PREFACE前言随着现代信息技术的不断发展,汽车行业已经进入新能源数字化时代,汽车逐步向智能化、网联化深入发展。车联网是“互联网+”时代网络空间的延伸,是车辆之间以及与基础设施、行人和网络组成的车际网。车联网的发展将实现人、车、路、云之间数据互通,并服务于智能交互、自动驾驶、智慧交通等各种场景。
然而,智能汽车在车联网中扮演的角色将不仅仅是一般意义上的交通工具,为实现更多的功能与场景,智能汽车正在成为深度收集、处理、传输和使用大量包含个人信息、汽车运行数据和环境数据的可移动、可交互的汽车数据枢纽。汽车数据是车联网运行的关键,其中包含的大量重要数据将涉及到个人、车辆、企业以及国家的安全。
如何保障汽车数据安全,并在合规前提下,促进汽车数据的充分合理利用,逐渐成为关系到整个车联网产业健康良性发展的重要课题。目前,我国已经制定并开始实施《网络安全法》《数据安全法》《个人信息保护法》等数据保护领域的重要法律。
在车联网领域,相关部门也在不断加强监管和保护,并陆续出台了《汽车数据安全管理若干规定(试行)》《关于加强智能网联汽车生产企业及产品准入管理的意见》等重要行业规定和意见,对车联网产业提出了全方位的数据保护要求。
基于此,毕马威中国与观韬中茂律师事务所联合发布《车联网数据安全监管制度研究报告》。本报告对当前车联网领域涉及的汽车数据类型、数据安全的监管现状、行业监管重点等问题进行梳理和分析,并提出监管建议,希望能为社会各界提供借鉴和参考。
国内近几年开始重视车联网的数据安全问题,在以政府引导、产业联盟推动、标准委员会执行的模式下积极开展汽车信息安全、数据安全系列的标准制定工作。在政策法规方面,我国《数据安全法》《网络安全法》 《个人信息保护法》对数据安全、网络安全、个人信息保护等问题作出了规定。
行业数据安全相关法规和指导文件也在逐步落地,具体包括《汽车数据安全管理若干规定(试行)》《关于加强智能网联汽车生产企业及产品准入管理的意见》《关于加强车联网网络安全和数据安全工作的通知》等。在规范标准方面,国内也在积极跟踪和布局,在智能网联汽车数据应用与保护方面,目前已发布了《车联网信息服务 用户个人信息保护要求》《汽车采集数据处理安全指南》《国家车联网产业标准体系建设指南(智能网联汽车)》《 国家车联网产业标准体系建设指南(总体要求)》等。
二、 车联网数据安全的制度保障 (一)车联网数据安全国内制度概览其他与数据相关的分类分级要求、安全防护技术细则、安全责任划分、授权与使用等一系列标准规范仍待研究制定。1. 行业数据安全相关法规《汽车数据安全管理若干规定(试行)》范的据数集搜车汽能智对)”》定规《“称下(》)行试(定规干若理管全安据数车汽《的施实日1月01年1202围和边界做出了规定,明确了“汽车数据” “汽车数据处理者” “个人信息” “敏感个人信息” “重要数据”和涉及汽车数据安全相关行为的范围定义。
其中,“汽车数据”包括汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据。“汽车数据处理者”包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等开展汽车数据处理活动的组织。“
敏感个人信息”是指一旦泄露或者非法使用,可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的个人信息,包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息”。《规定》重申的重要数据的概念,即“一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益的数据”。
图1 车联网数据安全制度框架图解·《个人信息保护法》·《数据安全法》·《网络安全法》· 其他一般性法律(如《民法典》《测绘法》《保密法》)·《国家车联网产业标准体系建设指南(智能网联汽车)》·《国家车联网产业标准体系建设指南(总体要求)》·《汽车采集数据处理安全指南》等·《智能网联汽车数据安全共享模型与规范(征求意见稿)》·《车联网信息服务 用户个人信息保护要求》·《机动车保险车联网数据采集规范》等·《汽车数据安全管理若干规定(试行)》·《关于加强智能网联汽车生产企业及产品准入管理的意见》·《关于加强车联网网络安全和数据安全工作的通知》· 其他一般性法规、规章、文件,如: 《网络安全审查办法》
《网络数据安全管理条例(征求意见稿)》法律法规规章指导性文件国家规范标准行业标准车联网数据安全制度框架1.0203重要数据包括:① 军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据;② 车辆流量、物流等反映经济运行情况的数据;③ 汽车充电网的运行数据;④ 包含人脸信息、车牌信息等的车外视频、图像数据;⑤ 涉及个人信息主体超过10万人的个人信息;⑥ 国家网信部门和国务院发展改革、工业和信息化、公 安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。
图2 《汽车数据安全管理若干规定(试行)》“汽车数据”图解《规定》还提出汽车数据处理者处理个人信息和重要数据的四大原则,并强调汽车数据处理者处理个人信息和处理敏感个人信息时的义务以及个人查询、删除个人信息的权利。此外,在数据出境方面,还明确规定了个人信息或者重要数据不出境的原则,以及出境时需要通过网信部门组织的安全评估。《关于加强智能网联汽车生产企业及产品准入管理的意见》2021年8月12日,工业和信息化部发布了《关于加强智能网联汽车生产企业及产品准入管理的意见》(以预和全安能功、级升件软、全安络网、全安据数车汽强加在旨》见意理管业企《。)”》见意理管业企《“称下期功能安全管理,保证产品质量和生产一致性,推动智能网联汽车产业高质量发展。汽车生产企业应当建立健全汽车数据安全管理制度,实施数据分类分级管理,需要向境外提供数据的,应当通过数据出境安全评估,强化数据安全管理能力和网络安全保障能力,加强自动驾驶功能产品安全管理。
《关于加强车联网网络安全和数据安全工作的通知》安《“称下(》知通的作工全安据数和全安络网网联车强加于关《了布发部化息信和业工,日61月9年1202全工作通知》”)。《安全工作通知》要求汽车企业建立网络安全和数据安全管理制度,明确负责人和管理机构,落实网络安全和数据安全保护责任;要求汽车企业加强整车网络安全架构设计,落实安全漏洞管理责任,加强车联网服务平台安全防护,加强数据安全保护,健全安全标准体系。
