中國在2017年更新的【中華人民共和國網絡安全法】首次提出「重要數據」的概念;2021年6月【中華人民共和國數據安全法】頒布,首次在法律層面定義了數據處理過程。
2021年8月【中華人民共和國個人資訊保護法】規定了個人資訊的合法、正當、必要原則,強化個人權益保護,規範資訊處理,要求明示目的、明確同意,加強對關鍵資訊基礎設施的管理,以確保資訊保安。
2021年10月1日正式實行的【汽車數據安全管理若幹規定(試行)】,在法規層面對個人資訊、汽車數據處理等進行定義,明確了個人資訊和車輛資訊的安全保護要求。
汽車數據安全相關標準
基本介紹
隨著法律法規的制定,汽車數據安全相關標準逐步完善。【智能網聯汽車 數據通用要求】(征求意見稿)依照【汽車數據安全管理若幹規定(試行)】的相關定義和要求,從個人資訊和重要數據兩方面,給出了汽車全生命周期數據處理活動的安全保障措施指導,是國內首個安全處理措施較為詳細的標準,能夠較好地指導汽車數據處理者進行數據安全保障。
強標【汽車整車資訊保安技術要求】對整車的資訊保安進行規定,並表明數據處理活動首先要滿足【數據通用要求】相關規定,並額外進行數據防篡改、防泄漏等指導。40855、40856、40857、40861四份推薦標準對整車/零部件進行安全要求,其中涉及到部份數據處理活動安全。
標準通用技術要求
當前汽車數據安全標準中,一般將汽車的數據分為2類:個人資訊和重要數據。 其中,個人資訊主要是指以電子或者其它方式記錄的與已辨識或者可辨識的自然人有關的各種資訊,不包括匿名化處理後的資訊。個人資訊包含個人敏感資訊(一旦泄露或者非法使用,可能導致車主、駕駛人、乘車人、車外人員等受到歧視或者人身、財產安全受到嚴重危害的個人資訊,包括車輛行蹤軌跡、音訊、影片、影像和生物辨識特征等資訊)和個人一般資訊。重要數據主要是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能危害國家安全、公共利益或者個人、組織合法權益的數據。
綜合各標準來看,完整的數據處理活動一般包括數據的收集、儲存、使用、加工、傳輸、提供、公開、刪除等過程。 同時,標準中也對數據處理記錄、汽車出境、匿名化、數據處理風險評估等方面進行了要求。
在數據收集階段 ,一般要求數據收集應遵循合法、正當、必要的原則,得到數據主體的明示同意;數據收集方需要向使用者明示收集的目的、方式和範圍,保持透明度;數據采集器材的精度不能超出功能所需,避免過度采集資訊。
在數據儲存階段 ,需要采取適當的措施儲存數據;確保儲存數據的保密性、存取可控、不可篡改;儲存期限應在使用者同意的期限內。
在數據傳輸階段 ,大多標準要求對數據采用安全的加密方案,確保數據傳輸的完整性、保密性、真實性。
在數據刪除階段,應提供使用者自主刪除個人資訊的路徑並告知刪除的影響;數據儲存時間超出使用者同意範圍後,需進行數據刪除;確保數據刪除後不可恢復。
同時,對於特定場景的數據處理活動,需要進行記錄,且記錄內容要符合相關標準的規定,如數據處理活動類別、時間等。
隨著汽車出境業務的增加,為了防止車輛數據直接出境造成數據泄露,各標準也對汽車數據出境進行了一定的要求,通訊包中不能夠包含境外IP地址;需要出境的數據必須進行全面的風險評估,根據其風險結果確認其是否適合出境或需要采取一定的防護措施。
當前眾多標準提出需將車外采集資訊中的人臉、車牌等進行匿名化或去標識化。匿名化是指個人資訊經處理無法辨識特定自然人且不能復原的過程。【智能網聯汽車 數據通用要求】(征求意見稿)對車牌及人臉匿名化處理的要求,給出了詳細的技術指標要求(檢出率、誤檢率、交並比等),能夠更加準確地指導汽車數據處理者進行匿名化工作。
