在电动化、智能化、网联化、共享化的汽车“新四化”趋势下,汽车涉及数据交互的功能越来越多,数据作为新型生产要素在汽车行业各个场景交互流动。车联网环境下数据量大、数据种类复杂、数据协同访问涉及面广、承载形式多样,随之而来的各种数据安全问题不容忽视。如何平衡数据安全保护和智能网联汽车自动驾驶技术发展?如何落实数据在全生命周期各阶段、各功能、各场景下的合规管控要求?这些都需要在合规实践过程中充分考虑。
为进一步提高汽车行业数据安全保护水平,增强汽车企业数据安全合规保障能力,推动汽车数据价值安全使用,保障安全与发展的双向促进,特编制本合规实践指南。本指南依据国家法律法规和标准,同时参考行业最佳实践,针对汽车数据安全的重要合规内容,结合汽车行业特有场景,提出合规实践建议。
一、数据安全防护
《规定》要求协同汽车数据处理者加强智能(网联)汽车网络和汽车数据安全防护。工业和信息化部《关于加强车联网网络安全和数据安全工作的通知》要求汽车企业全面加强安全保护,提升数据安全技术保障能力。YD/T 3751-2020《车联网信息服务 数据安全技术要求》规定了车联网服务过程中数据生命周期内保护的总体要求。车联网海量数据在用户端、车端、云端等多场景交互流动,给车企数据安全防护带来严峻的挑战,通过网络入口的边界防护已无法完全保障数据安全,需要针对数据全生命周期采取有效技术保护措施。
①供应链数据安全场景:汽车行业供应链复杂多样,包括汽车制造商、芯片供应商、关键件 BOM 供应商、零部件供应商、出行服务商、经销商等。数据在复杂的供应链中流转使用,容易导致数据泄露,并且由于数据流转的节点过多,导致数据滥用行为无法全面 监测,数据泄露后无法追溯。
②新车型研发场景:在汽车研发过程中,依据数据安全法规要求,对整车功能进行梳 理并进行风险评估,明确数据安全目标及其可行性,推导出数据安全需求,并形成数据安 全需求规范。
③车联网数据接口安全防护场景:车联网大量使用接口进行数据传输共享,接口成为 数据传输的载体,针对接口需要采取数据安全防护措施,例如接口鉴权访问、接口调用监 控等。
汽车企业以数据分类分级为基础,将数据分类分级结果赋能数据安全防护,从管理制度、防护技术、风险评估三个方面进行整体的数据安全防护建设。整体思路如下图 2。
来源:数据安全推进计划
图 2 数据安全防护建设思路
1. 数据安全防护管理制度
数据分类分级落地后,应该形成数据分级管理制度,针对不同级别的数据,在数据采集、传输、存储、使用、共享、销毁生命周期过程中,对不同级别的数据要采取不同的管理手段。例如表 5 在数据使用环节,不同级别的数据应该设置不同的审批流程,同时用技术手段落实数据安全管理制度的执行。
表 5 数据分类分级管控制度要求示例
| 等级及审批部门 | 数据使用部门 | 数据安全部门 | 数据安全管理委员会 |
| 第一级 | × | × | × |
| 第二级 | √ | × | × |
| 第三级 | √ | √ | × |
| 第四级 | √ | √ | √ |
来源:数据安全推进计划
2. 数据安全防护技术
从安全开发、本体保护、数据管控、风险监测四个方向进行数据分类分级之后的安全防护技术建设。
(1)数据安全开发能力嵌入
软件定义汽车是大势所趋,汽车软件代码量攀升,目前一辆汽车可含有上亿行软件代码。汽车数据安全保护落地,需要通过安全开发能力嵌入,形成一整套 SDL(Security Development Lifecycle,软件安全开发周期)管理流程,来有效提高安全开发能力,抵御威胁,提高防范能力。
数据安全开发能力嵌入过程中包含了一系列的活动和流程,包括项目相关的数据安全保护管理、概念、开发和验证方面的安全活动。对相关安全活动标准化流程建设,最终实 现功能的安全能力标准化,形成免检功能及需检功能清单 , 实现新车辆研发过程安全要求的嵌入。
- 概念规划阶段:全面梳理车辆的数据相关功能和场景,根据汽车数据安全的法律法规要求,判定数据分类分级,对汽车的数据处理要求进行需求分析,并进行数据安全风险评估, 明确数据安全目标及其可行性。
- 设计阶段:对涉及到的数据相关场景和功能,进行数据安全合规及管理要求拆分,明确数据安全保护措施设计规范(使用安全、数据流动安全、外部入侵安全、数据存储安全等),对安全功能进行设计并释放。
- 研发阶段:根据各数据场景和功能的设计要求,进行数据安全能力开发。
- 测试验证阶段:根据设计阶段的数据安全功能需求,进行安全功能测试及合规性测试, 以发现整个数据安全需求设计过程中存在的问题并加以纠正。整个测试过程应包含对各零 部件测试和组装测试。
- 上线阶段:进行整车正向测试,确保各零部件和整车的数据安全要求,并整体进行安 全合规评审,全部合格后进行上线。
- 运行阶段:应定期进行逆向测试和安全监控,及时发现其他安全风险,并及时修复; 同时也可以从用户处收集反馈,协助改进数据安全需求。
(2)数据本体保护
通过数据加密、数据脱敏(匿名化、去标识化)对数据进行本体保护。根据分类分级结果,在业务改造时只对重要级别的数据进行加密,降低对业务影响;在产品设计时,落地统一 加密标准。脱敏系统联动分类分级结果后,可根据数据级别制定不同的脱敏策略,实现全面的数据脱敏。
(3)数据管控
主要实现基于数据的分级管控。目前普遍的访问控制都是基于用户权限和角色,而没有基于数据进行访问控制,导致管控细粒度不足。通过管控系统联动分类分级结果,可实现基于数据级别的管控,例如分类分级结果同步给数据库运维管控系统,数据库运维管控系统根据数据级别对运维人员以及数据库管理员进行细粒度授权。
(4)风险监测
主要实现数据暴露面监测、接口风险监测以及数据流转风险监测。很多汽车企业风险监测还停留在传统网络安全的风险监测,是基于行为的分析,并没有基于行为下产生的数据进行风险分析。建议联动分类分级结果,基于数据的级别以及量级进行风险监测。同时打通数据库层面与应用层面的监测,进行“用户 – 应用 – 数据库”三层关联分析。
3. 数据处理活动合规风险评估
数据处理者开展重要数据处理活动,应当按照规定定期开展风险评估。因此在开展数据处理活动时,是否要进行风险评估,需要先判断数据处理活动是否涉及重要数据,需引用数据分类分级以及重要数据目录的结果。而数据安全风险评估的结果可驱动差异化的数 据安全防护治理以及数据安全管理制度的完善。
二、处理敏感个人信息
汽车行业中,敏感个人信息指一旦泄露或者非法使用,可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的个人信息。在 GB/T 41871- 2022《信息安全技术 汽车数据处理安全要求》中明确,敏感个人信息包括行踪轨迹、音频、视频、图像、医疗健康、宗教信仰等个人信息,指纹、心率、声纹、面部识别特征等生物识别特征信息,居民身份证、军官证、工作证、社保卡、居住证等能标识特定身份的个人身份信息,银行账户、鉴别信息(口令)、金融账户等个人财产信息,以及不满十四周岁未成年人的个人信息。《个人信息保护法》规定,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。汽车企业应在收集指纹、声纹、人脸、心律等生物识别特征信息前,具有增强行车安全的目的和充分必要性。
从法律规定和行业实践出发,汽车数据处理者处理敏感个人信息的典型场景包括但不限于:
- 碰撞预警、自动紧急制动、疲劳分神预警等增强行车安全的场景;
- 自适应巡航控制、导航等智能驾驶场景;
- 车机个人中心、应用商店等使用场景。
汽车企业在处理敏感个人信息时需要考虑组织架构、个人信息保护评估制度建设等。
①处理超过 10 万人的敏感个人信息的应设立专职的个人信息保护负责人和个人信息保护工作机构,负责个人信息安全工作。
②人员管理与培训:对大量接触敏感个人信息的人员进行背景审查,以了解其犯罪记录、诚信状况。
③个人信息保护影响评估:个人信息保护影响评估报告和处理情况记录应当至少保存三年。
④安全事件处置:敏感个人信息发生泄露时,需实施安全事件的告知。应及时将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体。难以逐一告知个人信息主体时,应采取合理、有效的方式发布与公众有关的警示信息;告知内容应包括但不限于:
- 安全事件的内容和影响;
- 已采取或将要采取的处置措施;
- 个人信息主体自主防范和降低风险的建议;
- 针对个人信息主体提供的补救措施;
- 个人信息保护负责人和个人信息保护工作机构的联系方式。
汽车企业应核查已有的敏感个人信息的收集和处理场景是否遵循必要性原则。如果企业经核查和综合判断,认为已有的敏感个人信息处理行为不具有充分的必要性,则应及时进行整改。原则上不应以改善服务质量、提升用户体验以及研发新产品等为目的处理敏感个人信息。例如,汽车数据处理者收集驾驶人和乘客人脸识别信息时,需要判断这一收集处理是否具有增强行车安全的目的和充分的必要性,并形成书面记录材料。
汽车企业应落实敏感个人信息单独同意的具体技术措施。其一,逐项同意。应对每项敏感个人信息取得个人信息主体单独同意,不应一次性针对多项敏感个人信息或多种处理活动取得同意。例如,汽车数据处理者为驾驶人提供语音识别功能需要处理语音数据,可针对该功能单独弹窗取得驾驶人同意,也可在告知同意中针对该功能设置可勾选的单独选项取得驾驶人同意。其二,设置同意期限。汽车企业应确保用户能够自主设置同意企业收集处理其敏感个人信息的具体期限,处理敏感个人信息的同意期限不应设置为“始终允许”或“永久”,可设置为单次、七天、三个月和一年等选项。其三,提示状态。汽车企业还应在实际收集数据的过程中,在保证行车安全的前提下以适当的方式提示用户敏感个人信息收集的状态。例如,当拍摄、录音、录屏、定位时,应采用显著方式提示用户上述状态。
汽车企业应采取恰当的技术保障手段和安全管理措施保护用户的敏感个人信息。针对敏感个人信息的全生命周期,在收集、存储、使用、传输、共享等不同阶段采取适当的安全措施。具体而言,针对技术保障手段,企业在传输和处理敏感个人信息时,宜采取技术加密的安全措施。在数据收集阶段,合理利用车载显示面板图标和信号装置指示灯闪烁长亮来提示用户汽车正在收集其敏感个人信息。在存储敏感个人信息时,宜将生物识别信息这一敏感个人信息与一般个人信息分开存储;原则上不应存储原始生物识别信息,可通过仅存储个人生物识别信息的摘要信息,在采集终端中直接使用个人生物识别信息实现身份认证等措施代替对原始个人生物识别信息的直接存储。针对安全管理措施,企业等汽车数据处理者对于数据访问、操作等行为,宜在设置角色权限控制的基础上,按照业务流程的需求触发操作授权。例如,当收到用户投诉后,投诉处理人员才可访问该个人信息主体的相关信息。
汽车企业应及时响应用户的个人信息权利请求,包括用户对其个人信息享有复制、查询、转移、删除等权利。汽车企业可建立个人信息结构化目录,以确保在收到删除个人信息请求时可落实十个工作日内删除等要求。例如,在收到用户关于删除其个人信息的请求时,汽车企业应在相关规定时间内删除,若因保障安全驾驶、诉讼需要等必要性未能及时删除的,应当向用户进行合理必要性解释并在上述必要性事项完成时及时删除。在收到用户关于复制其个人信息的请求时,汽车企业应当及时以恰当的文本形式提供其个人信息。
三、数据安全风险评估
依据《数据安全法》、《规定》要求,汽车数据处理者开展重要数据处理活动,应当按照规定开展风险评估并报送。汽车企业无论是通过自评估还是第三方评估,都应尽快建立数据安全风险管理的全流程机制,尽早识别风险,发生事件及时补救与报告,承担数据安全保护义务。
汽车智能化、网联化程度逐步提高,汽车数据量激增,车辆开放连接增多,相关设备系统间数据交互紧密,汽车数据处理场景复杂,汽车企业需要数据安全风险评估的场景包括但不限于:
- 基于移动互联网的汽车用户数据应用;
- 车联网服务平台重要数据记录系统;
- 车辆大数据平台。
数据安全风险是指任何威胁数据及其安全需求的行为或机制。数据安全风险评估旨在帮助汽车企业明确数据安全风险点,为汽车数据安全管理建设和数据安全风险处置指明方向。本指南建议的风险评估要求主要以汽车企业的数据资产为评估对象,数据处理活动中所面临的风险为评估内容,进行数据安全风险评估工作。
工作流程包括:评估准备—风险要素识别—风险分析—风险评价—报告编写—风险处置。 如图 3 所示。
图 3 数据安全风险评估工作流程
来源:数据安全推进计划
(1)评估准备
从国家法律法规及汽车行业监管、业务需求评估等相关要求出发,从战略层面考量风险评估结果对企业的相关影响。数据安全风险评估准备的内容主要包括:评估对象、评估范围、评估边界、评估团队组建、评估依据、评估准则、制定评估方案并获得管理层支持。
(2)风险要素识别
汽车企业需要基于数据安全风险要素,面向业务场景,以汽车数据的采集、传输、存储、使用、共享、销毁各个环节为切入点,并结合已有安全措施的落地情况,判断数据资产及 数据处理活动面临的威胁与缺陷。风险要素识别包括:关键业务、数据处理活动、数据资产、数据威胁、数据脆弱性、已有安全措施。数据安全风险评估中各要素的关系如图 4 所示。
数据安全风险要素的识别工作包含两部分:一是解析业务场景与流程。该部分负责解析业务场景与流程,重点识别数据处理活动与涉及的生命周期环节,明确数据安全风险影响的数据、处理活动对象。二是识别数据安全风险关键要素。该部分负责收集数据安全风险信息,对数据安全风险的影响程度与发生的可能性进行评估。数据安全风险的基本关键 要素包括数据安全风险的影响程度与发生的可能性:数据安全风险的影响程度体现在数据本体数据安全需求的受损情况(数据资产);数据安全风险发生的可能性受数据全生命周期的安全缺陷(脆弱性)与数据处理活动的安全目标失灵情况(威胁、已有安全措施)影响。
来源:数据安全推进计划
图 4 数据安全风险要素的关系
(3)风险分析
依据外部监管要求、标准,通过关联已识别的数据安全风险要素,构建数据安全风险矩阵,对业务场景下的数据安全风险进行定性或定量分析,开展数据安全风险评估活动,判断数据安全风险发生的可能性与影响程度,从而得到数据安全风险值。
数据安全风险关键要素的明确能够为数据安全风险的识别提供方向。基于数据安全风险影响程度与发生的可能性两大关键要素,结合数据资产、威胁、脆弱性、已有安全措施等因素,面向数据的处理活动场景构建数据安全风险矩阵。如图 5 所示,风险矩阵由影响程度与发生的可能性共同构成。其中,影响程度受数据资产的价值、脆弱性的严重程度共同影响;发生的可能性受威胁发生的频率、脆弱性的可利用程度共同影响;根据数据安全风险发生的可能性和影响程度共同确定数据安全风险值。
(4)风险评价
企业在执行完数据安全风险分析后,通过风险值计算方法,会得到风险值的分布状况,确定风险数值的大小不是组织风险评估的最终目的,重要的是明确不同威胁对资产所产生的风险的相对值,即要确定不同风险的优先次序或等级,对于风险级别高的资产应被优先分配资源进行保护。风险等级建议从 1 到 5 划分为五级,等级越大,风险越高,具体可参考表 6。
表 6 数据安全风险等级参考表
| 等级 | 标识 | 描述 |
| 5 | 很高 | 一旦数据安全风险发生,对国民经济命脉、重要民生和重大公共利益造成损害。例如核心数据、关系 3 个以上重点行业领域的重要数据等。 |
| 4 | 高 | 一旦数据安全风险发生,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。例如重要数据、超过 100 万人的个人信息等。 |
| 3 | 中 | 一旦数据被泄露或篡改、损毁或者非法获取、非法利用,容易对组织或个人的合法权益造成严重危害。例如敏感个人信息、组织知识产权和商业秘密等。 |
| 2 | 低 | 一旦数据安全风险发生,可能对组织或个人的合法权益造成中等危害。例如个人信息等。 |
| 1 | 很低 | 一旦数据安全风险发生,可能对组织或个人的合法权益造成轻微危害。通常为一般数据(非个人信息)、非敏感的组织数据等。 |
来源:数据安全推进计划
(5)报告编写
评估人员通过对评估结果分析和形成的安全风险分析结果,编制风险评估报告。风险评估报告应包括但不局限于以下内容:项目概述、评估范围、评估依据、评估方法、数据资产识别与赋值、威胁分析与赋值、脆弱性识别与赋值、已有安全措施识别、综合风险分析、安全整改建议等。如果涉及重要数据,编写报告时需要按照《规定》中的要求:汽车数据处理者开展重要数据处理活动,需要向有关部门报送风险评估报告,风险评估报告应当包括处理的重要数据的种类、数量、范围、保存地点与期限、使用方式,开展数据处理活动情况以及是否向第三方提供,面临的数据安全风险及其应对措施等。
(6)风险处置
通过数据安全风险评估,最终得到企业风险评估结果。依据风险评价等级结合企业面临的生产活动实际情况,对不可接受的风险,制定风险处置计划,选择数据安全风险处置策略,采取风险处置措施,具体可参考表 7。
在选择适当的数据安全风险处置策略和措施后,需要检验风险处置措施的效率,检验风险处置策略的有效性并持续改进。
表 7 风险处置措施
|
风险处置措施 |
数据备份与恢复 |
| 系统灾备与应急 | |
| 安全通报与协调 | |
| 合规整改与排期 | |
| 缺陷修复与排期 | |
| 舆情消除与引导 | |
| 事件关闭与验收 |
来源:数据安全推进计划
四、数据出境
数据安全领域三部上位法初步确立了以安全评估制度为核心的数据出境基本原则。在此基础上 2022 年 7 月 7 日国家互联网信息办公室(以下简称“国家网信办”)发布《数据出境安全评估办法》(以下简称“《评估办法》”),规定了应当申报数据出境安全评估的情形,明确了自评估、申报评估的评估流程。同时,国家网信办 2022 年 8 月 31 日发布了《数据出境安全评估申报指南(第一版)》(以下简称“《申报指南》”),指导和帮助数据处理者规范、有序申报数据出境安全评估,对数据出境安全评估申报方式、申报流程、申报材料等具体要求做出了说明。
数据出境行为主要包括三类:一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外;二是数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人 可以查询、调取、下载、导出;三是国家网信办规定的其他数据出境行为。从汽车行业 场景和行业实践出发,汽车数据出境的典型场景包括但不限于:
- 数据直接存储在境外服务器;
- 境内信息按照一定规则传输至境外系统;
- 邮件等外发方式将数据传输至境外;
- 境外运维人员访问和调用境内服务器中的数据;
- 全球化办公软件的使用(Office、Cisco Webex)。
汽车企业应尽早梳理企业数据出境活动和场景。根据梳理结果情形,研判本企业适用的数据出境路径,具体可参考表 8。企业梳理数据出境活动可参照如下方法:
(1)数据资产盘点(数据台账)。首先,企业应根据自己的业务模式,厘清企业内部管控的数据内容。在不同业务场景下,会涉及跨境传输的场景及所涉数据字段,并通过内部的评估分级,确定所涉数据属于 “个人信息”、“敏感个人信息”还是“重要数据”。识别数据的类型和级别后,进一步确定不同类型级别的数据跨境安排,例如根据法律法规的要求,对重要数据等进行必要的数据本地化存储安排,对需要出境的数据做好匿名化等脱敏处理。
(2)根据数据资产台账,结合业务流程,合理定义需要申报的数据出境业务场景。例如:企业员工类(员工基本信息管理、薪酬福利管理、绩效管理、休假出差管理等);客户类(售后维修保养、客户服务管理、车辆召回等)。
(3)定义数据出境业务场景的同时需要考虑数据接收方是否一致、是否涵盖了企业今后两年内的战略部署。
表 8 数据出境路径
| 数据出境路径 | 适用范围 |
| 数据出境安全评估 | (一)数据处理者向境外提供重要数据; (二)关键信息基础设施运营者和处理 100 万人以上个人信息的数据处理者向境外提供个人信息; (三)自上年 1 月 1 日起累计向境外提供 10 万人个人信息或者 1 万人敏感个人信息的数据处理者向境外提供个人信息; (四)国家网信办规定的其他需要申报数据出境安全评估的情形。 |
| 专业机构进行个人信息保护认证机制 | 《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》 《个人信息保护认证实施规则》 |
| 签订标准合同 | 参考《个人信息出境标准合同规定(征求意见稿)》安全评估强制申报以外的个人信息出境场景 |
来源:数据安全推进计划
汽车企业如有数据出境的需求,应尽早着手准备数据出境安全评估工作。在申报前企业需要完成大量的准备工作,《评估办法》要求企业完成内部立项和沟通,风险自评估,另需要提交申报书、数据处理者与境外接收方拟订立的法律文件以及其他材料,这意味有大量的准备工作需要企业尽早处理。具体的数据出境安全评估流程可参考图 6。在《评估办法》施行前,企业已经开展的数据出境活动且不符合规定的,应当按规定在施行之日起 6 个月内完成整改,也就是说企业之前开展的数据出境活动最迟于 2023 年 3 月 1 日完成整改,这也意味着数据出境安全评估工作需要尽早尽快开展。
图 6 数据出境安全评估流程
来源:数据安全推进计划
数据出境风险自评估是申报数据出境安全评估的必要条件。通过自评估全面梳理企业数据出境活动情况,核查企业数据安全保障能力是否可以处置数据出境安全风险,并形成高质量的数据出境风险自评估报告,为网信部门进行正式的数据出境安全评估提供重要基础。
风险自评估报告所描述的自评估活动应该在申报数据出境安全评估前 3 个月内完成,且至申报之日未发生重大变化。国家网信办发布的《申报指南》中提供了《数据出境风险自评估报告(模板)》,参考模板可见自评估报告应包含自评估工作简述、出境活动整体情况、拟出境活动的风险评估情况和出境活动风险自评估结论四部分内容,具体可参考图 7。
图 7 数据出境风险自评估
本文摘编自数据安全推进计划发布的《汽车数据安全若干问题合规实践指南》,全文下载:
汽车数据安全若干问题合规实践指南
更多标准、白皮书、报告等高质量纯净资料下载,在文末扫码关注官方微信公众号“idtzed”,进入公众号菜单“治库”,或按自动回复发送引号内关键词。
