随着智能网联汽车的普及、自动驾驶技术的发展,汽车已成为智能手机外又一重要的数据采集端口。汽车通过摄像头、传感器、麦克风、雷达、娱乐系统等车载设备收集驾驶员与乘客的个人信息、高精地图信息、环境地标信息,用于提高用户驾驶体验和提供智能驾驶功能。同时,汽车收集的大量数据通过车载通信设备,上传或共享给车企的数据平台或短距通信终端等。
有数据显示,一辆自动驾驶汽车每秒钟就可以产生100G的数据。而企业在日常运维中,数据存在非授权访问、过度采集、违规共享、跨境传输、数据泄露的合规风险。这些事关国家安全和公共利益的汽车数据,未来也将成为我国数据安全的关注重点。为此,国家及部委陆续出台了《数据安全法》《个人信息保护法》等法律及配套法规标准,用于规范汽车数据安全采集和使用。
汽车工业供应链长、产品生命周期跨度大、企业产品覆盖的范围大、涉及的社会面广泛,因此存在监管部门多、监管法律复杂、标准规范数量多且交叉等问题。本期“专家访谈”栏目,我们邀请到广电计量信息化服务事业部数据安全技术负责人任老师,为大家解读汽车企业在数据安全合规工作中,不同场景下应使用什么标准、符合哪些法律法规的问题应对思路。
任老师
广电计量信息化服务事业部数据安全技术负责人
●十余年信息化工作经验,曾参与国家“863”课题,致力于建设国家身份认证基础设施,在网络安全、数据安全、数据流通有独到的理解;熟悉等级保护、商用密码应用评估、数据安全风险评估、个人信息影响评估等领域。
●主导数据流通项目,在各地交易所、金融公司落地,实现数据“可用不可见”;
●承担过上海市科委数据去标识化科研项目并发表论文。
●担任国内重大金融公司的网络攻防演练项目经理,成绩优异。
汽车数据有哪些应用场景?
汽车产业作为最为复杂的工业体系之一,涉及的数据类型多、数量大、数据生命周期长,其合规场景较为复杂,大致可以分为三种类型:整车数据合规场景、企业运营数据安全合规场景、工业制造业数据合规场景。
第一,汽车作为数据采集的终端,采集、处理了大量用户信息、地理位置信息、周边环境信息、车载数据等。这些数据大量传输至车企的TSP平台,其采集、处理、存储、传输、共享、删除都需要做合规性工作。
第二,企业运营数据更加偏向一般企业。整车企业、零部件厂商、汽车金融、汽车维修保养企业一方面收集、存储和处理了大量的个人信息,同时自身企业运营的数据、员工数据、业务数据、财务数据等应参照《数据安全法》相关管理规定进行管理和处理。
第三,整车企业、零部件厂商包括车规级芯片厂商,其工业产线的数据属于工业数据,数据的种类包括了物联网数据、工控数据、产品质量数据、产品设计数据、厂房数据、重要设备的数据等,可能涉及重要数据或涉及关键信息基础设施,其数据安全的合规保护要求更加严格。
国家互联网信息办公室(简称网信办)承担了我国信息安全与数据安全总协调的工作。作为最高的监管部门,网信办联合四部委颁布实施了《汽车数据安全管理若干规定(试行)》,用于规范汽车数据处理活动,保护个人、组织的合法权益,维护国家安全和社会公共利益,促进汽车数据合理开发利用。
同时,针对车企全球化战略、数据的安全跨境问题,网信办还出台了数据出境跨境评估办法,用于规范保护数据出境的情形。为了进一步落实相关法律,积极推动汽车数据安全备案工作,2022年、2023年,各省委网信办要求当地车企、零部件厂商、汽车服务机构,报送汽车数据安全管理情况。
工业和信息化部(简称工信部)是汽车产业的主管部门,承担着汽车数据安全的监管工作。工信部陆续颁布实施了《关于加强智能网联汽车生产企业及产品准入管理的意见》《工业和信息化领域数据安全管理办法(试行)》《工业数据分类分级指南(试行)》《车联网网络安全和数据安全标准体系建设指南》等与汽车数据安全相关的管理规定和指导性文件,用于指导汽车产业数据安全工作的方向。
公安部作为关键信息基础设施、网络安全等级保护的主管单位,《数据安全法》《网络安全法》的执法单位之一,对工业基础设施、信息系统的数据安全、网络安全进行监管。国务院出台了《关键信息基础设施安全保护条例》,公安部配合出台了《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》。网联汽车运行过程中,其网联数据平台属于网络安全等级保护的范围,其数据安全受公安机关的监督。同时,在公安部交通管理局指导下,公安部直属单位也开始面向汽车上路前尝试开展信息安全、数据安全的测评研究工作。
以上主要监管部门的主要监管手段包括专项检查、年度备案、准入检测、交管上路检查、数据泄露事件调查、网络安全审查、数据出境评估等。
根据以上分析,面向不同场景的数据安全合规需求,除《数据安全法》《个人信息保护法》《网络安全法》等通用法律法规外,不同部委的法律法规与适用的标准规范不尽相同。因此,我们对汽车数据安全场景的适用项进行了梳理,具体见下表:
场景 | 数据范围 | 适用法律 | 适用标准 | 监管部门 |
整车数据(覆盖TSP) | 用户个人信息、座舱数据、车外数据 | 《数据出境安全评估办法》 | 《数据出境安全评估申报指南》 | 网信办 |
《汽车数据安全管理若干规定(试行)》 | GB/T 41871《汽车数据处理安全技术要求》 | 网信办、工信部 | ||
《关于加强智能网联汽车生产企业及产品准入管理的意见》 | GB/T XXXXX《智能网联汽车数据通用要求》(研制中) | 工信部 | ||
企业运营数据 | 用户个人信息、企业员工个人信息以及财务数据、业务数据等经营数据 | 《数据出境安全评估办法》 | 《数据出境安全评估申报指南》 | 网信办 |
《汽车数据安全管理若干规定(试行)》 | GB/T 41871《汽车数据处理安全技术要求》 | 网信办、工信部 | ||
《工业和信息化领域数据安全管理办法(试行)》 | 《工业和信息化领域数据安全风险评估实施细则(试行)(征求意见稿)》 | 工信部 | ||
《关键信息基础设施安全保护条例》 | GB/T 39204《关键信息基础设施安全保护要求》 | 公安部 | ||
《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》 | GB/T 22239《网络安全等级保护基本要求》 | 公安部 | ||
工业制造业数据 | 工业企业在研发设计、生产制造、经营管理、运维服务等环节中生成和使用的数据,以及工业互联网平台企业(以下简称平台企业)在设备接入、平台运行、工业APP应用等过程中生成和使用的数据。 | 《关于加强智能网联汽车生产企业及产品准入管理的意见》 | GB/T XXXXX《智能网联汽车数据通用要求》(研制中) | 工信部 |
《工业和信息化领域数据安全管理办法(试行)》 | 《工业数据分类分级指南(试行)》、GB/T XXXXX《网络数据分类分级要求》(研制中) | 工信部 | ||
《关键信息基础设施安全保护条例》 | GB/T 39204《信息安全技术 关键信息基础设施安全保护要求》 | 公安部 |
文章评论(0条评论)
登录后参与讨论