汽車智能化與網聯化已成為汽車產業轉型升級的必然方向,在把握新機遇、構建新生態的同時,數據濫采濫用、敏感個人信息泄露、控車類數據被篡改、重要數據跨境傳輸等數據安全問題不僅是汽車產業發展機遇期面臨的全新挑戰,更是數字化時代國家總體安全的重要組成部分。
今年《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》正式發布。中央網信辦聯合五部委發布《汽車數據安全管理若干規定(試行)》(以下簡稱《規定》),這是汽車數據安全領域的第一個部門規章。2021年10月8日,全國信息安全標準化技術委員會發布《汽車采集數據處理安全指南》(以下簡稱《指南》)技術文件,為汽車采集數據的傳輸、存儲和出境等處理活動提供指引。
一、界定適用范圍,落實各方職責
汽車數據不再局限于整車企業獨力整合或是供應鏈、運維服務等單流程數據流動模式,全新的立體網絡數據流動形態正在形成。汽車數據安全保護工作涉及汽車行業生態體系的各個環節,要打造數據安全總體防護體系,就要充分調動行業整體責任意識,聯合構建汽車生態體系協同推進的數據安全工作格局。《指南》明確汽車制造商為責任主體,界定了本文件適用的數據處理環節及其活動。具體包括汽車整車生產企業開展的汽車設計、生產、銷售、使用、運維等環節,主管監管部門、第三方評估機構等對汽車采集數據處理活動進行監督、管理和評估環節。
二、明確數據內容,細化保護對象
汽車數據采集及處理能力不斷增強、數據規模越發龐大,明確數據內容及保護對象是首要工作。《指南》基于《規定》要求,進一步細化明確汽車采集數據類別及包含具體內容,為行業提供分類依據。數據內容包括道路、建筑、地形、交通參與者等車外數據,車內人臉、指紋、語音等座艙數據;車速、加速度、發動機溫度等運行數據;汽車定位和途經路徑相關的位置軌跡數據。
三、規范數據流程,嚴守重點環節
在傳輸、處理、存儲和使用等環節,汽車數據存在過度收集、濫用權限,竊聽、篡改、竊取,敏感個人信息處理不當,安全存儲措施不完善,重要數據未經評估跨境傳輸等問題。《指南》針對汽車采集數據的傳輸、存儲、出境等方面提出安全要求,著重強調了數據車內處理、數據存儲定期刪除、數據出境“三個不應,一個評估”、數據全生命周期汽車制造商承擔總體責任等原則。
汽車行業仍處于持續創新發展的階段,新的數據采集設備和方法將不斷涌現。《指南》對汽車采集數據處理安全提供了指引,確定了汽車行業數據安全治理的基本框架,有利于促進汽車數據依法合理有效利用。汽車行業需要加快軟硬件研發、標準研究、檢測認證等技術攻堅與體系構建,為實現我國汽車產業轉型升級與高質量發展保駕護航。
