随着汽车的电动化、网联化以及智能化发展,智能网联汽车产业的发展过程中交融了车辆运行安全、数据安全等合规风险。然而很多企业在落实法规政策时却遇到诸多困难。
本指南正在此背景下进行编制,旨在以合规为主要导向,明确智能网联汽车数据分类分级的方法论,及对应不同等级的数据,在其不同生命周期,给出通用的安全措施,为实现智能网联汽车数据在数据全生命周期中安全治理落实提供指导性建议。
一、智能网联汽车数据分类分级原则与方法
(一)数据分类分级的原则
为实现智能网联汽车数据在数据全生命周期的安全治理,根据以下原则针对智能网联 汽车数据进行分类分级:
- 合规合法:智能网联汽车数据分类分级应遵循有关法律、法规和标准的要求,对数据 进行识别及管理,并配套相应的数据安全管理办法,保证数据全生命周期的合法合规。
- 科学合理:智能网联汽车数据分类分级应充分考虑车、路、人、云的数据特征,合理 设定数据类别和级别,在确保全面覆盖的同时也要明确界限并符合客观逻辑。
- 客观明确:数据分类分级方法应是客观且可校验的,通过数据自身的属性和定级规则 即可判定相应级别,且数据定级应明确对应到数据本身,确保数据定级结果可复核。
- 简单易用:智能网联汽车数据分类分级方法应精炼且易于理解,避免设置真实运行场 景和业务实践中不存在的数据项,便于各机构或部门、企业理解和运用。
(二)数据分类分级的方法
智能网联汽车数据分类分级工作的重点应从数据源(车、路、云、人)的角度与产业链( 智能网联汽车产业链上的公司 / 机构 / 业务部门等 ) 联动进行数据的盘点,制定数据分类分级方法,并制定数据安全保护要求。其中数据分类维度以及数据分级指标是分类分级方法的核心。
基于数据来源的角度对智能网联汽车数据进行分类:为了全面梳理智能网联汽车数据类型,参考《信息安全技术 网络数据分类分级要求(征求意见稿)》、YD/T 3751-2020《车联网信息服务 数据安全技术要求》、YD/T 3746-2020《车联网信息服务 用户个人信息保护要求》《北京市高级别自动驾驶测试示范区数据分类分级白皮书》,采用平行分类法对拟分类的数据进行梳理,从数据来源的视角,分成相互之间平行关系的门类,每个门类包含具备相同来源特征的一组数据类目。同时,采用等级分类法,将各门类数据分类为一类、二类、三类、四类四个层级,每个层级、又分为若干子条目,同级类目之间构成并列关系,不同层级类目之间构成从属关系,数据第四类作为分级的最细化类目,应清晰描述相关数 据的内容或者应用场景。
基于定性指标判定智能网联汽车数据的重要性等级:针对一般数据和重要数据,本指 南给出了四个等级划分方式:一般数据一级(一般级)、一般数据二级(重要级)、一般 数据三级(敏感级)、重要数据四级(核心级)。针对已经确定的级别的数据,企业应根 据等级分别明确数据保护要求,为后续实施不同强度的数据保护手段 ( 包含隐私合规要求 ) 提供依据。
(三)数据分类分级实践
3.1 数据分类方法
3.1.1 数据资产识别
在开展智能网联汽车数据分类之前,需要为数据分类提供数据资产全景,便于确定数据分类分级方法。
可以根据数据基本信息、应用 / 功能场景、传输方法和位置状态,对数据拥有者的数据资产进行盘点,需要形成数据资产识别清单。
3.1.2 数据属性分析
通过数据项、格式、数据来源、域 / 部门四个维度针对数据基本信息进行识别。
1) 数据项:即信息本身。一个单独的数据项可以是单一的数据点(例如名称),也可以是相关数据的集合(一个数据主体的所有信息)。
2) 格式:数据项存储的状态。虽然越来越多的组织会选择在云端存储数字信息,但仍需识别实际使用的数据格式(包括照片、U 盘等)。
3) 传输方法:传输方法是指数据项从一个位置移动到另一个位置的明确方法,无论位置和传输方式是物理的还是电子的,都会产生新的数据项。
4) 位置:存储数据项和进行处理的位置。根据数据量、存储周期、备份存储等维度确定几种不同“粒度”的位置。例如:可以将数据存储在 HSM 中,也可以存储在 EMMC 中, 存储周期过 30 天后,需要删除,不能备份。
3.1.3 数据分类实践
本文中的数据分类方法结合产业链上的实际运营情况,从“车、人、路、云”四个类别对智能网联汽车数据进行梳理,整体将数据分类架构分为一类、二类、三类三个层级, 一类示例如下,整体分类分级示例在附录中展示。
1) 车端:包含基本数据类、感知数据类、决策数据类、运行数据类、车控类数据类 5 个大类。
2) 用户:包含用户身份证明信息类、用户服务相关信息类、用户其他相关信息 3 个大类。
3) 路端:包含基本信息类、感知数据类、融合计算类、应用服务类、运行状态数据类、地图数据类、交通大数据类 7 个大类。
4) 云端:基本信息类、控制数据类、网络监测数据类、生活服务类、车辆服务类、应用服务类、用户服务内容信息类、用户资料信息类、车辆销售数据类 10 个大类。
3.2 数据分级方法
针对数据从影响对象和影响程度两个方面,确定智能网联汽车数据的重要性级别。其中影响对象是指数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能影响的对象。数据安全风险涉及的影响对象包括国家安全、公共利益、组织权益、个人权益。影响程度是指数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享, 可能造成的影响程度。影响程度从高到低可分为特别严重危害、严重危害、一般危害。
对不同影响对象进行影响程度判断时,采取的基准不同。如果影响对象是组织或个人权益,则以本单位或本人的总体利益作为判断影响程度的基准。如果影响对象是国家安全、经济运行、社会稳定或公共利益,则以国家、社会或行业领域的整体利益作为判断影响程度的基准。
3.2.1 影响对象分析
参照《信息安全技术 网络数据分级分类要求(征求意见稿)》针对影响对象层面定义如下:
1) 国家安全:
数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能影响国家政治、国土、经济、科技、文化、社会、生态、军事、网络、人工智能、核、生物、太空、深海、极地、海外利益等领域国家利益安全。
2) 公共利益:
数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能影响社会公众使用公共服务、公共设施、公共资源或影响公共健康安全等。
3) 组织 / 企业权益:
数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能影响法人和其他组织的生产运营、声誉形象、公信力、知识产权等。
4) 个人利益:
数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能直接影响自然人的人身权、财产权以及其他合法权益。
3.2.2 影响程度分析
参照《信息安全技术 网络数据分级分类要求(征求意见稿)》针对影响程度层面定义如下:
1) 特别严重危害:
可能导致组织遭到监管部门严重处罚(包括取消经营资格、长期暂停相关业务等), 或者影响重要 / 关键业务无法正常开展的情况,造成重大经济或技术损失,严重破坏机构声誉,企业面临破产;
个人信息主体可能会遭受重大的、不可消除的、可能无法克服的影响,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害。如遭受无法承担的债务、失去工作能力、导致长期的心理或生理疾病、导致死亡等。
2) 严重危害:
直接危害公共健康和安全,如严重影响疫情防控、传染病的预防监控和治疗等;
可能导致重大突发公共卫生事件,造成社会公众健康严重损害的重大传染病疫情、群体性不明原因疾病、重大食物和职业中毒等严重影响公众健康的事件;
导致一个或多个地市大部分地区的社会公共资源供应较长期中断,较大范围社会成员无法使用公共设施、获取公开数据资源、接受公共服务;
可能导致组织遭到监管部门处罚(包括一段时间内暂停经营资格或业务等),或者影响部分业务无法正常开展的情况,造成较大经济或技术损失,破坏机构声誉;
个人信息主体可能遭受较大影响,个人信息主体克服难度高,消除影响代价较大。如遭受诈骗、资金被盗用、被银行列入黑名单、信用评分受损、名誉受损、造成歧视、被解雇、被法院传唤、健康状况恶化等。
3) 一般危害
对国土、经济、科技、文化、社会、生态、军事、网络、人工智能、核、生物、太空、深海、极地、海外利益等任一领域国家安全造成直接威胁;
对公共利益产生一般危害,影响小范围社会成员使用公共设施、获取公开数据资源、 接受公共服务等;
可能导致个别诉讼事件,或在某一时间造成部分业务中断,使组织的经济利益、声誉、技术等轻微受损;
个人信息主体可能会遭受困扰,但尚可以克服。如付出额外成本、无法使用应提供的 服务、造成误解、产生害怕和紧张的情绪、导致较小的生理疾病等。
3.2.3 数据分级实践
根据上述内容,通过判断数据一旦被泄露、篡改、破坏或者非法获取、非法利用、非法共享,对国家安全、公共利益、组织、个体合法权益的影响程度,将数据等级分为如下 4 个级别:
1) 一般数据一级(一般级):是指在车联网信息服务过程中,数据在被泄露、篡改、破坏或者非法获取、非法利用、非法共享后,对个人权益、组织权益公共利益造成一般危 害的数据;
2) 一般数据二级(重要级):是指在车联网信息服务过程中,数据在被泄露、篡改、破坏或者非法获取、非法利用、非法共享后,对个人权益、组织权益公共利益造成严重危 害的数据;
3) 一般数据三级(敏感级):是指在车联网信息服务过程中,数据在被泄露、篡改、破坏或者非法获取、非法利用、非法共享后,对个人权益、组织权益造成特别严重危害、 对公益利益造成一般危害的数据;
4) 重要数据四级(核心级):是指在车联网信息服务过程中,数据在被泄露、篡改、破坏或者非法获取、非法利用、非法共享后,对公共利益造成严重危害、对国家安全造成 一般危害的数据;
注:1. 本次指南不会对重要数据进行进一步的层级划分,暂定参考级为四级。
数据分级方法如表 1 所示:
表 1 数据分级方法
| 影响对象 / 影响等级 | 特别严重危害 | 严重危害 | 一般危害 |
| 国家安全 | — | — | 重要数据 |
| 公共利益 | — | 重要数据 | 一般数据(1 级) |
| 组织权益 | 一般数据(3 级) | 一般数据(2 级) | 一般数据(1 级) |
| 个人权益 | 一般数据(3 级) | 一般数据(2 级) | 一般数据(1 级) |
3.3 数据分类分级优化
明确定义智能网联汽车数据分类分级框架和方法后,企业在落地执行数据分类分级保护机制过程中,需要依赖于已有或新建的数据平台承载数据分类分级方法的落地。以下对 平台建设中分类分级流程和技术功能进行建议说明。
3.3.1 分类分级流程图
具体流程中,需要考虑包含数据资产盘点、敏感数据规则配置、敏感数据识别和敏感数据处理在内的 4 个步骤,实现平台用户可基于业务需求和上述数据分类分级方法灵活配置并有效管理智能网联汽车相关的分类分级规则,并对已有涉及合规相关的敏感数据资产 进行有效的识别和保护处理。(见图 1)
图 1 数据分类分级流程图
来源:数据安全推进计划
3.3.2 建立数据分类分级平台
为有效承载数据分类分级方法落地,支撑平台用户灵活配置、高效管理、有效识别并保护敏感数据资产,满足合规需求。以下分别对数据资产盘点、敏感数据规则配置、敏感 数据识别、敏感数据处理 4 个方面,提出平台建设建议:
(1)数据资产盘点
通过平台自动扫描发现数据资产,同时对数据资产进行梳理和盘点,最终形成一套完整的数据资产清单,为企业数据资产管理和数据安全体系建设打好基础。数据资产和元数据关联,盘点过程中平台应有效管理和维护数据资产相关元数据。
(2)敏感数据规则配置
根据已有的数据分类分级方法,用户可自定义新建敏感数据分级分类以及敏感数据识别规则,用于识别现有系统中的敏感字段。帮助用户可以快速标识数据库内敏感数据,为其后期保护该类数据奠定了基础,可更好地保护企业的重要数据信息,降低泄露风险。
在分类和分级规则配置过程中,用户可以通过低代码的方式自定义级别和类别的定义与描述,形成一整套标准的数据分类分级规则,便于后续识别任务的引用。对于级别配置来说,建议考虑平台功能应与国家相关规定进行匹配,同时支持用户基于业务需求自定义 创建级别规则。对于类别配置来说,建议考虑平台中既支持内置通用基础的标准分类模版,也支持不同行业的分类模版,方便用户直接引用。同时,平台也应支持用户自定义分类规则。另外,数据的分类分级建议与用户权限进行联动管控,完成对平台用户的访问权限控制, 为后续敏感数据保护提供基础。实际操作中,仅授权用户可对平台中高敏感级别的数据进 行 CRUD 操作。
基于已完成配置的分类和分级规则,需要在平台中配置敏感数据的识别规则,用于后续执行敏感数据识别任务。选定需要识别的敏感数据类别和级别后,需要配置识别策略。目前业界主流策略包括:正则表达式、语种类型匹配、数据内容分析、机器学习模型训练等。
(3)敏感数据识别
通过已创建的识别规则进行全库或指定范围库表的敏感数据识别,帮助用户发现一个数据库内哪些表内存在对应的敏感字段,即敏感数据分布情况,并可对识别结果,即敏感字段,进行统一管理。
在数据平台中,基于已创建的识别规则,对盘点后的数据配置对应的识别任务,帮助用户识别和发现当前数据库内所包含的敏感数据分布情况。平台内应支持用户对规则和识别结果进行统一的管理,并可根据业务需求对识别结果进行调整。
(4)敏感数据处理
对于已识别的敏感数据设置有效的安全保护策略是数据分类分级的落脚点,即分类分级管理具体如何有效衔接技术措施,从而对敏感数据进行安全保障。考虑到数据生命周期过程中存在传输、存储、使用等阶段,在不同角色的用户使用场景下,均需保障敏感数据的安全性。建议平台使用脱敏、加密等方式对敏感数据进行处理。
a)数据脱敏
数据脱敏是屏蔽敏感数据,对某些敏感信息通过脱敏规则进行数据变形,实现敏感数据的可靠保护。目前业界主流的脱敏规则包括:替换、重排、加密、截断、掩码等。具体来说,数据脱敏可以分为静态数据脱敏和动态数据脱敏。
• 静态数据脱敏:静态数据脱敏是将数据抽取进行脱敏处理,下发给下游环节随意取用和读写。脱敏后数据与生产环境相隔离,满足业务需求的同时保障生产数据库的安全。
• 动态数据脱敏:在访问敏感数据的同时,实时进行脱敏处理,可以为不同角色、不同权限、不同数据类型执行不同的脱敏方案,从而确保返回的数据可用且安全。
表 2 针对不同字段类型,给出建议的脱敏方式:
表 2 脱敏方式示例
| 字段类型 | 建议脱敏方式 |
| String | 遮盖脱敏、哈希脱敏、顺序重排 |
| Boolean | 随机替换 |
| Int、Long | 比特移位 |
| Byte[ ] | 哈希脱敏 |
| Double | 数值取整 |
| Date | 日期取整 |
| 适用所有数据类型 | Null 脱敏 |
b) 数据加密
数据加密是通过对数据进行编码来保护数据,检索原始值的唯一方法是使用解密密钥解码数据。加密的目的是为了防止信息被不应该获取、不允许获取的人得到。为保证数据存储的安全,数据平台中建议使用数据加密的方式对数据进行存储,保障存储介质上的数据始终处于加密状态,防止数据文件被物理拷贝的风险。建议平台内使用国家标准的加密 方式,如 SM2、SM4、AES、RSA 等。
二、智能网联汽车数据全生命周期保护
针对本指南框架中的各级数据对应的全生命周期保护均适用的通用保护要求如下。
(一)通用生命周期保护要求
1.1 数据收集安全
1) 明确数据收集过程中个人信息和重要数据的知悉范围和安全管控措施,确保收集数据的合规性、完整性和真实性;
2) 收集的企业客户数据应与公司提供的产品或服务直接相关,并与合同协议条款、隐私政策中约定收集的内容保持一致,不应超范围收集数据;
3) 通过系统批量收集数据时,应采用摘要、消息认证码、数字签名等密码技术确保收集过程数据的完整性;
4) 应对数据收集过程进行日志记录,并采取技术措施确保信息来源的可追溯性。
1.2 数据传输安全
1) 涉及数据传输的相关人员应记录时间、传输数据、数据接收方等相关信息,以作为数据传输记录备案;
2) 技术手段上应对传输过程的通信双方进行身份认证,确保数据传输双方是可信任的;采用安全、可靠的加密协议,对通信信道进行安全加密;采用密码技术或非密码技术等方式, 确保数据的完整性;选用安全的密码算法,确保数据的安全性;
3) 向国家机关、行业主管和监管单位传输数据,应按照国家及行业相关管理要求进行传输。
1.3 数据存储安全
1) 应依据最小够用原则存储数据,针对不同类型的数据设定数据存储期,存储时间应为业务必需的最短时间,对于多个不同存储期数据的集合,保存期限选择最长时限为该数 据集合的保存期,不应以任何形式存储非业务必需的数据,国家及行业主管部门另有规定的除外,且数据存储不应因其存储形式或存储时效的改变而降低安全保护强度;
2) 相关人员应定期对数据存储过程中可能产生的影响进行风险评估,并采取相应安全防护措施;
3) 应对数据存储区域进行规划,并对不同区域之间的数据流动进行安全管控;
4) 对于高敏感级别数据,应采用密码技术、权限控制等技术措施保证数据完整性,同时应采取加密等技术措施保证数据存储的保密性;
5) 根据数据分类分级和数据对系统运行的影响,制定数据备份策略和恢复策略,备份策略应至少指明备份数据的放置场所、文件命名规则、介质替换频率、备份周期或频率、 备份范围等;
6) 应定期开展灾难恢复演练,应对技术方案中关键技术应用的可行性进行验证测试,并记录和保存验证测试的结果;
7) 数据备份应基于多冗余策略,可采用磁带、磁盘镜像、磁盘冷备、热备、双活等技术实现,备份频度及保存期限不低于相关监管和业务使用要求。
1.4 数据使用、加工安全
1) 梳理数据提供使用的各类场景,明确各类场景的安全要求和责任部门,并建立相应的审核批准机制,对数据使用目的、内容、使用时间、技术防护措施、数据使用后的处置 方式等进行审批,并留存相关记录;
2) 应明确原始数据在数据加工过程中的数据获取方式、访问接口、授权机制、逻辑安全、处理结果安全等内容;
3) 在数据加工之前应进行数据安全影响评估,并采用加密、脱敏等技术措施,保证数据加工过程的数据安全性;
4) 应根据数据的不同安全级别,执行数据访问控制过程中的相关安全措施,保障数据在被访问过程中的保密性和完整性,包括但不限于身份认证、多因素认证、二次授权等;
5) 利用自动化工具如代码、脚本、接口、算法模型、软件开发工具包等提供数据时,应通过身份认证、数据加密、反爬虫机制、攻击防护和流量监控等手段,有效防范网络监听、接口滥用等网络攻击,并定期检查和评估自动化工具安全性和可靠性。
1.5 数据销毁安全
1) 应制定数据存储介质销毁操作规程,明确数据存储介质销毁场景、销毁技术措施,以及销毁过程的安全管理要求,并对已提供或者已被使用的数据提出有针对性的数据存储 介质销毁管控规程;
2) 存储数据的介质如不再使用,应采用不可恢复的方式如消磁、焚烧、粉碎等对介质进行销毁处理;存储介质如需继续使用,不应只采用删除索引、删除文件系统的方式进行 数据销毁,应通过多次覆写等方式安全地擦除数据,确保介质中的数据不可再被恢复或者以其他形式被利用;
3) 应定期对数据销毁效果进行抽样认定,通过数据恢复工具或数据发现工具进行数据的尝试恢复及检查,验证结果。
(二)高敏感级别数据的特殊保护要求
对于本指南分级框架中的高敏感级别,即一般数据敏感级(三级)和重要数据(核心级),需要采取的特殊保护要求枚举如下。
2.1 一般数据敏感级(三级)的安全保护要求
本指南中“敏感级数据”以未达到 10 万人的敏感个人信息为典型,一旦泄露或者非法使用,可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到 严重危害,包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。
在处理智能网联汽车涉及的敏感个人信息时,相关单位应满足《个人信息保护法》《汽车数据安全管理若干规定(试行)》《信息安全技术 汽车数据处理安全要求》等规范要求, 具体罗列如下并针对各细项要求给出具体保护建议要求。
2.1.1 敏感个人信息的收集
1) 对处理敏感个人信息的合法性、必要性及正当性进行审查,重点排除非必要收集敏感个人信息的场景。原则上不应以改善服务质量、提升用户体验以及研发新产品等为目的 处理敏感个人信息。
【 保护建议 】
对涉及敏感个人信息收集或使用的设备端口,车企等相关单位应建立清单,并进行合规审查,审查内容包括:敏感个人信息是否具有合法性来源、是否必须收集该信息才能实 现某项重要功能、处理活动的手段是否正当。比如车内座舱数据中的人脸信息拟包含后排乘客时,需评估车内娱乐或舒适性功能与人脸信息的关联度大小,以确定是否存在收集的 必要性。
对于人脸、声纹或指纹等生物识别信息,应评估是否具有增强行车安全的目的和充分的必要性,并应满足国家标准《信息安全技术 生物特征识别信息保护基本要求》(GB/T 40660-2021)。
2) 除《个人信息保护法》第十七条第一款规定事项外,还应向用户告知处理敏感个人信息的必要性以及对个人权益的影响。
【 保护建议 】
以弹窗、用户协议等方式向用户(车主及访客)明确告知处理敏感个人信息的必要性
以及对个人权益的影响,不得以用户主动点击的方式告知该等信息。
3) 应对每项敏感个人信息取得个人信息主体单独同意,不应一次性针对多项敏感个人信息或多种处理活动取得同意。取得单独同意时,不得将处理敏感个人信息的同意期限设 置为“始终允许”或“永久”。
【 保护建议 】
相关单位应识别敏感个人信息的收集场景,关联到具体用户交互场景,制定细致的授权路径。比如,汽车数据处理者为驾驶员提供语音识别功能需要处理语音数据,可针对该功能单独设置弹窗取得驾驶员同意,也可在告知同意中针对该功能设置可勾选的单独选项 取得驾驶员同意。
4) 对座舱数据中的敏感个人信息,应设置为默认不收集状态,包括不开启摄像头、红外感知、指纹识别等,除非驾驶员选择相应收集模式。
【 保护建议 】
相关单位可将图像或视频中包含人脸以及车牌等敏感个人信息的区域彻底擦除,或者将这些区域替代为无法关联个人信息主体且不可复原的其他图像。且,不应进行人脸比对、人脸识别、步态识别、语音识别等处理。
2.1.2 敏感个人信息的存储
1) 事前进行个人信息保护影响评估,并留存相关记录至少三年。
【 保护建议 】
个人信息保护影响评估应包括以下内容:
a) 个人信息的处理目的、处理方式等是否合法、正当、必要;
b) 对个人权益的影响及安全风险;
c) 所采取的保护措施是否合法、有效并与风险程度相适应。
2) 智能座舱、位置轨迹、车外视频和车外图像场景下的敏感个人信息,应依法在中国境内存储。
2.1.3 敏感个人信息的使用、加工
1) 持续处理敏感个人信息的,还应满足如下告知要求:
a) 应通过车载显示面板图标或信号装置指示灯的闪烁或长亮等方式提示收集状态。
b) 持续提示收集敏感个人信息时,应根据信息类型的不同设置差异明显且清晰易懂的提示。如,可通过摄像图标闪烁或长亮提示正在收集车内视频数据,通过录音图标闪烁或长亮提示正在收集车内语音数据,通过斜向上三角图标的闪烁或长亮提示正在收集位置数据。
2) 建议对敏感个人信息进行匿名化或去标识化后,再进行处理;处理完成后,应立即删除过程数据。
3) 对车外数据中的敏感个人信息,在未完成匿名化处理前,不应向车外提供。
【 保护建议 】
相关单位可将图像或视频中包含人脸以及车牌等敏感个人信息的区域彻底擦除,或者将这些区域替代为无法关联个人信息主体且不可复原的其他图像。且,不应进行人脸比对、人脸识别、步态识别、语音识别等处理。
4) 对座舱数据中的敏感个人信息,应设置为默认不向外提供,除非:
a) 为实现语音识别功能以实时判断汽车控制指令,将语音指令数据在车外处理,并取得个人信息主体同意;
b) 为实现远程查看车内情况或云存储功能 , 向使用者提供数据,取得个人信息主体同意,并采取安全措施,但应严格控制访问权限,除使用者外的其他组织和个人不能访问;
c) 道路运输车辆、出租汽车和公共汽车依据相关规定向所属运输企业监控平台、公共管理平台和监管机构传输数据;
d) 道路交通事故发生后按执法部门要求传输数据。
(三)重要数据(核心级)的安全保护要求
本指南的第四级(核心级)数据是指汽车行业的重要数据,即《汽车数据安全管理若干规定(试行)》第三条规定的“一旦遭到篡改、破坏、泄露或者非法获取、非法利用, 可能危害国家安全、公共利益或者个人、组织合法权益的数据”,包括:
1) 军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据;
2) 车辆流量、物流等反映经济运行情况的数据;
3) 汽车充电网的运行数据;
4) 包含人脸信息、车牌信息等的车外视频、图像数据;
5) 涉及个人信息主体超过 10 万人的个人信息;
6) 国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。
相关单位在处理该级别数据前,应充分评估处理场景的必要性,以最小必要为原则;在处理该级别信息时,应采取最严格的保护措施,减少数据安全风险。
3.1 重要数据的收集
1) 应遵循默认不收集原则,除非驾驶人自主设定,每次驾驶时默认设定为不收集状态。
【 保护建议 】
相关单位应采取技术手段,控制重要数据(核心级)收集端口的运行逻辑。例如,某些智能网联汽车为实现辅助驾驶、碰撞预警等功能必须收集车外影像信息,难以避免会记录到人脸图像信息,需在驾驶人设定前进行提示告知,并对汽车行驶中记录到的真实影像信息进行虚拟人像化处理,仅收集人物轮廓,不收集人脸信息。
2) 应以最小程度收集重要数据。
【 保护建议 】
在收集前,应当事先规划,主动避免收集军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据。
3.2 重要数据的存储
1) 严格限制重要数据(核心级)的存储期限,不得超期存储。
【 保护建议 】
在远程信息服务平台(TSP)等车外位置中保存时间不应超过 14 天。除非:
a) 为优化行驶安全功能而存储的特定场景数据,但每车每天不应超过 3 个连续时间的数据片段,每个片段不应超过 2 分钟。
b) 为实现用户远程监控车内外情况、使用云盘存储用户数据等直接服务于用户的功能,用户传输到远程信息服务平台的数据。
c) 由收集训练数据的专用收集车辆或在特定区域行驶的专用测试车辆收集的数据,但车辆外部应有“测试车辆”或“数据收集车辆”及所属单位的显著标识,且驾驶人员为具 备授权的特定人员。
d) 新能源汽车、道路运输车辆、网络预约出租汽车依据相关行政管理要求进行存储的数据。
e) 用于生产经营的汽车产生的,生产经营者可控的位置轨迹数据。
2) 应当采取安全存储措施,实施容灾备份管理。
【 保护建议 】
相关单位应采用校验技术、密码技术等措施进行安全存储,不得直接提供存储系统的公共网络访问,并实施数据容灾备份和存储介质安全管理。涉及国家核心数据存储的,还 应当实施异地容灾备份。
3) 在中国境内收集和产生的重要数据(核心级),原则上应在境内存储。
【 保护建议 】
在识别重要数据(核心级)的基础上,相关单位应制定重要数据(核心级)本地化存储的管理制度。对于本地存储的数据,需对数据存储硬件设备、存储网络环境进行安全检查, 并做必要的物理隔离;对于存储在云端的数据,需严格审查数据云端存储相关协议,并评 估云端服务提供商的数据安全保护能力。
3.3 重要数据的使用、加工
1) 应征得用户主体的单独同意,并明确使用目的、范围和期限。
2) 使用、加工重要数据(核心级)时,应当加强访问控制,建立登记、审批机制并留存记录。
【 保护建议 】
相关单位应控制内部对重要数据(核心级)的调用权限,每项数据的调用需经过内部审批流程,并留存所有记录。
3) 使用自动化决策技术处理大量个人信息时,应保障自动化决策过程的透明度和结果,并取得用户的明确同意。
【 保护建议 】
相关单位在取得用户的单独授权同意后,才可以对算法技术构建的用户画像进行自动化辅助决策,以及向用户定向推送服务或广告。此外,在该项功能运行后,应对结果进行安全评估。
4) 相关单位将其控制的汽车重要数据(核心级)委托第三方处理时,如进行协助开发、产品测试等,需要采取严格的合规管理。具体要求为:
a) 在自评估的基础上,与境外接收方协商初拟数据出境相关协议文本(标准合同)。
应当对受托方的数据安全保护能力、资质进行核实,确保符合网信部门的相关要求。
b) 就委托处理的重要数据(核心级)的来源、处理目的、范围、期限、方法等签订合同, 并通过定期现场检查的方式进行监督管理。
c) 应当委托取得相应认证资质的检测评估机构对被委托方进行安全评估。
3.4 重要数据的公开
重要数据原则上不得公开,确需公开的,应在公开前进行安全评估。
3.5 重要数据的出境
相关单位将在中国境内运营中收集和产生的数据传输、存储至境外,或虽存储在中国境内,但境外的机构、组织或者个人可以访问或者调用的,构成数据出境行为。
根据《数据出境安全评估办法》第四条、《汽车数据安全管理若干规定(试行)》第十一条规定,涉及汽车行业重要数据出境的,应申报数据出境安全评估。依据本指南的分 级方法,重要数据(核心级)即主要指汽车行业的重要数据,只能通过数据出境安全评估路径出境。安全评估的主要要求如下:
1) 因业务需要确需向境外提供的,应当通过国家网信部门组织的安全评估。
【 保护建议 】
相关单位首先应按《数据出境安全评估办法》提供的基础合同条款,与境外接收方订立数据出境法律文件。其次,相关单位开展数据出境风险自评估,包括重要数据(核心级) 出境的合法性、正当性、必要性,出境数据对国家安全、公共利益、个人或组织可能带来 的风险,境外接收方的安全保障能力、数据传输风险等。再次,相关单位应按《数据出境 安全评估申报指南》的要求,向所在地省级网信部门申报出境事宜。最后,由国家网信办审查材料,并进行安全评估。若评估通过的,评估结果在两年内有效;评估不通过的,申请人可在 15 个工作日内向国家网信部门申请复评,复评结果为最终结果。
2) 重要数据(核心级)出境时,不得超出出境安全评估时明确的目的、范围、方式和 数据种类、规模等。
【 保护建议 】
相关单位应通过数据出境风险自评估工作对出境数据的目的、范围、方式和数据种类、
规模等予以确定,并在管理层面和技术层面严格执行,不得超出。
3) 根据业务需求必要性,制定可出境的重要数据(核心级)的范围,并定期更新。
4) 重要数据(核心级)出境前三个月内,应开展数据出境安全自评估,根据自评估结果进行整改(如需)。自评估的要点如下:
a) 数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;
b) 出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;
c) 境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;
d) 数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等;
e) 与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等是否充分约定了数据安全保护责任义务;
f) 其他可能影响数据出境安全的事项。
5) 在自评估的基础上,与境外接收方协商初拟数据出境相关协议文本(标准合同)。
6) 按照《数据出境安全评估申报指南(第一版)》要求的材料内容,向所在地省级网信部门申报数据出境安全评估,由省级网信部门进行材料完备性审查。
7) 省级网信部门审核通过后,转移至国家网信办进行评估;由国家网信办组织国务院有关部门、省级网信部门、专门机构等进行安全评估;根据国家网信办的要求进行补正, 修订出境协议等。
8) 自出境安全评估结果出具之日起,结果有效期为 2 年,超出有效期后,或在有效期内出现以下情形之一的,应重新申报评估:
a) 向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的,或者延长个人信息和重要数据境外保存期限的;
b) 境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与 境外接收方法律文件变更等影响出境数据安全的。
3.6 重要数据的安全审计
对记录重要数据(核心级)的处理情况、权限管理安排、人员操作日志等信息,至少每半年进行一次审计。
本文摘编自数据安全推进计划发布的《智能网联汽车数据分类分级实践指南》,全文下载:
智能网联汽车数据分类分级实践指南
更多标准、白皮书、报告等高质量纯净资料下载,在文末扫码关注官方微信公众号“idtzed”,进入公众号菜单“治库”,或按自动回复发送引号内关键词。
