Robotaxis: Безопасность поездок и приватность данных

Роботакси обеспечивают безопасность пассажиров, но что насчет их данных? В Лос-Анджелесе беспилотный автомобиль подъезжает к тротуару. Переднее сиденье пусто, водителя нет. Пассажир садится на заднее сиденье, и поездка начинается к месту назначения, указанному в приложении. Автомобиль, оснащенный камерами и датчиками, молча собирает информацию о маршруте, а возможно, даже записывает внешний вид и речь пассажира. По окончании поездки оплата автоматически списывается с сохраненной кредитной карты, и пассажиру предлагается оценить поездку. Куда же попадают все эти данные? Защищена ли конфиденциальность? Безопасны ли они?

Новое исследование международной группы экспертов по конфиденциальности выявило тревожную «слепую зону» в сборе данных роботакси. Несмотря на наличие хорошо разработанных методик для выявления рисков конфиденциальности, существует мало практических рекомендаций по выбору конкретных инструментов — технологий повышения конфиденциальности (PETs) — предназначенных для защиты данных.

Чтобы оценить текущее состояние области, исследователи применили три ведущих академических метода выбора PETs к реалистичным сценариям использования роботакси, отслеживая все этапы сбора данных: от бронирования до оплаты и последующего анализа. Их вывод был неутешительным: ни один из методов не предоставил достаточной поддержки для защиты конфиденциальной информации пассажиров.

Исследование, представленное на 20-м Международном семинаре по управлению конфиденциальностью данных (DPM), проходившем 25 сентября 2025 года в Тулузе, Франция, является совместной работой исследователей из Института информационных наук (ISI) Университета Южной Калифорнии (USC Viterbi), Университета Ульма, Bosch Research, Университета Галле-Виттенберга, Continental Automotive Technologies, Франкфуртского университета Гёте и Qualcomm Technologies.

«В конечном итоге мы сосредоточены на инженерии конфиденциальности», — сказал Дэвид Баленсон, заместитель директора отдела сетевой безопасности и кибербезопасности в ISI, участвовавший в проекте. «Именно этот вопрос объединил нас, а именно — то, что мы воспринимаем как пробел в методах выбора технологий повышения конфиденциальности».

Что такое PETs?

PETs охватывают широкий спектр инструментов, от широко известных, таких как шифрование и анонимизация, до передовых методов, таких как дифференциальная приватность, многосторонние блайнд-вычисления и гомоморфное шифрование. Их цель — обеспечить использование данных в законных целях, например, для маршрутизации автомобиля или обработки платежей, без излишнего раскрытия личной информации.

Предыдущие исследования команды были сосредоточены на выявлении угроз конфиденциальности и применении общих стратегий проектирования. Однако это последнее исследование затрагивает более сложный вопрос внедрения. «Вот где начинается реальная работа, когда вам нужно выбрать конкретные технологии», — сказал Баленсон. «Проблема в том, что существует так много PETs, как решить, какие из них использовать, а затем, как наилучшим образом внедрить и настроить их для реальной системы?»

И для пассажиров, как отметила соавтор Ала'а Аль-Момани из Университета Ульма, защита конфиденциальности может иметь скрытые издержки: «Каждая PET может повышать конфиденциальность с определенной точки зрения, но также может приводить к нежелательным последствиям для пользовательского опыта, таким как небольшие задержки, вызванные дополнительными вычислительными ресурсами».

Анализ современных методов выбора PETs

Команда протестировала три академических метода выбора PETs на реалистичном сценарии использования роботакси. Они смоделировали полный жизненный цикл поездки: создание учетной записи, бронирование, назначение автомобиля, саму поездку, оплату и анализ после поездки. Для каждого этапа они каталогизировали типы собираемых данных: от имен и данных кредитных карт до GPS-координат, записей с датчиков и даже аудиозаписей из салона. Затем они применили три подхода, чтобы определить, какие PETs лучше всего защитят эти данные. Параллельно они разработали собственный прагматичный метод, основанный на их коллективном опыте.

Исследование обобщило сильные и слабые стороны каждого подхода, но обнаружило, что все они выявили существенные ограничения. Некоторые методы основывались на излишне упрощенных предположениях о применимости технологий, в то время как другие рассматривали угрозы изолированно. Многие не учитывали взаимосвязанный характер современных систем, где решение по конфиденциальности, примененное к одному компоненту, может повлиять на другие.

Прагматичный подход команды оказался более эффективным на практике, но требовал экспертных знаний для эффективного применения, что является существенным недостатком для широкого распространения. «Модели угроз конфиденциальности зрелы, но методы выбора PETs отстают», — сказал Баленсон. «Без надежных методов для этого роботакси и другие сервисы на базе ИИ могут потерять доверие общественности. Инженерия конфиденциальности должна развиваться параллельно с автономными системами».

Исследовательская группа призывает к разработке более гибких, интегрированных и итеративных подходов к выбору PETs, по словам Баленсона. Они подчеркивают необходимость согласования инженерии конфиденциальности с нормативными требованиями и реальными ограничениями.

«Наша цель — заложить основу для надежных, ориентированных на конфиденциальность транспортных систем будущего», — сказал он. «В конечном счете, поддерживающий метод выбора правильной PET позволит архитекторам и инженерам роботакси разрабатывать автомобили с повышенной конфиденциальностью, которые безопасно перевозят пассажиров из точки А в точку Б, одновременно уважая их личную жизнь», — добавил Аль Момани.

«Проблема выбора PETs не ограничивается роботакси», — сказал соавтор Джонатан Пети из Qualcomm Technologies. «Мы призываем сообщество инженерии конфиденциальности разработать лучшие практики, которые поддерживают разработчиков во всех областях применения».