《数据安全推进计划:汽车数据安全若干问题合规实践指南(2022年)(32页).pdf》由会员分享,可在线阅读,更多相关《数据安全推进计划:汽车数据安全若干问题合规实践指南(2022年)(32页).pdf(32页珍藏版)》请在三个皮匠报告上搜索。
1、汽车数据安全若干问题合规实践指南1汽车数据安全若干问题合规实践指南本报告版权属于数据安全推进计划,并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的,应注明“来源:数据安全推进计划”。违反上述声明者,编者将追究其相关法律责任。版权声明汽车数据安全若干问题合规实践指南中国信息通信研究院云计算与大数据研究所、北京市金杜律师事务所、广州小鹏汽车科技有限公司、吉利汽车集团有限公司、全知科技(杭州)有限责任公司、福特汽车(中国)有限公司、沙龙机甲科技有限公司、浙江寰福科技有限公司、安徽江淮汽车集团股份有限公司、惠州市德赛西威汽车电子股份有限公司、亿咖通(湖北)技术有限公司、智马达汽车有限公司
2、、一汽丰田汽车有限公司张亚兰、李雪妮、李天阳、郝志婧、宁宣凤、吴涵、吴真恺、吴意晟、王潼、陈金凤、姜雅君、孙雄涛、刘磊、徐志强、王璐瑶、宫昊、陈艺、姜杰仁、王思涵、李溳、甘铜、孙权、王世全、刘捷、彭宇辉、张裁会、周靖、王伟、刘锋、王丹维、王铱特别鸣谢机构特别鸣谢专家汽车数据安全若干问题合规实践指南前 言在电动化、智能化、网联化、共享化的汽车“新四化”趋势下,汽车涉及数据交互的功能越来越多,数据作为新型生产要素在汽车行业各个场景交互流动。车联网环境下数据量大、数据种类复杂、数据协同访问涉及面广、承载形式多样,随之而来的各种数据安全问题不容忽视。如何平衡数据安全保护和智能网联汽车自动驾驶技术发展?
3、如何落实数据在全生命周期各阶段、各功能、各场景下的合规管控要求?这些都需要在合规实践过程中充分考虑。国内近几年十分重视汽车数据安全问题,中华人民共和国数据安全法(以下简称“数据安全法”)、中华人民共和国个人信息保护法(以下简称“个人信息保护法”)对数据安全、个人信息保护等问题作了顶层规定。汽车数据安全管理若干规定(试行)(以下简称规定)明确了汽车数据处理者的责任和义务,规范汽车数据处理活动,指导行业开展汽车数据相关的技术研究与开发利用。车联网数据安全标准体系正在逐步构建,在通用要求、分类分级、出境安全、个人信息保护、应用数据安全等方面指导和规范车联网产业安全健康发展,为汽车企业提供数据安全合规
4、实践指南。为进一步提高汽车行业数据安全保护水平,增强汽车企业数据安全合规保障能力,推动汽车数据价值安全使用,保障安全与发展的双向促进,特编制本合规实践指南。本指南依据国家法律法规和标准,同时参考行业最佳实践,针对汽车数据安全的重要合规内容,结合汽车行业特有场景,提出合规实践建议。汽车数据安全若干问题合规实践指南目 录一、车内处理原则(一)合规要点(二)典型场景(三)合规实践建议二、脱敏处理原则(一)合规要点(二)典型场景(三)合规实践建议三、数据安全防护(一)合规要点(二)典型场景(三)合规实践建议四、告知与征得同意义务(一)合规要点(二)典型场景(三)合规实践建议五、处理敏感个人信息(一)合
5、规要点(二)典型场景(三)合规实践建议六、数据安全风险评估(一)合规要点(二)典型场景(三)合规实践建议七、数据出境(一)合规要点(二)典型场景(三)合规实践建议52324121213汽车数据安全若干问题合规实践指南1一、车内处理原则规定中明确,国家鼓励汽车数据依法合理有效利用,倡导汽车数据处理者在开展汽车数据处理活动中坚持车内处理原则,除非确有必要不向车外提供。“车内处理”原则是指,基于汽车本身产生的数据,需要在车内完成处理,除确有必要外,不应传输至车外的设备系统或第三方。“通过网络向外传输”是指通过移动通信网络、无线局域网、
6、充电桩接口等方式,向位于车外的设备、系统传输。同时,因保证行车安全需要,已进行匿名化处理的视频、图像数据除外1。“车内处理”是否等同于本地化处理有待行业实践发展观察。落实“车内处理”原则,需要以充分保障个人信息权利和数据安全为衡量尺度,同时兼顾行业与技术创新发展的必要空间。“哨兵模式”可通过车身装载的摄像头持续监控周围环境,当探测到可疑行为时,车辆会自动根据威胁的严重程度做出反应。如果摄像头采集到的视频不是在车内处理,而是通过 APP 推送等方式向车外传输,可能会威胁到车辆数据安全及车外行人的隐私安全。V2X 的实现依赖汽车和外界进行信息交换,在车路协同、智慧交通等应用过程中需要落实车内处理原
7、则。参见:全国信息安全标准化技术委员会技术文件汽车采集数据处理安全指南“5传输要求”1(一)合规要点(二)典型场景汽车数据安全若干问题合规实践指南2汽车企业需要提高车内数据处理能力。为了实现数据安全合规,尽量在车端对数据进行处理,通过改进算法、提升芯片性能等手段提高车端算力,为“车内处理”提供客观条件。例如,传感器端可以将收集到的数据先进行预处理和优化,并提取出原始数据中的代表性特征,再由车端计算平台将这些特征数据进行融合,并基于融合后的数据做识别判断以及输出决策,这一方案能够有效缓解车端计算平台的负载;或者通过车、路、云三者的信息交互,实现协同感知和协同计算,将云端对目标物的识别结果输出至车
8、端,减少在车端的识别和计算。汽车企业需要在设计产品功能阶段以“车内处理”为原则。尽量降低向车外提供数据的功能需求,对于属于未来技术发展趋势并涉及数据安全的功能,要提前识别和评估可能与法规产生冲突的风险,从而实现数据安全保护和汽车技术发展的平衡。产品设计阶段制定功能实现方案时,首先应识别数据流向,如存在向外传输的需求,应考虑是否有满足车内处理原则的替代方案,合理设计电子电气架构及算力资源分配。汽车企业应贯彻落实“默认不收集”原则。即在汽车场景下,除非驾驶人自主设定,每次驾驶时默认设定为不收集状态。例如汽车企业收集座舱数据时,只有当驾驶人通过实体按键或触摸按键等方式主动选择后才能开始收集。汽车企业
9、应对数据访问权限、数据存储安全等技术进行全面合规建设。例如:可建立数据访问权限的控制机制,进一步降低人为泄露汽车数据的风险;建立汽车企业制度规范,确立数据存储技术安全标准等;可结合自身情况,定期开展数据安全评估评测,并根据监管要求及时上报。汽车企业需要梳理“确有必要向车外传输”的情形。汽车企业首先应遵循法律法规规定的“车内处理”原则。根据法律法规和行业技术实践发展,在确需向车外传输数据的场景下,梳理“确有必要向车外传输”的情形,如为保证车辆行驶安全的车辆报警信息和其他充分必要性目的,具体可参考表1。汽车企业应根据行业技术发展实践,将不符合上述“确有必要向车外传输”的数据做车端本地化存储、处理,
10、如一般车内音视频数据、不影响行车安全和道路安全的车辆信息以及车内人员生物识别信息等。汽车企业需落实“向车外传输”信息的匿名化处理。具体措施包括对视频、图像中可识别个人身份的人脸、车牌等信息进行擦除等,确保无法利用视频、图像数据识别个人身份,从而确保“车内处理”原则实现保护个人信息与汽车数据安全的目标。匿名化处理的标准可参考团体标准汽车传输视频及图像脱敏技术要求与方法。(三)合规实践建议汽车数据安全若干问题合规实践指南3表 1“确有必要向车外传输”的情形示例来源:数据安全推进计划汽车座舱数据2通过摄像头、红外传感器、指纹传感器或传声器等部件从汽车座舱采集的可能包含个人信息的数据,包括对其进行加工
11、后产生的数据。语音指令:为实现语音识别功能以实时判断汽车控制指令;云存储:为实现远程查看车内情况或云存储功能;远程查看:为实现远程查看车内情况或云存储功能,向使用者提供数据,取得个人信息主体同意,并采取安全措施,除使用者外的其他组织和个人不能访问;执法、监管要求:应监管部门或执法机构要求传输数据。参见:信息安全技术汽车数据处理安全要求3.62汽车企业需依法履行个人信息收集处理的“告知-同意”义务。建议汽车企业在与消费者签署的隐私政策和用户协议中规定“车内处理”个人信息和数据的范围、方式、目的等,包括是否已对“向车外传输”的信息进行匿名化处理、模糊擦除等安全技术措施,汽车企业在“向车外传输”个人
12、信息和数据时,应取得个人信息权利主体的单独同意。具体文本可参考表 2。表 2隐私政策对“车内处理”的具体规定示例来源:数据安全推进计划示例:汽车企业隐私政策对“车内处理”原则的具体规定-我们如何处理、存储您的个人信息对于您的个人信息和汽车产生的数据,我们将严格依照法律法规和国家标准处理、存储。基于汽车使用产生的个人信息和数据,原则上我们将在车端内处理、存储,对确有必要向车外传输的信息我们将进行匿名化处理,采取模糊擦除等安全技术措施。汽车数据分类示例“确有必要向车外传输”限定情形示例汽车数据安全若干问题合规实践指南4二、脱敏处理原则规定中明确,国家鼓励汽车数据依法合理有效利用,倡导汽车数据处理者
13、在开展汽车数据处理活动中坚持脱敏处理原则,尽可能进行匿名化、去标识化等处理。根据数据处理的不同阶段,可将数据脱敏分为“车端数据脱敏”和“车外数据脱敏”。其中,车端数据脱敏指通过一定方法在车端数据处理设备上消除原始环境数据中的敏感信息,使得信息主体无法被识别或者关联,且处理后的信息不能被复原,同时保留目标环境业务所需的数据特征或内容的数据处理过程3。车外数据脱敏指上述脱敏处理行为发生在云端服务器或任何位于车外的物理服务器。汽车企业为贯彻落实“车内处理”原则,需要对向车端以外的第三方传输的数据进行脱敏处理;同时,车端内相关数据和个人信息达到法律或行业规定需要进行脱敏处理的标准时,也需要进行数据脱敏
14、处理。车端内外数据脱敏需要遵循不同精度与颗粒度要求。其中,车外数据未完成匿名化处理前不应向车外提供,且相关的过程数据应立即删除4。(一)合规要点根据法律规定和相关国家及行业标准,汽车企业适用“脱敏处理”原则的典型场景包括但不限于:汽车数据向车外系统传输;汽车数据向第三方传输、共享等;汽车数据向境外传输;汽车数据中含道路车辆信息的内容;汽车数据中含敏感个人信息的内容。(二)典型场景参见:T/CAAMTB772022汽车传输视频及图像脱敏技术要求与方法3.1参见:信息安全技术汽车数据处理安全要求第五条要求第 a)款34汽车数据安全若干问题合规实践指南5汽车企业应遵循法律及国家和行业标准对于数据脱敏
15、处理的具体要求。数据脱敏可源于个人信息保护法中对去标识化、匿名化的定义,其中,匿名化是指个人信息经过处理无法识别特定自然人且不能复原的过程;而去标识化是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。同时参考规定对脱敏处理原则的规定,因此,汽车数据的脱敏同样需要满足经脱敏处理后无法准确识别特定自然人的标准。汽车数据可采取的匿名化具体措施包括:删除包含个人信息的图像或帧;局部轮廓化处理,擦除区域或替换为其他无法关联个人信息主体且不可复原的其他图像。在处理数字字段信息时,可采取结构化处理方法,如将原数字字段为 888897 变成模型字段 88*。另外,汽车在传输人脸和车牌
16、相关的视频及图像时应满足相应的数据格式要求、样本质量要求,以及脱敏功能要求、性能要求、测试方法和脱敏结果评估等5。图1是人脸的脱敏处理示意图。(三)合规实践建议从汽车行业场景和行业实践出发,汽车数据的全生命周期脱敏处理的典型应用场景包括但不限于:汽车产品开发测试阶段;汽车数据挖掘分析阶段;汽车产品运维、售后阶段。参见:T/CAAMTB772022汽车传输视频及图像脱敏技术要求与方法5来源:T/CAAMTB772022汽车传输视频及图像脱敏技术要求与方法图 1人脸脱敏示意图汽车数据安全若干问题合规实践指南6汽车企业应完善数据脱敏的技术措施与标准化。包括但不限于建立数据访问权限控制、TLS 加密传
17、输、AES256、RSA2048 或以上强度的加密算法进行加密存储、敏感信息脱敏显示等。企业内部实际操作中,可采用向各部门以及工作小组进行调研的方式,详细收集每个部门对个人信息数据的实际需求,并且了解到各部门对数据脱敏的实际接受标准,具体可参考表 3。通过细粒度的脱敏需求调研结果,企业可以精准的向数据脱敏产品和服务供应商提出技术要求,配合公司制度以及行政管理手段,将实际安全项目更为顺利推进实施。表 3数据脱敏需求调研表来源:数据安全推进计划数据脱敏需求调研是否必须使用真实原始数据必须使用的真实原始数据项目需使用到的脱敏数据项目是否需要脱敏数据聚合可用脱敏数据是否可删除脱敏数据是否保持唯一性是否
18、需要数据具备可逆性是否需要脱敏数据保持原有数值顺序是否需要保持脱敏数据原有格式不变是否需要保持脱敏数据统计特征是否需要保持脱敏数据关系数据库中的实体完整性、参照完整性或用户自定义完整性是否可以更改数据类型是否可以对数据添加噪声是是是是是是是是否否否否否否否否是(逐一填写)(逐一填写)否是是否否汽车企业应遵循法律规定,保障用户个人信息权益和消费者知情权。行业实践中,少见汽车企业在其隐私政策或用户协议中对个人信息和数据“脱敏处理”进行明确规定。表现为一般不明确提及“脱敏处理”或模糊表达等,汽车企业在隐私政策等文本中可对重要数据,如人脸、车牌、道路信息等明确“脱敏处理”,以保障个人信息主体权益、消费
19、者知情权。具体文本可参考表 4。汽车数据安全若干问题合规实践指南7表 4隐私政策对“脱敏处理”的具体规定示例来源:数据安全推进计划示例:汽车企业隐私政策对“脱敏处理”原则的具体规定-我们如何处理您的个人信息对于汽车数据涉及重要数据和敏感个人信息和其他依法需要对数据进行脱敏处理的场景,我们会采取符合法律要求和国家或行业技术标准的措施,保护您的个人信息和汽车重要数据的安全。如设置数据访问权限控制、采取加密传输,如【加密算法名称】或以上强度的加密算法进行加密,对汽车数据进行分类分级存储、脱敏显示等。-我们如何向第三方共享您的个人信息在与第三方共享您的个人信息或汽车数据时,我们将与第三方签署数据处理协
20、议,明确要求第三方采取符合法律法规及国家标准的数据安全技术措施。在涉及汽车重要数据和敏感个人信息等数据处理时,我们和第三方将采取数据脱敏和具体的加密措施,如【加密算法名称】,并对数据进行脱敏显示。汽车企业应建立数据脱敏后的检验机制。例如,脱敏后的视频或图像可以从汽车传输至云端或第三方,数据脱敏操作应确保无法识别出视频或图像中的人脸和车牌信息,并保证多帧无法还原信息,确保经车端数据处理设备脱敏后的数据达到相应标准。评价和检验措施包括但不限于建立敏感数据识别机制、脱敏数据控制权限、数据脱敏效果评估制度、数据脱敏审计制度等。汽车数据安全若干问题合规实践指南8三、数据安全防护规定要求协同汽车数据处理者
21、加强智能(网联)汽车网络和汽车数据安全防护。工业和信息化部关于加强车联网网络安全和数据安全工作的通知要求汽车企业全面加强安全保护,提升数据安全技术保障能力。YD/T3751-2020车联网信息服务数据安全技术要求规定了车联网服务过程中数据生命周期内保护的总体要求。车联网海量数据在用户端、车端、云端等多场景交互流动,给车企数据安全防护带来严峻的挑战,通过网络入口的边界防护已无法完全保障数据安全,需要针对数据全生命周期采取有效技术保护措施。供应链数据安全场景:汽车行业供应链复杂多样,包括汽车制造商、芯片供应商、关键件 BOM 供应商、零部件供应商、出行服务商、经销商等。数据在复杂的供应链中流转使用
22、,容易导致数据泄露,并且由于数据流转的节点过多,导致数据滥用行为无法全面监测,数据泄露后无法追溯。新车型研发场景:在汽车研发过程中,依据数据安全法规要求,对整车功能进行梳理并进行风险评估,明确数据安全目标及其可行性,推导出数据安全需求,并形成数据安全需求规范。车联网数据接口安全防护场景:车联网大量使用接口进行数据传输共享,接口成为数据传输的载体,针对接口需要采取数据安全防护措施,例如接口鉴权访问、接口调用监控等。(一)合规要点(二)典型场景汽车数据安全若干问题合规实践指南9汽车企业以数据分类分级为基础,将数据分类分级结果赋能数据安全防护,从管理制度、防护技术、风险评估三个方面进行整体的数据安全
23、防护建设。整体思路如下图 2。(三)合规实践建议数据分类分级落地后,应该形成数据分级管理制度,针对不同级别的数据,在数据采集、传输、存储、使用、共享、销毁生命周期过程中,对不同级别的数据要采取不同的管理手段。例如表 5 在数据使用环节,不同级别的数据应该设置不同的审批流程,同时用技术手段落实数据安全管理制度的执行。1.数据安全防护管理制度来源:数据安全推进计划图 2数据安全防护建设思路汽车数据安全若干问题合规实践指南10来源:数据安全推进计划表 5数据分类分级管控制度要求示例数据使用部门数据安全部门数据安全管理委员会第一级第二级第三级第四级审批部门等级从安全开发、本体保护、数据管控、风险监测四
24、个方向进行数据分类分级之后的安全防护技术建设。(1)数据安全开发能力嵌入软件定义汽车是大势所趋,汽车软件代码量攀升,目前一辆汽车可含有上亿行软件代码。汽车数据安全保护落地,需要通过安全开发能力嵌入,形成一整套 SDL(SecurityDevelopmentLifecycle,软件安全开发周期)管理流程,来有效提高安全开发能力,抵御威胁,提高防范能力。数据安全开发能力嵌入过程中包含了一系列的活动和流程,包括项目相关的数据安全保护管理、概念、开发和验证方面的安全活动。对相关安全活动标准化流程建设,最终实现功能的安全能力标准化,形成免检功能及需检功能清单,实现新车辆研发过程安全要求的嵌入。概念规划阶
25、段:全面梳理车辆的数据相关功能和场景,根据汽车数据安全的法律法规要求,判定数据分类分级,对汽车的数据处理要求进行需求分析,并进行数据安全风险评估,明确数据安全目标及其可行性。设计阶段:对涉及到的数据相关场景和功能,进行数据安全合规及管理要求拆分,明确数据安全保护措施设计规范(使用安全、数据流动安全、外部入侵安全、数据存储安全等),对安全功能进行设计并释放。研发阶段:根据各数据场景和功能的设计要求,进行数据安全能力开发。2.数据安全防护技术汽车数据安全若干问题合规实践指南11测试验证阶段:根据设计阶段的数据安全功能需求,进行安全功能测试及合规性测试,以发现整个数据安全需求设计过程中存在的问题并加
26、以纠正。整个测试过程应包含对各零部件测试和组装测试。上线阶段:进行整车正向测试,确保各零部件和整车的数据安全要求,并整体进行安全合规评审,全部合格后进行上线。运行阶段:应定期进行逆向测试和安全监控,及时发现其他安全风险,并及时修复;同时也可以从用户处收集反馈,协助改进数据安全需求。(2)数据本体保护通过数据加密、数据脱敏(匿名化、去标识化)对数据进行本体保护。根据分类分级结果,在业务改造时只对重要级别的数据进行加密,降低对业务影响;在产品设计时,落地统一加密标准。脱敏系统联动分类分级结果后,可根据数据级别制定不同的脱敏策略,实现全面的数据脱敏。(3)数据管控主要实现基于数据的分级管控。目前普遍
27、的访问控制都是基于用户权限和角色,而没有基于数据进行访问控制,导致管控细粒度不足。通过管控系统联动分类分级结果,可实现基于数据级别的管控,例如分类分级结果同步给数据库运维管控系统,数据库运维管控系统根据数据级别对运维人员以及数据库管理员进行细粒度授权。(4)风险监测主要实现数据暴露面监测、接口风险监测以及数据流转风险监测。很多汽车企业风险监测还停留在传统网络安全的风险监测,是基于行为的分析,并没有基于行为下产生的数据进行风险分析。建议联动分类分级结果,基于数据的级别以及量级进行风险监测。同时打通数据库层面与应用层面的监测,进行“用户-应用-数据库”三层关联分析。数据处理者开展重要数据处理活动,
28、应当按照规定定期开展风险评估。因此在开展数据处理活动时,是否要进行风险评估,需要先判断数据处理活动是否涉及重要数据,需引用数据分类分级以及重要数据目录的结果。而数据安全风险评估的结果可驱动差异化的数据安全防护治理以及数据安全管理制度的完善。更加详细的内容我们将在第六章阐述。3.数据处理活动合规风险评估汽车数据安全若干问题合规实践指南12四、告知与征得同意义务个人信息保护法、规定、信息安全技术个人信息安全规范等个人信息保护相关法律法规、国家标准均要求个人信息处理就个人信息收集、处理的情况向用户进行充分地说明和披露,例如通过用户手册、车载显示面板、语音以及汽车使用相关应用程序等显著方式告知用户收集
29、处理的数据种类、处理场景、存储地点和期限等内容。“告知-同意”是法律确立的个人信息保护核心规则,是保障个人对其个人信息处理知情权和决定权的重要手段。汽车企业适用“告知-同意”的典型场景包括但不限于:汽车数据处理者在处理个人信息前应取得用户的同意;处理敏感个人信息前应取得用户的单独同意;涉及数据出境前应取得用户的单独同意;处理不满十四周岁未成年人个人信息前应取得未成年人监护人的同意,并设置专门儿童个人信息处理规则;汽车企业在销售、使用、售后服务等过程中向用户提供服务时,可能收集用户的身份信息、行程轨迹等个人信息,此时汽车企业依法需公开个人信息收集处理的规则。(一)合规要点(二)典型场景 汽车数据
30、安全若干问题合规实践指南13告知是透明度原则的体现,包括告知基本要求、告之例外、第三方产品服务或者管理。征得同意是合法性原则的体现,包括明示同意、授权同意、重新取得同意、撤回同意、单独同意。“告知-同意”的载体是个人信息保护政策(隐私政策)和用户协议。告知用户的内容应遵循法律和国家标准的规定。个人信息保护法已对告知个人信息主体的内容和方式做出规范,国家标准和行业标准等对告知内容的颗粒度进一步细化。例如,告知内容应当包括汽车数据的保存期限、地点(地级市)、用户权益事务联系人等。保存期限告知应具体明确(如确定的 30 天或 1 年等)6。汽车企业可参照智能网联汽车道路测试与示范应用管理规范(试行)
31、、汽车采集数据处理安全指南等规范明确相关汽车数据的存储时间。车载场景除了汽车企业基本情况、个人信息的收集和使用基本情况、存储情况以及个人信息主体的相关权利及实现方法基本情况等一般性告知内容,主机厂和零部件厂商的产品或服务需要特别注意确认是否存在两种场景:第一种,应确认车联网产品和服务是否存在个人信息对外向第三方提供,其中包括对外共享、转让、公开披露,如有,则应告知用户对第三方相关审核要求以及所承担的相应法律责任,并且在应用软件上要告知用户对外共享、转让、公开披露的第三方对应的基本信息。第二种,除了基本业务功能开启前的告知,应确认提供的产品或服务是否存在扩展功能,在扩展业务功能开启前,应向个人信
32、息主体逐一告知提供所扩展业务功能及所必要收集的个人信息的基本情况。告知同意可兼顾合规性和用户体验。在满足个人信息特别是敏感个人信息告知同意基本要求的前提下,车载产品或者服务系统中应用软件的告知时机与频率应与用户体验感及舒适度相平衡,告知的时机需要考虑在下载安装前、首次使用前、信息收集前、信息变更前、信息对外共享、转让、披露前、应用软件卸载前、应用软件停止运营时、安全事件发生时、间接获取个人信息时和通过其他载体收集个人信息时。如果告知的时间点和收集个人信息的时间点相差很大,建议汽车企业在进一步收集个人信息之前再次告知,以便个人信息主体意识到告知与个人信息收集之间的关系。汽车企业应当以适当的频率或
33、时间间隔确认现有的同意或征得个人信息主体的新同意。应当避免告知的频率过低,导致告知的内容与时机情况不符;(三)合规实践建议参见:信息安全技术汽车数据处理安全要求4.16汽车数据安全若干问题合规实践指南14同时避免告知的频率过高对个人信息主体造成不必要的打扰7。因此车企和零部件厂商在车辆开发周期内应充分考虑和规划业务功能所需要收集的个人信息(特别是敏感个人信息)的必要性,非必要不收集,尽量避免车辆上市后由于个人信息收集的变化频繁更新隐私政策,给用户带来不好的体验感。如果有功能需要持续收集敏感个人信息,建议结合成本和用户体验综合考虑选择合适的明确标识或突出显示。汽车企业依法履行“告知-同意”法定义
34、务,采取现实可行的多样性技术方案。告知方式包括但不限于通过用户手册(单独章节提示)、车载显示面板弹窗提示、语音播放、汽车使用相关应用程序等显著方式告知车主收集处理个人信息的目的、种类和方式,强调车主停止收集和删除个人信息的方式和途径8。汽车企业基于导航、GPS 定位的需求收集车主的行程轨迹信息;基于身份验证、行车安全监测等需要收集车主的人脸信息,汽车企业可以通过用户对隐私政策、用户协议等文本的勾选,以及单独弹窗、单独语音提示或另行签署车载单独同意函的方式获得用户对其个人信息处理的同意。例如,智能车联网场景下可以对单次收集个人人脸、音视频信息取得车主“语音回复同意”;在传感器收集车内外信息时,语
35、音提示用户正在收集个人信息和数据的范围、处理方式与目的等,如车端语音提示:“为保障您的行车安全,我们可能会收集您行驶过程中的心率并实时处理”。汽车企业应保障个人信息权利主体撤回同意的权利。当用户想撤回对其个人信息处理的同意时,可通过汽车智能终端、APP 自助服务、客服热线等方式为用户提供变更或撤回同意的途径和受理用户汽车数据安全投诉,接到投诉后 10 个工作日内处理并记录处理过程及结果9。汽车用户若想改变授权,企业应当设立便捷的机制使个人信息主体能够变更其授权同意;如果用户无法变更同意,企业作为汽车数据处理者需要向用户解释造成这种情况的原因。参见:信息安全技术个人信息告知同意指南(征求意见稿)
36、8.47参见:信息安全技术汽车数据处理安全要求4.1参见:信息安全技术汽车数据处理安全要求7.489汽车数据安全若干问题合规实践指南15参见:规定第三条10五、处理敏感个人信息汽车行业中,敏感个人信息指一旦泄露或者非法使用,可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的个人信息10。在 GB/T41871-2022信息安全技术汽车数据处理安全要求中明确,敏感个人信息包括行踪轨迹、音频、视频、图像、医疗健康、宗教信仰等个人信息,指纹、心率、声纹、面部识别特征等生物识别特征信息,居民身份证、军官证、工作证、社保卡、居住证等能标识特定身份的个人身份信息,银行账户、鉴
37、别信息(口令)、金融账户等个人财产信息,以及不满十四周岁未成年人的个人信息。个人信息保护法规定,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。汽车企业应在收集指纹、声纹、人脸、心律等生物识别特征信息前,具有增强行车安全的目的和充分必要性。(一)合规要点从法律规定和行业实践出发,汽车数据处理者处理敏感个人信息的典型场景包括但不限于:碰撞预警、自动紧急制动、疲劳分神预警等增强行车安全的场景;自适应巡航控制、导航等智能驾驶场景;车机个人中心、应用商店等使用场景。(二)典型场景 汽车数据安全若干问题合规实践指南16汽车企业在处理敏感个人信息时需要考
38、虑组织架构、个人信息保护评估制度建设等。处理超过 10 万人的敏感个人信息的应设立专职的个人信息保护负责人和个人信息保护工作机构,负责个人信息安全工作。人员管理与培训:对大量接触敏感个人信息的人员进行背景审查,以了解其犯罪记录、诚信状况。个人信息保护影响评估:个人信息保护影响评估报告和处理情况记录应当至少保存三年。安全事件处置:敏感个人信息发生泄露时,需实施安全事件的告知。应及时将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体。难以逐一告知个人信息主体时,应采取合理、有效的方式发布与公众有关的警示信息;告知内容应包括但不限于:安全事件的内容和影响;已采取或将要采取的处置
39、措施;个人信息主体自主防范和降低风险的建议;针对个人信息主体提供的补救措施;个人信息保护负责人和个人信息保护工作机构的联系方式。汽车企业应核查已有的敏感个人信息的收集和处理场景是否遵循必要性原则。如果企业经核查和综合判断,认为已有的敏感个人信息处理行为不具有充分的必要性,则应及时进行整改。原则上不应以改善服务质量、提升用户体验以及研发新产品等为目的处理敏感个人信息。例如,汽车数据处理者收集驾驶人和乘客人脸识别信息时,需要判断这一收集处理是否具有增强行车安全的目的和充分的必要性,并形成书面记录材料。汽车企业应落实敏感个人信息单独同意的具体技术措施。其一,逐项同意。应对每项敏感个人信息取得个人信息
40、主体单独同意,不应一次性针对多项敏感个人信息或多种处理活动取得同意。例如,汽车数据处理者为驾驶人提供语音识别功能需要处理语音数据,可针对该功能单独弹窗取得驾驶人同意,也可在告知同意中针对该功能设置可勾选的单独选项取得驾驶人同意11。其二,设置同意期限。汽车企业应确保用户能够自主设置同意企业收集处理(三)合规实践建议参见:信息安全技术汽车数据处理安全要求4.211汽车数据安全若干问题合规实践指南17其敏感个人信息的具体期限,处理敏感个人信息的同意期限不应设置为“始终允许”或“永久”,可设置为单次、七天、三个月和一年等选项。其三,提示状态。汽车企业还应在实际收集数据的过程中,在保证行车安全的前提下
41、以适当的方式提示用户敏感个人信息收集的状态。例如,当拍摄、录音、录屏、定位时,应采用显著方式提示用户上述状态。汽车企业应采取恰当的技术保障手段和安全管理措施保护用户的敏感个人信息。针对敏感个人信息的全生命周期,在收集、存储、使用、传输、共享等不同阶段采取适当的安全措施。具体而言,针对技术保障手段,企业在传输和处理敏感个人信息时,宜采取技术加密的安全措施。在数据收集阶段,合理利用车载显示面板图标和信号装置指示灯闪烁长亮来提示用户汽车正在收集其敏感个人信息。在存储敏感个人信息时,宜将生物识别信息这一敏感个人信息与一般个人信息分开存储;原则上不应存储原始生物识别信息,可通过仅存储个人生物识别信息的摘
42、要信息,在采集终端中直接使用个人生物识别信息实现身份认证等措施代替对原始个人生物识别信息的直接存储。针对安全管理措施,企业等汽车数据处理者对于数据访问、操作等行为,宜在设置角色权限控制的基础上,按照业务流程的需求触发操作授权。例如,当收到用户投诉后,投诉处理人员才可访问该个人信息主体的相关信息。汽车企业应及时响应用户的个人信息权利请求,包括用户对其个人信息享有复制、查询、转移、删除等权利。汽车企业可建立个人信息结构化目录,以确保在收到删除个人信息请求时可落实十个工作日内删除等要求。例如,在收到用户关于删除其个人信息的请求时,汽车企业应在相关规定时间内删除,若因保障安全驾驶、诉讼需要等必要性未能
43、及时删除的,应当向用户进行合理必要性解释并在上述必要性事项完成时及时删除。在收到用户关于复制其个人信息的请求时,汽车企业应当及时以恰当的文本形式提供其个人信息。汽车数据安全若干问题合规实践指南18汽车智能化、网联化程度逐步提高,汽车数据量激增,车辆开放连接增多,相关设备系统间数据交互紧密,汽车数据处理场景复杂,汽车企业需要数据安全风险评估的场景包括但不限于:基于移动互联网的汽车用户数据应用;车联网服务平台重要数据记录系统;车辆大数据平台。(二)典型场景 数据安全风险是指任何威胁数据及其安全需求的行为或机制。数据安全风险评估旨在帮助汽车企业明确数据安全风险点,为汽车数据安全管理建设和数据安全风险
44、处置指明方向。本指南建议的风险评估要求主要以汽车企业的数据资产为评估对象,数据处理活动中所面临的风险为评估内容,进行数据安全风险评估工作。工作流程包括:评估准备风险要素识别风险分析风险评价报告编写风险处置。如图 3 所示。(三)合规实践建议六、数据安全风险评估依据数据安全法、规定要求,汽车数据处理者开展重要数据处理活动,应当按照规定开展风险评估并报送。汽车企业无论是通过自评估还是第三方评估,都应尽快建立数据安全风险管理的全流程机制,尽早识别风险,发生事件及时补救与报告,承担数据安全保护义务。(一)合规要点汽车数据安全若干问题合规实践指南19来源:数据安全推进计划图 3数据安全风险评估工作流程(
45、1)评估准备从国家法律法规及汽车行业监管、业务需求评估等相关要求出发,从战略层面考量风险评估结果对企业的相关影响。数据安全风险评估准备的内容主要包括:评估对象、评估范围、评估边界、评估团队组建、评估依据、评估准则、制定评估方案并获得管理层支持。(2)风险要素识别汽车企业需要基于数据安全风险要素,面向业务场景,以汽车数据的采集、传输、存储、使用、共享、销毁各个环节为切入点,并结合已有安全措施的落地情况,判断数据资产及数据处理活动面临的威胁与缺陷。风险要素识别包括:关键业务、数据处理活动、数据资产、数据威胁、数据脆弱性、已有安全措施。数据安全风险评估中各要素的关系如图 4 所示。数据安全风险要素的
46、识别工作包含两部分:一是解析业务场景与流程。该部分负责解析业务场景与流程,重点识别数据处理活动与涉及的生命周期环节,明确数据安全风险影响的数据、处理活动对象。二是识别数据安全风险关键要素。该部分负责收集数据安全风险信息,对数据安全风险的影响程度与发生的可能性进行评估。数据安全风险的基本关键要素包括数据安全风险的影响程度与发生的可能性:数据安全风险的影响程度体现在数据本体数据安全需求的受损情况(数据资产);数据安全风险发生的可能性受数据全生命周期的安全缺陷(脆弱性)与数据处理活动的安全目标失灵情况(威胁、已有安全措施)影响。汽车数据安全若干问题合规实践指南20来源:数据安全推进计划图 4数据安全
47、风险要素的关系(3)风险分析依据外部监管要求、标准,通过关联已识别的数据安全风险要素,构建数据安全风险矩阵,对业务场景下的数据安全风险进行定性或定量分析,开展数据安全风险评估活动,判断数据安全风险发生的可能性与影响程度,从而得到数据安全风险值。数据安全风险关键要素的明确能够为数据安全风险的识别提供方向。基于数据安全风险影响程度与发生的可能性两大关键要素,结合数据资产、威胁、脆弱性、已有安全措施等因素,面向数据的处理活动场景构建数据安全风险矩阵。如图 5 所示,风险矩阵由影响程度与发生的可能性共同构成。其中,影响程度受数据资产的价值、脆弱性的严重程度共同影响;发生的可能性受威胁发生的频率、脆弱性
48、的可利用程度共同影响;根据数据安全风险发生的可能性和影响程度共同确定数据安全风险值。汽车数据安全若干问题合规实践指南21来源:数据安全推进计划图 5数据安全风险矩阵(4)风险评价企业在执行完数据安全风险分析后,通过风险值计算方法,会得到风险值的分布状况,确定风险数值的大小不是组织风险评估的最终目的,重要的是明确不同威胁对资产所产生的风险的相对值,即要确定不同风险的优先次序或等级,对于风险级别高的资产应被优先分配资源进行保护。风险等级建议从 1 到 5 划分为五级,等级越大,风险越高,具体可参考表 6。数据资产价值影响程度可能性 2 3 4 51 2 3 4 5脆弱性的严重
49、程度脆弱性的可利用程度威胁发生频率风险值123451 2 3 4 5发生的可能性影响程度来源:数据安全推进计划表 6数据安全风险等级参考表等级标识描述5很高一旦数据安全风险发生,对国民经济命脉、重要民生和重大公共利益造成损害。例如核心数据、关系 3 个以上重点行业领域的重要数据等。4高一旦数据安全风险发生,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。例如重要数据、超过 100 万人的个人信息等。3中一旦数据被泄露或篡改、损毁或者非法获取、非法利用,容易对组织或个人的合法权益造成严重危害。例如敏感个人信息、组织知识产权和商业秘密等。2低一旦数据安全风险发生,可能对组织或个人的合法权
50、益造成中等危害。例如个人信息等。1很低一旦数据安全风险发生,可能对组织或个人的合法权益造成轻微危害。通常为一般数据(非个人信息)、非敏感的组织数据等。汽车数据安全若干问题合规实践指南22(5)报告编写评估人员通过对评估结果分析和形成的安全风险分析结果,编制风险评估报告。风险评估报告应包括但不局限于以下内容:项目概述、评估范围、评估依据、评估方法、数据资产识别与赋值、威胁分析与赋值、脆弱性识别与赋值、已有安全措施识别、综合风险分析、安全整改建议等。如果涉及重要数据,编写报告时需要按照规定中的要求:汽车数据处理者开展重要数据处理活动,需要向有关部门报送风险评估报告,风险评估报告应当包括处理的重要数
51、据的种类、数量、范围、保存地点与期限、使用方式,开展数据处理活动情况以及是否向第三方提供,面临的数据安全风险及其应对措施等。(6)风险处置通过数据安全风险评估,最终得到企业风险评估结果。依据风险评价等级结合企业面临的生产活动实际情况,对不可接受的风险,制定风险处置计划,选择数据安全风险处置策略,采取风险处置措施,具体可参考表 7。在选择适当的数据安全风险处置策略和措施后,需要检验风险处置措施的效率,检验风险处置策略的有效性并持续改进。来源:数据安全推进计划表 7风险处置措施风险处置措施数据备份与恢复系统灾备与应急安全通报与协调合规整改与排期缺陷修复与排期舆情消除与引导事件关闭与验收汽车数据安全
52、若干问题合规实践指南23七、数据出境数据安全领域三部上位法初步确立了以安全评估制度为核心的数据出境基本原则。在此基础上 2022 年 7 月 7 日国家互联网信息办公室(以下简称“国家网信办”)发布数据出境安全评估办法(以下简称“评估办法”),规定了应当申报数据出境安全评估的情形,明确了自评估、申报评估的评估流程。同时,国家网信办 2022 年 8 月 31 日发布了数据出境安全评估申报指南(第一版)(以下简称“申报指南”),指导和帮助数据处理者规范、有序申报数据出境安全评估,对数据出境安全评估申报方式、申报流程、申报材料等具体要求做出了说明。(一)合规要点数据出境行为主要包括三类:一是数据处
53、理者将在境内运营中收集和产生的数据传输、存储至境外;二是数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;三是国家网信办规定的其他数据出境行为12。从汽车行业场景和行业实践出发,汽车数据出境的典型场景包括但不限于:数据直接存储在境外服务器;境内信息按照一定规则传输至境外系统;邮件等外发方式将数据传输至境外;境外运维人员访问和调用境内服务器中的数据;全球化办公软件的使用(Office、CiscoWebex)。(二)典型场景 参见:国家网信办发布的申报指南12汽车数据安全若干问题合规实践指南24来源:数据安全推进计划表 8数据出境路径数据出境路径适用范围数据
54、出境安全评估(一)数据处理者向境外提供重要数据;(二)关键信息基础设施运营者和处理 100 万人以上个人信息的数据处理者向境外提供个人信息;(三)自上年 1 月 1 日起累计向境外提供 10 万人个人信息或者 1 万人敏感个人信息的数据处理者向境外提供个人信息;(四)国家网信办规定的其他需要申报数据出境安全评估的情形。专业机构进行个人信息保护认证机制网络安全标准实践指南个人信息跨境处理活动安全认证规范个人信息保护认证实施规则签订标准合同参考个人信息出境标准合同规定(征求意见稿)安全评估强制申报以外的个人信息出境场景汽车企业应尽早梳理企业数据出境活动和场景。根据梳理结果情形,研判本企业适用的数据
55、出境路径,具体可参考表 8。企业梳理数据出境活动可参照如下方法:(1)数据资产盘点(数据台账)。首先,企业应根据自己的业务模式,厘清企业内部管控的数据内容。在不同业务场景下,会涉及跨境传输的场景及所涉数据字段,并通过内部的评估分级,确定所涉数据属于“个人信息”、“敏感个人信息”还是“重要数据”。识别数据的类型和级别后,进一步确定不同类型级别的数据跨境安排,例如根据法律法规的要求,对重要数据等进行必要的数据本地化存储安排,对需要出境的数据做好匿名化等脱敏处理。(2)根据数据资产台账,结合业务流程,合理定义需要申报的数据出境业务场景。例如:企业员工类(员工基本信息管理、薪酬福利管理、绩效管理、休假
56、出差管理等);客户类(售后维修保养、客户服务管理、车辆召回等)。(3)定义数据出境业务场景的同时需要考虑数据接收方是否一致、是否涵盖了企业今后两年内的战略部署。(三)合规实践建议汽车数据安全若干问题合规实践指南25汽车企业如有数据出境的需求,应尽早着手准备数据出境安全评估工作。在申报前企业需要完成大量的准备工作,评估办法要求企业完成内部立项和沟通,风险自评估,另需要提交申报书、数据处理者与境外接收方拟订立的法律文件以及其他材料,这意味有大量的准备工作需要企业尽早处理。具体的数据出境安全评估流程可参考图 6。在评估办法施行前,企业已经开展的数据出境活动且不符合规定的,应当按规定在施行之日起 6
57、个月内完成整改,也就是说企业之前开展的数据出境活动最迟于 2023 年 3 月 1 日完成整改,这也意味着数据出境安全评估工作需要尽早尽快开展。来源:数据安全推进计划图 6数据出境安全评估流程数据出境风险自评估是申报数据出境安全评估的必要条件。通过自评估全面梳理企业数据出境活动情况,核查企业数据安全保障能力是否可以处置数据出境安全风险,并形成高质量的数据出境风险自评估报告,为网信部门进行正式的数据出境安全评估提供重要基础。汽车数据安全若干问题合规实践指南26来源:数据安全推进计划图 7数据出境风险自评估风险自评估报告所描述的自评估活动应该在申报数据出境安全评估前 3 个月内完成,且至申报之日未发生重大变化。国家网信办发布的申报指南中提供了数据出境风险自评估报告(模板),参考模板可见自评估报告应包含自评估工作简述、出境活动整体情况、拟出境活动的风险评估情况和出境活动风险自评估结论四部分内容,具体可参考图 7。汽车数据安全若干问题合规实践指南27