专家解读 | 立足产业发展,构建车联网数据安全体系
2021-11-09
来源: 中国信息安全
汽车智能化与网联化已成为汽车产业转型升级的必然方向,在把握新机遇、构建新生态的同时,数据滥采滥用、敏感个人信息泄露、控车类数据被篡改、重要数据跨境传输等数据安全问题不仅是汽车产业发展机遇期面临的全新挑战,更是数字化时代国家总体安全的重要组成部分。
今年《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》正式发布。中央网信办联合五部委发布《汽车数据安全管理若干规定(试行)》(以下简称《规定》),这是汽车数据安全领域的第一个部门规章。2021年10月8日,全国信息安全标准化技术委员会发布《汽车采集数据处理安全指南》(以下简称《指南》)技术文件,为汽车采集数据的传输、存储和出境等处理活动提供指引。
一、界定适用范围,落实各方职责
汽车数据不再局限于整车企业独力整合或是供应链、运维服务等单流程数据流动模式,全新的立体网络数据流动形态正在形成。汽车数据安全保护工作涉及汽车行业生态体系的各个环节,要打造数据安全总体防护体系,就要充分调动行业整体责任意识,联合构建汽车生态体系协同推进的数据安全工作格局。《指南》明确汽车制造商为责任主体,界定了本文件适用的数据处理环节及其活动。具体包括汽车整车生产企业开展的汽车设计、生产、销售、使用、运维等环节,主管监管部门、第三方评估机构等对汽车采集数据处理活动进行监督、管理和评估环节。
二、明确数据内容,细化保护对象
汽车数据采集及处理能力不断增强、数据规模越发庞大,明确数据内容及保护对象是首要工作。《指南》基于《规定》要求,进一步细化明确汽车采集数据类别及包含具体内容,为行业提供分类依据。数据内容包括道路、建筑、地形、交通参与者等车外数据,车内人脸、指纹、语音等座舱数据;车速、加速度、发动机温度等运行数据;汽车定位和途经路径相关的位置轨迹数据。
三、规范数据流程,严守重点环节
在传输、处理、存储和使用等环节,汽车数据存在过度收集、滥用权限,窃听、篡改、窃取,敏感个人信息处理不当,安全存储措施不完善,重要数据未经评估跨境传输等问题。《指南》针对汽车采集数据的传输、存储、出境等方面提出安全要求,着重强调了数据车内处理、数据存储定期删除、数据出境“三个不应,一个评估”、数据全生命周期汽车制造商承担总体责任等原则。
汽车行业仍处于持续创新发展的阶段,新的数据采集设备和方法将不断涌现。《指南》对汽车采集数据处理安全提供了指引,确定了汽车行业数据安全治理的基本框架,有利于促进汽车数据依法合理有效利用。汽车行业需要加快软硬件研发、标准研究、检测认证等技术攻坚与体系构建,为实现我国汽车产业转型升级与高质量发展保驾护航。