郭弘:智能网联汽车数据取证技术探析

2021年6月17日-19日,由中国汽车工业协会主办的第11届中国汽车论坛在上海嘉定举办。站在新五年起点上,本届论坛以“新起点 新战略 新格局——推动汽车产业高质量发展”为主题,设置“1场闭门峰会+1个大会论坛+2个中外论坛+12个主题论坛”,全面集聚政府主管领导、全球汽车企业领袖、汽车行业精英,共商汽车强国大计,落实国家提出的“碳达峰、碳中和”战略目标要求,助力构建“双循环”新发展格局。其中,在6月19日下午举办的主题论坛“智能网联汽车产业发展与安全论坛”上,司法鉴定科学研究院副主任郭弘发表了主题演讲。以下内容为现场演讲实录:

各位领导、各位专家,下午好,首先非常感谢潘主任邀请,到这儿就智能网联汽车的电子数据取证,给大家做一个交流。

我首先回应一下朱老师的问题,关于智能驾驶究竟是天使还是魔鬼,现在我们碰到交通事故,经常分析这个事故是由于人的原因造成的还是车辆原因造成的。比如最近特斯拉系列案件大家非常关注,对于上海车展的群众维权,大家都想了解到底怎么造成的事故,特斯拉到底有没,成为纠纷事实认定的关键。

我们知道现在全球汽车是往联网化、智能化包括无人驾驶方向发展,涉及智能汽车的安全也是越来越多的引起大家的关注。大家从图上可以看到,我们国家智能汽车保有量已经到了全球第一,我们国家也是智能网联汽车发展的重要受益者。随着电动汽车(多是智能汽车)市场份额的不断扩大,智能网联汽车取证的研究,引起法律界与计算机取证界的重点关注。

随着汽车产业向着网联化方向的不断发展,车辆本身已从封闭的系统变成了开放的系统,成为像手机一样的智能终端设备,目前,我们汽车已经实现了很多智能手机的功能,比如像发短信、打电话。当汽车成为网络空间的一个组成部分,就会像其他任何联网的电子设备和计算机系统一样,成为黑客攻击的目标,面临严峻的网络安全挑战。我去年参加过一个关于互联网安全的大会,这个大会上,与会代表向我们演示了怎样对汽车进行网络攻击,控制汽车。因此,当汽车成为网络空间的一个组成部分,就会像其他任何联网的电子设备和计算机系统一样,成为黑客攻击的目标,面临严峻的网络安全挑战。

在特斯拉这块儿,大家也一直在攻击它的辅助驾驶是否安全,我们通过汽车取证技术也可以分析它里面的电子数据是否由于操作系统或者因为什么原因造成的车辆事故。

近几年,越来越多的执法事件都涉及到电子数据取证,电子数据是新时代的“证据之王”其收集提取和审查判断已成为司法实践活动中的基础性、普遍性工作。早期受到关注的案件我介绍一下,当年重庆万州公交车坠江案里面,公安机关从它的行驶记录仪里面,把关键数据提取出来,确认了当时为车辆坠江前的情况。前一阵子另外一个事件非常火,就是大连公园的交通事故,行驶人开着车迅速撞向行人,导致了重大安全事故。后来公安机关从车辆里面的行车记录仪、行驶记录仪还原了当时的情形。

此外,就是特斯拉最近的系列案件,最近有用户在上海维车展权的时候,就提出来,特斯拉提供给她的数据是经过加工的数据。事实上,特斯拉数据也是分好几部分,最近特斯拉也在做相应的鉴定,我们也在等待后续结果,希望能给公众做一个交代。

伴随着车辆保有量的不断增加,汽车已经成为继计算机、手机之后的第三大取证介质。车辆上存储的数据对于各类案件的侦破将发挥巨大作用。传统的交通事故的取证,绝大多数都是从痕迹的角度做。而智能网联汽车的取证,电子数据发挥了越来越重要的作用。

随着目前智能汽车不断发展,智能汽车里面有越来越多的数据可以还原它的真相,从2012年刑诉法,2012年的民诉法,2014年的行政诉讼法,把电子数据作为新的证据放进去以后,我们的电子数据也引起了越来越多的关注。在2020年5月29日我们和潘主任这边合作,发布了国内首个汽车电子数据取证标准《汽车电子数据检验技术规范》。这里同时介绍一下我们单位,我们是司法部直属的科研院所,我们单位主要职责是几个,行业指导,科学研究,疑难复杂案件的鉴定、行业标准规范的制定。所以我也希望在座的各位如果有兴趣的话,在智能网联汽车的数据取证这块,欢迎大家和我们合作,共同研究制定行业规范,规范取证工作。

这里介绍一下电子数据取证。因为如果是涉及到车辆电子数据取证,我们就必须要遵循电子数据取证的规则。目前,电子数据取证主要由公安机关和司法鉴定机构在做,在公安机关这边交通事故调查的时候,属于侦查阶段。侦查阶段的电子数据取证包括了现场勘验、网络数据提取、远程勘验和电子数据检查等,目前,我们在交通事故现场要做的就是现勘。但是涉及到智能网联汽车,这两年越来越多的数据在互联网上,这里面需要我们进行网络在线数据提取和远程勘验。

涉及到鉴定阶段,公安部和司法部鉴定进行了不同的分类,司法部对于鉴定分为了存在性鉴定,包括数据的提取、固定和恢复;电子数据的真实性鉴定,我解释一下真实性鉴定的场景,现在很多时候当公安机关拿到证据送检的时候,原告或者被告方会提出质疑,怀疑车辆里面的数据是不是经过修改,包括特斯拉提供的数据也是引起了质疑,用户提出了数据为什么和蔚来提供的数据不一样,蔚来的数据非常全,特斯拉就提供了就几列,所以真实性也是车辆数据鉴定重要的组成部分。还有功能性,车辆为什么造成事故的原因,是操作系统的问题,还是某一个部件出问题?这时候属于我们进行功能性鉴定。此外还有相似性鉴定,朱老师说了,现在汽车越来越多研发费用都投入在软件上面,软件上面可能涉及到抄袭问题,软件相似性的鉴定也是非常重要的组成部分。

公安机关鉴定实质上和司法一样,就是四个方向浓缩为三个方向,电子数据的提取、固定与恢复,还有电子数据真实性完整性鉴定,还有电子数据同一性性、相似性、功能性鉴定。

目前车辆取证数据模块主要针对传统汽车,分为几个:一个是信息导航娱乐系统,信息导航娱乐系统包含导航数据、通话记录等信息;电控模块,电控模块是车辆取证非常重要的数据来源。它里面包括了碰撞前前五秒的车速、发动机油门、加速踏板等;还有行车记录仪、智能后视镜、行驶记录仪等也包含了相当多的数据,当然这些主要是对传统汽车的取证。

在取证过程当中,除了遵循电子数据取证的规范之外,我们要注意,尤其是公安机关调查的时候,要注意车辆上某些数据可能是被覆盖,为什么呢?比如我们的行车记录仪跟SD卡有关,很多案件里面碰到,如果车辆撞了但是还通电的情况下,那这里面行车记录仪数据还是继续往里面写的,这其实也是给大家在座的各位,在涉及到车辆事故维权一个小tip。如果车辆碰撞了以后,行驶记录仪里面并非停止写入,它有可能继续往里面写,一旦被覆盖里面的数据可能就复原不了,我们行驶记录仪里面的数据也是随机写的。一旦数据被覆盖的,那基本没有复原的可能性,所以我们有些时候做行车记录仪的恢复,可以提取到关键几帧,那是属于运气好,关键几帧没有被覆盖,但是一旦被覆盖,神仙也救不了这个数据。

这里,简单介绍一下车辆取证的步骤。其实我们涉及到传统汽车取证还是分两部分,一部分是汽车能正常通电的状况下,暨没有撞毁的情况下,这时候我们把里面ECU数据等可以直接接入提取,但是有些情况下,车辆无法启动,我们就需要把模块拆下来,包括电控制单元、行车记录仪等。有些必须通过专门的只读设备,把数据做镜像以后做相应的提取和分析。

智能网联汽车和传统的汽车取证最大区别就是智能网联汽车包含了对网络数据取证,大家如果对特斯拉感兴趣,可以去特斯拉的官网看一下,它有一个网站可以上传EDR数据,特斯拉EDR提取模块在北美可以销售的,你可以用它直接把数据提取出来,上传到网站里面分析EDR数据。目前,包括蔚来以及其他的电动汽车,都在网络保存了相当一部分的数据。当然我们传统的汽车模块里面,也是有数据。还有,车辆可以和手机连接进行控制,因此在手机端也有相当多的数据可以提取。

时间有限,我介绍一下智能网联汽车提取过程,我就以特斯拉为例,特斯拉可以从几个地方取到数据:一个监控头,在model3配了一个U盘,哨兵模式下U盘里面有摄像数据。我们ECU模块里面可以取到对应的数据, EDR模块我们可以取到碰撞数据。通过对所有数据进行综合的分析,基本上可以还原车辆交通事故的实际情况。

现在车辆智能座舱都有操作系统的,目前操作系统主要是涉及像Linux和 Android。以前有WinCE的操作系统,目前基本已经没有了,特斯拉就是用的Linux操作系统。

未来对于车企、取证机构还有政府部门来说,将来要解决的有几个问题。第一个就是我们取证人员,我们要提升取证意识,因为我们现在的取证已经不同于传统的车辆取证,我们电子数据是有取证的规制在里面,在电子数据取证是以提取原始存储介质为原则。当然了,对于车辆取证,这个原则要适当放宽,因为车辆里面有时候无法对原始介质进行只读提取或者进行复制,这时候要采取同步的录音录像方式提取。

另外一点也是这次大家比较关心的,对于智能网联汽车的调证和取证配合,前面专家也说了,现在越来越多的外资汽车企业是把数据中心建在国内,这块儿将来就会涉及到调证问题。涉车类案件需要电子数据取证人员和传统物证取证人员对车辆现场进行有效的勘验。同时需要侦查人员、汽车厂家的协助配合。目前取证过程中,需要车企配合公安机关或者司法鉴定机构进行数据提取分析;对于调证,到底厂家需要给哪些数据,需要在法律层面进行规定。

智能网联汽车的数据取证属于新兴发展技术,我们也是在不断学习,不断进步,非常感谢大家,今后希望有机会多学习、多交流!

(注:本文根据现场速记整理,未经演讲嘉宾审阅)

报道 日程 顶部