隨著新興科技、數字經濟的高速發展，智能網聯汽車已超越傳統，成為全球汽車產業發展戰略方向和制高點。智能化、網聯化帶來前所未有的便利與美好體驗的同時，也帶來了數據安全、網絡安全等隱患，助推汽車行業進入強監管時代。

 

2021年8月12日，工信部發布《關于加強智能網聯汽車生產企業及產品準入管理的意見》，旨在從最根本的「準入」環節下手，強化汽車數據安全、網絡安全、軟件在線升級、駕駛輔助功能等管理。

 

不符合要求的，將可能失去汽車生產資質。

 

為此，工信部裝備工業發展中心于2021年9月13日發出《關于開展汽車數據安全、網絡安全等自查工作的通知》（簡稱“通知”），要求整車生產企業（簡稱“車企”）限時自查。

 

本文借自查，看汽車行業監管重點，擬從數據安全的角度，分析監管要求、提供合規建議，供車企參考借鑒。

 

根據《通知》，本次自查，針對汽車數據安全，主要圍繞以下幾個方面進行：

 

1. 自查范圍

 

獲得道路機動車輛生產企業準入許可的汽車整車生產企業。

 

2. 自查內容

 

①汽車數據處理活動：

 

「數據」指車企在汽車設計、生產、銷售、使用、運維等全鏈條中，處理的個人信息數據、重要數據。「數據處理」，包含數據的收集、存儲、使用、加工、傳輸、提供、公開等情況。

 

②數據安全管理制度體系：

 

針對數據安全，有無依法建立全流程的管理制度。

 

③責任部門及人員配置：

 

車企有無設置專門的部門、人員，負責數據安全工作。

 

④數據資產管理臺賬、分類分級管理：

 

車企是否根據數據的內容、重要程度、出現泄漏等安全事件時的影響程度等，對數據歸類、定級，分級保護。

 

⑤數據安全保護技術措施：

 

車企有效保護、合法利用數據的技術措施，如匿名化、去標識化、加密、完整性保護等。

 

⑥數據安全事件報告機制：

 

對數據安全事件的風險識別、應急預案、解決機制等。

 

⑦數據安全風險評估：

 

車企在處理重要數據時，是否開展數據安全影響評估（DPIA），對可能存在的風險及影響進行監測，并做好相應處理。

 

⑧數據收集、存儲：

 

車企是否在境內收集、產生個人信息和重要數據，收集了哪些數據，是否存儲在境內，存儲的技術保護措施等。

 

⑨數據跨境：

 

車企是否將個人信息和重要數據內容跨境傳輸，如有，需說明最近一次出境時間、出境頻率、出境是否開展過安全評估等情況。

 

自查內容，透露監管重點，下文將從「安全管理制度、分類分級保護、技術措施、報告機制、安全風險評估、境內存儲與跨境傳輸」6個監管重點，根據監管概況，提出相關建議

 

重點1：數據安全管理制度

 

數據安全管理制度體系，是車企運營過程中，落實數據安全合規、處理合規的理論保障及實踐標準，《數據安全法》、《網絡安全法》、《個人信息保護法》、《汽車數據安全管理若干規定（試行）》均有相關規定，要求車企建立全流程數據安全管理制度。

 

建立全面、有效的制度體系，車企應結合自身業務與監管要求，可從「管理、人員、運營、持續合規」，4大體系，分類制定：

 

①管理體系：

 

建立《數據內部管理制度》、《數據分類分級管理制度》、《審批和訪問權限制度》等，從戰略層面，自上而下對企業數據安全管理進行方向性、統領性、原則性把控，為各項具體制度的設定，確立整體框架及宏觀標準。

 

②人員體系：

 

建立《數據從業人員定期培訓制度》、《重要數據安全負責人與管理機構制度》等，明確人員架構及層級、落實責任主體，保障人員專業性。

 

③運營體系：

 

針對數據處理全流程（收集、存儲、使用、加工、傳輸、提供、公開、刪除等）設置相應制度，如《數據處理事先風險評估制度》等，以確保各項業務在各數據處理環節中，保持安全、合規狀態。

 

同時，車企應特別注意，在對外合作中，應將數據合規要求及措施，通過商業協議等方式，推及各合作方，形成安全閉環。

 

④持續安全合規：

 

可建立《數據安全應急預案制度》、《定期風險評估制度》等，同時，應設置與監管部門暢通的溝通機制，及時備案、報告，保障數據合規的長效化。

 

重點2：數據分類分級保護

 

智能網聯汽車時代，數據是汽車的「燃料」，而汽車已成為數據的「生產線」。

 

據不完全統計，每輛車每天產生的數據達50G-250G。然而，面對海量數據，很多車企不分類、不分級、不區分保護等級，造成使用混亂、安全隱患潛藏。

 

2021年，《數據安全法》從國家層面確立了數據分類分級保護制度，但具體標準未明確，只有較少非強制性規范，其中：

 

①國家數據安全管理層面：

 

2021年12月，《TC260-PG-20212A 網絡安全標準實踐指南-網絡數據分類分級指引》公布，明確了數據分類分級「五原則」（合法合規、分類多維、分級明確、就高從嚴、動態調整），并根據數據主體、影響程度，將數據分「五類三級」：

 

五類：公民個人維度、公共管理維度、信息傳播維度、行業領域維度、組織運營維度

 

三級：核心數據、重要數據及一般數據（一般數據從高到低分為4 級、3級、2級、1級共四個級別）

 

②智能網聯汽車領域：

 

車企可參考2021年7月19日發布的團體標準《智能網聯汽車數據共享安全要求》（T/TIAA 101-2021），該要求由國家工業信息安全發展研究中心參與、二十余家機構共同編制，針對智能網聯汽車數據分類、分級，明確了數據安全等級。包括：

 

分類：根據數據來源，分為「車廠數據」、「第三方數據」；同時，根據數據的作用場景、影響范圍、關聯性等因素，將數據進一步細分：

 

分級：根據數據影響程度、應用場景，將數據安全等級分為「完全公開、慎重公開、一般、敏感、秘密」五級。

 

以上規范，車企可結合公司實際情況，參考使用。

 

整體而言，數據分類分級，是車企「基本功」，是風險識別的基礎，貫穿汽車設計、生產、銷售、使用、運維等全過程，及數據處理的全生命周期。

 

強監管下，車企應建立健全日常數據資產臺賬，對不同類型、等級的數據，分別存儲、分級保護、差異性管理，既要把控風險，又避免過度限制，保障數據依法有序自由流動。

 

重點3：數據安全保護技術措施

 

數據安全，需技術作支撐。在汽車數據收集到銷毀的全生命周期中，重要數據、個人信息均存在被泄露、毀損、丟失、篡改、誤用、濫用等風險，輕則關系個人權益，重則牽涉國家安全。

 

車企除制定有效管理制度外，更需在技術層面，加強安全保障水平及力度。

 

根據《汽車數據安全管理若干規定（試行）》對規定，脫敏處理是汽車數據處理原則之一，車企應盡可能進行匿名化、去標識化等處理。

 

同時，根據所處理的數據敏感程度不同，應采取不同的技術手段對數據進行分類存儲、加密傳輸等，確保數據處于有效保護、合法利用狀態。

 

重點4：數據安全事件報告機制

 

縱觀全球，數據泄漏等重大事件頻發，不少企業被處億級罰金。

 

如2018年英國航空公司數據泄露事件被罰約 2.04 億歐元（約14.6億人民幣）、萬豪集團數據泄露事件被罰1.1億歐元（約7.9億人民幣）。

 

我國《數據安全法》規定，開展數據處理活動應當加強風險監測，發現數據安全缺陷、漏洞等風險時，應當立即采取補救措施；發生數據安全事件時，應當立即采取處置措施，按照規定及時告知用戶并向有關主管部門報告。

 

數據安全應急預案，車企應「技術」與「制度」兩手抓。

 

①制度層面

 

明確安全事件處理方案、報告機制、人員設置等，同時，加強應急響應培訓和演練，定期落實風險監測及識別機制，強化數據安全監測預警和應急處置能力建設。

 

②技術層面

 

提升數據異常流動分析、違規跨境傳輸監測、安全事件追蹤溯源等技術水平，將風險和損失及時控制在最小限度內。

 

重點5：重要數據安全風險評估

 

《汽車數據安全管理若干規定（試行）》，明確車企開展重要數據處理活動，應當進行風險評估，并向監管部門報送風險評估報告。

 

《規定》對「重大數據」及「處理活動」的定義，以及風險報告需載明的內容，均有明確規定，但對于風險評估方式、評估內容，現行監管制度中，暫無定性定量的評估標準。

 

實踐中，建議車企結合企業實際情況，從重要數據的種類、數量、范圍、保存地點與期限、使用方式、開展數據處理活動情況、是否向第三方提供、面臨的數據安全風險及其應對措施等方面，進行逐項評估，以確保重大數據處理活動在安全、合規的前提下進行。

 

重點6：境內儲存與跨境傳輸

 

關于數據存儲，《個人信息保護法》、《汽車數據安全管理若干規定（試行）》等，均要求重要數據、個人信息數據，原則依法應當我國在境內儲存。對于數據出境，采取審慎態度。

 

個人信息出境，《個人信息保護法》規定，在因業務等需要的前提下，具備「國家網信部門組織的安全評估」、「經專業機構進行個人信息保護認證」、「按照標準合同與境外接收方訂立合同」等條件之一，并取得個人的單獨同意，可以將個人信息進行跨境傳輸。

 

重要數據出境，《汽車數據安全管理若干規定（試行）》規定，若因業務需要，確需向境外提供的，須經監管部門出境安全評估，可以出境，但不得超出出境安全評估時明確的目的、范圍、方式和數據種類、規模等。

 

2021年7月2日，網絡安全審查辦公室對「滴滴出行」實施網絡安全審查（主要問題為重要數據出境），審查期間「滴滴出行」從各大App應用商場下架，并停止新用戶注冊。

 

雖然滴滴并非本文所稱的汽車整車生產企業，但滴滴收集的個人數據、重要數據與整車生產企業的數據大同小異，滴滴事件值得廣大車企引以為鑒。

 

2021年10月11日，安標委發布《汽車采集數據處理安全指南》（簡稱指南），進一步縮緊汽車數據出境的口子，明確「汽車采集數據」中的「車外數據」、「座艙數據」、「位置軌跡數據」不可出境，而該等數據包含部分個人信息、敏感個人信息、重要數據。

 

該指南在上位法的大框架下，從汽車行業發展實際出發，切中數據安全弊病，提出更為嚴格、明確等要求。足以體現監管對數據出境的重視與謹慎，車企在涉及數據出境時，建議嚴格遵照執行。

 

汽車產業在數字經濟時代的大背景下轉型升級，數據價值與數據安全，是監管天平的兩端，持續強監管已成必然。

 

在智能網聯汽車的賽道上，誰把握了數據合規，誰就占據了領跑前線。保持數據在安全、合規的狀態下依法有效利用，是車企長效發展的保障，也是核心競爭力。