■ 中国工业报 余 娜
刷脸开车门、自动泊车、与信号灯实现信息交互等功能的智能网联汽车近年来发展迅速,获得了市场认同。如何保证数据安全,引发用户和社会广泛关注。
8月20日,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合发布 《汽车数据安全管理若干规定 (试行)》 (以下简称 《规定》)。该规定将于2021年10月1日起施行。
国家互联网信息办公室有关负责人表示,出台 《规定》旨在规范汽车数据处理活动,保护个人、组织的合法权益,维护国家安全和社会公共利益,促进汽车数据合理开发利用。
中国汽车工业协会大数据分会执行秘书长滕添益认为, “作为我国汽车行业数据安全领域的重要法规, 《规定》的施行将确立汽车行业数据安全及治理的基本框架,将起到规范各企业数据处理活动,加强汽车产业数据安全保障,保护个人、组织合法权益,维护国家安全和利益的重要作用。”
汽车行业数据安全及治理框架确立
当前,汽车智能化产业处于高速发展阶段,汽车数据安全问题成为产业发展中的焦点问题、难点问题。 《规定》的落地实施为构建安全有序的汽车数据生态,推动汽车智能化产业良性发展提供了保障。
今年以来,汽车数据安全相关管理规定接连出台, 《智能网联汽车道路测试与示范应用管理规范 (试行)》 《关于加强智能网联汽车生产企业及产品准入管理的意见》相继发布。
《规定》的出台,进一步落实了 《网络安全法》 《数据安全法》 《个人信息保护法》,首次对处理汽车相关重要数据、个人信息提出了具体要求。
《规定》明确了处理重要数据的具体制度。汽车数据处理者应当遵守依法在境内存储的规定,加强重要数据安全保护;落实风险评估报告制度要求,积极防范数据安全风险;落实年度报告制度要求,按时主动报送年度汽车数据安全管理情况。因业务需要确需向境外提供重要数据的,汽车数据处理者应当落实数据出境安全评估制度要求,不得超出出境安全评估结论违规向境外提供重要数据,并在年度报告中补充报告相关情况。
《规定》明确了汽车重要数据范围。 《规定》给出6类重要数据,充分考虑了重要敏感区域、车流物流、充电网、车外视频图像、大规模个人信息等方面,体现了对国家安全、国计民生、公共利益等全方位的考虑。特别是 《规定》将 “涉及个人信息主体超过10万人的个人信息”明确为重要数据,在个人信息与重要数据的关系、保护公共利益与国家安全的关系方面做出了有益的探索,为其他领域开展重要数据安全和个人信息保护提供了参考。
《规定》为汽车领域个人信息保护工作明确了基本原则。 《规定》在汽车领域个人信息保护方面提出了四项原则,包括车内处理原则、默认不收集原则、精度范围适用原则、脱敏处理原则。四项原则的提出,对保护汽车座舱内部视频、语音、图像等敏感个人信息,以及保护行人的人脸信息等重点难点问题提供了明确指引。
《规定》对汽车数据处理提出了具体管理要求。一是汽车数据处理者开展重要数据处理活动,应按照规定进行风险评估,并向省、自治区、直辖市网信部门和有关部门报送风险评估报告,同时每年应报送年度汽车数据安全管理情况。二是因业务需要确需向境外提供的重要数据,应当通过国家网信部门会同国务院有关部门组织的安全评估,同时数据处理者每年应报送相关情况。三是在有关部门以抽查等方式核验向境外提供重要数据情况时,以及在国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门依据职责进行数据安全评估时,相关汽车数据处理者应予以配合。
“为保障 《规定》的有效落地,应加快汽车数据网络安全标准建设,以提高汽车数据安全保护能力为目标,充分借鉴国内外先进标准化成果,加快汽车数据安全、个人信息保护、重要数据安全等重点方向的标准研制。”中国电子技术标准化研究院网络安全研究中心主任姚相振建议。
后续配套操作细则或陆续完善
对于 《规定》出台的背景,网信办介绍,一是汽车数据安全问题和风险隐患日益突出,比如,汽车数据处理者超越实际需要,过度收集重要数据;未经用户同意,违规处理个人信息,特别是敏感个人信息;未经安全评估,违规出境重要数据等。二是出于保障汽车数据依法合理有效利用的客观需要。
网信办同时强调,网络安全法、数据安全法对数据安全、个人信息保护作了基本规定,此次出台 《规定》,是在汽车数据安全管理领域出台有针对性的规章制度。
在滕添益看来, 《规定》是汽车产业数据安全的重要法规,后续仍有配套操作细则需要明确,相信国家互联网信息办公室或有关部门将会在 《规定》的框架下加紧制定相应的文件。
滕添益分析,对企业而言,后续数据安全工作主要将针对以下8个方面进行开展:建立等保制度,开展等保工作;调整数据采集授权方式;调整数据采集授权方式;建立采集数据的车内匿名化与轮廓化处理能力;增加用户进行数据查询、复制、申请删除的途径,并且十日内完成删除;需要每年12月25日前向有关部门报送数据安全年报;积极应对数据安全评估审查;有数据跨境传输行为的企业需要接受有关部门的核查以及在数据安全年报中增加数据出境活动的相关报告。
“在我国数据安全监管体系的建立过程中,我们呼吁企业与各有关部门应更加紧密地沟通与交流,从而促进共识,不断探索安全管理与产业发展相平衡的最佳实践。”滕添益建议。
ICMA智联出行研究院院长何姗姗则表示, 《规定》是我国法规体系中首次对汽车重要数据做了比较清晰明确的界定,是一次具有创新性的积极尝试。不过,新规对车企或带来不小挑战。
“《规定》10月1日就将正式施行,而涉及的主体众多,从车辆制造、零部件和软件供应、销售到维修和出行服务等的各个涉及汽车数据的主体,全部需要在一个多月之内合规,要求比较严格,相关企业要积极调整。”何姗姗提醒。