近日�,工信部相關(guān)負責(zé)人明確指出�����,隨著汽車智能化、網(wǎng)聯(lián)化的發(fā)展���,網(wǎng)絡(luò)數(shù)據(jù)安全問題凸顯��,如果監(jiān)管措施不能及時跟上����,將會產(chǎn)生未經(jīng)授權(quán)的個人信息和重要數(shù)據(jù)采集利用等數(shù)據(jù)安全問題��。因此要加大監(jiān)管措施����,堅守安全底線,優(yōu)化發(fā)展環(huán)境�����。
的確����,《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》對數(shù)據(jù)安全���、個人信息保護做了基本規(guī)定��。汽車數(shù)據(jù)安全管理領(lǐng)域亟需出臺有針對性的規(guī)章制度�,明確汽車數(shù)據(jù)處理者的責(zé)任和義務(wù),規(guī)范汽車數(shù)據(jù)處理活動���,促進汽車數(shù)據(jù)依法合理有效利用和汽車行業(yè)健康有序發(fā)展�����。
最近��,在千呼萬喚中����,國家互聯(lián)網(wǎng)信息辦公室等五部門聯(lián)合發(fā)布了《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》(以下簡稱《規(guī)定》)�,聚焦汽車領(lǐng)域個人信息和重要數(shù)據(jù)的安全風(fēng)險��,就若干重點問題做出規(guī)定�����,自2021年10月1日起施行����,給汽車產(chǎn)業(yè)數(shù)據(jù)安全管理指明了方向��。
數(shù)據(jù)幾何倍增長 安全問題凸顯
汽車產(chǎn)業(yè)涉及國家經(jīng)濟�����、裝備制造��、金融�、交通運輸��、生產(chǎn)生活等諸多領(lǐng)域�,汽車數(shù)據(jù)規(guī)模龐大,同時暴露出的汽車數(shù)據(jù)安全問題和風(fēng)險隱患也日益突出���。
比如���,汽車數(shù)據(jù)處理者超越實際需要,過度收集重要數(shù)據(jù)���;未經(jīng)用戶同意����,違規(guī)處理個人信息,特別是敏感個人信息����;未經(jīng)安全評估,違規(guī)出境重要數(shù)據(jù)等����。《規(guī)定》的出臺既是防范化解汽車數(shù)據(jù)安全風(fēng)險的實踐需要����,也是保障汽車數(shù)據(jù)依法合理有效利用的客觀需要。
愛馳汽車首席數(shù)據(jù)官���、資深技術(shù)專家李海軍指出�����,燃油車時代,人們通常以出行的便捷為目的�����,交通工具的可用性��、方便性是大多數(shù)人關(guān)注的重點,機械動力也決定了數(shù)據(jù)的有限性��。隨著汽車新四化��,用戶體驗訴求不斷加強���,汽車傳感器數(shù)量成倍增長����,數(shù)據(jù)以幾何倍速度產(chǎn)生���,數(shù)據(jù)的多樣性融合���,一時間讓我們無法有效、合理����、正確地使用這些數(shù)據(jù),從而暴露了很多問題����。
比如,數(shù)據(jù)的采集沒有具體標(biāo)準(zhǔn),車企理念不同�,對數(shù)據(jù)訴求也不同,大多以汽車診斷����、檢測為目的,少數(shù)考慮到用戶體驗訴求��,各自按需采集����。數(shù)據(jù)的傳輸也很隨意,車企需要多家配件供應(yīng)商協(xié)作���,實現(xiàn)多鏈路數(shù)據(jù)通訊����,因為各自協(xié)議標(biāo)準(zhǔn)不統(tǒng)一���,對數(shù)據(jù)的理解不同�,通常無法有效保證數(shù)據(jù)安全���、共享使用。
汽車數(shù)據(jù)處理應(yīng)堅持四原則
《規(guī)定》中明確了汽車數(shù)據(jù)是指汽車設(shè)計、生產(chǎn)��、銷售��、使用�����、運維等過程中的涉及個人信息數(shù)據(jù)和重要數(shù)據(jù)���;所稱汽車數(shù)據(jù)處理��,包括汽車數(shù)據(jù)的收集���、存儲、使用�����、加工����、傳輸、提供�、公開等�,涉及汽車數(shù)據(jù)處理的全生命周期����;還進一步明確了汽車數(shù)據(jù)中的個人信息、敏感個人信息��、重要數(shù)據(jù)以及汽車數(shù)據(jù)處理者的含義和類型���。
《規(guī)定》明確了汽車數(shù)據(jù)處理者開展汽車數(shù)據(jù)處理活動的一般要求��。主要包括:一是處理汽車數(shù)據(jù)應(yīng)當(dāng)合法����、正當(dāng)���、具體�、明確�����,與汽車的設(shè)計��、生產(chǎn)�、銷售�、使用����、運維等直接相關(guān)���。二是利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)開展汽車數(shù)據(jù)處理活動�,應(yīng)當(dāng)落實網(wǎng)絡(luò)安全等級保護等制度�,加強汽車數(shù)據(jù)保護,依法履行數(shù)據(jù)安全義務(wù)��。三是應(yīng)當(dāng)建立投訴舉報渠道�,設(shè)置便捷的投訴舉報入口,及時處理用戶投訴舉報��。
《規(guī)定》堅持安全和發(fā)展并重�,倡導(dǎo)汽車數(shù)據(jù)處理者在開展汽車數(shù)據(jù)處理活動中堅持“車內(nèi)處理”、“默認不收集”��、“精度范圍適用”���、“脫敏處理”等原則�����,減少對汽車數(shù)據(jù)的無序收集和違規(guī)濫用��,鼓勵汽車數(shù)據(jù)依法合理有效利用�,促進汽車行業(yè)健康有序發(fā)展。
《規(guī)定》亦明確了處理個人信息�����、敏感個人信息的具體要求�。針對個人信息,一是告知義務(wù)����,二是征得同意義務(wù),三是匿名化要求�����。
《規(guī)定》特別強調(diào)���,汽車數(shù)據(jù)處理者開展重要數(shù)據(jù)處理活動����,應(yīng)當(dāng)遵守依法在境內(nèi)存儲的規(guī)定����。
《規(guī)定》比《征求意見稿》要求有所放松
汽車行業(yè)資深專家張楠指出����,實際上��,8月發(fā)布的《規(guī)定》比先前在5月發(fā)布的《汽車數(shù)據(jù)安全管理若干規(guī)定(征求意見稿)》(以下簡稱“《征求意見稿》”)����,在條款規(guī)定上要更為放松��。
比如��,《征求意見稿》中倡導(dǎo)運營者處理個人信息和重要數(shù)據(jù)過程中��,默認不收集原則���,除非確有必要����,每次駕駛時默認為不收集狀態(tài)����,駕駛?cè)说耐馐跈?quán)只對本次駕駛有效��。這意味著�,如的確需要收集駕駛?cè)藬?shù)據(jù)���,車企需要在駕駛?cè)嗣看紊宪嚂r都要獲得其同意����,實際操作起來較為繁瑣����。考慮到車企的接受程度�,《規(guī)定》中取消了“駕駛?cè)说耐馐跈?quán)只對本次駕駛有效”的時效性規(guī)定。
《征求意見稿》提到運營者處理個人信息應(yīng)當(dāng)通過用戶手冊����、車載顯示面板或其他適當(dāng)方式,告知負責(zé)處理用戶權(quán)益責(zé)任人的有效聯(lián)系方式����;而《規(guī)定》中則將告知用戶的方式增加為“通過用戶手冊、車載顯示面板���、語音����、汽車使用相關(guān)應(yīng)用程序等顯著方式”,為車企提供了更多可行途徑��,也為車企應(yīng)對降低了成本��,更加符合汽車行業(yè)現(xiàn)實����。
李海軍認為����,《規(guī)定》明確了消費者對個人隱私信息、出行軌跡數(shù)據(jù)��,以及日常駕駛行為����、車內(nèi)應(yīng)用場景數(shù)據(jù),具有知情權(quán)��、處理權(quán)���,個人根據(jù)自己體驗需求����,可以自由、靈活地決定數(shù)據(jù)是否被采集��、采集多少����;針對這些采集的數(shù)據(jù)也具有要求刪除的權(quán)利,數(shù)據(jù)所有權(quán)歸屬用戶個人���。
對于車企來說���,將會在用戶知曉并被授權(quán)的情況下,以增強用戶體驗服務(wù)為目的��,獲取用戶出行�����、駕乘數(shù)據(jù)����;這些數(shù)據(jù)如何使用,向第三方服務(wù)商或者公共渠道提供數(shù)據(jù)公開等也將被約束。而對于整個汽車行業(yè)產(chǎn)業(yè)鏈�,將會建立起從用戶到車企再到供應(yīng)商、第三方服務(wù)商的全方位安全網(wǎng)���,數(shù)據(jù)安全主管部門參與監(jiān)管����,切實保護用戶隱私和國家信息安全���。
車企積極應(yīng)對�����、主動達標(biāo)
對于車企如何提升數(shù)據(jù)安全管理��,李海軍表示,愛馳汽車從成立之初���,就堅守歐盟GDPR和國家的安全標(biāo)準(zhǔn)��,針對各項安全指標(biāo)做到一一認證����,接下來借助這些經(jīng)驗,達到國家的安全標(biāo)準(zhǔn)相對容易很多�。
李海軍建議,車企應(yīng)當(dāng)做到數(shù)據(jù)采集及時脫敏���,從源頭避免重要信息泄漏����。傳輸過程做好數(shù)據(jù)安全加密�,數(shù)據(jù)一致性校驗;個人數(shù)據(jù)和車輛數(shù)據(jù)�����,多任務(wù)分離傳輸���。同時以服務(wù)用戶為中心�����,具體場景具體處理�,多問用戶是否愿意授權(quán)數(shù)據(jù)采集�����;數(shù)據(jù)是否被過度采集,為企業(yè)自身利益而為之���;要給到用戶合理的���、足夠的權(quán)限,能夠決定自己數(shù)據(jù)的去向����。
張楠則建議,務(wù)必落實網(wǎng)絡(luò)安全等制度��,開展汽車數(shù)據(jù)相關(guān)關(guān)鍵信息系統(tǒng)風(fēng)險評估工作和報告制度����,建立汽車數(shù)據(jù)投訴舉報系統(tǒng)并及時響應(yīng)和處理用戶投訴、審核刪除用戶要求刪除的數(shù)據(jù)�����;做好汽車產(chǎn)品規(guī)劃�,篩查采集用戶數(shù)量的類型�,非必要不采集、默認不采集��。
加大信息安全技術(shù)研發(fā)投入,加快匿名化��、去標(biāo)識化�、輪廓化等關(guān)鍵脫敏技術(shù)的研發(fā)落地工作;針對未上市的車型���,建議通過產(chǎn)品手冊���、車機系統(tǒng)、車主App等途徑履行告知義務(wù)�����,發(fā)布告知內(nèi)容����,征得用戶同意,通過車機大屏����、車主App等方式提供數(shù)據(jù)終止采集、期限設(shè)定的渠道���。
針對已上市車型確已采集個人信息的�,需對該款車型進行合規(guī)性整改,加裝交互設(shè)備�����、開發(fā)交互系統(tǒng)等方式滿足《規(guī)定》要求����;建立端內(nèi)數(shù)據(jù)存儲機制;評估出境數(shù)據(jù)的必要性��,數(shù)據(jù)非必要不出境�����,必須出境的�,應(yīng)盡早聯(lián)系國家網(wǎng)信部門進行安全評估,取得出境許可���。(記者 郝文麗)
轉(zhuǎn)自:中國汽車報
【版權(quán)及免責(zé)聲明】凡本網(wǎng)所屬版權(quán)作品�,轉(zhuǎn)載時須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)”���,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力�����。凡轉(zhuǎn)載文章及企業(yè)宣傳資訊����,僅代表作者個人觀點���,不代表本網(wǎng)觀點和立場����。版權(quán)事宜請聯(lián)系:010-65363056����。
延伸閱讀
