日前,“数据安全推进计划”(DSI)正式发布《智能网联汽车数据分类分级实践指南》(下文简称“指南”),旨在以合规为主要导向,明确智能网联汽车数据分类分级的方法论,为数据全生命周期的安全治理落实提供指导性建议。
指南由吉利汽车研究院牵头,由一汽丰田、阿里云、奇点云(杭州比智科技有限公司)等企业与律师事务所共同参编。
随着汽车的电动化、网联化、智能化发展,车企的数据量增长已走向乘数级。在探索如何通过数据来满足业务需要、构建智能服务、挖掘价值的同时,数据安全问题更不可小觑——车企应当充分保护个人信息安全和合法权益,减少对数据的无序收集和违规滥用,也需要加强对车企自身数据资产的管理。
指南指出,目前,智能网联汽车数据面临着多重安全风险:
重点数据类型的识别与处理
车企须明确区分敏感个人信息、重要数据、车外数据、座舱数据、运行数据、位置轨迹数据等数据类型,并应具备识别技术,并针对性配置安全措施。例如,对于“重要数据”的界定,汽车充电网的运行数据、包含人脸信息等的车外视频及图像数据、涉及个人信息主体超10万人的个人信息等,都属于汽车行业的重要数据。
未经评估申报的数据出境与共享
调研显示,汽车数据出境是众多汽车品牌的普遍行为,其中有三类合规风险尤值得注意:
其一,重要数据未本地化存储,未做数据出境安全评估申报;其二,境外车联网服务商跨境服务时,境内的通信数据、车联网数据、个人隐私数据等可能被传至境外;其三,合资企业及其外资公司通常采用境内境外多云管理,如果境内外平台间存在数据传输共享,亦是国家数据管理的重点关注内容。
数据全生命周期安全合规
汽车数据处理活动包括了数据采集、存储、使用加工、传输提供、公开等环节。
2021年12月,某知名汽车制造商6个月内收集43万张敏感人脸个人信息,用于门店流量统计等营销行为,被上海市徐汇区市场监督管理局罚款10万元;2022年10月,日本某知名车企因数据安全管理不善,致其29万余条客户个人信息疑似被泄露。海内外车企的多起反面教材证明,汽车数据处理活动的各个环节均应得到安全管理。
为规避数据安全隐患、构筑数据要素合规利用的保障,近年来国家及行业陆续出台了《汽车数据安全管理若干规定(试行)》《关于加强车联网网络安全和数据安全工作的通知》等各类标准,从合规层面明确智能网联汽车的数据安全要求,包括应进行分级分类处理,对数据进行打标或建立数据目录,区分数据类型,完善安全措施。
这份指南正是在此背景下进行编制,以期帮助企业落实数据安全合规:
基于多家参编单位的调研与实践,指南提供了详细的分级分类方法,明晰了从数据资产盘点、敏感数据规则配置到敏感数据识别及处理的全流程,深度拆解了高敏感级别数据的特殊保护要求,针对性地提供保护建议。此外,知名车企与自动驾驶解决方案服务商的实践案例也极具参考价值。
图:数据分类分级规则参考表节选
图源:《智能网联汽车数据分类分级实践指南》
关于“数据安全推进计划”:
数据安全推进计划(Data Security Initiative, DSI)是2021年由中国信通院发起的公益性项目,致力于推动法律法规及监管要求的贯彻落实,促进数据安全技术交流,推广数据安全最佳实践,提升数据安全治理水平。
目前,DSI成员单位已涵盖金融、汽车、互联网、电信、安全厂商等不同行业。
关于“奇点云”:
StartDT奇点云是独立第三方数据科技集团,旗下拥有“奇点云”、“GrowingIO”两大品牌,专注为客户构建统一开放、中立安全的数据云和全域全场景、智能易用的分析云,协同客户全场景赋能商业决策,实现降本增效。至今,已服务1500+客户,覆盖泛零售、制造、金融、政企等领域,陪伴客户成功实践数字化转型,以数据驱动增长。
作为 “数据安全推进计划”(简称“DSI”)成员单位,奇点云始终践行数据安全准则,从数据采集、数据存储计算、数据加工到数据应用,帮助客户完成全链路、全场景、全智能的数据全生命周期安全管控。
奇点云的数据产品曾入选中国信通院发布的《数据安全产品与服务图谱2.0》数据安全通用类产品、数据安全综合类产品双领域。其中,数据安全引擎DataBlack能覆盖98%以上的企业安全场景,达到接入零信任环境的标准,为企业创造可靠、可信、可控的数据流动空间。