论文部分内容阅读
汽车数据安全治理加码
日增至少10TB/辆。
智能网联汽车每日产生、收集和利用的庞大数据量,在让车辆更懂“你”、更好用的同时,也暗藏一系列从国家到个人的安全风险,亟待政策法规的监管与治理。快速增长的智能汽车保有量还在放大这些问题。预计 2025 年,国内L2、L3 级(在特定环境中实现部分自动驾驶的操作)智能网联汽车销量有望占全部汽车销量的 50%。
从全球看,数据安全治理已经进入立法高峰期,整体数据监管态势趋严。有统计数据显示,截至今年5个月,全球超过140个国家和地区制定隐私和数据保护相关的法律法规。
在国内, 近两年特别是近期,一系列热点事件让智能汽车数据安全问题进入公众视野。今年4月的特斯拉女车主维权事件暴露数据安全监管问题,7月的滴滴APP被下架事件更是引发各方关注和热议。
相关立法和监管部门对汽车数据安全的管理也在加严,涉及智能网联汽车数据安全的政策法规密集出台。《中华人民共和国数据安全法》已审议通过,工信部正式发布《关于加强智能网联汽车生产企业及产品准入管理的意见》,《网络安全审查办法(修订草案征求意见稿)》、《信息安全技术网联汽车采集数据的安全要求(草案)》、《关于加强车联网( 智能网联汽车) 网络安全工作的通知( 征求意见稿)》等文件也被陆续推出。
8月20日,又一项重磅法规正式出台。国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部和交通运输部联合发布了《汽车数据安全管理若干规定(试行)》(以下简称《规定》),将于2021年10月1日起施行。
国家互联网信息办公室有关负责人指出,汽车产业涉及国家经济、装备制造、金融、交通运输、生产生活等诸多领域,汽车数据处理能力日益增强、汽车数据规模庞大,暴露出的汽车数据安全问题和风险隐患也日益突出。比如,汽車数据处理者超越实际需要,过度收集重要数据;未经用户同意,违规处理个人信息,特别是敏感个人信息;未经安全评估,违规出境重要数据等。因此,亟需《规定》加强汽车数据安全管理,防范化解上述安全问题和风险隐患。
鉴于目前《网络安全法》、《数据安全法》对数据安全、个人信息保护作了基本规定。在汽车数据安全管理领域出台有针对性的规章制度,明确汽车数据处理者的责任和义务,规范汽车数据处理活动,有利于促进汽车数据依法合理有效利用和汽车行业健康有序发展。
“智能网联汽车数据共涉及六个方面的法律法规,分别为国家安全、网络安全、地理信息安全、核心数据和重要数据安全、个人信息安全、产品责任与事故责任。”作为多部委的智能网联汽车法律政策专家,ICMA智联出行研究院执行院长何姍姍指出,《规定》属于汽车行业数据安全管理的特别规定。
新规力求务实解决行业问题
早在今年5月,《规定》征求意见稿曾由国家网信办发布,面向社会公开征求意见。正式出台的《规定》相比征求意见稿,已经由21条变成了19条,包括目的意义、适用范围、定义、等级保护要求、数据安全原则、告知义务、授权与脱敏要求、采集的前提、报送风险评估报告、数据境内存储、出境核查、企业年报要求、安全评估、加强平台建设、建立投诉举报渠道、违法处理与追责等内容。但《规定》对汽车数据采集与使用的定义更为细化。
《规定》出台后,汽车全产业链上下游都将被纳入汽车数据处理者范围接受监管,汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等在开展汽车数据处理活动中需坚持“车内处理”“默认不收集” “ 精度范围适用”“脱敏处理”等数据处理原则,以减少对汽车数据的无序收集和违规滥用。
数据监管工作的一大难点在于区分需要高强度监管手段的数据和在市场上流动的数据,避免“一管就死”。中国汽车工业协会秘书长助理王耀曾在今年6月举办的2021中国汽车论坛上指出:“不要指望可以一刀切, 哪些数据可以用,哪些数据不可以用,这个很难,特别是关系到国家安全和公共安全的时候,还涉及定性和定量的问题,需要辩证看待。”
此次《规定》在处理原则中就很注意这一点。何姗姗指出,例如车内处理原则,汽车数据应坚持车内处理,这对车端的计算和存储能力提出了很高要求。但是,该原则并非一刀切地限制数据传到车外,在实际业务中,确有必要的,应根据具体场景的需求进行必要性分析和风险评估,并做好脱敏处理等措施。还有关于保存期限,汽车数据安全新规删除“最小保存期限原则”,避免了一刀切的安排,实践中更具灵活性。
特别值得一提的是,“《规定》在指导汽车企业工作中有非常实际的意义,针对汽车新技术的发展,平衡了数据使用与安全管理。同时,《规定》的许多条款操作性很强,涉及各个汽车产业链中的各个环节,明确各方参与主体责任与义务,给出了非常清晰的流程。”何姗姗如是表示。
企业应如何开展落实工作
“《规定》施行将确立汽车行业数据安全及治理的基本框架,起到规范企业数据处理活动,加强汽车产业数据安全保障,保护个人、组织合法权益,维护国家安全和利益的重要作用。”中汽协会大数据分会执行秘书长滕添益表示,短期内企业需要进行相应调整。
他撰文指出,企业后续的数据安全工作主要针对8个方面开展:建立等保制度,开展等保工作;调整数据采集授权方式;细化告知内容,车上增加正在采集的状态标识;建立采集数据的车内匿名化与轮廓化处理能力;增加用户进行数据查询、复制、申请删除的途径,并且十日内完成删除,需要为同意进行数据采集的用户提供申请删除数据的渠道,并且相应地为用户增加查询、复制其个人信息的途径;每年12月25日前向有关部门报送数据安全年报;从事数据处理的企业要积极应对数据安全评估审查;有数据跨境传输行为的企业需要接受有关部门的核查以及在数据安全年报中增加数据出境活动的相关报告。
企业在应对合规中注意哪些问题
作为汽车数据处理者,汽车行业相关企业不仅要了解智能网联汽车数据相应法律、法规,还要尽快建立起健全的汽车数据安全合规制度,积极防范数据安全风险。
何姗姗指出, 在落实数据安全合规义务时,企业应注意3点:一是智能网联汽车全产业链的企业都应当遵守数据安全、数据跨境流动的监管规则;二是由于法律对于不同角色的主体规定了不同的义务,并且不同的数据类型对应的风险不同,企业内部对数据应进行分级分类管理;三是企业应当重视对供应链数据安全风险的管控。
关于如何应对未来法规监管,何姗姗表示:“企业面对监管要保持开放和建设性的心态,早做应对。”她建议可以从4方面提前做好准备工作:
所有的汽车数据处理者,应当尽早自行组织或者委托专业机构对本企业数据处理活动的合规性开展自查, 识别风险,并进行合规差距分析;建议企业针对供应链开展全链条风险管理工作, 包括针对研发、生产、销售、售后、车联网服务、供应商管理、经销商管理及其他第三方管理等环节的数据风险排查;企业应建立符合监管要求的数据分级分类体系,开展数据盘点工作,识别个人信息、重要数据、测绘地理信息等受到严格监管的数据类型,建立符合监管要求的数据分级分类体系;建议企业建立健全数据安全管理制度,从组织机构搭建、制度流程建设、系统完善、意识增强等方面建立和健全数据安全管理制度,落实数据安全保护义务。
汽车数据安全管理需要政府、汽车数据处理者、个人等多方主体共同参与。一系列政策法规的出台将进一步推动企业加快数据安全布局进程,在安全防护手段、技术能力上不断升级。新一代的信息技术,包括云计算、区块链、流量检测、国密等正在提升数据安全综合防护能力,加强基础技术研发与数据安全技术应用、提升核心基础技术和安全可控能力、构建完善的数据安全管理体系将成为产业链上各企业的重点发力方向。