对话零数|刘波：保障汽车数据安全，合规是前提

零数科技汽车安全实战之合规监管。

《对话零数》系零数科技开设的数实融合对话专题，邀请企业界、产业界、学术界等进行【数字经济和产业区块链】的前沿观点输出，更有新意经验分享，为行业内外从业者提供深入交流互动的平台。

前言

最近两年，刘波经常在外奔走于政府机构与各大汽车厂商之间，了解汽车行业发展最新态势，为推进汽车行业数字化转型寻求最佳解决方案。

在加入零数科技之前，刘波有三段工作经历。第一段，在高德做了五年位置服务；第二段，在电信运营商负责创新产品及混合所有制改革；第三段，就职于麦当劳中国，致力于中国区的数字化转型。以上三段丰富的职业经历，恰好能服务于今天中国汽车产业的发展，这是刘波团队目前在零数科技‘汽车领域’场景应用能全力投入并获得一定成绩的原因。

刘波正带领所在团队，依托领先的区块链及隐私计算技术服务于汽车行业数字化转型。针对行业发展趋势以及零数实践经验，我们展开了以下对话：

1

Q1 在汽车网联化、智能化的发展趋势下，当前汽车产业呈现出什么态势？各方态度如何，诉求是什么？

刘波：在汽车行业经历百年发展之后，目前迎来了电气化、智能化、网联化、共享化的新四化的发展阶段。在这个阶段中，随着法律法规、政策制度的快速健全，汽车产业数字化的程度在快速加深，大量的数据正在每一辆车上源源不断并加速地产生，而更多数据的产生催生了更多的应用场景，所以目前在汽车的设计、生产、销售乃至包括保险维修保养等整个后市场中都有很多细分的场景在不断的涌现，这是目前这个行业呈现出来的一个态势。

从另外的一个维度是去看这些场景，它大部分都是可以基于数据去进行优化创新的，这是这些场景、业务、应用和底层的数据之间的一个天然关系。同时我们注意到这些数据是在不同的主体、不同的系统产生的，也就意味着数据从诞生之初就是广泛分布的、离散的。因此，当数据被要求在应用场景里面被综合使用时，就存在着“如何让数据在分布的状态下，跨主体综合应用”的问题，而这一块有区块链、隐私计算等等这样的技术能够来实现。

目前各方的态度是，政府对于数据安全监管，以及数据的共享交易，乃至对数字经济的推动，正在投入越来越多的力量。而对于车企而言，会特别关注如何在合规的前提下，尽可能地将产品做得更好，卖得更好。随着过去这几年数安法、网安法、个保法为代表的上位法，以及大量的不同垂直行业的乃至地方政府的一些政策法规、实施细则的颁布实施，相应的法律政策环境已经越来越齐备。所以一方面是政府要履行的监管职责、推动产业发展，另一方面车企这边会做好合规经营，这是目前我们观察到的行业的情况。

2

Q2 随着智能网联汽车联网数量的逐年增加，汽车安全应用问题日益凸显。您认为主要表现在哪些方面？

刘波：除了汽车交通领域传统的物理安全，我认为智能网联领域的安全主要表现在三个角度。第一个角度包含数据安全、网络安全、应用安全，管理安全等等。第二个角度是从安全影响到的目标主体看，可以分为国家安全、企业秘密和个人隐私，其中，

国家安全：

1. 数据采集是否合法、合规？

2. 数据是否出境、影响国家安全？

3. 数据应用监管措施是否到位？

企业秘密：

1. 数据资产是否确权？

2. 数据存管是否合规？

3. 数据价值是否用足？

个人隐私：

1. 数据权属是否清晰？

2. 数据采/用/传是否获得授权？

3. 用户是否有渠道自定义、获取和删除数据？

第三个角度，从创新上看，数据安全应用还体现为：

1. 数据是否真实、准确、全面？

2. 数据价值是否合理分配？

3. 应用模式是否健康、可持续？

第一个角度可以使用原来信息化阶段已经积累好的一些安全手段去予以加强，当然这些还不够，还要不断地去增加信创、等保以及新技术等更高阶的安全手段。后两个角度，我们需要通过一些具体的法规政策来做好数据的确权、授权使用，使得各方的利益能够得到保障；需要建设一批基础设施，提供公共服务。这些就是我们正在致力的工作。

关于安全问题，大家最熟悉的是直接切身到个人生命安全的、财产安全的事故。在自动驾驶领域里，因为车辆具备了辅助驾驶或者是自动驾驶的能力，如果发生了事故，需要通过数据对责任进行明确的界定。但是会涉及到很多很具体的问题。比如说，在自动驾驶模式下，如果车辆向驾驶员提示了进行接管，那这个责任到底是车的还是人的？其实还要看很多具体的参数，包括在碰撞前多长时间提示的人类驾驶员进行接管，这对于最终的责任的界定有着明确的直接的影响。以此为例，大家可以感受到数据对于安全对于责任的界定是有直接的支持作用的，而物理安全、财产安全只是在整个的这个大安全里面的很具体的一部分而已，这里面还涉及到个人隐私的问题，车企秘密的问题，乃至国家安全的问题，现在越来越多的汽车携带越来越多的传感器，包括摄像头、雷达、高精定位设备去采集各种各样的数据，本身数据采集对于这个产业来讲是一个有力的推动，但是也带来了诸多风险。比如说，采集了主干道上面的车流量、人流量，以及政府大院、部队机关等等信息，显然是不合规，甚至是不合法的。对于这些安全问题我们需要通过数据的手段予以进行监管，所以对于安全这块涉及到的方面是非常广泛的。

3

Q3 关于以上提到的这些问题，我们应当如何解决，区块链以及隐私计算技术在其中有什么发挥作用吗？

刘波：在很多场景中，汽车的数据是分散的，当某一个场景里，因为监管的原因或者某个商业逻辑需要进行跨主体的数据的监看、使用，保障公共安全的同时，还要保护企业合法权益，比如不能强令车企公布代表了其权益的加密算法和参数，这时候就需要用区块链来实现多主体数据源的有效连接，注意，“连接”但是并不“汇聚”数据，是在应用场景里对数据进行综合的使用，做到数据的“可用不可见”。

所以，我们基于区块链和隐私计算实现了在既尊重数据主体的权益的前提之下，又能满足场景使用方对于跨主体数据应用的诉求。这是区块链和隐私计算目前对于整个数据的共享乃至交易提供服务的底层逻辑。举一个例子，关于汽车的数据共享和交易，零数作为唯一的技术提供方，为中国汽车工业协会打造的‘汽车大数据区块链交易平台（VDBP）’，通过构建分布式的汽车数据共享交易网络，使得数据供给方和需求方之间形成连接、交易点对点完成，同时结合隐私计算技术，实现数据的所有权、使用权分离，仅以输出计算结果成完成数据使用权的共享需求。

值得一提的是，VDBP目前和地方的数据交易平台在产业定位、场景定位方面有明显的区别。地方的数据交易平台更多的是综合性数据服务，我们的平台是行业垂直领域的，重点围绕具体场景展开的数据交易。首先聚焦行业，目前限定在汽车行业；其次围绕场景，目前主要的数据应用场景是汽车企业、自动驾驶研发企业研发自动驾驶算法。再次构建多中心治理机制，平台是由中国汽车工业协会牵头发起搭建的一个分布式的体系，即多方共建的数据交易网络，其中各类主体机构都会以成员单位共同参与进来，既是买卖的参与方，也是平台治理委员会的成员之一。最后实现标准化的数据交易流程，交易前要依次完成合规化处理——数据治理——数据上架——买方检索并下单，然后完成点对点的交易，数据校验通过后完成积分划转。目前平台支持车辆数据、场景数据、大尺寸文件等多类数据的交易。

比方说，BBA（奔驰、宝马、奥迪）或者是蔚小理（蔚来、小鹏、理想），任何一家整车企业，或者是检测机构，零部件厂商等等，只要是有数据想要来卖或买，也都可以加入到这个网络里面来。进来的主体如果带了数据，我们就会使用区块链的技术帮其在特定技术环境内进行管理和控制，数据完全是主体方自持自管的，这是区块链的技术落在应用场景里面的一个直接的作用。第二个，数据的交互，不但可以实现数据的点对点交易，还能实现更高阶的可用不可见，此时就会用到隐私计算的技术。隐私计算技术基于一个分布式的体系，把分布在不同主体的多个数据源和模型进行联合计算，让数据和模型在安全的环境下能够交互得到计算的结果，数据方和模型方相互之间不可见，从而保护了各自的隐私。

4

Q4 人车纠纷此起彼伏，您认为智能化发展是不是必须要牺牲用户的隐私安全？应当如何协助车企快速检测威胁，保护敏感和个人隐私数据呢？

刘波：答案是不用且不能牺牲用户安全，智能化的发展不是必须牺牲用户的隐私安全的，可以进行很好的兼顾。第一点，政府相关单位在持续做好数据立法以及实施细则制定，让大家有法可依，同时行业机构也在不断输出各类标准规范，给到车企等参与方做行动指引，保护用户隐私就是这些工作的目标之一。第二点，要保护用户隐私、企业秘密乃至国家安全，还要做好数据的监管和审查。不仅界定数据权属、分类分级，还要在数据的审查审计中明确执行的主体和执行的标准。我相信，把上面的这些工作做好了，汽车的智能化发展和用户隐私安全就可以进行很好的兼顾。

作为高新技术和专精特新企业，我们协助车企和监管单位在车辆的日常使用中即轻量地完成数据存证，相对于海量的汽车，这里消耗的资源几乎可以忽略不计。当某辆车需要例行检测或发生事故需要分析原因，就可以提取明文数据按平台标准存证算法生成新的指纹，和已经存证的旧指纹比对，一致则说明该数据真实、完整，可供检测之用，否则数据不可信。这种技术赋能可信的做法，可有效解决多方纠纷中的数据可信问题，同时保护了政府监管单位的中立、客观和专业、权威。

5

Q5 零数科技是如何化解汽车安全风险，助力有关部门合规监管？请以实际案例说明一下

刘波：目前汽车数据安全方面的风险，都有一个前提，数据用什么方式存储存证的问题。一个数据，如果被很好的存证了，那后面的监管就会有据可查，责任认定也就有了可信数据做基础。

目前零数科技着力点在多个行业，包括工信、公安交管、交通、网信、通管、市场监督等行业，帮助提供汽车领域数据平台。数据平台在完成相应数据存储、存证、共享和交易的基础上，来支持更多应用场景的业务需求。其中最直接的案例是与中国汽车工业协会合作的‘汽车数据溯源与存证平台（ADTC）’，它面向车企提供公共服务，任何一家车企的任何一辆车都可以通过这个平台来进行数据存证。当发生了监管需求，或者说发生了事故责任界定的需求时，可以从车企调取相应时间点、时间段的某辆车的原始数据，按照标准的数据指纹的生成方式或者是哈希算法来算出这个新的指纹。拿新的指纹和之前已经存证的老的指纹进行比对，如果一致，证明相应的数据真实未篡改并且是完整的，就可以用于后面的监管和责任的界定。同时平台还提供了一套“三随机”的检测办法，以此实现从有限到无限、从具体到一般的检测目的。这个案例是我们已经在多地落实的一种典型操作方式，已被复用到国家级智能网联示范区当中，目前运行良好，并且存证车辆数即将突破百万辆。

6

Q6 当前，汽车安全合规监管存在哪些难题，请简单介绍下，对此你有什么期望

刘波：目前汽车安全合规监管方面，近年相应的法律法规、政策办法在快速补足，现在进入到法律、法规、规范、标准的落地执行中，比如2022年开始部分车企已在接受数据合规审查。在汽车数据安全合规方面，我看到的难题主要表现有：首先是规范系统的缺失，部分主体不管是监管单位还是被监管的企业，缺乏一些与法规制度相适配的数字化系统；其次是数据不可信，典型表现就是某品牌遇到刹车失灵质疑后，虽然拿出数据，但是却被指责数据造假，自己无法自证；再次多主体间数据规范和规则不统一，工作中需要大量的协调配合、数据转换对齐，这给各方带来很多工作量的消耗。比如说某些字段的定义、采集的频率、触发的机制不一致，导致成百上千的字段如果都去对应的话，需要耗费大量的精力；最后是监管单位中心化的系统架构中，数据由政府背书，在纠纷中会冲击政府公信力甚至造成不良影响。面对这些难题，我们在贡献技术方案和能力，并协同产业各方一起解决中。

关于期待，有很多，摘要提四点：

其一，监管和服务并举，政府和企业双向奔赴。相关部门在依法依规履行监管职责时，需要尊重数据产权，发挥技术特性不侵入企业生产系统，保护企业合法权益。同时，车企应严格合法合规经营，对正常监管要求积极配合，共同保护国家安全和用户个人隐私。

其二，适当统采统建，构筑智能网联数据底座。通过统建、统采的方式快速搭建规范统一的汽车数据基础设施，避免多地零散建设导致的重复投资和数据孤岛问题。以此基础设施面向整个行业提供标准化服务，这样既有标准也有服务，相应的部门单位可以直接使用，让相应数据被监管，数据的监管服务和产业的发展能够有机的协同起来。

其三：洞察基础逻辑，扎实落地真实应用。车联网推行多年，投资无数但尚未有真正的商业闭环场景出现。我们与其去争论完全自动驾驶是否真的存在、何日实现，不如在特定场景中发挥技术的力量，实现特定条件下的高阶自动驾驶，解决真实需求并以此实现商业价值。

其四：确保数据安全，鼓励数据应用变现。2023上海车展，拉开了车企的三年淘汰赛。一时间诸多车企不仅车难卖，而且利润被挤压，此时特别需要促进销售和创新收益点。而在当今的市场上，在数据资产、数据应用上做文章，是促进销售和创新收益点的正确打开方式。

在合规这一块，我们认为数据的安全至关重要，它影响到以上提到的各种应用场景的发挥。因此，零数科技打造了标准化的产品‘智能网联数据平台’，帮助车企、自动驾驶企业、零部件厂商等机构，能够完成数据的存储、存证、共享、交易等围绕数据的最主要的操作，这是我们为汽车数据合规提供的最核心的基础产品，也是我们认为数字世界里面的必备基础设施之一。智能网联产业前景广阔，期待与各方合作伙伴一道携手前进！