13434168323
隨著智能網聯汽車的普及、自動駕駛技術的發展,汽車已成為智能手機外又一重要的數據采集端口。汽車通過攝像頭、傳感器、麥克風、雷達、娛樂系統等車載設備收集駕駛員與乘客的個人信息、高精地圖信息、環境地標信息,用于提高用戶駕駛體驗和提供智能駕駛功能。同時,汽車收集的大量數據通過車載通信設備,上傳或共享給車企的數據平臺或短距通信終端等。
有數據顯示,一輛自動駕駛汽車每秒鐘就可以產生100G的數據。而企業在日常運維中,數據存在非授權訪問、過度采集、違規共享、跨境傳輸、數據泄露的合規風險。這些事關國家安全和公共利益的汽車數據,未來也將成為我國數據安全的關注重點。為此,國家及部委陸續出臺了《數據安全法》《個人信息保護法》等法律及配套法規標準,用于規范汽車數據安全采集和使用。
汽車工業供應鏈長、產品生命周期跨度大、企業產品覆蓋的范圍大、涉及的社會面廣泛,因此存在監管部門多、監管法律復雜、標準規范數量多且交叉等問題。本期“專家訪談”欄目,我們邀請到廣電計量信息化服務事業部數據安全技術負責人任老師,為大家解讀汽車企業在數據安全合規工作中,不同場景下應使用什么標準、符合哪些法律法規的問題應對思路。
任老師
廣電計量信息化服務事業部數據安全技術負責人
●十余年信息化工作經驗,曾參與國家“863”課題,致力于建設國家身份認證基礎設施,在網絡安全、數據安全、數據流通有獨到的理解;熟悉等級保護、商用密碼應用評估、數據安全風險評估、個人信息影響評估等領域。
●主導數據流通項目,在各地交易所、金融公司落地,實現數據“可用不可見”;
●承擔過上海市科委數據去標識化科研項目并發表論文。
●擔任國內重大金融公司的網絡攻-防演練項目經理,成績優異。
汽車數據有哪些應用場景?
汽車產業作為最為復雜的工業體系之一,涉及的數據類型多、數量大、數據生命周期長,其合規場景較為復雜,大致可以分為三種類型:整車數據合規場景、企業運營數據安全合規場景、工業制造業數據合規場景。
第一,汽車作為數據采集的終端,采集、處理了大量用戶信息、地理位置信息、周邊環境信息、車載數據等。這些數據大量傳輸至車企的TSP平臺,其采集、處理、存儲、傳輸、共享、刪除都需要做合規性工作。
第二,企業運營數據更加偏向一般企業。整車企業、零部件廠商、汽車金融、汽車維修保養企業一方面收集、存儲和處理了大量的個人信息,同時自身企業運營的數據、員工數據、業務數據、財務數據等應參照《數據安全法》相關管理規定進行管理和處理。
第三,整車企業、零部件廠商包括車規級芯片廠商,其工業產線的數據屬于工業數據,數據的種類包括了物聯網數據、工控數據、產品質量數據、產品設計數據、廠房數據、重要設備的數據等,可能涉及重要數據或涉及關鍵信息基礎設施,其數據安全的合規保護要求更加嚴格。
國家互聯網信息辦公室(簡稱網信辦)承擔了我國信息安全與數據安全總協調的工作。作為最高的監管部門,網信辦聯合四部委頒布實施了《汽車數據安全管理若干規定(試行)》,用于規范汽車數據處理活動,保護個人、組織的合法權益,維護國家安全和社會公共利益,促進汽車數據合理開發利用。
同時,針對車企全球化戰略、數據的安全跨境問題,網信辦還出臺了數據出境跨境評估辦法,用于規范保護數據出境的情形。為了進一步落實相關法律,積極推動汽車數據安全備案工作,2022年、2023年,各省委網信辦要求當地車企、零部件廠商、汽車服務機構,報送汽車數據安全管理情況。
工業和信息化部(簡稱工信部)是汽車產業的主管部門,承擔著汽車數據安全的監管工作。工信部陸續頒布實施了《關于加強智能網聯汽車生產企業及產品準入管理的意見》《工業和信息化領域數據安全管理辦法(試行)》《工業數據分類分級指南(試行)》《車聯網網絡安全和數據安全標準體系建設指南》等與汽車數據安全相關的管理規定和指導性文件,用于指導汽車產業數據安全工作的方向。
公安部作為關鍵信息基礎設施、網絡安全等級保護的主管單位,《數據安全法》《網絡安全法》的執法單位之一,對工業基礎設施、信息系統的數據安全、網絡安全進行監管。國務院出臺了《關鍵信息基礎設施安全保護條例》,公安部配合出臺了《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》。網聯汽車運行過程中,其網聯數據平臺屬于網絡安全等級保護的范圍,其數據安全受公安機關的監督。同時,在公安部交通管理局指導下,公安部直屬單位也開始面向汽車上路前嘗試開展信息安全、數據安全的測評研究工作。
以上主要監管部門的主要監管手段包括專項檢查、年度備案、準入檢測、交管上路檢查、數據泄露事件調查、網絡安全審查、數據出境評估等。
根據以上分析,面向不同場景的數據安全合規需求,除《數據安全法》《個人信息保護法》《網絡安全法》等通用法律法規外,不同部委的法律法規與適用的標準規范不盡相同。因此,我們對汽車數據安全場景的適用項進行了梳理,具體見下表:
場景 | 數據范圍 | 適用法律 | 適用標準 | 監管部門 |
整車數據(覆蓋TSP) | 用戶個人信息、座艙數據、車外數據 | 《數據出境安全評估辦法》 | 《數據出境安全評估申報指南》 | 網信辦 |
《汽車數據安全管理若干規定(試行)》 | GB/T 41871《汽車數據處理安全技術要求》 | 網信辦、工信部 | ||
《關于加強智能網聯汽車生產企業及產品準入管理的意見》 | GB/T XXXXX《智能網聯汽車數據通用要求》(研制中) | 工信部 | ||
企業運營數據 | 用戶個人信息、企業員工個人信息以及財務數據、業務數據等經營數據 | 《數據出境安全評估辦法》 | 《數據出境安全評估申報指南》 | 網信辦 |
《汽車數據安全管理若干規定(試行)》 | GB/T 41871《汽車數據處理安全技術要求》 | 網信辦、工信部 | ||
《工業和信息化領域數據安全管理辦法(試行)》 | 《工業和信息化領域數據安全風險評估實施細則(試行)(征求意見稿)》 | 工信部 | ||
《關鍵信息基礎設施安全保護條例》 | GB/T 39204《關鍵信息基礎設施安全保護要求》 | 公安部 | ||
《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》 | GB/T 22239《網絡安全等級保護基本要求》 | 公安部 | ||
工業制造業數據 | 工業企業在研發設計、生產制造、經營管理、運維服務等環節中生成和使用的數據,以及工業互聯網平臺企業(以下簡稱平臺企業)在設備接入、平臺運行、工業APP應用等過程中生成和使用的數據。 | 《關于加強智能網聯汽車生產企業及產品準入管理的意見》 | GB/T XXXXX《智能網聯汽車數據通用要求》(研制中) | 工信部 |
《工業和信息化領域數據安全管理辦法(試行)》 | 《工業數據分類分級指南(試行)》、GB/T XXXXX《網絡數據分類分級要求》(研制中) | 工信部 | ||
《關鍵信息基礎設施安全保護條例》 | GB/T 39204《信息安全技術 關鍵信息基礎設施安全保護要求》 | 公安部 |
汽車產業涉及面廣、產業鏈長,覆蓋了數據的全生命周期,包含的數據具有種類多、數據復雜性高,流動性強等特點,決定了汽車數據安全會歸屬多個部委監管。因此,車企想做好汽車數據安全合規工作,需要針對不同的業務場景、不同的應用以及不同的環境,使用對應法律法規和國家標準作為合規依據,實施不同的合規技術和管理措施,保障汽車數據的安全基線。
關于廣電計量
廣電計量檢測集團股份有限公司(簡稱:廣電計量002967)深耕汽車檢測行業20余年,是國家技術標準創新基地(汽車)信息安全標準應用數據庫共建單位、工信部國家汽車信息安全標準示范應用檢測單位,目前已獲得近50家車廠認可,是國內車廠認可最多的第三方檢測機構之一,服務于12000多家車企及零部件廠商,構建了全面的軟件測試、信息安全和數據安全服務能力,是汽車企業的質量管家,也是智能汽車美好生活的守護者。
電話
微信掃一掃