隨著新一代能源技術、物聯網技術、通訊技術和人工智能技術的發展，全球汽車行業開啟了向“電動化、智能化、網聯化、共享化”方向的轉型。數據成為驅動智能網聯汽車發展的重要因素，汽車數據安全的重要性日益凸顯。近期《數據安全法》《個人信息保護法》先后發布，結合2016年通過的《網絡安全法》和2020年通過的《網絡安全審查辦法》，國家在數據跨境傳輸安全方面的管理制度框架初步成型，而今年10月1日即將試行的《汽車數據安全管理若干規定（試行）》也為汽車數據出境做出了明確規制。在此背景下，CNCERT依托宏觀數據，聯合智聯出行研究院（ICMA）對15類主流車型近期的數據出境情況進行分析，結果如下。

　　一、 車輛識別碼等汽車數據大量出境

　　類似于身份證號是中國公民的唯一標識，車輛識別碼是汽車的唯一標識。共發現我國境內車輛識別碼通過網絡出境超過100萬次，按日統計情況如圖 1所示，單日最大出境規模近8.3萬次。

　　圖 1 車輛識別碼出境每日統計

　　結果顯示，從7月某日開始，每隔7天會有一次數據大量出境的情況。經過深入分析發現主要為境內某汽車城數據中心向位于境外的某電子商務服務公司數據中心傳送某品牌汽車數據，推測主要用于汽車銷售。除去集中大量傳輸的5天之外，平均每天傳輸次數仍達到7000次左右，整體上汽車數據出境量大、頻率高。

　　二、 汽車數據出境場景復雜多樣

　　發現存在汽車數據出境行為的境內IP地址45,638個，覆蓋境內全部31個省級行政區。不同應用場景下的IP地址數量和出境次數如圖 2所示（圖中“其他”包括CDN等情形）。

　　圖 2 不同應用場景下IP地址數量和汽車數據出境次數

　　家庭寬帶場景下的IP地址數量最多，達36,293個，但每個IP地址的汽車數據出境次數較少，推測主要為個人用戶的境外訪問行為；數據中心場景下的IP地址數量排在第二位，達5,838個，其汽車數據出境次數居于首位，達944,078次，但數據中心的責任主體難以溯源；企業專線IP地址有1,798個，排在第三位，每個IP地址的平均汽車數據出境次數達27次，僅次于數據中心，企業專線的IP地址一般由某一企業或組織機構獨享。針對企業專線場景，共發現可識別單位共791個。如圖 3所示，可識別單位類型涵蓋汽車銷售維修服務、汽車制造、物流及客運、政務、保險和產權交易等（圖中“其他”包括科研機構、銀行等情形）。整體來看汽車銷售維修服務類企業占比超過50 %。

　　圖 3 可識別責任主體類型分布

　　三、 汽車數據出境行為普遍存在

　　共分析15類品牌的汽車數據，其中有12類產生了出境行為，覆蓋率達80 %，其中排名第一的品牌出境次數達413,435次，具體情況如圖 4所示，整體來看，汽車數據出境并只不是某類汽車品牌的個別行為，而是涉及多類汽車品牌的普遍行為。

　　圖 4 出境汽車數據所屬的汽車品牌

　　四、 出境數據涉及個人信息和重要數據

　　分析發現，部分出境數據涉及了身份證號（行駛證號）、駕駛證檔案編號、車牌號、手機號/固話、地址、經緯度等個人信息和地理位置信息，具體情況如表 1所示。其中，身份證號和經緯度數據出境均超過1萬次。個人信息涉及到公民的個人隱私，地理位置信息涉及到汽車的行駛軌跡，它們與汽車數據結合可以還原駕駛人的身份和汽車信息，形成駕駛人畫像，再結合經緯度即可形成活動軌跡。

　　表 1 個人信息和地理位置信息出境情況

　　五、 結語

　　CNCERT和ICMA基于宏觀數據，從汽車數據出境次數、出境場景、出境品牌覆蓋度、重要數據出境行為等四個方面，對我國目前的汽車數據出境的態勢和特點進行了分析。CNCERT和ICMA將長期關注汽車數據出境安全問題，持續開展數據分析和態勢通報工作。