隨著汽車智能化、網(wǎng)聯(lián)化的發(fā)展,,在給消費者帶來更智能、更便捷的用戶體驗的同時,,也引發(fā)了一系列的行業(yè)痛點,特別是汽車數(shù)據(jù)安全問題,。由于汽車產(chǎn)業(yè)組成,、技術(shù)結(jié)構(gòu)、數(shù)據(jù)來源復(fù)雜多樣,,汽車數(shù)據(jù)安全工作面臨著全新的多層次風(fēng)險挑戰(zhàn),,因此迫切需要政策法規(guī)和標準規(guī)范予以有效回應(yīng),。
近來我國不斷完善數(shù)據(jù)安全法規(guī)標準體系建設(shè)、加強數(shù)據(jù)保護力度,,涉及智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全的法規(guī)政策標準密集出臺,,其中包括《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》《關(guān)于加強智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準入管理的意見》《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》《關(guān)于加強車聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)網(wǎng)絡(luò)安全工作的通知(征求意見稿)》等,通過政策文件加強對數(shù)據(jù)全生命周期的管控,,強調(diào)數(shù)據(jù)分類分級工作,,并為產(chǎn)業(yè)和技術(shù)發(fā)展指明了渠道和方向。
10月8日,,全國信息安全標準化技術(shù)委員會(以下簡稱“信安標委”,,TC260)發(fā)布了《汽車采集數(shù)據(jù)處理安全指南》(以下簡稱“指南”),其中規(guī)定了汽車制造商對汽車采集數(shù)據(jù)的傳輸,、存儲和出境等處理活動的安全要求,,為汽車制造商開展汽車的設(shè)計、生產(chǎn),、銷售,、使用、運維提供數(shù)據(jù)保護實施規(guī)范,,同時也為主管監(jiān)管部門,、第三方評估機構(gòu)等對汽車采集數(shù)據(jù)處理活動進行監(jiān)督、管理和評估提供依據(jù),。
一,、編制《汽車采集數(shù)據(jù)處理安全指南》文件背景
在智能網(wǎng)聯(lián)汽車發(fā)展過程中如何使用數(shù)據(jù),如何確保數(shù)據(jù)安全,,兼顧國家,、公民和行業(yè)利益是未來發(fā)展的重要課題。汽車數(shù)據(jù)主要來源于對車輛終端和用戶的信息采集,。駕駛?cè)说纳矸菪畔ⅰ④囕v信息,、駕駛行為信息,、位置定位信息以及其他個人參數(shù)數(shù)據(jù)可能會被車輛的攝像頭等傳感器采集并上傳至云端。由于缺乏控制和信息不對稱,,車輛可能會在個人沒有知悉的情況下進行數(shù)據(jù)采集,,并對采集獲得的個人數(shù)據(jù)進行處理,造成個人信息的泄漏,。并且汽車采集的數(shù)據(jù)通常涉及敏感程度較高的基礎(chǔ)設(shè)施數(shù)據(jù),、地理信息數(shù)據(jù)、交通數(shù)據(jù)以及大量車主的身份和行為數(shù)據(jù),,其數(shù)據(jù)安全問題可能會直接關(guān)乎國家安全和公共利益,。在《數(shù)據(jù)安全法》《個人信息保護法》等上位法的大框架下,,《汽車采集數(shù)據(jù)處理安全指南》旨在從行業(yè)發(fā)展實際出發(fā),切中數(shù)據(jù)安全弊病,,提出科學(xué),、合理、有效的解決措施,,發(fā)揮基礎(chǔ)性,、規(guī)范性、引領(lǐng)性作用,。
二,、《汽車采集數(shù)據(jù)處理安全指南》重點內(nèi)容解讀
(一)汽車采集數(shù)據(jù)的內(nèi)容
一方面,,汽車屬于私人物品,,必然會采集處理大量的個人隱私數(shù)據(jù);另一方面,,基于安全駕駛的需要,,汽車也會采集大量的環(huán)境、路況,、位置和地理信息,,其中可能會涉及敏感數(shù)據(jù)。如果這些數(shù)據(jù)只是在車內(nèi)由行車電腦進行處理,,并不對外交互,,可以認為不涉及數(shù)據(jù)安全和個人隱私保護問題?!吨改稀分袑⑵嚥杉瘮?shù)據(jù)的內(nèi)容劃分為車外數(shù)據(jù),、座艙數(shù)據(jù)、運行數(shù)據(jù)以及位置軌跡數(shù)據(jù)四類,,并明確了各類數(shù)據(jù)的范圍以及可能涉及的個人信息,、敏感個人信息和重要數(shù)據(jù)。針對不同類別的汽車采集數(shù)據(jù),,《指南》中制定針對性的傳輸,、存儲、出境的相關(guān)要求,,確保各類數(shù)據(jù)受到恰當(dāng)?shù)谋Wo,,使相關(guān)數(shù)據(jù)處理活動處于安全可控的狀態(tài)。
?。ǘ?全方位保護汽車數(shù)據(jù)安全
目前,,行車電腦的性能已能滿足相關(guān)數(shù)據(jù)安全處理的要求。關(guān)鍵的一部分內(nèi)容是車路協(xié)同所需的車外交互數(shù)據(jù)的處理,包括車車互聯(lián),、人車互聯(lián),、車輛與路側(cè)基礎(chǔ)設(shè)施以及云服務(wù)平臺的交互數(shù)據(jù)的處理。這需要區(qū)分不同的情況來將車外交互數(shù)據(jù)進行安全處理,,以防止產(chǎn)生數(shù)據(jù)泄露和隱私侵犯等安全風(fēng)險,。《指南》中明確規(guī)定了傳輸要求,、存儲要求以及數(shù)據(jù)出境要求,,要求中具體到數(shù)據(jù)內(nèi)容以及例外情形,避免了一刀切的安排,,為企業(yè)實施數(shù)據(jù)保護措施提供明確參照,。 對于汽車制造商較為關(guān)注的汽車數(shù)據(jù)出境問題,《指南》中明確要求“車外數(shù)據(jù),、座艙數(shù)據(jù),、位置軌跡數(shù)據(jù)不應(yīng)出境;運行數(shù)據(jù)如需出境,,應(yīng)當(dāng)通過國家網(wǎng)信部門組織開展的數(shù)據(jù)出境安全評估”,。由此認為三類數(shù)據(jù)原則上不應(yīng)出境,這便是建議所有在國內(nèi)有銷售的汽車品牌,,其車企應(yīng)該在國內(nèi)建立云服務(wù)平臺,,數(shù)據(jù)在國內(nèi)存儲、分析和利用,。