WO2022252226A1

WO2022252226A1 - 一种数据保护方法及车辆

Info

Publication number: WO2022252226A1
Application number: PCT/CN2021/098427
Authority: WO
Inventors: 尚瑜; 李江琪; 何召华; 金世晶; 耿峰; 曹建龙
Original assignee: 华为技术有限公司
Priority date: 2021-06-04
Filing date: 2021-06-04
Publication date: 2022-12-08
Also published as: CN117413269A; US20240095382A1; EP4339820A1

Abstract

一种数据保护方法及车辆，在该方法中：目标车辆可以接收第一配置文件，并根据第一配置文件，确定第一配置策略；该第一配置策路可以用于配置第一应用关联的用户数据的保护方式，进而目标车辆可以根据该第一配置策略对第一应用关联的用户数据执行第一操作(即保护操作)。如此，能够有效提升车辆的数据保护能力，实现了对第一应用关联的用户数据的保护，进而有效提升用户的体验。

Description

一种数据保护方法及车辆

技术领域

本申请涉及车联网技术领域，尤其涉及一种数据保护方法及车辆。

背景技术

随着汽车产业的不断发展，汽车的电动化、智能化、网联化以及共享化的不断深入，汽车的功能日趋复杂。相应的，智能汽车设置了大量传感器，这些传感器会获取大量的用户数据；并且智能汽车安装了大量应用软件，这些应用软件会使用用户数据，部分应用软件甚至会在未经用户授权的情况下收集或使用与其业务无关的用户数据，使得用户数据的安全性较低。

用户无法感知自身数据的采集情况及处理情况(例如，传输情况、存储情况等)，导致用户对智能汽车中的用户数据保护机制缺乏信任。而且，当前法律政策明确指出需要加强对用户的个人数据的保护力度，涉及使用用户个人数据的产品需要符合法律规范。

因此，如何提升智能汽车的数据保护能力，增强用户数据的安全性，并且使用户感知到自身数据的采集情况及处理情况，是亟需解决的问题。

发明内容

本申请提供一种数据保护方法及车辆，用以提升智能汽车的数据保护能力，增强用户数据的安全性，使用户能够感知到自身数据的采集情况和使用情况，提升用户体验。

第一方面，本申请实施例提供一种数据保护方法，该方法可以应用于目标车辆，在该方法中：目标车辆接收第一配置文件，并根据第一配置文件，确定第一配置策略，第一配置策略用于配置第一应用关联的用户数据的保护方式；目标车辆根据第一配置策略，执行第一操作。

应理解，第一应用可以是一个应用或者多个应用，本申请实施例不作具体的限定。

在本申请实施例中，目标车辆可以根据接收到的配置文件，确定相应的配置策略，进而目标车辆可以根据该配置策略对第一应用关联的用户数据执行相应的保护操作。如此，能够有效提升车辆的数据保护能力，实现了对第一应用关联的用户数据的保护，进而有效提升用户的体验。

其中，上述第一操作可以包括数据访问控制、数据存储安全控制、数据删除、数据传输安全控制等操作中的一种或多种。相应的，目标车辆可以实现对第一应用关联的用户数据的数据访问控制、数据存储安全控制、数据删除、数据传输安全控制等。

如此，从多个维度对第一应用关联的用户数据进行保护，有效满足用户对用户数据的保护需求，可以进一步提升用户体验。

在一种可能的设计中，第一配置文件可以包括配置信息，进而目标车辆获取当前用户关联的第一账号，并对第一账号进行认证，并在确定该第一账号认证通过之后，可以控制用户界面显示该配置信息。其中，第一账号可以是用户的手机号、驾驶证编号、人脸标识等信息，本申请实施例不作具体的限定。应理解，目标车辆对第一账号进行认证，可以识别出第一用户是否为合法用户，以及是否为车主用户。

在该设计中，目标车辆通过对当前用户的第一账号进行认证，既保证了对第一应用关联的用户数据进行授权操作的用户为合法用户，又使得后续可以区分不同合法用户对第一应用关联的用户数据的授权操作，有效降低用户对目标车辆中的应用越权管理操作，提高了目标车辆的安全性。

在一种可能的设计中，上述配置信息包括数据保护类型和/或数据保护方式，进而目标车辆根据第一配置文件，确定配置策略的过程可以是：目标车辆接收当前用户输入的第一指令；第一指令用于指示当前用户在数据保护类型中为第一应用关联的用户数据选择的第一数据保护类型，和/或，当前用户在数据保护方式中为第一应用关联的用户数据选择的第一数据保护方式；进而目标车辆可以根据第一数据保护类型和/或第一数据保护方式，确定第一配置策略。

需要说明的是，第一指令可以理解为当前用户对第一应用关联的用户数据的授权操作。也就是说，这里的授权操作是指当前用户在配置信息中的数据保护类型和/或数据保护方式中为第一应用关联的用户数据选择的第一数据保护类型和/或第一数据保护方式。其中，数据保护类型可以理解为第一应用关联的用户数据中需要进行保护的数据类型，例如，用户的语音数据、位置数据、图像数据等，这里不作具体的限制。数据保护方式可以理解为对第一应用关联的用户数据中的一种或多种数据类型的数据的访问控制、存储安全控制、删除设置、传输安全控制等信息。

在该设计中，目标车辆可以与当前用户进行交互，进而使得目标车辆可以根据用户的授权操作确定的第一数据保护类型和/或第一数据保护方式，确定第一配置策略。如此，用户参与到配置策略的制定过程，使得用户可以感知到自身数据的采集情况及处理情况，进而有效满足用户个性化的数据保护需求，进一步提升用户体验。

在一种可能的设计中，目标车辆检测到触发事件后，才控制用户界面显示上述配置信息；其中，触发事件可以是检测到第一次使用目标车辆的用户、目标车辆关联的一个或多个应用软件更新、第一应用关联的用户数据或第一应用关联的数据保护策略变更中的任一种。

在该设计中，目标车辆在检测到预设的触发事件时，就显示配置信息，使得用户可以实时更新对第一应用关联的用户数据的授权操作，进而使得第一应用关联的用户数据的数据保护方式可以动态变化，有效满足用户的数据保护需求。

在一种可能的设计中，目标车辆还可以获取当前用户的操作记录，生成当前用户的配置日志，配置日志用于更新第一配置文件。

在该设计中，目标车辆可以获取当前用户的操作记录，并生成配置日志，有助于后续优化第一配置文件，使得第一配置文件更加符合用户对第一应用关联的用户数据的保护需求，进而有效提升用户体验。

在一种可能的设计中，上述目标车辆可以接收当前用户的第二指令，并响应于第二指令，确定当前用户的第二配置文件(即当前用户的偏好配置)，并根据第二配置文件，确定第二配置策略；以及，基于第二配置策略，执行第二操作。应理解，第二操作可以是目标车辆对目标车辆中的一个或多个应用的数据访问控制、数据存储安全控制、数据删除、数据传输安全控制等操作，本申请不作具体的限定。

在该设计中，目标车辆可以接收当前用户的指令，并响应于该指令确定当前用户的偏好配置，进而目标车辆可以根据该偏好配置，生成新的配置策略，并根据新的配置策略执行相应的操作。如此，使得配置策略更加符合当前用户对自身数据的保护需求，进而有效提升用户体验。

在一种可能的设计中，目标车辆还可以接收当前用户用于指示删除第一应用关联的用户数据的第三指令，并响应于第三指令，删除第一应用关联的用户数据。应理解，这里删除的第一应用中关联的用户数据可以是第一应用关联的所有用户数据，也可以使得第一应用关联的特定类型的用户数据(例如，语音数据、位置数据、图像数据中的一种或多种)，本申请实施例不作具体的限定。

在该设计中，目标车辆中可以根据用户输入的指令，删除用户想要删除的数据。如此，有效满足用户对个人数据的管理需求，进一步提升用户体验。

在一种可能的设计中，目标车辆在检测到第一应用关联的用户数据的存储时长超出预设时长时，可以自动删除第一应用关联的用户数据。

在该设计中，目标车辆中检测到第一应用关联的用户数据的存储时长超出预设时长，自动删除第一应用关联的用户数据。如此，有效避免第一应用关联的用户数据被第一应用对应的第三方服务提供商非法留存，进一步强化了目标车辆的数据保护能力。

在一种可能的设计中，第一应用关联的用户数据包括多种类型的数据，目标车辆还可以确定出多种类型的用户数据中正在被第一应用使用的第一类用户数据，并将第一类用户数据以及第一应用的图标显示在用户界面中。

在该设计中，使得用户数据的使用情况可视化，用户可以清楚地知道自身数据的使用情况，有效提升用户的体验。

第二方面，本申请实施例还提供一种数据保护方法，该方法应用于中心控制器，该中心控制器包括中心控制器和代理控制器，该方法包括：中心控制器接收第一配置文件，并根据第一配置文件，确定第一配置策略，第一配置策略用于配置第一应用关联的用户数据的保护方式；中心控制器将第一配置策略发送至代理控制器，进而代理控制器可以根据第一配置策略，执行第一操作。应理解，第一应用可以是一个应用或者多个应用，本申请实施例不作具体的限定。

在本申请实施例中，中心控制器可以根据接收到的配置文件，确定相应的配置策略，进而代理控制器根据该配置策略对第一应用关联的用户数据执行相应的保护操作。如此，目标车辆中的中心控制器和代理控制器协同进行数据保护，能够有效提升车辆的数据保护能力，实现了对第一应用关联的用户数据的保护，进而有效提升用户的体验。

其中，上述第一操作可以包括数据访问控制、数据存储安全控制、数据删除、数据传输安全控制等操作中的一种或多种。相应的，代理控制器可以实现对第一应用关联的用户数据的数据访问控制、数据存储安全控制、数据删除、数据传输安全控制等。如此，从多个维度对第一应用关联的用户数据进行保护，有效满足用户的数据保护需求，可以进一步提升用户体验。

在一种可能的设计中，第一配置文件可以包括配置信息，进而中心控制器获取当前用户关联的第一账号，并对第一账号进行认证，并在确定该第一账号认证通过之后，可以控制用户界面显示该配置信息。其中，第一账号可以是用户的手机号、驾驶证编号、人脸标识等信息，本申请实施例不作具体的限定。应理解，中心控制器对第一账号进行认证，可以识别出第一用户是否为合法用户，以及是否为车主用户。

在该设计中，中心控制器通过对当前用户的第一账号进行认证，既保证了对第一应用关联的用户数据进行授权操作的用户为合法用户，又使得后续可以区分不同合法用户对第一应用关联的用户数据的授权操作，有效降低用户对中心控制器中的应用越权管理操作，提高了中心控制器的安全性。

在一种可能的设计中，上述配置信息包括数据保护类型和/或数据保护方式，进而中心控制器根据第一配置文件，确定配置策略的过程可以是：中心控制器接收当前用户输入的第一指令；第一指令用于指示当前用户在数据保护类型中为第一应用关联的用户数据选择的第一数据保护类型，和/或，当前用户在数据保护方式中为第一应用关联的用户数据选择的第一数据保护方式；进而中心控制器可以根据第一数据保护类型和/或第一数据保护方式，确定第一配置策略。

在该设计中，中心控制器可以与当前用户进行交互，进而使得中心控制器可以根据用户的授权操作确定的第一数据保护类型和/或第一数据保护方式，确定第一配置策略。如此，用户参与到配置策略的制定过程，使得用户可以感知到自身数据的采集情况及处理情况，进而有效满足用户个性化的数据保护需求，进一步提升用户体验。

在一种可能的设计中，中心控制器检测到触发事件后，才控制用户界面显示上述配置信息；其中，触发事件可以是检测到第一次使用中心控制器的用户、中心控制器关联的一个或多个应用软件更新、第一应用关联的用户数据或第一应用关联的数据保护策略变更中的任一种。

在该设计中，中心控制器在检测到预设的触发事件时，显示配置信息，使得用户可以实时更新对第一应用关联的用户数据的授权操作，进而使得第一应用关联的用户数据的数据保护方式可以动态变化，有效满足用户的数据保护需求。

在一种可能的设计中，中心控制器还可以获取当前用户的操作记录，生成当前用户的配置日志，配置日志用于更新第一配置文件。

在该设计中，中心控制器可以获取当前用户的操作记录，并生成配置日志，有助于后续优化第一配置文件，使得第一配置文件更加符合用户对第一应用关联的用户数据的保护需求，进而有效提升用户体验。

在一种可能的设计中，代理控制器关联第一应用；中心控制器接收当前用户的第二指令，响应于第二指令，确定当前用户的第二配置文件(即当前用户的偏好配置)，以及根据第二配置文件确定第二配置策略之后，可以将第二配置策略发送给代理控制器；代理控制器基于第二配置策略，执行第二操作。应理解，第二操作可以是代理控制器对目标车辆中的一个或多个应用的数据访问控制、数据存储安全控制、数据删除、数据传输安全控制等操作，本申请不作具体的限定。

在该设计中，中心控制器可以接收当前用户的指令，并响应于该指令确定当前用户的偏好配置，进而中心控制器可以根据该偏好配置，生成新的配置策略，并把新的配置策略发送至代理控制器，进而使得代理控制器根据新的配置策略执行相应的操作。如此，使得配置策略更加符合当前用户对自身数据的保护需求，进而有效提升用户体验。

在一种可能的设计中，中心控制器还可以接收当前用户的第三指令，并将第三指令发送给代理控制器；其中，第三指令用于指示删除第一应用关联的用户数据，进而代理控制器可以响应于第三指令，并删除第一应用关联的用户数据。应理解，这里删除的第一应用中关联的用户数据可以是第一应用关联的所有用户数据，也可以使得第一应用关联的特定类型的用户数据(例如，语音数据、位置数据、图像数据中的一种或多种)，本申请实施例不作具体的限定。

在该设计中，目标车辆中的代理控制器可以根据用户输入的指令，删除用户想要删除的数据。如此，有效满足用户对个人数据的管理需求，进一步提升用户体验。

在一种可能的设计中，中心控制器在检测到第一应用关联的用户数据的存储时长超出预设时长时，可以生成第四指令，并将第四指令发送给代理控制器；代理控制器根据第四指令，删除第一应用关联的用户数据。

在该设计中，目标车辆中的中心控制器检测到第一应用关联的用户数据的存储时长超出预设时长，控制代理控制器自动删除第一应用关联的用户数据。如此，有效避免第一应用关联的用户数据被第一应用对应的第三方服务提供商非法留存，进一步强化了目标车辆的数据保护能力。

在一种可能的设计中，第一应用关联的用户数据包括多种类型的数据，中心控制器还可以确定出多种类型的用户数据中正在被第一应用使用的第一类用户数据，将第一类用户数据以及第一应用的图标显示在用户界面中。

在该设计中，使得用户的个人数据的使用情况可视化，用户可以清楚地知道自身数据的使用情况，有效提升用户的体验。

第三方面，本申请实施例还提供一种数据保护方法，该方法应用于服务器，该方法包括：确定第一配置文件，并向目标车辆发送第一配置文件；其中，第一配置文件用于目标车辆确定第一配置策略，第一配置策略用于配置第一应用关联的用户数据的保护方式。应理解，该服务器可以是云服务器，也可以是第三方服务提供商的服务器，本申请实施例不作具体的限定。其中，第一应用可以是一个或多个应用，第一配置文件可以包括配置信息，配置信息包括数据保护类型和/或数据保护方式。

需要说明的是，该服务器在检测到第一配置文件更新时，可以自动将更新后的第一配置文件发送给目标车辆。

在一种可能的设计中，该服务器还可以接收当前用户的配置日志，根据配置日志更新第一配置文件；将更新后的第一配置文件发送给目标车辆，以使目标车辆更新第一配置策略。

第四方面，本申请实施例提供了一种数据保护装置。示例性的，该装置包括：

收发模块，用于接收第一配置文件；

处理模块，用于根据所述第一配置文件，确定第一配置策略，所述第一配置策略用于配置第一应用关联的用户数据的保护方式；以及根据所述第一配置策略，执行第一操作。

另外，在该方面中，数据保护装置其他可选的设计可参见上述第一方面的相关内容，此处不再详述。

上述第四方面中收发模块也可以为收发器，处理模块也可以为处理器，本申请实施例对此不做限定。

第五方面，本申请实施例提供了一种数据保护装置。示例性的，该装置包括：

处理模块，用于确定第一配置文件；

收发模块，用于向目标车辆发送所述第一配置文件；其中，所述第一配置文件用于所述目标车辆确定所述第一配置策略，所述第一配置策略用于配置第一应用关联的用户数据的保护方式。

另外，在该方面中，数据保护装置其他可选的设计可参见上述第三方面的相关内容，此处不再详述。

上述第五方面中收发模块也可以为收发器，处理模块也可以为处理器，本申请实施例对此不做限定。

第六方面，本申请实施例提供了一种车辆，该车辆可以包括处理器，所述处理器用于执行上述第一方面或第一方面可能的设计中任一所述的方法，或者，执行上述第二方面或第二方面可能的设计中任一所述的方法。

在一种可能的设计中，还包括存储器，用于存储计算机程序或指令。

在一种可能的设计中，还包括收发器，用于接收或发送信息。

第七方面，本申请实施例提供了一种服务器，该服务器包括处理器，所述处理器用于执行上述第二方面或第二方面可能的设计中任一所述的方法。

在一种可能的设计中，所述服务器为单服务器或由多个子服务器构成的服务器集群。

第八方面，本申请实施例提供了一种芯片系统，该芯片系统包括至少一个处理器，当程序指令在所述至少一个处理器中执行时，使得上述第一方面、第二方面以及上述第一方面或第二方面可选的设计中任一所述的方法得以实现。

在一种可能的设计中，该芯片系统还包括通信接口，所述通信接口用于输入或输出信息。

在一种可能的设计中，该芯片系统还包括存储器，该存储器通过通信接口耦合处理器，用于存储上述指令，以便处理器通过通信接口读取存储器中存储的所述指令。

在一种可能的设计中，上述处理器可以为处理电路，本申请对此不作限定。

第九方面，本申请实施例还提供了一种数据保护系统，该系统包括：

目标车辆，用于执行如第一方面或第一方面中任一项可能的设计中所述的方法；

服务器，用于执行如第三方面或第三方面中任一项可能的设计中所述的方法。

第十方面，本申请实施例还提供了一种包括指令的计算机程序产品，当其在上述目标车辆上运行时，以执行如上述第一方面或第一方面中任一项可能的设计所述的数据保护方法，或者，以执行如上述第二方面或第二方面中任一项可能的设计所述的数据保护方法；或者，当其在上述服务器上运行时，以执行如上述第三方面或第三方面中任一项可能的设计所述的数据保护方法。

第十一方面，本申请实施例提供一种计算机可读存储介质，该计算机可读存储介质存储有计算机程序，当计算机程序被运行时，实现如上述第一方面或第一方面中任一项可能的设计、第二方面或第二方面中任一项可能的设计、第二方面或第二方面中任一项可能的设计所述的数据保护方法。

上述第三方面至第十一方面的有益效果，具体请参照上述第一方面中相应设计可以达到的技术效果，这里不再重复赘述。

附图说明

图1为本申请实施例适用的场景示意图之一；

图2为本申请实施例适用的场景示意图之二；

图3A为本申请实施例提供的目标车辆的架构示意图之一；

图3B为本申请实施例提供的目标车辆的架构示意图之二；

图3C为本申请实施例提供的目标车辆的架构示意图之三；

图4为本申请实施例提供的一种数据保护方法的流程示意图；

图5A为本申请实施例提供的一种界面示意图之一；

图5B为本申请实施例提供的一种界面示意图之二；

图5C为本申请实施例提供的一种界面示意图之三；

图6为本申请实施例提供的另一种数据保护方法的流程示意图；

图7为本申请实施例提供的一种数据保护装置的结构示意图；

图8为本申请实施例提供的另一种数据保护装置的结构示意图。

具体实施方式

为了使本申请实施例的目的、技术方案和优点更加清楚，下面将结合附图对本申请实施例作进一步地描述。

本申请实施例中，“至少一个”是指一个或者多个，“至少两个”是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B的情况，其中A，B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a、b、或c中的至少一项(个)，可以表示：a，b，c，a和b，a和c，b和c，或a、b和c，其中a，b，c可以是单个，也可以是多个。

本申请实施例提及“第一”、“第二”等序数词是用于对多个对象进行区分，不用于限定多个对象的大小、形状、内容、顺序、时序、优先级或者重要程度等。例如，第一指令和第二指令，只是为了区分不同的指令，而并不是表示这指令的优先级或者重要程度等的不同。

目前，智能汽车设置了大量传感器，这些传感器会获取大量的用户数据；并且智能汽车安装了大量应用软件，这些应用软件会使用用户数据，部分应用软件甚至会在未经用户授权的情况下收集或使用与其业务无关的用户数据，使得用户数据的安全性较低。

然而，用户无法感知自身数据的采集情况及处理情况(例如，传输情况、存储情况等)，导致用户对智能汽车中的用户数据保护缺乏信任。尤其是，智能汽车获取到用户数据之后，将用户数据传输到第三方服务提供商；若第三方服务提供商和车企有可能将用户数据泄露出去，可能给用户造成经济损失；若有非法人员利用用户数据，远程操控智能汽车，会对用户的生命安全造成威胁。并且，智能汽车获取到用户数据之后，仅将用户数据保存在本地，不将用户数据上传至第三方服务提供商，也存在用户数据泄露的风险。例如，在微修场景中，维修人员以私人目的擅自导出智能汽车中的用户数据。

因此，如何提升智能汽车的数据保护能力，使用户感知到自身的数据采集情况及处理情况，降低用户数据的泄露风险，以提升用户体验，是亟需解决的问题。

为了解决上述技术问题，本申请实施例提供一种数据保护方法，该方法可以应用于目标车辆，该目标车辆可以根据接收到的第一配置文件，确定出第一配置策略，进而目标车辆可以根据该第一配置策略，配置第一应用关联的用户数据的保护方式，并执行相应的保护操作。如此，能够有效提升车辆的数据保护能力，实现了对第一应用关联的用户数据的保护，进而有效提升用户的体验。

应理解，本申请实施例提供的数据保护方法应用于目标车辆，具体可以是应用于具有数据保护功能的车辆，或者应用于具有数据保护功能的车辆中的部件，车辆中的部件包括但不限于：车载终端、车载控制器、车载模块、车载模组、车载部件、车载芯片、车载单元、车载雷达或车载摄像头等其他传感器，车辆可通过该车载终端、车载控制器、车载模块、车载模组、车载部件、车载芯片、车载单元、车载雷达或摄像头来实施本申请提供的数据保护方法。

在详细介绍本申请实施例提供的技术方案之前，首先对本申请实施例所适用的系统架构进行介绍。

图1示出了本申请实施例适用的场景示意图之一，在图1所示的数据保护系统的架构中包括至少一辆车辆以及服务器100。其中，在图1中以n辆车辆示出，分别为车辆1、车辆2……车辆n，n为大于或者等于2的整数。其中，n辆车辆中任一辆车辆均可以作为目标车辆，图1中以车辆1作为目标车辆为例。

其中，服务器100可以是原设备制造商(original equipment manufacturer，OEM)自己的云服务器，也可以是第三方服务提供商(例如提供语音娱乐服务的服务商)的服务器，本申请实施例不作具体的限定。其中，所述服务器为单服务器或由多个子服务器构成的服务器集群，这里不作具体的限制。

在一种可能的实施方式中，服务器100可以确定第一配置文件，并向目标车辆发送第一配置文件；进而目标车辆(即车辆1)可以根据接收到的第一配置文件，确定第一配置策略，并根据该第一配置策略，执行第一操作(即配置第一应用关联的用户数据的保护方式)。

应理解，第一配置文件可以是由OEM工程师上传至服务器100的。本申请实施例中，第一配置文件可以包括配置信息，该配置信息可以包括数据保护类型和/或数据保护方式。其中，数据保护类型可以理解为第一应用关联的用户数据中需要进行保护的数据类型，例如，用户的语音数据、位置数据、图像数据等，这里不作具体的限制。其中，数据保护方式可以理解为对第一应用关联的用户数据中的一种或多种数据类型的数据的访问控制、存储安全控制、删除设置、传输安全控制等。

在一种可能的设计中，服务器100还可以接收当前用户的配置日志，根据配置日志更新第一配置文件，以及将更新后的第一配置文件发送给目标车辆(即车辆1)；进而目标车辆(即车辆1)可以根据接收到的配置文件，更新第一配置策略，并根据该更新后的第一配置策略，执行相应的操作(即重新配置第一应用关联的用户数据的保护方式)。

需要说明的是，本申请实施例提供的数据保护方法可以适用于传统中央网关型车载域控制器架构，也可以适用于新型环网架构。其中，在传统中央网关型车载域控制器架构中，目标车辆设置了多个域控制器(例如，娱乐域控制器、自动驾驶域控制器等)，每个域控制器下挂载一个或多个电子控制单元(electronic control unit，ECU))；在新型环网架构中，弱化了域的概念，设置了一个整车控制域控制器(vehicle domain controller，VDC)，以及多个车辆识别节点(vehicle identification unit，VIU)，每个VIU挂载多个ECU。

本申请实施例提供的数据保护方法应用于传统中央网关型车载域控制器架构或新型环网架构时，可以通过目标车辆中的多个控制器协同实现用户数据的保护，可以进一步提升智能汽车的数据保护能力。

示例性的，请参见图2，图2示出了本申请实施例适用的场景示意图之二，在图2中，目标车辆(即车辆1)可以包括中心控制器101、代理控制器102和人机交互系统103、传感器104。

其中，中心控制器101可以用于接收第一配置文件，并根据第一配置文件，确定第一配置策略，以及将第一配置策略发送至代理控制器102。其中，第一配置策略可以用于配置第一应用关联的用户数据的保护方式。中心控制器101可以是设置于目标车辆内的具备较强的计算能力的控制器，具体由处理器实现，处理器包括中央处理器(central processing unit，CPU)或者具备处理功能的设备或模块。

其中，代理控制器102与第一应用关联，进而代理控制器102可以用于从中心控制器101接收第一配置策略，并根据第一配置策略，执行第一操作，实现对第一应用关联的用户数据进行相应的保护。其中，第一操作包括但不限于对第一应用关联的用户数据的数据访问控制、数据存储安全控制、数据删除、数据传输安全控制中的一种或多种。需要说明的是，代理控制器102与第一应用关联可以理解为代理控制器102为预配置的用于执行与第一应用相关联的业务操作及数据保护操作。

其中，人机交互系统103用于提供目标车辆与用户进行交互的音视频方式，可以用于获取用户对第一应用关联的用户数据的授权操作，并将该授权操作对应的指令信息传递给中心控制器101。

其中，传感器104可以包括以下设备中的一种或多种：至少一个毫米波雷达1041、至少一个激光雷达1042、至少一个相机1043。其中，毫米波雷达1041和激光雷达1042可以用于采集目标车辆周围的环境数据，并将该环境数据发送至中心控制器101或者代理控制器102；相机1043可以用于采集目标车辆周围的图像数据或者目标车辆内的用户的图像数据，并将该图像数据发送至中心控制器101或者代理控制器102。

基于图2中所示的数据保护系统，目标车辆中的中心控制器101可以从服务器100接收第一配置文件，并根据第一配置文件，确定第一配置策略，并将第一配置策略发送至代理控制器102，代理控制器102根据第一配置策略，执行第一操作(即对第一应用关联的用户数据的保护操作)。如此，目标车辆中的多个控制器协同进行数据保护，可以有效提高智能汽车的数据保护能力，从而提升用户体验。

应理解，车辆2和车辆3进行数据保护的方法与车辆1进行数据保护的方法类似，可以相互参见，这里不再赘述。

下面结合具体的示例，说明中心控制器101和代理控制器102的具体实现。

示例1，当目标车辆的架构为图3A所示的传统中央网关型车载域控制器架构时，且第一应用为地图导航软件时，中心控制器101可以是智能座舱域控制器(cockpit domain controller，CDC)，代理控制器102可以是远程信息处理器(telematics BOX，TBOX)。

示例2，当目标车辆的架构为图3B所示的新型环网架构时，且第一应用为地图导航软件时，中心控制器101可以是VDC，代理控制器102可以是CDC或VIU或多域控制器(multi domain controller，MDC)。

需要说明的是，目标车辆中的中心控制器和代理控制器均可以有一个或多个，本申请实施例不作具体的限定。

示例3，请参见图3C，该目标车辆中设置了中心控制器1(即VDC)、中心控制器2(即MDC)和中心控制器3(即VDC)，以及多个代理控制器。

其中，中心控制器1关联代理控制器1和代理控制器2，因而中心控制器1接收到配置文件1，并生成配置策略1后，可以将配置策略1下发给代理控制器1和代理控制器2，以使代理控制器1或代理控制器2执行相应的数据保护操作。

其中，中心控制器2关联代理控制器3和代理控制器4，因而中心控制器2接收到配置文件2，并生成配置策略2后，可以将配置策略2下发给代理控制器3和代理控制器4，以使代理控制器3或代理控制器4执行相应的数据保护操作。

其中，中心控制器3关联代理控制器3和代理控制器4，因而中心控制器2接收到配置文件3，并生成配置策略3后，可以将配置策略3下发给代理控制器3和代理控制器4，以使代理控制器3或代理控制器4执行相应的数据保护操作。

应理解，以上仅仅是对中心控制器和代理控制器的举例，并非限定，实际应用还会有更多的中心控制器和代理控制器。

以上介绍了本申请实施例适用的场景与架构，下面结合附图详细介绍本申请实施例提供的数据保护方法。

实施例1

请参见图4，图4为本申请实施例提供的一种数据保护方法的流程示意图，该方法可以应用于图1所示的场景中，该方法包括：

S401：目标车辆接收第一配置文件。

本申请实施例中，目标车辆可以从服务器接收第一配置文件，也可以从第三方服务器接收第一配置文件，本申请实施例不作具体限定。

S402：目标车辆根据第一配置文件，确定第一配置策略。

本申请实施例中，该第一配置策略用于配置第一应用关联的用户数据的保护方式。

其中，第一应用可以为目标车辆中安装的一个或多个应用，例如第一应用可以为地图导航应用，可以为车载中控娱乐应用，还可以为车载通讯模块系统应用等，本申请实施例对第一应用的具体类型并不限定。

其中，第一应用关联的用户数据可以是一种或多种类型的用户数据，例如，可以是第一应用关联的位置数据，还可以是第一应用关联的位置数据和语音数据，也可以是第一应用关联的位置数据、语音数据和图像数据。本申请实施例不作具体的限定。

本申请实施例中，第一配置文件可以包括配置信息，该配置信息可以包括数据保护类型和/或数据保护方式。其中，数据保护类型可以理解为第一应用关联的用户数据中需要进行保护的数据类型，例如，用户的语音数据、位置数据、图像数据等，这里不作具体的限制。数据保护方式可以理解为对第一应用关联的用户数据中的一种或多种类型的数据的访问控制、存储安全控制、删除设置、传输安全控制等。

为了保证对第一应用关联的用户数据进行授权操作的用户为合法用户。在一种可能的实施方式中，在目标车辆确定第一配置策略之前，目标车辆可以获取当前用户关联的第一账号，并对第一账号进行认证，并在确定第一账号认证通过时，控制用户界面显示上述配置信息，若第一账号未认证通过，则不显示上述配置信息。如此，目标车辆通过对当前用户的第一账号进行认证，既保证了对第一应用关联的用户数据进行授权操作的用户为合法用户，又可以区分不同合法用户对第一应用关联的用户数据的授权操作，有效减少非法用户对目标车辆中的应用越权管理操作，提高目标车辆的安全性。

应理解，当前用户关联的第一账号可以是用户的手机号、用户的驾驶证件编号、用户的人脸标识等，本申请实施例不作具体的限定。本申请实施例中涉及的用户界面可以由图1中的人机交互系统103实现。

可选的，上述配置信息中的数据保护方式还可以理解为对第一应用关联的用户数据的保护模式，例如车主模式、访客模式。其中，在车主模式下，目标车辆内涉及的第一应用关联的用户数据的数据保护类型和数据保护方式是根据车主的偏好设置的；在访客模式下，目标车辆内涉及的第一应用关联的用户数据的数据保护类型和数据保护方式是默认设置的。相应的，目标车辆在对当前用户关联的第一账号进行认证时，若确认当前用户为车主，则控制用户界面显示车主模式，若确认当前用户不是车主，则控制用户界面显示访客模式。如此，针对不同类型的用户显示不同的配置信息，使得用户更容易配置自己想要的数据保护方式，进一步提升用户体验。

可选的，车主模式还可以包括第一模式、第二模式。也就是说，用户可以根据自己的喜好设置第一模式、和第二模式。例如，在第一模式下，目标车辆禁止所有应用访问用户的图像数据；在第二模式下，目标车辆允许部分应用访问用户的图像数据。

当然在实际应用中，车主模式可以包括更多的模式，这里不再一一举例。访客模式也可以包括多种模式。

需要说明的是，目标车辆根据第一配置文件，确定第一配置策略的过程，有多种实施方式，包括但不限于以下方式：

实施方式1，目标车辆根据第一配置文件，自动生成确定第一配置策略。

示例性的，若目标车辆在预设时长内，未检测到当前用户进行任何的授权操作，则目标车辆可以获取该用户上一次使用第一应用时对第一应用关联的用户数据的授权操作，并结合第一配置文件，自动生成第一配置策略。

在实施方式1中，有效保证配置策略的生成，使得目标车辆中的用户数据能够得到及时保护，有效提升用户体验。

实施方式2，目标车辆根据当前用户对第一应用关联的用户数据的授权操作，确定第一配置策略。

其中，当前用户对第一应用关联的用户数据的授权操作，可以是当前用户输入的相应指令，该指令可以是当前用户的语音指令，也可以是当前用户对用户界面的点击操作，本申请实施例不作具体限制。

示例性的，目标车辆在用户界面中显示出预设的数据保护类型和/或数据保护方式(即配置信息)，目标车辆通过用户界面接收当前用户输入的第一指令，并响应于第一指令确定出当前用户在预设的数据保护类型中为第一应用关联的用户数据选择的第一数据保护类型，和/或，在预设的数据保护方式中为第一应用关联的用户数据选择的第一数据保护方式；进而目标车辆根据第一数据保护类型和/或第一数据保护方式，确定第一配置策略。

在实施方式2中，用户参与到确定配置策略的过程中，使得目标车辆可以基于当前用户对第一应用关联的用户数据的授权操作，确定第一配置策略，使得用户可以感知自身数据的采集情况及处理情况，有效提升用户体验。

需要说明的是，在实施方式2中，用户界面显示的配置信息不同，目标车辆基于当前用户对第一应用关联的用户数据的授权操作，确定的第一配置策略也不同。以下结合具体的示例，进行说明。

示例1

请参见图5A，在图5A中，第一应用以地图导航软件为例，用户界面显示的配置信息中包括数据保护类型和预设的数据保护方式，该数据保护类型包括语音数据、位置数据、图像数据，预设的数据保护方式为访问控制。因此，用户可以选择是否让地图导航软件访问用户的语音数据、位置数据、图像数据。

如图5A所示，目标车辆响应于当前用户的授权操作后，将位置数据对应的访问控制的开关标识调整为开启状态，将图像数据和语音数据对应的访问控制的开关标识保持关闭状态，则目标车辆确定的第一配置策略为允许地图导航软件访问用户的位置数据，禁止地图导航软件访问用户的语音数据、图像数据。

示例2

请参见图5B，在图5B中，第一应用以地图导航软件为例，第一应用关联的用户数据以用户的位置数据为例，用户界面显示的配置信息中包括针对用户的位置数据的多种数据保护方式，该数据保护方式包括访问控制、存储安全控制、删除设置、传输安全控制。因此，用户可以为用户的位置数据设定一种或多种数据保护方式。

请继续参见图5B，在访问控制方式中，用户可以选择是否让地图导航软件访问用户的位置数据；在存储安全控制方式中，用户可以选择是否让用户的位置数据存储在目标车辆或者服务器；在删除设置方式中，用户可以选择到期删除用户的位置数据，或者，选择在与地图导航软件相关的业务结束后删除用户的位置数据；在传输安全控制方式中，用户可以选择是否让用户的位置数据传输至云服务器或者第三方服务器(即第三方服务提供商的服务器)。可选的，在传输安全控制方式中，用户还可以选择是否允许让用户的位置数据传输至其他车辆(图中未示出)。

请继续参见图5B，在图5B中，目标车辆响应于当前用户的授权操作后，将用户的位置数据对应的访问控制的开关标识调整为开启状态，确定用户选择将位置数据存储在目标车辆，并且确定用户选择到期删除用户的位置数据，以及禁止将用户的位置数据传输至云服务器、第三方服务器，则目标车辆确定的第一配置策略为允许地图导航软件访问用户的位置数据，用户的位置数据仅能存储在目标车辆，禁止传输到云服务器或第三方服务器，并且到期自动删除。可选的，在删除设置方式中，用户还可以设置位置数据存储的预设时长(图中未示出)。

示例3

请参见图5C，在图5C中，第一应用以地图导航软件为例，用户界面显示的配置信息中仅包括数据保护方式，并且当前用户认证为车主，则该数据保护方式为车主模式，用户界面中显示该车主模式包括的第一模式和第二模式；用户只需选择第一模式或第二模式，就可以完成第一应用关联的用户数据的授权。

请继续参见图5C，在图5C中，目标车辆响应于当前用户的授权操作后，确定当前用户选择了第二模式，则根据第二模式对应的信息(例如访问控制、传输安全控制、存储安全控制等信息)，确定第一配置策略。即目标车辆确定的第一配置策略为第二模式下预置的数据保护策略。

为了保证用户可以实时更新对第一应用关联的用户数据的授权操作，目标车辆在检测到触发事件后，还可以控制用户界面显示上述配置信息，进而用户可以实时更新对第一应用关联的用户数据的授权操作。其中，该触发事件可以包括检测到第一次使用目标车辆的用户、目标车辆关联的一个或多个应用软件更新、第一应用关联的用户数据或第一应用关联的数据保护策略变更中的任一种。

S403：目标车辆根据第一配置策略，执行第一操作。

本申请实施例中，第一操作包括但不限于对第一应用关联的用户数据的数据访问控制、数据存储安全控制、数据删除、数据传输安全控制中的一种或多种。以上只是举例，还可能存在其他第一操作，在此不再赘述。

举例来说，当第一操作为数据访问控制时，第一应用关联的用户数据为语音数据和图像数据，目标车辆执行第一操作具体可以是：禁止第一应用访问当前用户的语音数据和图像数据，或者，允许第一应用访问当前用户的语音数据和图像数据。

又例如，当第一操作为数据存储安全控制时，第一应用关联的用户数据为语音数据和图像数据，目标车辆执行第一操作具体可以是：允许将用户的语音数据和图像数据存储至目标车辆，禁止将用户的语音数据和图像数据存储至服务器。

又例如，当第一操作为数据删除控制时，第一应用关联的用户数据为语音数据和图像数据，目标车辆执行第一操作具体可以是：目标车辆可以在检测到用户的语音数据和图像数据的留存时长超出预设时长时，自动删除用户的语音数据和图像数据。

又例如，当第一操作为数据存储安全传输控制时，第一应用关联的用户数据为语音数据和图像数据，目标车辆执行第一操作具体可以是：禁止将用户的语音数据和图像数据发送至云服务器或第三方服务器或其他车辆。

需要说明的是，上述目标车辆还可以与用户进行多样化的交互，实现用户对自身数据的灵活控制。

在一种可能的实施例中，上述目标车辆还可以接收当前用户的第二指令；目标车辆响应于第二指令，可以确定当前用户的第二配置文件(即当前用户的偏好配置)；目标车辆可以根据第二配置文件，确定第二配置策略，并执行第二操作。其中，第二操作可以是目标车辆中的一个或多个应用关联的用户数据的数据访问控制、数据存储安全控制、数据删除、数据传输安全控制等，本申请不作具体的限定。示例性的，若第二指令指示禁止所有应用访问目标车辆中的WIFI网络，则目标车辆确定用户的偏好配置为禁止所有应用访问WIFI网络，则目标车辆执行的第二操作为禁止所有应用访问WIFI网络。如此，使得配置策略更加符合当前用户对自身数据的保护需求，进而有效提升用户体验。

在一种可能的实施例中，上述目标车辆还可以接收当前用户的第三指令，并响应于第三指令确定当前用户需要删除第一应用关联的用户数据，则目标车辆自动删除第一应用关联的用户数据。例如，用户可以输入指令，删除自己在一个月之内的位置数据。如此，用户可以灵活删除自己想要删除的数据，有效满足用户对个人数据的管理需求。

应理解，这里删除的第一应用中关联的用户数据可以是第一应用关联的所有用户数据，也可以使得第一应用关联的特定类型的用户数据(例如，语音数据、位置数据、图像数据中的一种或多种)，本申请实施例不作具体的限定。

在一种可能的实施例中，目标车辆检测到第一应用关联的用户数据的存储时长超出预设时长，则自动删除第一应用关联的用户数据。在该实施方式中，目标车辆中检测到第一应用关联的用户数据的存储时长超出预设时长，可以自动删除数据。如此，有效保护用户的个人数据，避免用户的个人数据被第三方服务提供商非法留存。

应理解，目标车辆在删除用户的数据之前，还需要检测整车的运行状态，在确定目标车辆处于未行驶状态时，才执行删除操作。

在一种可能的实施例中，目标车辆还获取当前用户的操作记录，生成当前用户的配置日志，配置日志用于更新第一配置文件。示例性的，第一配置文件中的配置信息包括车主模式、访客模式时，目标车辆可以基于该配置日志，调整车主模式、访客模式对应的信息(例如访问控制、传输安全控制、存储安全控制等信息)。如此，有效优化第一配置文件，进而使得根据第一配置文件确定的配置策路更加符合用户的数据保护需求。

在一种可能的实施例中，目标车辆还可以确定第一应用关联的多种用户数据中正在被使用的第一用户数据，将第一用户数据显示在用户界面中。示例性的，第一应用以地图导航软件为例，目标车辆检测到地图导航软件正在使用用户的位置数据，则将地图导航软件对应的图标显示在用户界面中。如此，使得用户的个人数据的使用情况可视化，进而有效提升用户的体验。

在图4所示的实施例中，目标车辆可以根据接收到的配置文件，确定出第一配置策略，进而目标车辆可以根据该第一配置策略，配置第一应用关联的用户数据的保护方式，并执行相应的操作。如此，能够有效提升车辆的数据保护能力，实现了对第一应用关联的用户数据的保护，进而有效提升用户的体验。

实施例2

请参见图6，图6为本申请实施例提供的另一种数据保护方法的流程示意图，该方法可以应用于图2所示的应用场景中，该方法包括：

S601：中心控制器接收第一配置文件。

本申请实施例中，中心控制器可以从服务器接收第一配置文件，也可以从第三方服务器接收第一配置文件，本申请实施例不作具体限定。

S602：中心控制器根据第一配置文件，确定第一配置策略。

其中，第一应用关联的用户数据可以是一种或多种类型的用户数据，例如，可以是第一应用关联的位置数据；又例如，第一应用关联的位置数据和语音数据，再例如，第一应用关联的位置数据、语音数据和图像数据。本申请实施例不作具体的限定。

本申请实施例中，第一配置文件可以包括配置信息，该配置信息可以包括数据保护类型和/或数据保护方式。其中，数据保护类型可以理解为第一应用关联的用户数据中需要进行保护的数据类型，例如，用户的语音数据、位置数据、图像数据等，这里不作具体的限制；数据保护方式可以理解为对第一应用关联的用户数据中的一种或多种数据类型的数据的访问控制、存储安全控制、删除设置、传输安全控制等。

为了保证对第一应用关联的用户数据进行授权操作的用户为合法用户。在一种可能的实施方式中，在中心控制器确定第一配置策略之前，中心控制器可以获取当前用户关联的第一账号，并对第一账号进行认证，并在确定第一账号认证通过时，控制用户界面显示上述配置信息，若第一账号未认证通过，则不显示上述配置信息。如此，中心控制器通过对当前用户的第一账号进行认证，既保证了对第一应用关联的用户数据进行授权操作的用户为合法用户，又可以区分不同合法用户对第一应用关联的用户数据的授权操作，有效避免非法用户对目标车辆中的应用越权管理操作，进而有效提高用户数据的安全性。

需要说明的是，S602中，中心控制器根据第一配置文件，确定第一配置策略的过程与S402中目标车辆根据第一配置文件，确定第一配置策略的过程类似，请参见前文，只需将“目标车辆”替换为“中心控制器”即可，这里不再赘述。

S603：中心控制器将第一配置策略发送至代理控制器，代理控制器接收第一配置策略。

示例性的，中心控制器为CDC，代理控制器为TBOX，CDC根据从服务器接收到的配置文件，确定了智能座舱应用关联的用户数据对应的配置策略，则将该策略发送至代理控制器。中心控制器和代理控制器也可以有不同的定义，本申请实施例对此不做限定。

S604：代理控制器根据第一配置策略，执行第一操作。

其中，本申请实施例中，第一操作包括但不限于对第一应用关联的用户数据的数据访问控制、数据存储安全控制、数据删除控制、数据传输安全控制中的一种或多种。以上只是举例，还可能存在其他第一操作，在此不再赘述。应理解，代理控制器关联第一应用，进而代理控制器可以根据第一配置策略，执行第一操作。例如，第一应用是智能座舱应用，则第一应用关联的代理控制器是MDC。

举例来说，当第一操作为数据访问控制时，第一应用关联的用户数据为语音数据和图像数据，代理控制器执行第一操作具体可以是：禁止第一应用访问当前用户的语音数据和图像数据，或者，允许第一应用访问当前用户的语音数据和图像数据。

又例如，当第一操作为数据存储安全控制时，第一应用关联的用户数据为语音数据和图像数据，代理控制器执行第一操作具体可以是：允许将用户的语音数据和图像数据存储至代理控制器，禁止将用户的语音数据和图像数据存储至服务器。

又例如，当第一操作为数据删除控制时，第一应用关联的用户数据为语音数据和图像数据，代理控制器执行第一操作具体可以是：代理控制器可以在检测到用户的语音数据和图像数据的留存时长超出预设时长时，自动删除用户的语音数据和图像数据。

又例如，当第一操作为数据存储安全传输控制时，第一应用关联的用户数据为语音数据和图像数据，代理控制器执行第一操作具体可以是：禁止将用户的语音数据和图像数据发送至云服务器或第三方服务器或其他车辆。

在一种可能的实施方式中，中心控制器可以接收当前用户的第二指令，并根据第二指令确定当前用户的第二配置文件(即当前用户的偏好配置)；中心控制器根据第二配置文件，确定第二配置策略，将第二配置策略发送给代理控制器；代理控制器基于第二配置策略，执行第二操作。其中，第二操作可以是代理控制器对一个或多个应用关联的用户数据的数据访问控制、数据存储安全控制、数据删除、数据传输安全控制等，本申请不作具体的限定。示例性的，若用户输入第二指令指示禁止所有应用访问目标车辆中的用户的图像数据，则中心控制器确定第二配置策略为禁止所有应用访问目标车辆中的用户的图像数据，并将该第二配置策略发送至代理控制器，代理控制器根据第二配置策略，将所有应用均设置为禁止访问用户的图像数据。如此，使得配置策略更加符合当前用户对自身数据的保护需求，进而有效提升用户体验。

在一种可能的实施方式中，中心控制器还可以接收当前用户的第三指令，并将第三指令发送给代理控制器；若第三指令用于指示删除第一应用关联的用户数据，代理控制器响应于第三指令，并删除第一应用关联的用户数据。如此，有效满足用户对个人数据的管理需求。应理解，这里删除的第一应用中关联的用户数据可以是第一应用关联的所有用户数据，也可以使得第一应用关联的特定类型的用户数据(例如，语音数据、位置数据、图像数据中的一种或多种)，本申请实施例不作具体的限定。

在一种可能的实施方式中，中心控制器检测到第一应用关联的用户数据的存储时长超出预设时长，生成第四指令，将第四指令发送给代理控制器；代理控制器根据第四指令，删除第一应用关联的用户数据。如此，有效降低第一应用关联的用户数据被第一应用对应的第三方服务提供商非法留存，进一步强化了目标车辆的数据保护能力。

应理解，上述第三指令和第四指令均为删除用户数据的指令，为保证数据删除操作不影响到目标车辆的正常运行，中心控制器在向代理控制器发送第三指令或第四指令之前，还需要检测整车的运行状态，在确定目标车辆处于未行驶状态时，才在向代理控制器发送第三指令或第四指令。

在一种可能的实施方式中，中心控制器还获取当前用户的操作记录，生成当前用户的配置日志，并将该配置日志方式发送至服务器，以使服务器根据该配置日志更新第一配置文件。如此，有效优化第一配置文件，进而使得第一配置文件更加符合用户对第一应用关联的用户数据的保护需求。

在一种可能的实施例中，中心控制器还可以确定第一应用关联的多种用户数据中正在被使用的第一用户数据，将第一用户数据显示在用户界面中。示例性的，第一应用以地图导航软件为例，中心控制器检测到地图导航软件正在使用用户的位置数据，则将地图导航软件对应的图标显示在用户界面中。如此，使得用户的个人数据的使用情况可视化，进而有效提升用户的体验。

在图6所示的实施例中，中心控制器可以根据接收到的配置文件，确定出第一配置策略，进而中心控制器可以根据该第一配置策略并发送至代理控制器，进而代理控制器配置第一应用关联的用户数据的保护方式，并执行相应的保护操作。如此，中心控制器和代理控制器协同实现对用户数据的保护，能够有效提升车辆的数据保护能力，进一步提升用户的体验。

图7示出了本申请上述实施例中所涉及的数据保护装置的一种可能的结构示意图，该装置700可以用于实现上述图4或图6所示任一实施例中的数据保护方法。

示例性的，装置700可以包括：

收发模块701，用于接收第一配置文件；

处理模块702，用于根据所述第一配置文件，确定第一配置策略，所述第一配置策略用于配置第一应用关联的用户数据的保护方式；以及根据所述第一配置策略，执行第一操作。

其中，在处理模块702划分为多个处理子模块时，装置700可以用于实现上述图6所示实施例中的数据保护方法，处理子模块可以是上述的中心控制器或代理控制器。

应理解，装置700其他可选的实施方式可参见上述图4或图6所示实施例的相关内容，此处不再详述。

图8示出了本申请上述实施例中所涉及的数据保护装置的一种可能的结构示意图，该装置800可以用于实现上述图1或图2中所示的服务器的功能。

示例性的，装置800可以包括：

处理模块801，用于确定第一配置文件；

收发模块802，用于向目标车辆发送所述第一配置文件；其中，所述第一配置文件用于所述目标车辆确定所述第一配置策略，所述第一配置策略用于配置第一应用关联的用户数据的保护方式。

基于同一技术构思，本申请实施例还提供了一种车辆，该车辆可以包括处理器，所述处理器用于执行上述图4或图6所示实施例中所述的数据保护方法。

基于同一技术构思，本申请实施例还提供了一种服务器，该服务器包括处理器，所述处理器用于执行上述图1或图2中所示的服务器的功能，以实现本申请实施例提供的方法。

在一种可能的设计中，所述服务器为单服务器或由多个子服务器构成的服务器集群，当所述服务器为由多个子服务器构成的服务器集群时，所述多个子服务器联合执行上述图1或图2中所示的服务器的功能。

本申请实施例还提供了一种芯片系统，该芯片系统包括至少一个处理器，当程序指令在所述至少一个处理器中执行时，使得上述图4或图6所示实施例中所述的数据保护方法得以实现。

示例性的，处理器可以是中央处理单元(Central Processing Unit，CPU)，还可以是其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

应理解，本申请实施例中提及的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(Read-Only Memory，ROM)、可编程只读存储器(Programmable ROM，PROM)、可擦除可编程只读存储器(Erasable PROM，EPROM)、电可擦除可编程只读存储器(Electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(Static RAM，SRAM)、动态随机存取存储器(Dynamic RAM，DRAM)、同步动态随机存取存储器(Synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data Eate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM，DR RAM)。

需要说明的是，当处理器为通用处理器、DSP、ASIC、FPGA或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件时，存储器(存储模块)可以集成在处理器中。

应注意，本文描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

本申请实施例还提供了一种包括指令的计算机程序产品，当其在上述装置上运行时，以执行如上述图4或图6所示实施例中所述的数据保护方法。

本申请实施例提供一种计算机可读存储介质，该计算机可读存储介质存储有计算机程序，当计算机程序被运行时，实现如上述图4或图6所示实施例中所述的数据保护方法。

上述各实施例可以相互结合以实现不同的技术效果。

通过以上的实施方式的描述，所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个装置，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是一个物理单元或多个物理单元，即可以位于一个地方，或者也可以分布到多个不同地方。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个可读取存储介质中。基于这样的理解，本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该软件产品存储在一个存储介质中，包括若干指令用以使得一个设备(可以是单片机，芯片等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。以上所述，仅为本申请实施例的具体实施方式，但本申请实施例的保护范围并不局限于此，任何在本申请揭露的技术范围内的变化或替换，都应涵盖在本申请实施例的保护范围之内。因此，本申请实施例的保护范围应以所述权利要求的保护范围为准。

Claims

一种数据保护方法，其特征在于，应用于目标车辆，所述方法包括：

接收第一配置文件；

根据所述第一配置文件，确定第一配置策略，所述第一配置策略用于配置第一应用关联的用户数据的保护方式；

根据所述第一配置策略，执行第一操作。
如权利要求1所述的方法，其特征在于，所述第一操作包括数据访问控制、数据存储安全控制、数据删除、数据传输安全控制中的一种或多种。
如权利要求1或2所述的方法，其特征在于，所述第一配置文件包括配置信息；所述方法还包括：

获取当前用户关联的第一账号，并对所述第一账号进行认证；

确定所述第一账号认证通过，控制用户界面显示所述配置信息。
如权利要求3所述的方法，其特征在于，所述配置信息包括数据保护类型和/或数据保护方式；所述根据所述第一配置文件，确定配置策略，包括：

接收所述当前用户输入的第一指令；所述第一指令用于指示所述当前用户在所述数据保护类型中为所述第一应用关联的用户数据选择的第一数据保护类型，和/或，所述当前用户在所述数据保护方式中为所述第一应用关联的用户数据选择的第一数据保护方式；

根据所述第一数据保护类型和/或所述第一数据保护方式，确定所述第一配置策略。
如权利要求3或4所述的方法，其特征在于，所述控制用户界面显示所述配置信息，包括：

检测到触发事件后，控制所述用户界面显示所述配置信息；

其中，所述触发事件包括检测到第一次使用所述目标车辆的用户、所述目标车辆关联的一个或多个应用软件更新、所述第一应用关联的用户数据或所述第一应用关联的数据保护策略变更中的任一种。
如权利要求3-5任一项所述的方法，其特征在于，所述方法还包括：

获取所述当前用户的操作记录，生成所述当前用户的配置日志，所述配置日志用于更新所述第一配置文件。
如权利要求3-6任一项所述的方法，其特征在于，所述目标车辆包括中心控制器和代理控制器，所述代理控制器关联所述第一应用；所述方法还包括：

所述中心控制器接收所述当前用户的第二指令；其中，所述第二指令用于指示确定所述当前用户的第二配置文件，所述第二配置文件为所述当前用户的偏好配置；

所述中心控制器根据所述第二配置文件，确定第二配置策略，将所述第二配置策略发送给所述代理控制器；

所述代理控制器基于所述第二配置策略，执行第二操作。
如权利要求7所述的方法，其特征在于，所述方法还包括：

所述中心控制器接收所述当前用户的第三指令；其中，所述第三指令用于指示删除所述第一应用关联的用户数据；

所述中心控制器将所述第三指令发送给所述代理控制器；

所述代理控制器响应于所述第三指令，并删除所述第一应用关联的用户数据。
如权利要求7所述的方法，其特征在于，所述方法还包括：

所述中心控制器检测到所述第一应用关联的用户数据的存储时长超出预设时长，生成第四指令，将所述第四指令发送给所述代理控制器；

所述代理控制器根据所述第四指令，删除所述第一应用关联的用户数据。
一种数据保护方法，其特征在于，应用于服务器，所述方法包括：

确定第一配置文件；向目标车辆发送所述第一配置文件；其中，所述第一配置文件用于所述目标车辆确定所述第一配置策略，所述第一配置策略用于配置第一应用关联的用户数据的保护方式。
如权利要求10所述的方法，其特征在于，所述方法还包括：

接收当前用户的配置日志，根据所述配置日志更新所述第一配置文件；

将所述更新后的第一配置文件发送给所述目标车辆，以使所述目标车辆更新所述第一配置策略。
一种数据保护装置，其特征在于，包括：

收发模块，用于接收第一配置文件；

处理模块，用于根据所述第一配置文件，确定第一配置策略，所述第一配置策略用于配置第一应用关联的用户数据的保护方式；以及根据所述第一配置策略，执行第一操作。
一种数据保护装置，其特征在于，包括：

处理模块，用于确定第一配置文件；

收发模块，用于向目标车辆发送所述第一配置文件；其中，所述第一配置文件用于所述目标车辆确定所述第一配置策略，所述第一配置策略用于配置第一应用关联的用户数据的保护方式。
一种目标车辆，其特征在于，包括处理器，所述处理器用于执行上述权利要求1至9中任一项所述的方法。
一种服务器，其特征在于，包括处理器，所述处理器用于执行上述权利要求10至11中任一项所述的方法。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机程序，当所述计算机程序被运行时，实现如上述权利要求1-9或权利要求10-11中任一项所述的方法。
一种芯片，其特征在于，包括处理器和通信接口，所述通信接口用于输入或输出信息；所述处理器用于读取指令以执行权利要求1-9或权利要求10-11中任一项所述的方法。
一种数据保护系统，其特征在于，包括：

目标车辆，用于执行权利要求1-9中任一项所述的方法；

服务器，用于执行权利要求10-11中任一项所述的方法。