WO2023230760A1

WO2023230760A1 - 一种隐私保护方法、装置以及车辆

Info

Publication number: WO2023230760A1
Application number: PCT/CN2022/095958
Authority: WO
Inventors: 李江琪; 尚瑜
Original assignee: 华为技术有限公司
Priority date: 2022-05-30
Filing date: 2022-05-30
Publication date: 2023-12-07

Abstract

一种隐私保护方法、装置以及车辆，该方法包括：获取开启的隐私保护模式，所述隐私保护模式用于指示对应于第一业务类型的业务产生的数据能够在车辆的通信模块间通信；根据所述隐私保护模式，控制第一业务产生的数据在所述车辆的通信模块间通信，所述第一业务的业务类型为所述第一业务类型。通过该方法，能够针对特定类型的业务实现车内通信权限的权限管控，满足用户对于车内通信权限控制的个性化需求。

Description

一种隐私保护方法、装置以及车辆

技术领域

本申请实施例涉及智能车领域，并且更具体地，涉及一种隐私保护的方法、装置以及车辆。

背景技术

近年来，随着信息通信技术(information and communications technology，ICT)的高速发展,个人数据流动规模也逐渐扩大。在这样的背景下，用户的隐私保护被愈发的重视起来，相关的法律政策和技术标准也逐渐出台。

智能车作为近几年的重点发展领域，同样的存在着隐私保护问题。由于智能车领域具备着自身领域的独特特点，使得市场上现有的面向手机、计算机、云计算等领域的隐私保护技术无法直接应用到车辆。目前，大部分市面的智能网联车辆只能提供一个整车的隐私文案，不能提供可控的阅读说明文本。甚至车辆直接提供一些“功能开关”，用户关闭该功能开关则关闭整体业务或者权限对所有业务的使用。通过这些方式，一方面，不能保证用户的个人隐私数据不受侵犯，也无法满足用户对个人隐私保护的个性化需求。另外一方面，对于车辆而言，出于对车辆安全和用户人身安全的考虑，需要将部分数据强约束上报。因此，通过简单的断网、关闭权限对所有业务的使用的方式来保护用户隐私的方式亟需改进。

发明内容

本申请实施例提供一种隐私保护方法、装置以及车辆，能够针对特定类型业务实现特定权限的管控，满足用户对个人隐私保护的个性化需求。

第一方面，提供了一种隐私保护方法，该方法包括:获取开启的隐私保护模式，所述隐私保护模式用于指示对应于第一业务类型的业务产生的数据能够在车辆的通信模块间通信；根据所述隐私保护模式，控制第一业务产生的数据在所述车辆的通信模块间通信，所述第一业务的业务类型为所述第一业务类型。

其中，车辆开启对应的隐私保护模式可以采用多种方式。

一种可能的实现方式中，当车辆接收到用户的第一指示信息后，车辆可以开启对应的保护模式。该第一指示信息可以是用户的语音指令信息，例如，用户通过车载麦克风输入第一语音指令，车辆对用户发送的第一语音指令识别后，开启对应的隐私保护模式。

一种可能的实现方式中，用户可以在车载显示屏上进行点选，待车辆检测到用户的操作后，可以对输入操作进行识别，并将识别的结果和预设的结果进行匹配，匹配成功后车辆可以开启对应的隐私保护模式。例如，车辆预先建立第一选项和第一隐私保护模式的映射关系，用户在车辆的显示屏上点选第一选项，车辆识别用户的操作后确定与预设的点选第一选项操作相对应，此时，车辆可以开启第一选项对应的第一隐私保护模式。

一种可能的实现方式中，车辆可以基于隐私偏好配置文件快速的设置隐私保护模式。在隐私配置文件上可以规定一项或多项业务的一项或多项应用权限。当车辆检测到用户的隐私偏好后，车辆可根据隐私配置文件快速的设置并开启隐私保护模式。

其中，第一业务类型可以是第一业务的业务类型，第一业务类型的具体内容可以根据第一业务实际应用情况加以确定。例如，第一业务类型可以包括：法律法规业务或非法律法规业务。又例如，第一业务类型可以包括：法律法规业务、人身安全和车辆安全业务或增值体验业务中的一种。

应理解，车辆开启的隐私保护模式中除了可以用于指示对应于第一业务类型产生的数据能够在车辆的通信模块间通信外，还可以用于指示对应于某一业务类型的业务产生的数据不能够在车辆的通信模块间通信。

本申请实施例中，能够根据用户开启的隐私保护模式控制第一业务类型的业务产生的数据能够在车内的通信模块间通信。通过这样的方式，能够针对特定类型的业务实现特定的权限管控，满足用户对于车内通信权限控制的个性化需求。

结合第一方面，在第一方面的某些实现方式中，所述隐私保护模式还用于指示对应于第二业务类型的业务产生的数据能够储存在所述车辆中，所述方法还包括：根据所述隐私保护模式，将第二业务产生的数据保存在所述车辆中，所述第二业务的业务类型为所述第二业务类型。

其中，第二业务类型具体内容可以根据第二业务实际应用情况加以确定。例如，第二业务类型可以包括：法律法规业务或非法律法规业务。又例如，第二业务类型可以包括：法律法规业务、人身安全和车辆安全业务或增值体验业务中的一种。

应理解，车辆开启的隐私保护模式中除了可以用于指示对应于第二业务类型的业务产生的数据能够储存在车辆中以外，还可以用于指示对应于某一业务类型的业务产生的数据不能够储存在车辆中。

本申请实施例中，能够根据用户开启的隐私保护模式，将对应于第二业务类型的业务产生的数据存储在车辆中，通过这样的方式，对于不同类型的业务，能够实现差异化的权限管控，满足用户对不同类别的业务权限控制的个性化需求。

结合第一方面，在第一方面的某些实现方式中，所述隐私保护模式还用于指示对应于第三业务类型的业务产生的数据能够发送给外部设备，所述方法还包括：根据所述隐私保护模式，将第三业务产生的数据发送给所述外部设备，所述第三业务的业务类型为所述第三业务类型。

其中，外部设备可以是云服务器，其他设备或者其他车辆等。

本申请实施例中，能够根据用户的开启隐私保护模式，将第三业务类型产生的数据传出车辆，能够进一步针对不同类别的业务实现差异化的权限控制，满足用户对个人隐私保护的个性化需求。

结合第一方面，在第一方面的某些实现方式中，所述隐私保护模式还用于指示对应于第四业务类型的业务产生的数据不能够发送给外部设备，所述方法还包括：根据所述隐私保护模式，禁止第四业务产生的数据发送给所述外部设备，所述第四业务的类型为所述第四业务类型。

本申请实施例中，可以根据开启的隐私保护模式，使得对应于第三业务类型的产生数据能够传出车辆，对应于第四业务类型的业务产生数据不能够传出车辆。通过这样的方式，对于数据的出车权限能够实现细粒度管控，避免了现有技术中出车权限关闭后，该权限下对应的所有业务类型的业务产生的数据均不能发送给外部设备。

应理解，第三业务类型或第四业务类型的具体内容可以根据第三业务或第四业务实际应用情况加以确定。例如，第三业务类型或第四业务类型可以包括：法律法规业务或非法律法规业务。又例如，第三业务类型或第四业务类型可以包括：法律法规业务、人身安全和车辆安全业务或增值体验业务中的一种。

结合第一方面，在第一方面的某些实现方式中，所述第三业务类型为法律法规业务类型，所述第四业务类型为非法律法规业务类型。

本申请实施例中，可以根据开启的隐私保护模式，使得对应于法律法规相关业务产生的数据能够传出车辆发送给外部设备，非法律法规业务产生的数据不能够传出车辆发送给外部设备。通过这样的方式，解决了现有技术中缺乏极限保护隐私模式的问题，进一步满足了用户对个人隐私保护的个性化需求。

结合第一方面，在第一方面的某些实现方式中，所述根据所述隐私保护模式，控制第一业务产生的数据在所述车辆的通信模块间通信，包括:根据第一隐私偏好配置文件，控制第一业务产生的数据在所述车辆的通信模块间通信，其中，所述第一隐私偏好文件与所述隐私保护模式具有对应关系，所述第一隐私偏好配置文件用于指示所述第一业务与车内通信权限开启具有对应关系，所述车内通信权限为数据在所述车辆的通信模块间通信的权限。

结合第一方面，在第一方面的某些实现方式中，所述根据所述隐私保护模式，控制第一业务产生的数据在所述车辆的通信模块间通信，包括:获取所述隐私保护模式对应的第一隐私偏好配置文件，所述第一隐私偏好配置文件用于指示所述第一业务与车内通信权限开启具有对应关系，所述车内通信权限为数据在所述车辆的通信模块间通信的权限；根据所述第一隐私偏好配置文件，控制第一业务产生的数据在所述车辆的通信模块间通信。

本申请实施例中，针对特定类型的业务可以通过隐私配置文件快速实现对车内通信权限的权限管控，进一步满足用户对于车内通信权限控制的个性化需求。

结合第一方面，在第一方面的某些实现方式中，所述根据所述隐私保护模式将第三业务产生的数据发送给所述外部设备和所述根据所述隐私保护模式禁止第四业务产生的数据发送给所述外部设备，包括：根据第二隐私偏好配置文件，将第三业务产生的数据发送给所述外部设备，并禁止第四业务产生的数据发送给所述外部设备，其中，所述第二隐私偏好配置文件与所述隐私保护模式具有对应关系，所述第二隐私偏好配置文件用于指示所述第三业务与云车通信权限开启具有对应关系，所述第四业务与云车通信权限关闭具有对应关系，所述云车通信权限为数据发送给所述外部设备的权限。

结合第一方面，在第一方面的某些实现方式中，所述根据所述隐私保护模式将第三业务产生的数据发送给所述外部设备和所述根据所述隐私保护模式禁止第四业务产生的数据发送给所述外部设备，包括：获取所述隐私保护模式对应的第二隐私偏好配置文件，所述第二隐私偏好配置文件用于指示所述第三业务与云车通信权限开启具有对应关系，所述第四业务与云车通信权限关闭具有对应关系，所述云车通信权限为数据发送给所述外部设备的权限；根据所述第二隐私偏好配置文件，将第三业务产生的数据发送给所述外部设备，并禁止第四业务产生的数据发送给所述外部设备。

本申请实施例中，针对不同类型的业务，可以通过隐私配置文件快速的实现差异化的权限控制，避免了现有技术中出车权限关闭后，该权限下对应的所有业务类型的业务产生的数据均不能发送给外部设备，进一步实现差异化的权限管控。

结合第一方面，在第一方面的某些实现方式中，所述第一隐私偏好配置文件或所述第二隐私偏好配置文件包括：与所述隐私保护模式功能存在互斥的信息和/或本文信息，所述文本信息包括用于在人机交互界面所呈现的与所述第一隐私偏好配置文件或所述第二隐私偏好配置文件相关联的内容。

其中，与所述隐私保护模式存在功能互斥的信息可以用于描述隐私保护模式开启后，与该隐私保护模式对应的一些互斥功能不可用。例如，在根据第二隐私偏好配置文件禁止非法律法规业务类型数据发送给外部数据时，互斥的信息可以是用于描述宠物模式不可用的信息。文本信息可以用于描述隐私保护模式启用期间的效果，例如，文本信息用于描述法律法规业务类型的数据能够传出车辆，非法律法规业务类型的数据不能够传出车辆。

本申请实施例中，能够在隐私偏好配置文件中设置文本信息或者互斥信息，用于告知用户启动隐私保护模式的相关事项，能够提高用户的人机交互体验。

第二方面，提供了一种隐私保护方法，该方法包括：获取开启的隐私保护模式，所述隐私保护模式用于指示对应于第二业务类型的业务产生的数据能够储存在所述车辆中，根据所述隐私保护模式，将第二业务产生的数据保存在所述车辆中，所述第二业务的业务类型为所述第二业务类型。

本申请实施例中，能够根据用户开启的隐私保护模式控制第二业务类型的业务产生的数据能够存储在车辆中。通过这样的方式，能够针对特定类型的业务实现特定的权限管控，满足用户对于车辆数据存储权限控制的个性化需求。

第三方面，提供了一种隐私保护方法，该方法包括：获取开启的隐私保护模式，所述隐私保护模式用于指示对应于第三业务类型的业务产生的数据能够发送给外部设备，根据所述隐私保护模式，将第三业务产生的数据发送给所述外部设备，所述第三业务的业务类型为所述第三业务类型。

本申请实施例中，能够根据用户开启的隐私保护模式控制第三业务类型的业务产生的数据发送给外部设备。通过这样的方式，能够针对特定类型的业务实现特定的权限管控，满足用户对于车外通信权限控制的个性化需求。

第四方面，提供了一种隐私保护方法，该方法包括：获取车辆的隐私保护模式，所述隐私保护模式包括第一隐私保护模式、第二隐私保护模式、第三隐私保护模式中的至少一项；根据所述隐私保护模式，控制对应于所述车辆的业务数据的传输。

可选地，第一隐私保护模式至第三隐私保护模式的内容可以由原始设备制造商(originalequipment manufacturer，OEM)预先设定，OEM将设定好的隐私保护模式的选项呈现在车辆的显示屏上，用户可以在车辆的显示屏上进行点选，选择需要开启的隐私保护模式。

本申请实施例中，能够根据车辆的隐私保护模式控制车辆的业务数据进行传输，满足了用户对隐私保护的个性化需求。

结合第四方面，在第四方面的某些实现方式中，所述第一隐私保护模式用于指示对应于第一业务类型的第一业务数据是否能够在所述车辆的通信模块间通信；在所述第一隐私保护模式用于指示所述第一业务数据能够在所述车辆的通信模块间通信时，所述根据所述隐私保护模式，控制对应于所述车辆的业务数据的传输，包括：根据所述第一隐私保护模式，控制所述第一业务数据在所述车辆的通信模块间通信。

本申请实施例中，能够根据用户选择的第一隐私保护模式，控制第一业务数据在车辆的通信模块中通信，能够针对特定类型的业务实现特定的权限管控，满足用户对隐私保护的个性化需求。

结合第四方面，在第四方面的某些实现方式中，所述第二隐私保护模式用于指示对应于第二业务类型的第二业务数据是否能够储存在所述车辆中；在所述第二隐私保护模式指示所述第二业务数据能够储存在所述车辆中时，所述根据所述隐私保护模式，控制对应于所述车辆的业务数据的传输，包括：根据所述第二隐私保护模式，将所述第二业务数据保存在所述车辆中。

本申请实施例中，能够根据用户选择的第二隐私保护模式，将第二业务数据保存在车辆中，能够针对特定类型的业务实现特定的权限管控，进一步满足用户对隐私保护的个性化需求。

结合第四方面，在第四方面的某些实现方式中，所述第三隐私保护模式用于指示对应于第三业务类型的第三业务数据能够发送给外部设备，所述根据所述隐私保护模式，控制对应于所述车辆的业务数据的传输，包括：根据所述第三隐私保护模式，将所述第三业务数据发送给所述外部设备。

本申请实施例中，能够根据用户选择的第三隐私保护模式，将第三业务数据发送给外部设备，能够针对特定类型的业务实现特定的权限管控，进一步满足用户对隐私保护的个性化需求。

结合第四方面，在第四方面的某些实现方式中，所述第三业务类型为法律法规业务类型。

结合第四方面，在第四方面的某些实现方式中，所述第三隐私保护模式用于指示对应于第四业务类型的第四业务数据不能够发送给外部设备，所述根据所述隐私保护模式，控制对应于所述车辆的业务数据的传输，包括：禁止所述第四业务数据发送给所述外部设备。

本申请实施例中，第三隐私保护模式除了可以规定第三业务数据能够发送给外部设备，还可以规定第四业务类型的数据不能够发送给外部设备，通过这样的方式，对于数据的传出车辆权限能够实现细粒度管控，避免了现有技术中出车权限关闭后，该权限下对应的所有业务类型的业务产生的数据均不能发送给外部设备。

结合第四方面，在第四方面的某些实现方式中，所述第四业务类型的为非法律法规业务类型。

结合第四方面，在第四方面的某些实现方式中，所述隐私保护模式与隐私偏好配置文件相关联，所述隐私偏好配置文件至少用于指示如下内容至少一项：所述车辆的业务数据与车内通信权限之间的对应关系，所述车辆的业务数据与车外通信权限之间的对应关系，所述车辆的业务数据与所述车辆的存储权限之间的对应关系。

其中，隐私保护模式与隐私偏好配置文件相关联可以理解为隐私保护模式可以通过隐私偏好配置文件实现。

可选地，隐私偏好配置文件可以由OEM预先设置，车辆可以根据隐私偏好配置文件中的设置为用户提供隐私保护模式。在隐私偏好配置文件中，车辆的业务数据和不同的权限之间的对应关系也可以被预先设置。例如，可以设置第一业务数据和车内通信权限开启具有对应关系。设置第三业务数据和车外通信权限开启具有对应关系。再例如，可以设置第四业务数据和车外通信权限关闭具有对应关系。

本申请实施例中，可以通过隐私偏好配置文件上设定的不同类型的业务数据与不同权限间的对应关系，来快速设置隐私保护模式，能够针对不同类型的业务实现差异化的权限管控。

结合第四方面，在第四方面的某些实现方式中，所述隐私偏好配置文件包括如下至少一项：管控权限、管控业务，其中，所述管控权限包括：车内通信权限、车外通信权限和数据存储权限中的一种或多种；所述管控业务为对应于所述管控权限下对应的业务。

结合第四方面，在第四方面的某些实现方式中，所述隐私偏好配置文件还包括：与所述隐私保护模式存在功能互斥的信息和/或文本信息；所述文本信息包括：用于在人机交互界面所呈现的与所述隐私偏好配置文件相关联的内容。

其中，与所述隐私保护模式存在功能互斥的信息可以用于描述在开启某一项隐私保护模式后，与该隐私保护模式对应的一些功能不可用。例如，开启第三隐私保护模式后，互斥的信息可以是用于描述宠物模式不可用。文本信息可以用于描述隐私模式启动后能够取得的效果，例如，开启第三隐私保护模式后，文本信息可以用于描述第三隐私模式启动间，第四业务类型的数据不能够发送给外部设备。

本申请实施例中，能够在隐私偏好配置文件中设置一些文本信息或者互斥信息，用于告知用户启动某一隐私保护模式的相关事项，能够提高用户的人机交互体验。

第五方面，提供了一种隐私保护装置，所述装置包括：获取单元，用于获取开启的隐私保护模式，所述隐私保护模式用于指示对应于第一业务类型的业务产生的数据能够在车辆的通信模块间通信；处理单元，用于根据所述隐私保护模式，控制第一业务产生的数据在所述车辆的通信模块间通信，所述第一业务的业务类型为所述第一业务类型。

结合第五方面，在第五方面的某些实现方式中，所述隐私保护模式还用于指示对应于第二业务类型的业务产生的数据能够储存在所述车辆中，所述处理单元，还用于根据所述隐私保护模式，将第二业务产生的数据保存在所述车辆中，所述第二业务的业务类型为所述第二业务类型。

结合第五方面，在第五方面的某些实现方式中，所述隐私保护模式还用于指示对应于第三业务类型的业务产生的数据能够发送给外部设备，所述处理单元，还用于根据所述隐私保护模式，将第三业务产生的数据发送给所述外部设备，所述第三业务的业务类型为所述第三业务类型。

结合第五方面，在第五方面的某些实现方式中，所述隐私保护模式还用于指示对应于第四业务类型的业务产生的数据不能够发送给外部设备，所述处理单元，还用于根据所述隐私保护模式，禁止第四业务产生的数据发送给所述外部设备，所述第四业务的类型为所述第四业务类型。

结合第五方面，在第五方面的某些实现方式中，所述第三业务类型为法律法规业务类型，所述第四业务类型为非法律法规业务类型。

结合第五方面，在第五方面的某些实现方式中，所述处理单元，具体用于根据所述第一隐私偏好配置文件，控制第一业务产生的数据在所述车辆的通信模块间通信,所述第一隐私偏好文件与所述隐私保护模式具有对应关系，所述第一隐私偏好配置文件用于指示所述第一业务与车内通信权限开启具有对应关系，所述车内通信权限为数据在所述车辆的通信模块间通信的权限。

结合第五方面，在第五方面的某些实现方式中，所述获取单元，具体用于获取所述隐私保护模式对应的第一隐私偏好配置文件，所述第一隐私偏好配置文件用于指示所述第一业务与车内通信权限开启具有对应关系，所述车内通信权限为数据在所述车辆的通信模块间通信的权限；所述处理单元，具体用于根据所述第一隐私偏好配置文件，控制第一业务产生的数据在所述车辆的通信模块间通信。

结合第五方面，在第五方面的某些实现方式中，所述处理单元，具体用于根据所述第二隐私偏好配置文件，将第三业务产生的数据发送给所述外部设备，并禁止第四业务产生的数据发送给所述外部设备,其中，所述第二隐私偏好配置文件与所述隐私保护模式具有对应关系，所述第二隐私偏好配置文件用于指示所述第三业务与云车通信权限开启具有对应关系，所述第四业务与云车通信权限关闭具有对应关系，所述云车通信权限为数据发送给所述外部设备的权限。

结合第五方面，在第五方面的某些实现方式中，所述获取单元，具体用于获取所述隐私保护模式对应的第二隐私偏好配置文件，所述第二隐私偏好配置文件用于指示所述第三业务与云车通信权限开启具有对应关系，所述第四业务与云车通信权限关闭具有对应关系，所述云车通信权限为数据发送给所述外部设备的权限；所述处理单元，具体用于根据所述第二隐私偏好配置文件，将第三业务产生的数据发送给所述外部设备，并禁止第四业务产生的数据发送给所述外部设备。

结合第五方面，在第五方面的某些实现方式中，所述第一隐私偏好配置文件或所述第二隐私偏好配置文件包括：与所述隐私保护模式功能存在互斥的信息和/或本文信息，所述文本信息包括用于在人机交互界面所呈现的与所述第一隐私偏好配置文件或所述第二隐私偏好配置文件相关联的内容。

第六方面，提供一种隐私保护装置，该装置包括：获取单元，用于获取开启的隐私保护模式，所述隐私保护模式用于指示对应于第二业务类型的业务产生的数据能够储存在所述车辆中，处理单元，用于根据所述隐私保护模式，将第二业务产生的数据保存在所述车辆中，所述第二业务的业务类型为所述第二业务类型。

第七方面，提供一种隐私保护装置，该装置包括：获取单元，用于获取开启的隐私保护模式，所述隐私保护模式用于指示对应于第三业务类型的业务产生的数据能够发送给外部设备，处理单元，用于根据所述隐私保护模式，将第三业务产生的数据发送给所述外部设备，所述第三业务的业务类型为所述第三业务类型。

第八方面，提供一种隐私保护装置，该装置包括：获取单元，用于获取车辆的隐私保护模式，所述隐私保护模式包括第一隐私保护模式、第二隐私保护模式、第三隐私保护模式中的至少一项；处理单元，用于根据所述隐私保护模式，控制对应于所述车辆的业务数据的传输。

结合第八方面，在第八方面的某些实现方式中，所述第一隐私保护模式用于指示对应于第一业务类型的第一业务数据是否能够在所述车辆的通信模块间通信；在所述第一隐私保护模式用于指示所述第一业务数据能够在所述车辆的通信模块间通信时，所述处理单元，具体用于根据所述第一隐私保护模式，控制所述第一业务数据在所述车辆的通信模块间通信。

结合第八方面，在第八方面的某些实现方式中，所述第二隐私保护模式用于指示对应于第二业务类型的第二业务数据是否能够储存在所述车辆中；在所述第二隐私保护模式指示所述第二业务数据能够储存在所述车辆中时，所述处理单元，具体用于根据所述第二隐私保护模式，将所述第二业务数据保存在所述车辆中。

结合第八方面，在第八方面的某些实现方式中，所述第三隐私保护模式用于指示对应于第三业务类型的第三业务数据能够发送给外部设备，所述处理单元，具体用于将所述第三业务数据发送给所述外部设备。

结合第八方面，在第八方面的某些实现方式中，所述第三业务类型为法律法规业务类型。

结合第八方面，在第八方面的某些实现方式中，所述第三隐私保护模式用于指示对应于第四业务类型的第四业务数据不能够发送给外部设备，所述处理单元，具体用于禁止所述第四业务数据发送给所述外部设备。

结合第八方面，在第八方面的某些实现方式中，所述第四业务类型的为非法律法规业务类型。

结合第八方面，在第八方面的某些实现方式中，所述隐私保护模式与隐私偏好配置文件相关联，所述隐私偏好配置文件至少用于指示如下内容至少一项：所述车辆的业务数据与车内通信权限之间的对应关系，所述车辆的业务数据与车外通信权限之间的对应关系，所述车辆的业务数据与所述车辆的存储权限之间的对应关系。

结合第八方面，在第八方面的某些实现方式中，所述隐私偏好配置文件包括如下至少一项：管控权限、管控业务，其中，所述管控权限包括：车内通信权限、车外通信权限和数据存储权限中的一种或多种；所述管控业务为对应于所述管控权限下对应的业务。

结合第八方面，在第八方面的某些实现方式中，所述隐私偏好配置文件还包括：与所述隐私保护模式存在功能互斥的信息和/或文本信息；所述文本信息包括：用于在人机交互界面所呈现的与所述隐私偏好配置文件相关联的内容。

第九方面，提供一种隐私保护装置，该装置包括：至少一个处理器和存储器，所述至少一个处理器与所述存储器耦合，用于读取并执行所述存储器中的指令，该装置用于执行上述各个方面中的方法。

第十方面，提供一种计算机可读介质，所述计算机可读介质存储有程序代码，当所述计算机程序代码在计算机上运行时，使得计算机执行上述各个方面中的方法。

第十一方面，提供一种芯片，该芯片包括：至少一个处理器和存储器，所述至少一个处理器与所述存储器耦合，用于读取并执行所述存储器中的指令，该装置用于执行上述各个方面中的方法。

第十二方面，提供一种计算机程序产品，所述计算机产品包括：计算机程序，当所述计算机程序被运行时，使得计算机执行上述各个方面中的方法。

第十三方面，提供一种部件，所述部件包括:至少一个处理器和存储器，所述至少一个处理器与所述存储器耦合，用于读取并执行所述存储器中的指令，该部件用于执行上述各个方面中的方法。

其中,该部件可以是车辆中的智能座舱域控制器或者算力较强的域控制器。其中，算力较强的域控制器例如可以包括除了操作系统之外，还能运行管理类服务和智能化应用的部件。

第十四方面，提供一种车辆，该车辆包括：至少一个处理器和存储器，所述至少一个处理器与所述存储器耦合，用于读取并执行所述存储器中的指令，该车辆用于执行上述各个方面中的方法。

附图说明

图1是本申请实施例提供的车辆功能性示意图；

图2是本申请实施例提供的隐私保护方法所适用的系统架构；

图3是本申请实施例提供的一种隐私保护方法的示意性流程图；

图4是本申请实施例提供的另一种隐私保护方法的示意性流程图；

图5是本申请实施例提供的隐私保护方法所适用的应用场景图；

图6是本申请实施例提供的一种制作隐私偏好配置文件的示意图；

图7是本申请实施例提供的另一种制作隐私偏好配置文件的示意图；

图8是本申请实施例提供的一种完全隐私权限控制方式的示意图；

图9是本申请实施例提供的另一种完全隐私权限控制方式的示意图；

图10是本申请实施例提供的另一种隐私保护方法的示意性流程图；

图11是本申请实施例提供的一种隐私保护装置示意图；

图12是本申请实施例提供的另一种隐私保护装置示意图。

具体实施方式

下面将结合附图，对本申请中的技术方案进行描述。

为了便于理解，下文结合图1，以智能驾驶的场景为例，介绍本申请实施例适用的示例场景。应注意，图1的例子仅仅是为了帮助本领域技术人员理解本申请实施例，而非要将申请实施例限制于所示例的具体数值或具体场景。本领域技术人员根据所给出的图1的例子，显然可以进行各种等价的修改或变化，这样的修改和变化也落入本申请实施例的范围内。

图1是本申请实施例提供的车辆100的一个功能性示意图。应理解，图1及相关描述仅为一种举例，并不对本申请实施例中的车辆进行限定。

在实施过程中，车辆100可以被配置为完全或部分自动驾驶模式，也可以由用户进行人工驾驶。例如：车辆100可以通过感知系统120获取其周围的环境信息，并基于对周边环境信息的分析得到自动驾驶策略以实现完全自动驾驶，或者将分析结果呈现给用户以实现部分自动驾驶。

车辆100可包括多种子系统，例如感知系统120、计算平台130和显示装置140。可选地，车辆100可包括更多或更少的子系统，并且每个子系统都可包括一个或多个部件。另外，车辆100的每个子系统和部件可以通过有线或者无线的方式实现互连。

感知系统120可包括感测关于车辆100周边的环境的信息的若干种传感器。例如，感知系统120可以包括定位系统，定位系统，定位系统可以是全球定位系统(global positioning system，GPS)，也可以是北斗系统或者其他定位系统。感知系统120可以包括惯性测量单元(inertial measurement unit，IMU)、激光雷达、毫米波雷达、超声雷达以及摄像装置121中的一种或者多种。

摄像装置121可用于捕捉车辆100的周边环境的图像信息。摄像装置121可以包括单目相机、双目相机、结构光相机以及全景相机等，摄像装置121获取的图像信息可以包括静态图像信息，也可以包括视频流信息。其中，图像信息可以以图像或视频的形式存储，也可以以图像或视频的参数的形式存储，例如图像的亮度、灰度、色彩分布、对比度、像素等参数信息。

车辆100的部分或所有功能可以由计算平台130控制。计算平台130可包括处理器131至13n(n为正整数)，处理器是一种具有信号的处理能力的电路，在一种实现中，处理器可以是具有指令读取与运行能力的电路，例如中央处理单元(central processing unit，CPU)、微处理器、图形处理器(graphics processing unit，GPU)(可以理解为一种微处理器)、或数字信号处理器(digital signal processor，DSP)等；在另一种实现中，处理器可以通过硬件电路的逻辑关系实现一定功能，该硬件电路的逻辑关系是固定的或可以重构的，例如处理器为专用集成电路(application-specific integrated circuit，ASIC)或可编程逻辑器件(programmable logic device，PLD)实现的硬件电路，例如FPGA。在可重构的硬件电路中，处理器加载配置文档，实现硬件电路配置的过程，可以理解为处理器加载指令，以实现以上部分或全部单元的功能的过程。此外，还可以是针对人工智能设计的硬件电路，其可以理解为一种ASIC，例如神经网络处理单元(neural network processing unit，NPU)、张量处理单元(tensor processing unit，TPU)、深度学习处理单元(deep learning processing unit，DPU)等。此外，计算平台130还可以包括存储器，存储器用于存储指令，处理器131至13n中的部分或全部处理器可以调用存储器中的指令，执行质量，以实现相应的功能。

计算平台130可基于从各种子系统(例如，感知系统120)接收的输入来控制车辆100的功能。在一些实施例中，计算平台130可操作来对车辆100及其子系统的许多方面提供控制。

可选地，上述组件只是一个示例，实际应用中，上述各个模块中的组件有可能根据实际需要增添或者删除，图1不应理解为对本申请实施例的限制。

在道路行进的自动驾驶车辆，如上面的车辆100，可以识别其周围环境内的物体以确定对当前速度的调整。所述物体可以是其它车辆、交通控制设备、或者其它类型的物体。在一些示例中，可以独立地考虑每个识别的物体，并且基于物体的各自的特性，诸如它的当前速度、加速度、与车辆的间距等，可以用来确定自动驾驶车辆所要调整的速度。

可选地，车辆100或者与车辆100相关联的感知和计算设备(例如，计算平台130)可以基于所识别的物体的特性和周围环境的状态(例如，交通、雨、道路上的冰、等等)来预测所述识别的物体的行为。可选地，每一个所识别的物体都依赖于彼此的行为，因此还可以将所识别的所有物体全部一起考虑来预测单个识别的物体的行为。车辆100能够基于预测的所述识别的物体的行为来调整它的速度。换句话说，自动驾驶车辆能够基于所预测的物体的行为来确定车辆将需要调整到(例如，加速、减速、或者停止)什么稳定状态。在这个过程中，也可以考虑其它因素来确定车辆100的速度，诸如，车辆100在行驶的道路中的横向位置、道路的曲率、静态和动态物体的接近度等等。

除了提供调整自动驾驶车辆的速度的指令之外，计算设备还可以提供修改车辆100的转向角的指令，以使得自动驾驶车辆遵循给定的轨迹和/或维持与自动驾驶车辆附近的物体(例如，道路上的相邻车道中的轿车)的安全横向和纵向距离。

上述车辆100可以为轿车、卡车、摩托车、公共车辆、船、飞机、直升飞机、割草机、娱乐车、游乐场车辆、施工设备、电车、高尔夫球车、火车等，本申请实施例不做特别的限定。

近年来，随着信息通信技术(information and communications technology，ICT)的高速发展,个人数据流动规模也逐渐扩大。这样的发展趋势，一方面，增加了用户在使用系统或产品服务时个人隐私受到侵害的风险，另一方面，增大了数据泄露事件的频率，致使大量公司陷入用户信息泄露的风波。在这样的背景下，用户的隐私保护被愈发的重视起来，相关的法律政策和技术标准也逐渐出台。

隐私保护的一个重要目标在于实现面向消费者的可知可控，即需要在保障基本合规的前提下不断改进用户体验。区别于传统信息技术(information technology，IT)领域，智能车作为近几年的重点发展领域，同样的存在着隐私保护问题。由于智能车领域具备着自身领域的独特特点，使得市场上现有的面向手机、计算机、云计算等领域的隐私保护技术无法直接应用到车辆。例如，在手机终端领域，用户可通过阅读应用程序的隐私文案实现隐私保护内容的可知，通过系统隐私菜单的设置实现隐私保护的可控，即用户通过手机的系统隐私设置菜单中的“权限菜单”控制不同应用程序(application，APP)对权限的使用情况。

而在智能车领域，大部分市面的智能网联车辆只能提供一个整车的隐私文案，不能提供可控的阅读说明文本。即使用户能够设置隐私保护选项，能够提供给用户操作的隐私可配置选项也少之又少。甚至车辆直接提供一些“功能开关”，用户关闭该功能开关则直接关闭车辆的整体业务或者权限对所有业务的使用。通过这些方式，一方面，不能保证用户的个人隐私数据不受侵犯，也无法满足用户对个人隐私保护的个性化需求。另外一方面，对于车辆而言，出于对车辆安全和人身安全的考虑，需要将部分数据强约束上报。因此，通过简单的断网、关闭权限对所有业务使用来保护用户隐私的方式亟需改进。

本申请实施例提供了一种隐私保护方法、装置以及车辆，能够针对特定类型业务实现特定权限的管控，满足用户对个人隐私保护的个性化需求。

图2是本申请实施例提供的隐私保护方法所适用的系统架构200，该系统架构200可应用于图1的车辆100中。

如图2所示，该系统架构200包括：用户210和用户隐私保护模块220。其中，用户隐私保护模块220包括：隐私文案与设置管理模块221、隐私策略管理模块222和隐私代理模块223。

其中，隐私文案与设置管理模块221负责与用户210进行交互，例如，隐私文案与设置管理模块221接收到用户210将隐私模式开关关闭的指令后，可以将该指令传递给隐私策略管理模块222。隐私策略管理模块222负责解析用户的指令，并制定用户的隐私控制策略，即基于隐私文案与设置管理模块221的输入，启用对应的控制策略，并将具体的策略执行所需动作传递到隐私代理模块222。隐私代理模块223接收到隐私策略管理模块222传递的策略后，正式实施对用户隐私的管控，这里的管控对象不仅可以包括用户的个人数据，还可以包括对用户物理空间等其他维度的隐私控制，具体依赖于隐私策略管理模块222中策略配置文件的定义。其中，对用户物理空间的管控可以包括：打开或关闭车门、打开或关闭车辆后备箱等等。

图3是本申请实施例提供的一种隐私保护方法的示意性流程图，方法300可以包括如下步骤：

S301,获取开启的隐私保护模式

其中，隐私保护模式用于指示对应于第一业务类型的业务产生的数据能够在所述车辆的通信模块间通信。第一业务类型可以是第一业务的业务类型，第一业务类型的具体内容可以根据第一业务实际应用情况加以确定。例如，第一业务类型可以包括：法律法规业务或非法律法规业务。又例如，第一业务类型可以包括：法律法规业务、人身安全和车辆安全业务或增值体验业务中的一种。

其中，获取车辆开启的隐私保护模式可以采用多种方式。

S302，根据隐私保护模式，控制第一业务产生的数据在所述车辆的通信模块间通信。

其中，车辆开启的隐私保护模式中除了可以用于指示对应于第一业务类型产生的数据能够在车辆的通信模块间通信以外，还可以用于指示对应于某一业务类型的业务产生的数据不能够在车辆的通信模块间通信。

一种可能的实现方式中，所述隐私保护模式还用于指示对应于第二业务类型的业务产生的数据能够储存在所述车辆中，该步骤还包括：根据所述隐私保护模式，将第二业务产生的数据保存在所述车辆中，所述第二业务的业务类型为所述第二业务类型。

其中，第二业务类型可以是第二业务的业务类型，第二业务类型的具体内容可以根据第二业务实际应用情况加以确定。例如，第二业务类型可以包括：法律法规业务或非法律法规业务。又例如，第二业务类型可以包括：法律法规业务、人身安全和车辆安全业务或增值体验业务中的一种。

此外，车辆开启的隐私保护模式中除了可以用于指示对应于第二业务类型的业务产生的数据能够储存在车辆中以外，还可以用于指示对应于某一业务类型的业务产生的数据不能够储存在车辆中。

一种可能的实现方式中，所述隐私保护模式还用于指示对应于第三业务类型的业务产生的数据能够发送给外部设备，该步骤还包括：根据所述隐私保护模式，将第三业务产生的数据发送给所述外部设备，所述第三业务的业务类型为所述第三业务类型。

其中，外部设备可以是云服务器，其他设备或者其他车辆等。第三业务类型可以是第三业务的业务类型，第三业务类型的具体内容可以根据第三业务实际应用情况加以确定。

一种可能的实现方式中，所述隐私保护模式还用于指示对应于第四业务类型的业务产生的数据不能够发送给外部设备，该步骤还包括：根据所述隐私保护模式，禁止第四业务产生的数据发送给所述外部设备，所述第四业务的类型为所述第四业务类型。

其中，第四业务类型可以是第四业务的业务类型，第四业务类型的具体内容可以根据第四业务实际应用情况加以确定。

本申请实施例中，可以根据开启的隐私保护模式，使得对应有第三业务类型的产生数据能够传出车辆，对应于第四业务类型的业务产生数据不能够传出车辆。通过这样的方式，对于数据的出车权限能够实现细粒度管控，避免了现有技术中出车权限关闭后，该权限下对应的所有业务类型的业务产生的数据均不能发送给外部设备。

一种可能的实现方式中，所述第三业务类型为法律法规业务类型，所述第四业务类型为非法律法规业务类型。

本申请实施例中，可以根据开启的隐私保护模式，使得进行法律法规相关业务产生的数据能够传出车辆发送给外部设备，非法律法规业务产生的数据不能够传出车辆发送给外部设备。通过这样的方式，解决了现有技术中缺乏极限保护隐私模式的问题，满足了用户对个人隐私保护的个性化需求。

一种可能的实现方式中，所述根据所述隐私保护模式，控制第一业务产生的数据在所述车辆的通信模块间通信，包括:获取所述隐私保护模式对应的第一隐私偏好配置文件，所述第一隐私偏好配置文件用于指示所述第一业务与车内通信权限开启具有对应关系，所述车内通信权限为数据在所述车辆的通信模块间通信的权限；根据所述第一隐私偏好配置文件，控制第一业务产生的数据在所述车辆的通信模块间通信。

一种可能的实现方式中，所述根据所述隐私保护模式，控制第一业务产生的数据在所述车辆的通信模块间通信，包括:根据第一隐私偏好配置文件，控制第一业务产生的数据在所述车辆的通信模块间通信，其中，所述第一隐私偏好文件与所述隐私保护模式具有对应关系，所述第一隐私偏好配置文件用于指示所述第一业务与车内通信权限开启具有对应关系，所述车内通信权限为数据在所述车辆的通信模块间通信的权限。

一种可能的实现方式中，所述根据所述隐私保护模式将第三业务产生的数据发送给所述外部设备和所述根据所述隐私保护模式禁止第四业务产生的数据发送给所述外部设备，包括：获取所述隐私保护模式对应的第二隐私偏好配置文件，所述第二隐私偏好配置文件用于指示所述第三业务与云车通信权限开启具有对应关系，所述第四业务与云车通信权限关闭具有对应关系，所述云车通信权限为数据发送给所述外部设备的权限；根据所述第二隐私偏好配置文件，将第三业务产生的数据发送给所述外部设备，并禁止第四业务产生的数据发送给所述外部设备。

一种可能的实现方式中，所述根据所述隐私保护模式将第三业务产生的数据发送给所述外部设备和所述根据所述隐私保护模式禁止第四业务产生的数据发送给所述外部设备，包括：根据第二隐私偏好配置文件，将第三业务产生的数据发送给所述外部设备，并禁止第四业务产生的数据发送给所述外部设备，其中，所述第二隐私偏好配置文件与所述隐私保护模式具有对应关系，所述第二隐私偏好配置文件用于指示所述第三业务与云车通信权限开启具有对应关系，所述第四业务与云车通信权限关闭具有对应关系，所述云车通信权限为数据发送给所述外部设备的权限。

一种可能的实现方式中，所述第一隐私偏好配置文件或所述第二隐私偏好配置文件包括：与所述隐私保护模式功能存在互斥的信息和/或本文信息，所述文本信息包括用于在人机交互界面所呈现的与所述第一隐私偏好配置文件或所述第二隐私偏好配置文件相关联的内容。

其中，与所述隐私保护模式存在功能互斥的信息可以用于描述隐私保护模式开启后，与该隐私保护模式对应的一些互斥功能不可用。例如，在根据第二隐私偏好配置文件禁止非法律法规业务类型数据发送给外部数据时，互斥的信息可以是用于描述宠物模式不可用。文本信息可以用于描述隐私保护模式启用期间的效果，例如，文本信息用于描述法律法规业务类型的数据能够传出车辆，非法律法规业务类型的数据不能够传出车辆。

图4是本申请实施例提供的另一种隐私保护方法的示意性流程图，方法400可应用于图1的车辆100中。

方法400可以应用于不同产品生命周期的各个阶段中，产品的生命周期可以分为以下几个阶段。

(1)产品设计阶段

在该阶段中，原始设备制造商(originalequipment manufacturer，OEM)可以预先设定用户的隐私偏好模式，隐私偏好模式的选取和分类可以基于产品的应用现状进行调研。

(2)产品开发阶段

在该阶段中，OEM可以基于设计阶段得到的隐私偏好模式通过代码等方式实现。

(3)产品集成阶段

在该阶段中，OEM可以对产品软件开发完成情况进行检查，并执行一些非代码相关的配置工作。例如，制作隐私偏好配置文件等等。

在产品经过上述步骤后，产品可以交付到消费者手中进行使用。基于上述阶段的划分，方法400可以包括如下步骤。

S401，将车辆上涉及个人数据的业务进行分类

具体地，该步骤可应用于车辆的设计阶段，通过该步骤可以将车上涉及的个人数据业务分为如下几类：

(1)法律法规相关业务

具体地，若用户使用车辆，则必须同意法律法规相关业务数据的使用。

例如，国标32960中的4.2.3.1规定，车载终端应该按照最大不超过30s时间间隔将采集到的实时数据保存在内部的存储介质中，则当用户使用车辆时，则必须遵守国标32960中的该项规定。

(2)人身安全和行车安全相关的业务

具体地，该项数据业务属于非法律法规相关业务的，但是涉及到用户人身安全和车辆的行驶安全相关的业务。

例如，车辆的发动机控制数据、驾驶舱控制数据、车辆行驶位置与行驶轨迹数据、用户的通话记录、用户的身份信息数据等等。

(3)增值服务相关业务

具体地，该项数据业务属于非法律法规相关业务的，但是能够用户带来更好的驾驶体验的数据。

例如，用户的观影记录、音乐播放记录，和语音助手交互的记录，用户的个人习惯记录等等。

S402，向用户提供多层级、不同强度的隐私保护模式

具体地，该步骤可以根据个人业务数据的分类，给用户提供多层级、不同强度的隐私保护模式，隐私保护模式可以分为如下几类：

(1)体验保障模式

具体地，在体验保障模式下，车辆上的所有业务均能够正常运营，所有业务产生的数据也能够传出车辆。

(2)基本隐私模式

具体地，在基本隐私模式下，车辆上的涉及法律法规相关业务、人身安全和行车安全相关的业务时可以正常运营，通过这些业务产生的数据可以传出车辆。车辆上进行除这些业务外的其他个人数据业务时(例如，进行增值服务相关业务时)，产生的数据不可传出车辆。

(3)完全隐私模式

具体地，在完全隐私模式下，车辆上涉及法律法规相关业务可以正常运营，进行该业务产生的数据可以传出车辆，车辆上进行除法律法规相关业务的其他个人数据业务产生的数据不可传出车辆。

(4)用户自定义模式

具体地，车辆可以根据用户的自主选择，控制数据的出车权限。例如，用户可以设置车辆在进行增值服务相关业务时，产生的数据传出车辆，在进行人身安全和行车安全相关的业务时，产生的数据不可传出车辆。

S403，定义权限控制粒度，确保逻辑上可以实现

具体地，该步骤可应用于车辆的开发阶段，涉及到用户的权限管理。在该步骤中可以将每一项业务的使用权限对应一种逻辑，各项逻辑分别进行控制，并且互不干扰。

例如，将车辆上的数据业务的权限分为本地数据使用权限和传出车辆权限。并且在开发阶段将上述两种权限分别对应本地数据使用逻辑和个人数据出车逻辑。这两种逻辑可以分别控制，当出车权限被关闭时，用户使用业务所产生的数据不能传出车辆，但是这些数据可以在本地进行使用。

又例如，将车辆上的业务权限分为存储权限和车内通信权限，在开发阶段上述两种权限分别对应个人数据存储逻辑和车内模块通信逻辑，两种逻辑分别进行控制，关闭存储逻辑时用户使用业务所产生的数据不能够存储在车辆中，但是车内各模块之间的通信可以正常进行。

S404，基于隐私保护模式，制作隐私偏好配置文件

具体地，该步骤可应用于车辆的集成阶段，在该步骤可以基于隐私保护模式制作用户的隐私偏好配置文件。

其中，隐私偏好配置文件用于描述各业务在启动模式下的运行诉求。隐私偏好配置文件可以包括如下内容至少一项：管控权限、管控权限下的管控业务和其他约束。其中，管控权限可以包括：云车通信、数据存储和车内通信一种或多种。其中，云车通信权限可以指数据发送给所述外部设备的权限，车内通信权限可以指数据在车辆的通信模块间通信的权限，存储权限可以指数据存储在车辆中的权限。

管控权限下的管控业务可以指在上述权限下对应的管控业务。例如，云车通信权限对应音乐业务，在云车通信权限关闭的情况下，用户在车辆上使用音乐业务所产生的数据不能传出车辆，并上传至云服务器(外部设备的一种)。

其他约束可以包括：描述文本、启动事件和偏好冲突优先级。其中，描述文本描述用户权限的功能，即开启或关闭该权限所能产生的结果。启动事件可以用于解释权限的启动方式，例如，通过打开车辆上的某个开关进行开启、通过车辆启动开启等等。偏好冲突优先级可以用于指示启动用户隐私偏好的优先程度。例如，在完全隐私模式下，进行除法律法规外其他业务时，产生的其他个人数据不可传出车辆。在宠物模式下，进行除法律法规外其他业务时，产生的其他个人数据需要传出车辆。并且，完全隐私模式优先级大于宠物模式优先级，在这两项隐私偏好均开启的情况下，系统会默认关闭宠物模式的使用权限。

应理解，宠物模式可以指用户离开车辆并且将宠物留在车内时，用户可以通过手机观察到车内宠物的状态，在宠物模式下车辆进行视频业务所产生的数据需要传出车辆。

制作完成了隐私偏好配置文件后，车辆可以根据隐私偏好配置文件快速设置隐私保护模式，并且在车辆上向用户提供隐私保护模式的选项。用户可以能够通过车辆的显示屏快速选择和设置隐私保护模式。

本申请实施例中，将车辆上涉及个人数据的业务进行分类，并根据各类业务的运行诉求制定隐私偏好模式，车辆可以根据隐私偏好文件向用户提供隐私保护模式的选项。通过这样的方式，用户可以基于隐私偏好模式快速进行设置，既能够满足用户对个人隐私保护的个性化需求，又能保护用户的个人隐私数据安全。

图5是本申请实施例提供的一种隐私保护方法应用场景图，图5中描述的应用场景可以是图4提供的隐私保护方法所适用的具体应用场景。

如图5中的(a)所示，车辆在初始状态时，车辆的中控大屏上显示：显示界面500以及功能栏510。该显示界面500上包括用户账号登录信息501、蓝牙功能图标505、Wi-Fi功能图标503、蜂窝网络信号图标504、车载地图应用搜索框505、切换至显示车辆安装的所有应用程序的卡片506、切换至显示车载音乐应用的卡片507、车辆剩余电量以及剩余行驶里程的显示卡片508、车辆360度(°)环影功能的显示卡片509。其中，车载地图应用搜索框505中可以包括用户设置的回家控件5051和去公司控件5055。功能栏510中包括切换至显示中控大屏桌面的图标511、车辆内循环图标515、主驾座椅加热功能图标513，主驾区域空调温度显示图标514、副驾区域空调温度显示图标515、副驾座椅加热功能图标516以及音量设置图标517。

如图5中的(b)所示，该图形用户界面(graphical user interface,GUI)为应用程序的卡片506的交互界面，当车辆检测到用户点击设置选项5061的操作时，车辆的显示屏上可以显示如图5中的(c)所示的GUI。

如图5中的(c)所示，该GUI为设置界面，该设置界面上包括：日期和时间选项、安全选项、语言和输入法选项、添加账户选项和隐私保护选项5062，当车辆检测到用户点击隐私保护选项5062的操作时，车辆的显示屏上可以显示如图5中的(d)所示的GUI。

如图5中的(d)所示，该GUI为隐私保护界面，该界面上包括：体验保障模式选项5063、基本隐私模式选项5064、完全隐私模式选项5065和自定义模式选项5066。上述四种模式的具体含义已经在图4中的步骤S403进行了详细的介绍，此处不再赘述。当用户点选上述四种模式中的任一种模式的选项后，车辆的隐私保护可以被设置成对应的模式。下面以用户点选自定义模式进行举例。

当车辆检测到用户点选自定义模式5066选项后，车辆的显示屏上可以显示如图5中的(e)所示的GUI。该GUI为自定义模式界面，该界面包括允许出车业务选项5067和保存控件5068，用户可以在允许出车业务选项5067的子菜单中勾选允许出车的业务。其中，法律相关业务是系统默认勾选的，用户可以勾选人身安全相关业务、车辆安全相关业务和增值体验相关业务中的一种或多种，在用户勾选完毕并且车辆检测到用户点击保存控件5068后，车辆的隐私保护可以被设置成对应的模式。

本申请实施例中，用户可以通过车载显示屏选择或设置自己需要的隐私保护模式，通过这样的方式，能够满足用户对个人隐私保护的个性化需求，提高用户的人机交互体验。

图6是本申请实施例提供的一种制作隐私偏好配置文件的示意图，该示意图可以是图4中的步骤S404的具体体现。

如图6中的(a)所示，该隐私偏好配置文件包括：偏好N、权限组或其他约束、以及权限组管控的关联业务。其中，偏好N代表总节点，N为大于0的正整数，偏好N可以是图4中的步骤S403中的四种业务模式中的任一种。权限组a ₁和权限组a ₂可以是二级节点，用于表示偏好N所约束的权限范围，在权限组a ₁和权限组a ₂中可以定义权限的种类和权限的启动或关闭状态。权限组a ₁和权限组a ₂既可以指相同的控制权限，又可以指不同的控制权限。例如，权限组a ₁和权限组a ₂均可以指云车通信权限。或者，权限组a ₁可以指云车通信权限，权限组a ₂可以指进行业务所产生的数据存储到车辆的权限。此外，权限组a ₁和权限组a ₂可以包括但不限于：云车通信权限、数据在车辆各通信模块中通信的权限、个人数据存储到车辆权限和传感器或通信接口采集数据的权限中的一种或多种。

其他约束节点可以用于说明非权限相关的诉求内容，其他约束可以包括：描述文本、启动事件和偏好冲突优先级。

关联业务1至3可以是三级节点。其中，关联业务1可以由权限组a ₁管控，关联业务2和关联业务3可以由权限组a ₂管控。关联业务1至3可以包括：涉及个人数据的所有业务，也可以包括音乐、语音记事本、自动泊车和国标32960业务中的一种或多种。

应理解，图6中的(a)所示的隐私偏好配置文件的结构和内容仅是示例性的说明，隐私偏好配置文件的结构和内容可以按照实际的项目需求灵活进行调整。

其中，在制作隐私偏好文件的过程中，用户权限的管控方式可以按照不同实现方式进行调整，

一种可能的实现方式中，权限管控方式可以按照粗粒度的方式进行，即通过权限组开启或关闭控制该权限组管控的所有关联业务。

例如，如图6中的(b)所示，偏好1对应的权限组1是云车通信权限，当云车通信权限被关闭后，与该权限对应的所有业务涉及的数据均不得传出车辆。

一种可能的实现方式中，权限管控方式可以按照细粒度控制的方式进行，即通过权限组的开启或关闭控制该权限组管控的部分关联业务。

例如，如图6中的(c)所示，偏好2可以对应权限组2(车内通信)和权限组3(存储)，当权限组2中的车内通信权限被关闭后，使用该权限的关联业务(音乐和语音记事本)无法进行车内通信，使用该权限的除了音乐和记事本外的其他关联业务可以进行车内通信。当权限组3对应的存储权限被关闭后，使用该权限的关联业务(用户体验改进)所产生的数据将不会被存储在车辆中，使用该权限的除了用户体验改进的其他关联业务可以被存储在车辆中。其中，用户体验改进业务可以是，在该项业务开启后，车辆可以采集用户的数据进行分析，并为用户提供更好服务。

本申请实施例中，在制作隐私偏好文件的过程中，用户权限的管控方式可以按照粗粒度或细粒度方式进行。通过这样的方式，使得制作隐私偏好文件的方式更加多样化，从而满足不同用户对隐私保护的个性化需求。

图7是本申请实施例提供的另一种制作隐私偏好配置文件的示意图，方法700可应用于图1的车辆100中，方法600是步骤S403中完全隐私模式应用的详细介绍。

当完全隐私模式开启后，法律法规相关的业务涉及的个人数据允许传出车辆，非法律法规相关业务涉及的个人数据不允许传出车辆，但是可以允许这些数据在本地使用。当完全隐私模式关闭后，非法律法规相关业务可以切换到原本的运行模式，即个人数据可以恢复出车，模式启动过程中产生的个人数据可以继续允许本地使用，或者全部进行删除。

例如，如图7所示，在完全隐私模式开启后，对于国标32960业务(法律法规相关业务的一种)关联到云车通信组权限组状态为开的节点下，国标32960相关业务涉及的个人数据允许传出车辆。对于音乐、语音记事本、自动泊车等非法律法规相关业务，关联到云车通信权限组状态为关的节点下，音乐、语音记事本和自动泊车三项业务涉及的个人数据不允许传出车辆。当完全隐私模式关闭后，音乐、语音记事本、自动泊车和国标32960关联业务涉及的个人数据均允许传出车辆。

其他约束可以包括：模式启用间数据不出车和宠物模式等非权限约束。其中，模式启用间数据不出车可以是其他约束中的描述文本，用于说明云车通信权限开启后的效果。宠物模式可以是其他约束中的冲突事件，在完全隐私模式启动时，车辆的宠物模式功能不可用(宠物模式必须依赖个人数据传出车辆才能实现)。

应理解，其他约束包括宠物模式仅是示例性的说明，其他约束中包括的内容在不同的项目中可以有所变化，OEM可以根据实际的需求调整配置文件来进行设置。

还应理解，法律法规相关业务包括的内容不仅仅局限于国标32960中规定的业务，法律法规相关业务包括的内容可以根据不同国家、地域、时间段内的实时法律法规要求进行灵活调整。

本申请实施例中，用户可以通过控制完全隐私模式的开启或关闭，来控制非法律法规相关的业务个人数据是否传出车辆，通过这样的方式，能够满足用户对个人隐私保护的个性化需求，由用户自主的选择是否将个人数据传出车辆。

图8是本申请实施例提供的一种完全隐私权限控制方式的示意图，方法800可应用于图1的车辆100中，方法800是图7中的隐私偏好文件应用流程图。方法800可以包括如下步骤。

S801，用户启用完全隐私模式

具体地，用户启用完全隐私模式后，隐私与文案管理模块221能够接收到用户的指令并进行处理。

S802，完全隐私模式启动

具体地，隐私与文案管理模块221将用户启动完全隐私模块的指令传递给隐私策略管理模块222。

S803，隐私策略管理模块解析完全隐私配置文件并下发隐私控制策略

具体地，隐私策略管理模块222可以解析完全隐私模式的配置文件，并启用相关的隐私控制策略。例如，完全隐私模式的配置文件可以是图7所示的配置文件，隐私控制策略也可以是图7中所示的隐私控制策略。

S804，隐私策略管理模块向隐私代理模块下发隐私控制策略

具体地，隐私策略管理模块222向隐私代理模块223发送隐私控制策略，该隐私控制测策略可以规定国标32960相关业务涉及的个人数据允许出车；音乐、语音记事本和自动泊车三项业务涉及的个人数据不允许出车。宠物模式不可启动。

S805，业务1模块向通信中间件请求出车

具体地，业务1可以是音乐业务，涉及音乐业务的个人数据可以通过通信中间件向隐私代理模块223提出出车请求。

应理解，在车辆的面向服务的架构(service-oriented architecture，SOA)中，车内通过服务化数据协议实现信息交互(例如，基于IP的可扩展面向服务的中间件(scalable service-oriented middleware over IP，SOME/IP)或数据分发服务(service-oriented architecture,DDS)进行交互)。不同业务分别作为不同的服务调用方运行，因此在服务调用时，可以通过通信中间件识别调用主体，即通过识别业务的身份，识别哪项业务的数据需要出车)

S806，通信中间件判断业务1的服务请求的主体和目标权限

具体地，在该步骤中，通信中间件可以通过请求信息中携带的标识识别业务1的主体和权限，从而判断出业务1的服务请求主体是音乐业务，目标的权限动作是进行出车。

S807，通信中间件向隐私代理模块询问音乐业务能否出车

具体地，在该步骤中，通信中间件向隐私代理模块223发送请求信息询问音乐业务中涉及的个人数据能否出车。

S808，隐私代理模块执行策略判断

具体地，隐私代理模块223就音乐业务中涉及的个人数据能否出车进行判断。

S809，通信中间件向隐私代理模块进行反馈

具体地，通信中间件向隐私代理模块223反馈音乐业务中涉及的个人数据不能出车。

S810，通信中间件向业务1模块发送拒绝请求

具体地，通信中间件在收到隐私代理模块223反馈的音乐业务不可出车的指示后，向业务1发送拒绝数据出车的指示信息。

应理解，音乐业务中涉及的个人数据虽然不允许传出车辆，但是这些数据在本地使用。

S811，业务2模块向通信中间件请求出车

具体地，业务2可以是国标32960业务，涉及国标32960业务的个人数据可以通过通信中间件向隐私代理模块223提出出车请求。

S812，通信中间件判断业务2的服务请求的主体和目标权限

具体地，在该步骤中，通信中间件能够通过请求信息中的标识识别业务2的主体和权限，从而判断出业务2的服务请求主体是国标32960业务，目标的权限动作是进行出车。

S813，通信中间件向隐私代理模块询问国标32960业务能否出车

具体地，在该步骤中，通信中间件向隐私代理模块223发送信息询问国标32960业务中涉及的个人数据能否出车。

S814，隐私代理模块执行策略判断

具体地，隐私代理模块223就国标32960业务中涉及的个人数据能否出车进行判断。

S815，隐私代理模块向通信中间件进行反馈

具体地，隐私代理模块223向通信中间件反馈国标32960业务中涉及的个人数据可以出车。

S816，通信中间件向云服务器发送国标32960涉及的个人数据

S817，通信中间件向隐私代理模块进行反馈

具体地，向通信中间件向隐私代理模块223反馈国标32960业务中涉及的个人数据出车成功。

本申请实施例中，用户选择开启完全隐私模式时，法律法规相关的业务涉及的个人数据允许出车，非法律法规相关业务部涉及的个人数据不允许传出车辆。通过这样的方式，用户能够控制非法律法规相关业务部涉及的个人数据不传出车辆，从而保障用户的隐私数据安全。

图9是本申请实施例提供的另一种完全隐私权限控制方式的示意图，方法900可应用于图1的车辆100中，方法900是图7中的隐私偏好配置文件的另一种应用场景，方法900与方法800是并列的技术方案。

如图9中的(a)所示的GUI，该GUI是隐私保护界面，车辆检测到用户点击完全隐私模式5065后，车辆的显示屏上可显示如图9(b)所示的GUI。

如图9中的(b)所示的GUI，该GUI是完全隐私模式界面，该界面包括：控件801、完全隐私模式描述文本802、控件803、宠物模式描述文本804。用户可以通过控件801来开启完全隐私模式，当完全隐私模式被开启后，车辆的系统将允许法律法规相关业务产生的个人数据出车，其他业务产生的个人数据不可出车。并且，宠物模式的控件默认关闭，宠物模式不可使用。

下面详细介绍完全隐私权限控制方式的运行原理。

如图9中的(c)所示，车内的操作系统可以提供普通运行空间和封闭沙箱运行空间两部的运行环境，在普通的运行空间中，相关的业务能够与车辆外部的设备进行交互。在封闭沙箱的运行空间中，相关的业务不能与车辆外部的设备进行交互，沙箱与普通空间隔离。

当用户开启完全隐私模式后，系统任务管理器接收到偏好配置文件，根据偏好配置文件的设置，系统任务管理器可以将法律法规相关业务设置在普通空间内运行，此时，法律法规相关业务执行时产生的个人数据能够出车。系统任务管理器将其他业务1和其他业务2设置在沙箱空间中运行，其他业务1和其他业务2在执行时所产生的个人数据不能出车。在用户关闭完全隐私模式后，系统任务管理器可以将沙箱中的其他业务1和其他业务2从封闭沙箱运行空间中移出，并由用户选择是否将进行其他业务1和其他业务2时产生的数据删除。

其中，法律法规相关业务可以是图6或图7中的国标32960，其他业务1和其他业务2可以是图6中的音乐、语音记事本和自动泊车业务中的一种或多种。

本申请实施例中，用户可以通过完全隐私模式的启动或关闭，控制非法律法规相关业务是否在沙箱空间中运行，从而能够在保护用户的隐私同时，合理的处置用户的隐私数据，能够给用户提供多样化的隐私偏好解决方案。

图10是本申请实施例提供的另一种隐私保护方法的示意性流程图，方法1000可应用于图1的车辆100中，方法1000可以包括如下步骤。

S1001，获取车辆的隐私保护模式

其中，隐私保护模式包括第一隐私保护模式、第二隐私保护模式、第三隐私保护模式中的至少一项。

可选地，第一隐私保护模式至第三隐私保护模式的内容可以由OEM预先设定，OEM可以将设定好的隐私保护模式的选项呈现在车辆的显示屏上，用户可以在车辆的显示屏上进行点选，选择需要开启的隐私保护模式。

可选地，隐私保护模式可以是图5中(d)所示的隐私保护模式中的一种或多种。

其中，获取车辆的隐私保护模式可以采用多种实现方式，

一种可能的实现方式中，当车辆接收到用户的第一指示信息后，车辆可以获取对应的保护模式。该第一指示信息可以是用户的语音指令信息，例如，用户通过车载麦克风输入第一语音指令，车辆对用户发送的第一语音指令识别后，获取对应的隐私保护模式。

一种可能的实现方式中，用户可以在车载显示屏上进行点选，待车辆检测到用户的操作后，可以对输入操作进行识别，并将识别的结果和预设的结果进行匹配，匹配成功后车辆可以获取对应的隐私保护模式。例如，车辆预先建立第一选项和第一隐私保护模式的映射关系，用户在车辆的显示屏上点选第一选项，车辆识别用户的操作后确定与预设的点选第一选项操作相对应，此时，车辆可以获取第一选项对应的第一隐私保护模式。

一种可能的实现方式中，车辆可以基于隐私偏好配置文件快速的设置隐私保护模式。在隐私配置文件上可以规定一项或多项业务的一项或多项应用权限。当车辆检测到用户的隐私偏好后，车辆可根据隐私配置文件获取隐私保护模式。

S1002，根据隐私保护模式，控制对应于所述车辆的业务数据的传输

本申请实施例中，能够根据车辆的隐私保护模式控制车辆的业务数据进行传输，满足用户对隐私保护的个性化需求。

一种可能的实现方式中，所述第一隐私保护模式用于指示对应于第一业务类型的第一业务数据是否能够在所述车辆的通信模块间通信；在所述第一隐私保护模式用于指示所述第一业务数据能够在所述车辆的通信模块间通信时，所述根据所述隐私保护模式，控制对应于所述车辆的业务数据的传输，包括：根据所述第一隐私保护模式，控制所述第一业务数据在所述车辆的通信模块间通信。

可选地，如果该第一隐私保护模式用于指示对应于第一业务类型的业务产生的数据不能够在车辆的通信模块间通信。此种情况下，所述根据所述隐私保护模式，控制对应于所述车辆的业务数据的传输，包括：根据所述第一隐私保护模式，禁止第一业务数据在所述车辆的通信模块间通信。

一种可能的实现方式中，所述第二隐私保护模式用于指示对应于第二业务类型的第二业务数据是否能够储存在所述车辆中；在所述第二隐私保护模式指示所述第二业务数据能够储存在所述车辆中时，所述根据所述隐私保护模式，控制对应于所述车辆的业务数据的传输，包括：根据所述第二隐私保护模式，将所述第二业务数据保存在所述车辆中。

可选地，如果该第二隐私保护模式用于指示对应于第二业务类型的第二业务数据不能够储存在所述车辆中。此种情况下，所述根据所述隐私保护模式，控制对应于所述车辆的业务数据的传输，包括：根据所述第二隐私保护模式，禁止将所述第二业务数据保存在所述车辆中。

一种可能的实现方式中，所述第三隐私保护模式用于指示对应于第三业务类型的第三业务数据能够发送给外部设备，所述根据所述隐私保护模式，控制对应于所述车辆的业务数据的传输，包括：根据所述第三隐私保护模式，将所述第三业务数据发送给所述外部设备。

一种可能的实现方式中，所述第三业务类型为法律法规业务类型。

一种可能的实现方式中，所述第三隐私保护模式用于指示对应于第四业务类型的第四业务数据不能够发送给外部设备，所述根据所述隐私保护模式，控制对应于所述车辆的业务数据的传输，包括：禁止所述第四业务数据发送给所述外部设备。

一种可能的实现方式中，所述第四业务类型的为非法律法规业务类型。

一种可能的实现方式中，所述隐私保护模式与隐私偏好配置文件相关联，所述隐私偏好配置文件至少用于指示如下内容至少一项：所述车辆的业务数据与车内通信权限之间的对应关系，所述车辆的业务数据与车外通信权限之间的对应关系，所述车辆的业务数据与所述车辆的存储权限之间的对应关系。

可选地，隐私偏好配置文件可以由OEM预先设置，车辆可以根据隐私偏好配置文件中的设置为用户提供隐私保护模式。在隐私偏好配置文件中，车辆的业务数据和不同的权限之间的对应关系也可以被预先设置。例如，可以设置第一业务数据和车内通信权限开启具有对应关系。设置第三业务数据和车外通信权限开启具有对应关系。再例如，可以设置第四业务数据和车外通信权限关闭具有对应关系。再例如，隐私保护模式与各项权限间的对应关系可以是如图5至图7中所示的对应关系。

一种可能的实现方式中，所述隐私偏好配置文件包括如下至少一项：管控权限、管控业务，其中，所述管控权限包括：车内通信权限、车外通信权限和数据存储权限中的一种或多种；所述管控业务为对应于所述管控权限下对应的业务。

一种可能的实现方式中，所述隐私偏好配置文件还包括：与所述隐私保护模式存在功能互斥的信息和/或文本信息；所述文本信息包括：用于在人机交互界面所呈现的与所述隐私偏好配置文件相关联的内容。

其中，与所述隐私保护模式存在功能互斥的信息可以用于描述在开启某一项隐私保护模式后，与该隐私保护模式对应的一些功能不可用。例如，开启第三隐私保护模式后，互斥的信息可以是用于描述宠物模式不可用，即互斥信息可以是如图7中所示的互斥信息。文本信息可以用于描述隐私模式启动后能够取得的效果，例如，开启第三隐私保护模式后，文本信息可以用于描述第三隐私模式启动间，第四业务类型的数据不能够发送给外部设备，即描述文本可以是如图9中的(b)所示的描述文本802或804。

本申请实施例中，能够在隐私偏好配置文件中设置一些文本信息或者互斥信息，用于告知用户启动某一隐私保护模式后的相关事项，能够提高用户的人机交互体验

本申请实施例还提供用于实现以上任一种方法的装置，例如，提供一种装置包括用以实现以上任一种方法中车辆所执行的各步骤的单元(或手段)。

图11是本申请实施例提供的一种隐私保护装置1100示意图。该装置1100可应用于图1的车辆100中。

该装置1100可以包括获取单元1110、存储单元1120和处理单元1130。获取单元1110可以实现相应的通信功能，获取单元1110还可以称为通信接口或通信单元用于获取数据。存储单元1120用于存储相应的指令和/或数据。处理单元1130用于进行数据处理。处理单元1130可以读取存储单元中的指令和/或数据，以使得装置实现前述方法实施例。

作为一种设计，该装置1100包括：获取单元1110，用于获取开启的隐私保护模式，所述隐私保护模式用于指示对应于第一业务类型的业务产生的数据能够在车辆的通信模块间通信；处理单元1130，用于根据所述隐私保护模式，控制第一业务产生的数据在所述车辆的通信模块间通信，所述第一业务的业务类型为所述第一业务类型。

一种可能的实现方式中，所述隐私保护模式还用于指示对应于第二业务类型的业务产生的数据能够储存在所述车辆中，所述处理单元1130，还用于根据所述隐私保护模式，将第二业务产生的数据保存在所述车辆中，所述第二业务的业务类型为所述第二业务类型。

一种可能的实现方式中，所述隐私保护模式还用于指示对应于第三业务类型的业务产生的数据能够发送给外部设备，所述处理单元1130，还用于根据所述隐私保护模式，将第三业务产生的数据发送给所述外部设备，所述第三业务的业务类型为所述第三业务类型。

一种可能的实现方式中，所述隐私保护模式还用于指示对应于第四业务类型的业务产生的数据不能够发送给外部设备，所述处理单元1130，还用于根据所述隐私保护模式，禁止第四业务产生的数据发送给所述外部设备，所述第四业务的类型为所述第四业务类型。

一种可能的实现方式中，所述处理单元1130，具体用于根据所述第一隐私偏好配置文件，控制第一业务产生的数据在所述车辆的通信模块间通信,所述第一隐私偏好文件与所述隐私保护模式具有对应关系，所述第一隐私偏好配置文件用于指示所述第一业务与车内通信权限开启具有对应关系，所述车内通信权限为数据在所述车辆的通信模块间通信的权限。

一种可能的实现方式中，所述获取单元1110，具体用于获取所述隐私保护模式对应的第一隐私偏好配置文件，所述第一隐私偏好配置文件用于指示所述第一业务与车内通信权限开启具有对应关系，所述车内通信权限为数据在所述车辆的通信模块间通信的权限；所述处理单元1130，具体用于根据所述第一隐私偏好配置文件，控制第一业务产生的数据在所述车辆的通信模块间通信。

一种可能的实现方式中，所述处理单元1130，具体用于根据所述第二隐私偏好配置文件，将第三业务产生的数据发送给所述外部设备，并禁止第四业务产生的数据发送给所述外部设备,其中，所述第二隐私偏好配置文件与所述隐私保护模式具有对应关系，所述第二隐私偏好配置文件用于指示所述第三业务与云车通信权限开启具有对应关系，所述第四业务与云车通信权限关闭具有对应关系，所述云车通信权限为数据发送给所述外部设备的权限。

一种可能的实现方式中，所述获取单元1110，具体用于获取所述隐私保护模式对应的第二隐私偏好配置文件，所述第二隐私偏好配置文件用于指示所述第三业务与云车通信权限开启具有对应关系，所述第四业务与云车通信权限关闭具有对应关系，所述云车通信权限为数据发送给所述外部设备的权限；所述处理单元1130，具体用于根据所述第二隐私偏好配置文件，将第三业务产生的数据发送给所述外部设备，并禁止第四业务产生的数据发送给所述外部设备。

作为另一种设计，该装置1100包括：获取单元1110，用于获取开启的隐私保护模式，所述隐私保护模式用于指示对应于第二业务类型的业务产生的数据能够储存在所述车辆中，处理单元1130，用于根据所述隐私保护模式，将第二业务产生的数据保存在所述车辆中，所述第二业务的业务类型为所述第二业务类型。

作为另一种设计，该装置1100包括：获取单元1110，用于获取开启的隐私保护模式，所述隐私保护模式用于指示对应于第三业务类型的业务产生的数据能够发送给外部设备，处理单元1130，用于根据所述隐私保护模式，将第三业务产生的数据发送给所述外部设备，所述第三业务的业务类型为所述第三业务类型。

作为另一种设计，该装置1100包括：获取单元1110，用于获取车辆的隐私保护模式，所述隐私保护模式包括第一隐私保护模式、第二隐私保护模式、第三隐私保护模式中的至少一项；处理单元1130，用于根据所述隐私保护模式，控制对应于所述车辆的业务数据的传输。

一种可能的实现方式中，所述第一隐私保护模式用于指示对应于第一业务类型的第一业务数据是否能够在所述车辆的通信模块间通信；在所述第一隐私保护模式用于指示所述第一业务数据能够在所述车辆的通信模块间通信时，所述处理单元1130，具体用于根据所述第一隐私保护模式，控制所述第一业务数据在所述车辆的通信模块间通信。

一种可能的实现方式中，所述第二隐私保护模式用于指示对应于第二业务类型的第二业务数据是否能够储存在所述车辆中；在所述第二隐私保护模式指示所述第二业务数据能够储存在所述车辆中时，所述处理单元1130，具体用于根据所述第二隐私保护模式，将所述第二业务数据保存在所述车辆中。

一种可能的实现方式中，所述第三隐私保护模式用于指示对应于第三业务类型的第三业务数据能够发送给外部设备，所述处理单元1130，具体用于将所述第三业务数据发送给所述外部设备。

一种可能的实现方式中，所述第三隐私保护模式用于指示对应于第四业务类型的第四业务数据不能够发送给外部设备，所述处理单元1130，具体用于禁止所述第四业务数据发送给所述外部设备。

应理解，各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

还应理解，图11中的处理单元1130可以由至少一个处理器或处理器相关电路实现，获取单元1110可以由收发器或收发器相关电路实现，存储单元可以通过至少一个存储器实现。

可选地，若该装置1100位于车辆中，上述处理单元1130可以是图1所示的处理器131至13n，

可选地，上述处理单元1130可以是图12中的处理器1220，上述存储单元1120可以是图12中的存储器1210，上述获取单元1110可以是图12中的通信接口1230。

图12是本申请实施例提供的另一种隐私保护装置1200示意图。该装置1200可应用于图1的车辆100中。

该装置1200包括：存储器1210、处理器1220、以及通信接口1230。其中，存储器1210、处理器1220，通信接口1230通过内部连接通路相连，该存储器1210用于存储指令，该处理器1220用于执行该存储器1220存储的指令，以控制输入/输出接口1230接收/发送第二信道模型的至少部分参数。可选地，存储器1210既可以和处理器1220通过接口耦合，也可以和处理器1220集成在一起。

需要说明的是，上述通信接口1230使用例如但不限于收发器一类的收发装置，来实现通信设备1000与其他设备或通信网络之间的通信。上述通信接口1230还可以包括输入/输出接口(input/output interface)。

处理器1220存储有一个或多个计算机程序，该一个或多个计算机程序包括指令。当该指令被所述处理器1220运行时，使得该隐私保护装置1200执行上述各实施例中的隐私保护技术方案。

可选地，该装置1200可以位于图1中的车辆100中。

可选地，该装置1200可以为图1中车辆中的计算平台130。

本申请实施例还提供一种计算机可读介质，所述计算机可读介质存储有程序代码，当所述计算机程序代码在计算机上运行时，使得所述计算机执行上述图3至图10中的任一种方法。

本申请实施例还提供一种芯片，包括：至少一个处理器和存储器，所述至少一个处理器与所述存储器耦合，用于读取并执行所述存储器中的指令，以执行上述图3至图10中的任一种方法。

一种计算机程序产品，其特征在于，所述计算机产品包括：计算机程序，当所述计算机程序被运行时，使得计算机执行上述图3至图10中的任一种方法。

一种部件，所述部件包括:至少一个处理器和存储器，所述至少一个处理器与所述存储器耦合，用于读取并执行所述存储器中的指令，该部件用于执行上述图3至图10中的任一种方法。

其中，该部件可以是车辆中的智能座舱域控制器或者算力较强的域控制器。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

另外，在本申请实施例中，“示例的”、“例如”等词用于表示作例子、例证或说明。本申请中被描述为“示例”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用示例的一词旨在以具体方式呈现概念。本申请实施例中，“相应的(corresponding，relevant)”和“对应的(corresponding)”有时可以混用，应当指出的是，在不强调其区别时，其所要表达的含义是一致的。

本申请中，“至少一个”是指一个或者多个，“多个”是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B的情况，其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a,b,或c中的至少一项(个)，可以表示：a,b,c,a-b,a-c,b-c,或a-b-c，其中a,b,c可以是单个，也可以是多个。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims

一种隐私保护方法，其特征在于，所述方法包括：

获取开启的隐私保护模式，所述隐私保护模式用于指示对应于第一业务类型的业务产生的数据能够在车辆的通信模块间通信；

根据所述隐私保护模式，控制第一业务产生的数据在所述车辆的通信模块间通信，所述第一业务的业务类型为所述第一业务类型。
如权利要求1所述的方法，其特征在于，所述隐私保护模式还用于指示对应于第二业务类型的业务产生的数据能够储存在所述车辆中，所述方法还包括：

根据所述隐私保护模式，将第二业务产生的数据保存在所述车辆中，所述第二业务的业务类型为所述第二业务类型。
如权利要求1或2所述的方法，其特征在于，所述隐私保护模式还用于指示对应于第三业务类型的业务产生的数据能够发送给外部设备，所述方法还包括：

根据所述隐私保护模式，将第三业务产生的数据发送给所述外部设备，所述第三业务的业务类型为所述第三业务类型。
如权利要求3所述的方法，其特征在于，所述隐私保护模式还用于指示对应于第四业务类型的业务产生的数据不能够发送给外部设备，所述方法还包括：

根据所述隐私保护模式，禁止第四业务产生的数据发送给所述外部设备，所述第四业务的类型为所述第四业务类型。
如权利要求3或4所述的方法，其特征在于，所述第三业务类型为法律法规业务类型，所述第四业务类型为非法律法规业务类型。
如权利要求1至5任一项所述的方法，其特征在于，所述根据所述隐私保护模式，控制第一业务产生的数据在所述车辆的通信模块间通信，包括:

根据第一隐私偏好配置文件，控制第一业务产生的数据在所述车辆的通信模块间通信，其中，所述第一隐私偏好文件与所述隐私保护模式具有对应关系，所述第一隐私偏好配置文件用于指示所述第一业务与车内通信权限开启具有对应关系，所述车内通信权限为数据在所述车辆的通信模块间通信的权限。
如权利要求4或5所述的方法，其特征在于，所述根据所述隐私保护模式将第三业务产生的数据发送给所述外部设备和所述根据所述隐私保护模式禁止第四业务产生的数据发送给所述外部设备，包括：

根据第二隐私偏好配置文件，将第三业务产生的数据发送给所述外部设备，并禁止第四业务产生的数据发送给所述外部设备，其中，所述第二隐私偏好配置文件与所述隐私保护模式具有对应关系，所述第二隐私偏好配置文件用于指示所述第三业务与云车通信权限开启具有对应关系，所述第四业务与云车通信权限关闭具有对应关系，所述云车通信权限为数据发送给所述外部设备的权限。
如权利要求7所述的方法，其特征在于，所述第一隐私偏好配置文件或所述第二隐私偏好配置文件包括：与所述隐私保护模式功能存在互斥的信息和/或本文信息，所述文本信息包括用于在人机交互界面所呈现的与所述第一隐私偏好配置文件或所述第二隐私偏好配置文件相关联的内容。
一种隐私保护装置，其特征在于，所述装置包括：

获取单元，用于获取开启的隐私保护模式，所述隐私保护模式用于指示对应于第一业务类型的业务产生的数据能够在车辆的通信模块间通信；

处理单元，用于根据所述隐私保护模式，控制第一业务产生的数据在所述车辆的通信模块间通信，所述第一业务的业务类型为所述第一业务类型。
如权利要求9所述的装置，其特征在于，所述隐私保护模式还用于指示对应于第二业务类型的业务产生的数据能够储存在所述车辆中，

所述处理单元，还用于根据所述隐私保护模式，将第二业务产生的数据保存在所述车辆中，所述第二业务的业务类型为所述第二业务类型。
如权利要求9或10所述的装置，其特征在于，所述隐私保护模式还用于指示对应于第三业务类型的业务产生的数据能够发送给外部设备，

所述处理单元，还用于根据所述隐私保护模式，将第三业务产生的数据发送给所述外部设备，所述第三业务的业务类型为所述第三业务类型。
如权利要求11所述的装置，其特征在于，所述隐私保护模式还用于指示对应于第四业务类型的业务产生的数据不能够发送给外部设备，

所述处理单元，还用于根据所述隐私保护模式，禁止第四业务产生的数据发送给所述外部设备，所述第四业务的类型为所述第四业务类型。
如权利要求11或12所述的装置，其特征在于，所述第三业务类型为法律法规业务类型，所述第四业务类型为非法律法规业务类型。
如权利要求9至13任一项所述的装置，其特征在于，

所述处理单元，具体用于根据所述第一隐私偏好配置文件，控制第一业务产生的数据在所述车辆的通信模块间通信,所述第一隐私偏好文件与所述隐私保护模式具有对应关系，所述第一隐私偏好配置文件用于指示所述第一业务与车内通信权限开启具有对应关系，所述车内通信权限为数据在所述车辆的通信模块间通信的权限。
如权利要求12或13所述的装置，其特征在于，

所述处理单元，具体用于根据所述第二隐私偏好配置文件，将第三业务产生的数据发送给所述外部设备，并禁止第四业务产生的数据发送给所述外部设备,其中，所述第二隐私偏好配置文件与所述隐私保护模式具有对应关系，所述第二隐私偏好配置文件用于指示所述第三业务与云车通信权限开启具有对应关系，所述第四业务与云车通信权限关闭具有对应关系，所述云车通信权限为数据发送给所述外部设备的权限。
如权利要求15所述的装置，其特征在于，所述第一隐私偏好配置文件或所述第二隐私偏好配置文件包括：与所述隐私保护模式功能存在互斥的信息和/或本文信息，所述文本信息包括用于在人机交互界面所呈现的与所述第一隐私偏好配置文件或所述第二隐私偏好配置文件相关联的内容。
一种隐私保护装置，其特征在于，包括：至少一个处理器和存储器，所述至少一个处理器与所述存储器耦合，用于读取并执行所述存储器中的指令，以执行如权利要求1至8中任一项所述的方法。
一种计算机可读介质，其特征在于，所述计算机可读介质存储有程序代码，当所述计算机程序代码在计算机上运行时，使得所述计算机执行如权利要求1至8中任一项所述的方法。
一种芯片，其特征在于，包括：至少一个处理器和存储器，所述至少一个处理器与所述存储器耦合，用于读取并执行所述存储器中的指令，以执行如权利要求1至8中任一项所述的方法。
一种计算机程序产品，其特征在于，所述计算机产品包括：计算机程序，当所述计算机程序被运行时，使得计算机执行如权利要求1至8中任一项所述的方法。
一种部件，其特征在于，所述部件包括:至少一个处理器和存储器，所述至少一个处理器与所述存储器耦合，用于读取并执行所述存储器中的指令，以执行如权利要求1至8中任一项所述的方法。
一种车辆，其特征在于，包括：至少一个处理器和存储器，所述至少一个处理器与所述存储器耦合，用于读取并执行所述存储器中的指令，以执行如权利要求1至8中任一项所述的方法。