用，其重要性不言而喻。因此，實(shí)施數(shù)據(jù)安全分類分級和差異化分級防護(hù)，加強(qiáng)自動駕駛數(shù)據(jù)安全防護(hù)刻不容緩。（三）數(shù)據(jù)分級分類1、自動駕駛數(shù)據(jù)安全分類自動駕駛系統(tǒng)的實(shí)現(xiàn)主要依賴感知、決策與執(zhí)行三大模塊。在行駛過程中以各類慣導(dǎo)、雷達(dá)、視覺等傳感器搜集車輛動態(tài)與周邊環(huán)境數(shù)據(jù)，將數(shù)據(jù)傳輸至車載計算平臺進(jìn)行分析并作出相應(yīng)決策，最后由決策層發(fā)送指令至執(zhí)行模塊改變車輛行駛狀態(tài)。（1）分類原則。針對自動駕駛數(shù)據(jù)特征及其相互間存在的客觀（2）分類方法。遵循自動駕駛數(shù)據(jù)安全分類原則，按照自動駕駛功能實(shí)現(xiàn)

44、流程，結(jié)合我國自動駕駛產(chǎn)業(yè)發(fā)展階段，著重關(guān)注用戶個人相關(guān)數(shù)據(jù)。整個過程中產(chǎn)生的或涉及到的數(shù)據(jù)可以歸類為感知數(shù)據(jù)、決策與控制數(shù)據(jù)、測試與仿真數(shù)據(jù)以及用戶個人數(shù)據(jù)四類數(shù)據(jù)類型。其具體分類如表 1 所示：表 1 自動駕駛數(shù)據(jù)分類聯(lián)系進(jìn)行科學(xué)和系統(tǒng)化的分類。做到分類盡可能覆蓋自動駕駛所有數(shù)據(jù)，不設(shè)置無意義的類目，同時在總體上應(yīng)具有包容性和可擴(kuò)展性。自動駕駛數(shù)據(jù)類別數(shù)據(jù)種類描述感知數(shù)據(jù)車輛運(yùn)行數(shù)據(jù)包括但不限于車輛運(yùn)行狀態(tài)下輸出的車速信息、油門、剎車、車窗、雨刷器、燈光等各種傳統(tǒng)傳感器數(shù)據(jù)V2X 數(shù)據(jù)包括但不限于實(shí)時道路交通數(shù)據(jù)、實(shí)時道路事件信息數(shù)據(jù)等；周邊環(huán)境數(shù)據(jù)（行人、騎車人、車輛相對位置、速度）等；

45、交通信號燈數(shù)據(jù)、道路曲率數(shù)據(jù)、天氣條件數(shù)據(jù)等自動駕駛地圖數(shù)據(jù)包括但不限于車道線的位置、類型、寬度、坡度和曲率等車道信息，車道周邊的固定對象信息，比如交通標(biāo)志、交通信號燈等信息、車道限高、下水道口、障礙物及其他道路細(xì)節(jié)，還包括高架物體、防護(hù)欄、樹木、道路邊緣類型、路邊地標(biāo)等基礎(chǔ)設(shè)施信息位置信息數(shù)據(jù)包括但不限于GNSS+IMU 組合慣導(dǎo)定位數(shù)據(jù), 差分定位基站數(shù)據(jù)、WIFI 位置、車輛自身、周邊感知到的動態(tài)及靜態(tài)物體的地理位置坐標(biāo)、車輛軌跡、加速度數(shù)據(jù)雷達(dá)數(shù)據(jù)包括但不限于激光雷達(dá)點(diǎn)云數(shù)據(jù)（強(qiáng)度、橫坐標(biāo)、縱坐標(biāo)、高度），毫米波雷達(dá)數(shù)據(jù)等視覺數(shù)據(jù)包括但不限于通過普通攝像頭或紅外攝像頭高速頻繁抓取的環(huán)境

46、圖片或視頻數(shù)據(jù)，從而實(shí)現(xiàn)基本的目標(biāo)檢測、車道線檢測、目標(biāo)追蹤等決策與控制數(shù)據(jù)預(yù)測數(shù)據(jù)包括但不限于車輛運(yùn)動狀態(tài)估計數(shù)據(jù)、融合數(shù)據(jù)，障礙物(小客車、行人、自行車等)的類型、運(yùn)行狀態(tài)、地圖、交通規(guī)則的預(yù)測信息（行為信息,軌跡信息和概率信息）規(guī)劃數(shù)據(jù)包括但不限于根據(jù)當(dāng)前車輛所在的位置、預(yù)測數(shù) 據(jù)、地圖靜態(tài)數(shù)據(jù)和感知動態(tài)數(shù)據(jù)等進(jìn)行橫向規(guī)劃和縱向規(guī)劃,給出的安全,舒適,高效率并符合交通規(guī)則的軌跡數(shù)據(jù)決策數(shù)據(jù)包括但不限于根據(jù)當(dāng)前地圖信息和感知信息,結(jié)合自車當(dāng)前狀態(tài),做出的行為決策數(shù)據(jù)，用于車輛行駛控制,如變道、超車、停車、跟車、保持車道等行為控制數(shù)據(jù)包括但不限于人機(jī)交互數(shù)據(jù)、執(zhí)行器數(shù)據(jù)、橫縱向控制數(shù)據(jù)測試與

47、仿真數(shù)據(jù)測試場景數(shù)據(jù)包括但不限于測試場景障礙物、天氣情況、路面不平度數(shù)據(jù)；自動駕駛算法的交通規(guī)則、路側(cè)交通指示、道路交通標(biāo)記數(shù)據(jù)；安全服務(wù)數(shù)據(jù)駕駛行為數(shù)據(jù)包括但不限于駕駛員行為樣本數(shù)據(jù)；駕駛經(jīng)驗(yàn)數(shù)據(jù)樣本數(shù)據(jù)車輛動力學(xué)相關(guān)數(shù)據(jù)包括但不限于車速、縱側(cè)向加速度、橫擺角速度、車身側(cè)傾角、質(zhì)心側(cè)偏角、主缸壓力、踏板力、踏板行程、初速度、制動距離、平均踏板力等自動駕駛系統(tǒng)數(shù)據(jù)包括但不限于傳感器，控制器，制動器等虛擬汽車系統(tǒng)數(shù)據(jù)等虛擬駕駛場景數(shù)據(jù)包括但不限于天氣、建筑物、道路、行人、障礙 物、周邊車輛等虛擬駕駛環(huán)境數(shù)據(jù)，仿真?zhèn)鞲衅餍盘枖?shù)據(jù)等; 人機(jī)交互數(shù)據(jù)；誤差注入數(shù)據(jù)用戶個人數(shù)據(jù)車輛信息相關(guān)數(shù)據(jù)包括但不限

48、于車輛標(biāo)識碼、車輛控制器信息、車輛位置信息、車輛 SIM 卡號、用戶保養(yǎng)或維修車輛的記錄數(shù)據(jù)、車載音視頻數(shù)據(jù)用戶駕駛習(xí)慣包括但不限于用戶操作、應(yīng)用使用習(xí)慣，行程軌跡，用戶導(dǎo)航、歷史及即時地理位置等數(shù)據(jù)用戶信息包括但不限于包括用戶姓名、手機(jī)號、身份證號、家庭住址、賬號密碼數(shù)據(jù)；用戶臉部數(shù)據(jù)、指紋數(shù)據(jù)；語音、手勢、眼球位置；駕駛員狀態(tài)監(jiān)測數(shù)據(jù)、車內(nèi)視頻監(jiān)測數(shù)據(jù)2、自動駕駛數(shù)據(jù)分級自動駕駛數(shù)據(jù)安全的目標(biāo)主要表現(xiàn)在具備機(jī)密性、完整性、可用性三個基本特性。同時，數(shù)據(jù)具有流動性、可復(fù)制等特有屬性，數(shù)據(jù)流動過程中的級別應(yīng)以源數(shù)據(jù)判定時的級別為準(zhǔn)。但如果低級別的數(shù)據(jù)流入高級別的系統(tǒng)中，該級別數(shù)據(jù)對系統(tǒng)的運(yùn)行或

49、服務(wù)產(chǎn)生了作用和影響，則該數(shù)據(jù)應(yīng)該重新定級，級別應(yīng)相應(yīng)提高。此外，考慮到自動駕駛智能化和網(wǎng)聯(lián)化程度不同，對數(shù)據(jù)的保密性、完整性、可用性等安全屬性的特殊要求還應(yīng)針對不同等級自動駕駛的數(shù)據(jù)進(jìn)行分級細(xì)化，通過分級明確數(shù)據(jù)的安全防護(hù)要求，實(shí)施自動駕駛數(shù)據(jù)的差異化分級防護(hù)。分級原則。自動駕駛數(shù)據(jù)的分級主要從保密性、完整性、可用性三個屬性遭破壞后造成的后果影響來定級。在完成自動駕駛數(shù)據(jù)分類的基礎(chǔ)上，采用“就高不就低”原則，用定性和定量相結(jié)合的方法判斷數(shù)據(jù)的三個安全屬性任意一個遭破壞后對功能、財產(chǎn)、操作性、隱私等造成的最大后果影響來進(jìn)行定級。分級方法。適應(yīng)我國現(xiàn)有法律法規(guī)對重要數(shù)據(jù)和個人信息等數(shù)據(jù)的保護(hù)要求

50、，遵循自動駕駛數(shù)據(jù)安全分級原則，參考信息安全等級保護(hù)規(guī)定，按照數(shù)據(jù)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度，由低到高劃分為五級。第一級，受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。第二級，受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成損害，但不損害國家安全。第三級，受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生特別嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成嚴(yán)重?fù)p害，或者對國家安全造成損害。第五級，受到破壞后，會對國家安全造成特別嚴(yán)重?fù)p害。根據(jù)數(shù)據(jù)被破壞時所侵害

51、的客體及對相應(yīng)客體的侵害程度，可得數(shù)據(jù)安全保護(hù)等級如下表所示。表 2 定級表針對上述分級原則與分級辦法，將數(shù)據(jù)分級如下：表 3 自動駕駛數(shù)據(jù)分級表第四級，受到破壞后，會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害，或者對國家安全造成嚴(yán)重?fù)p害。數(shù)據(jù)被破壞時受侵害的客體對相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益第一級第二級第三級社會秩序、公共利益第二級第三級第四級國家安全第三級第四級第五級數(shù)據(jù)被破壞時受侵害的客體對相應(yīng)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害公民、法人和其他組織的合法權(quán)益如雨刷器、燈光、車窗；道路曲率數(shù)據(jù)、天氣條件數(shù)據(jù)；車輛信息相關(guān)數(shù)據(jù)如車道線的類型、

52、坡度、曲率；車道障礙物如用戶駕駛習(xí)慣、預(yù)測、決策數(shù)據(jù)社會秩序、公共利益如實(shí)時道路交通數(shù)據(jù)、實(shí)時道路事件信息數(shù)據(jù)如周邊環(huán)境數(shù)據(jù)、交通信號數(shù)據(jù)、車道限高；如車道線的位置、寬度數(shù)據(jù)；超聲波雷達(dá)數(shù)據(jù)；車輛控制數(shù)據(jù)國家安全如規(guī)劃數(shù)據(jù)；用戶信息數(shù)據(jù)如激光雷達(dá)數(shù)據(jù)，毫米波雷達(dá)數(shù)據(jù)；視覺數(shù)據(jù)，如敏感建筑物位置數(shù)據(jù)二、數(shù)據(jù)安全風(fēng)險分析根據(jù)自動駕駛功能實(shí)現(xiàn)的相關(guān)要求，結(jié)合自動駕駛數(shù)據(jù)的特點(diǎn)、產(chǎn)生流程、應(yīng)用技術(shù)與場景提出了自動駕駛技術(shù)應(yīng)用架構(gòu)。該架構(gòu)根據(jù)自動駕駛數(shù)據(jù)的采集、傳輸、應(yīng)用和銷毀等全生命周期的過程特點(diǎn)，至下而上依次分為采集層、通信層、平臺層和應(yīng)用層。其中，采集層主要涉及自動駕駛數(shù)據(jù)從采集到存儲的全過程；通

53、信層包含了數(shù)據(jù)在車內(nèi)傳輸和車端與云端傳輸?shù)倪^程；平臺層主要涉及各類平臺對相關(guān)數(shù)據(jù)的管理與控制；應(yīng)用層包含了在接收到數(shù)據(jù)后，按功能需求對數(shù)據(jù)進(jìn)行處理，并將處理后的數(shù)據(jù)送到各個終端進(jìn)行響應(yīng)和應(yīng)用。（一）采集層數(shù)據(jù)安全風(fēng)險1、采集設(shè)備安全風(fēng)險目前，包括實(shí)驗(yàn)室測試車輛、公開道路上路測車輛、封閉園區(qū)的接駁車輛以及城市局部運(yùn)營車輛在內(nèi)的大部分均為二次改裝車輛。由于二次改裝的非工程化作業(yè)，致使自動駕駛系統(tǒng)的傳感組件（如激光、毫米波、超聲波雷達(dá)，攝像頭，組合慣導(dǎo)等）、中央處理器及各種線纜等都裸露在汽車內(nèi)外，除了自動駕駛系統(tǒng)組件丟失或損壞造成的直接數(shù)據(jù)丟失之外，系統(tǒng)里的數(shù)據(jù)也很容易被竊取、丟失或遭到不法分子的篡

54、改、破壞。同時二次改裝也會存在后增加設(shè)備一致性差、性能不穩(wěn)定的情況，也給自動駕駛數(shù)據(jù)安全埋下了隱患。2、路測基礎(chǔ)設(shè)施建設(shè)安全風(fēng)險路端基礎(chǔ)設(shè)施改造成本巨大，再加上自動駕駛何時可以規(guī)模量產(chǎn)落地尚不明朗，國內(nèi)雖有一些省份在試點(diǎn) V2X 樣板工程，但路段長度非常有限。小規(guī)模試點(diǎn)建設(shè)周期漫長，同時各單位的關(guān)注點(diǎn)更多仍聚焦于 V2X 功能的實(shí)現(xiàn)，從而導(dǎo)致路測基礎(chǔ)設(shè)施在采集數(shù)據(jù)時，并沒有考慮數(shù)據(jù)安全防護(hù)機(jī)制的設(shè)計和部署，導(dǎo)致路側(cè)設(shè)施在采集數(shù)據(jù)時面臨較大的安全風(fēng)險。3、感知數(shù)據(jù)完整性安全風(fēng)險感知類數(shù)據(jù)通過傳感器數(shù)據(jù)采集車速信息、油門、剎車、車窗，雨刷器等各種有用數(shù)據(jù)信息，這個過程中，攻擊者可通過干擾，欺騙攻擊

55、等手段造成傳感器設(shè)備失靈，如對傳感器的干擾易造成感知數(shù)據(jù)的識別錯誤或在采集的樣本數(shù)據(jù)中增加特定的攻擊樣本，也會造成感知數(shù)據(jù)污染，使得算法無法識別或識別錯誤。另一方面，在數(shù)據(jù)采集階段，人為偽造的感知設(shè)備也會造成采集到的數(shù)據(jù)真實(shí)性難以保證，或采集過程被阻斷等風(fēng)險。（二）通信層數(shù)據(jù)安全風(fēng)險1、惡意節(jié)點(diǎn)攻擊風(fēng)險自動駕駛數(shù)據(jù)通信是節(jié)點(diǎn)與節(jié)點(diǎn)之間的通信，攻擊者可以通過身份偽造等方式惡意攻擊或威脅數(shù)據(jù)安全。自動駕駛汽車在運(yùn)行過程中通過傳感器采集大量感知數(shù)據(jù)上傳至云端進(jìn)行整合分析，在傳感器節(jié)點(diǎn)與云端通信的過程中。由于傳感器節(jié)點(diǎn)和云端接口缺少認(rèn)證機(jī)制，攻擊者可以通過偽造傳感器節(jié)點(diǎn)或者云端接口，從而偽造和篡改自動

56、駕駛數(shù)據(jù)，威脅自動駕駛數(shù)據(jù)安全。經(jīng)過云端整合分析向車端下發(fā)的決策和執(zhí)行控制數(shù)據(jù)，這些數(shù)據(jù)在自動駕駛車端通過車內(nèi)通信總線到達(dá)ECU執(zhí)行元件，由于通信總線與ECU之間缺少相應(yīng)的認(rèn)證保護(hù)機(jī)制，攻擊者可以通過偽造ECU接收數(shù)據(jù)，并對數(shù)據(jù)進(jìn)行重寫、偽造和篡改，使自動駕駛汽車做出錯誤的執(zhí)行操作，引發(fā)安全問題。自動駕駛汽車需要不斷地與外界環(huán)境進(jìn)行交互，實(shí)時的獲取車與車，車與路側(cè)單元等節(jié)點(diǎn)的數(shù)據(jù)，但節(jié)點(diǎn)之間缺少認(rèn)證機(jī)制，攻擊者可以通過惡意節(jié)點(diǎn)偽造數(shù)據(jù)，給自動駕駛數(shù)據(jù)安全帶來安全風(fēng)險。2、傳輸風(fēng)險當(dāng)自動駕駛車輛數(shù)據(jù)內(nèi)部交互時，主要還是采用如傳統(tǒng)的CAN總線或以太網(wǎng)，保護(hù)措施相對較弱，存在CAN報文被篡改和偽造的

57、安全風(fēng)險或連接接口、通信總線被阻塞從而導(dǎo)致感知數(shù)據(jù)不可用或無法及時反饋的風(fēng)險。當(dāng)自動駕駛車輛與外部交互時，通過車外通信網(wǎng)絡(luò)（藍(lán)牙/WIFI等短距或4G/5G/C-V2X等遠(yuǎn)距通信）傳輸數(shù)據(jù)，會面臨數(shù)據(jù)在通信鏈路上被竊聽或遭受中間人攻擊的風(fēng)險。自動駕駛車輛在進(jìn)行車道級輔助駕駛時，會通過V2V廣播本車的坐標(biāo)和軌跡信息，此類地理信息數(shù)據(jù)在傳輸時默認(rèn)不采用加密機(jī)制，一旦惡意車輛有意圖的監(jiān)聽周邊車輛，就會很容易獲取大量地理信息數(shù)據(jù)，進(jìn)而計算出敏感區(qū)域的信息，嚴(yán)重情況下會造成國家秘密泄露。另外，車輛所產(chǎn)生的個人信息通常使用短距離無線通信方式傳輸，其中個人敏感信息會面臨在通信線路上被竊聽造成隱私泄露的風(fēng)險，

58、如通過不安全的藍(lán)牙及WIFI連接，通過中間人攻擊或協(xié)議認(rèn)證時的漏洞，能夠從通信鏈路上獲得用戶敏感數(shù)據(jù)。3、協(xié)議風(fēng)險伴隨多種無線通信技術(shù)和接口的廣泛應(yīng)用，自動駕駛車輛需要部署多個無線接口實(shí)現(xiàn)WIFI、藍(lán)牙、5G、V2X等多種網(wǎng)絡(luò)的連接，從而滿足數(shù)據(jù)獲取和傳輸?shù)囊?。而此類通信協(xié)議的安全漏洞會直接威脅到數(shù)據(jù)傳輸?shù)陌踩缱詣玉{駛數(shù)據(jù)傳輸至車內(nèi)網(wǎng)絡(luò)時，會通過CAN總線或車載以太網(wǎng)傳輸至各個執(zhí)行單元，而非法分子可以對通信協(xié)議認(rèn)證機(jī)制進(jìn)行破解或采取中間人攻擊竊取或篡改敏感數(shù)據(jù)。（三）平臺層數(shù)據(jù)安全風(fēng)險平臺層作為自動駕駛數(shù)據(jù)匯集、存儲、計算、管理的中心，為自 動駕駛車輛、道路設(shè)施、應(yīng)用等提供數(shù)據(jù)處理、支持

59、、更新等服務(wù)。作為自動駕駛數(shù)據(jù)匯聚和遠(yuǎn)程管控的核心，平臺層除面臨傳統(tǒng)大數(shù)據(jù)、云平臺所面臨的安全風(fēng)險之外，對應(yīng)于自動駕駛數(shù)據(jù)的處理流程，也 會面臨新的安全風(fēng)險。1、云平臺安全風(fēng)險不同類型、不同級別的自動駕駛數(shù)據(jù)都會在云平臺匯聚、處理、流轉(zhuǎn)。其數(shù)據(jù)價值越大，就越會成為攻擊的焦點(diǎn)。同時云平臺開放的服務(wù)架構(gòu)及按需使用的服務(wù)模式，使得云平臺越來越成為攻擊的首要目標(biāo)，尤其是對于大量使用云服務(wù)功能的自動駕駛車輛，遠(yuǎn)程嘗試入侵云平臺相比物理接觸攻擊車輛會更容易，而且?guī)淼奈：Ω?，對于攻擊者而言收益也會越大。云平臺往往作為突破車輛控制的第一道關(guān)口，易受到 DDos 攻擊、僵尸網(wǎng)絡(luò)、非法授權(quán)訪問、審計存儲空間消

60、耗等網(wǎng)絡(luò)威脅，或利用手機(jī) APP 入侵云平臺服務(wù)端從而控制并獲取大量的車輛數(shù)據(jù)。2、大數(shù)據(jù)處理安全風(fēng)險自動駕駛海量數(shù)據(jù)的分析處理，必然用到大數(shù)據(jù)技術(shù)，如感知數(shù)據(jù)中的視頻、圖像以及激光雷達(dá)產(chǎn)生的點(diǎn)云數(shù)據(jù)；路測數(shù)據(jù)、測試仿真數(shù)據(jù)；大量車輛狀態(tài)監(jiān)控數(shù)據(jù)等。這些非結(jié)構(gòu)化數(shù)據(jù)在大數(shù)據(jù)平臺上進(jìn)行批處理或流處理時，對不同級別的數(shù)據(jù)如果沒有相應(yīng)的細(xì)粒度訪問控制機(jī)制，就會存在訪問權(quán)限過大、數(shù)據(jù)遭到濫用的風(fēng)險。另外，目前大數(shù)據(jù)存儲采用分布式存儲技術(shù)，往往對于不用級別不同類型的數(shù)據(jù)在物理上是混合存儲，不利于進(jìn)行分類隔離和分級防護(hù)。同時數(shù)據(jù)在大數(shù)據(jù)平臺上進(jìn)行數(shù)據(jù)分析和數(shù)據(jù)挖掘時，對于數(shù)據(jù)融合所產(chǎn)生的隱私泄露問題，也是