浅析车联网与网络数据安全合规

1. 数据分类分级

同征求意见稿相比, 《指南》除将《网络安全法》作为上位法依据外, 还强调《数据安全法》在车联网网络数据安全体系建设中的重要作用。数据安全具体包括通用要求、分类分级、出境安全、个人信息保护以及应用数据安全等五类标准, 对解决车联网数据安全建设中的突出问题予以指导, 而数据分类分级则是其中的重中之重。

车联网数据分类分级是划分数据安全保护要求、整合车联网企业数据安全管理资源的重要依据。工信部于2020年发布的通信行业标准《车联网信息服务 数据安全技术要求》(YD/T 3751-2020)是《指南》要求的车辆网数据分类分级标准之一, YD/T 3751-2020对车联网信息服务相关数据实施六类三级管理, 即将数据分为基础属性数据、车辆工况数据、环境感知数据、车控类数据、应用服务类数据与用户个人信息六类;  并将各类数据按照数据敏感性进一步分为一般数据、重要数据和敏感数据: 

YD/T 3751-2020规范除个人信息外的所有车联网信息服务过程中的数据, 车联网服务过程中的个人信息保护要求则由《车联网信息服务 用户个人信息保护要求》(YD/T3746-2020)规制, 该标准与YD/T 3751-2020同时颁布, 也是《指南》要求的个人信息保护标准之一。YD/T3746-2020将个人信息分为个人一般信息、个人重要信息和个人敏感信息, 其中个人重要信息类型的占比最大。YD/T3746-2020对不同类别个人信息保护标准提出要求, 包括访问控制权限、安全管理措施等, 同时保证了个人信息的可用性和安全性。个人信息分类示例如下所示: 

有效的数据分类分级也是实现汽车数据跨境流通安全的基础, 在日常管理过程中, 数据跨境传输是车联网企业, 特别是跨国车联网企业无法回避的问题, 尤其是重要数据和敏感数据还面临更加严格的监管要求。2021年底, 我国北京、上海、天津、河北、广东等多地车企已经按照《汽车数据安全管理若干规定(试行)》的要求向网信部门提交重要数据处理年度报告, 对处理重要数据的基本情况进行说明, 其中向境外传输重要数据的企业, 还需要进一步报告数据的种类、数量、保存情况、客诉处理、境外接收方信息等。为落实数据出境合规要求, 企业必须进行车联网数据分类分级, 并以此为基础开展高效的数据治理活动。

2. 识别风险源并正确抵御风险

根据中国信通院2021年12月发布的《车联网白皮书》, [1]车企视角下的网络安全风险主要来自车机自身网络安全、汽车通信安全、车联网服务平台安全三方面, 企业应当正确识别风险源, 并结合《指南》要求及时采取有效防御措施。结合《指南》规定的标准体系, 我们整理了车企视角下的风险类别、风险描述以及抵御措施: 

1. 加强数据跨境传输监管

汽车行业的数据出境问题一直是监管机关关注的重点。由于车联网企业收集的数据类别复杂、数量庞大, 其中还涉及精准位置信息、行踪轨迹、身份信息、生物识别信息等重要数据或敏感个人信息, 一旦跨境传输过程中出现数据泄露、篡改, 可能对我国国家安全、企业安全以及个人信息主体权益产生重大影响。同时, 境外数据监管要求、数据处理者的数据安全保障能力各不相同, 企业应当规范与境外接收方的数据处理关系, 并对境外接收方处理数据的行为进行监督。对跨国车联网企业而言, 数据处理活动除了满足中国法的要求外, 可能还需搭建多个法域的数据合规体系。

根据《数据出境安全评估办法(征求意见稿)》, 数据处理者向境外提供数据前, 应当进行自评估; 如果出境数据中包括重要数据, 或者出境数据的数量达到一定范围和条件, 或者数据出境主体满足特定要求, 则需要向网信部门申请安全评估。《指南》规定的数据出境安全标准就包括数据安全评估规范, 在汽车数据安全评估方面, 企业可能既需要进行自评估, 同时还需完成监管部门的外部评估要求, 并根据数据安全风险等级及时调整管理和安全措施。

当然, 车联网数据跨境传输监管并不意味着禁止数据流通。2020年12月, 《中国(上海)自由贸易试验区临港新片区智能网联汽车产业专项规划(2020-2025)》发布, 该计划对智能网联汽车技术数据的国际跨境流通进行规定, 要求交通场景库信息、自动驾驶算法输出、自动驾驶测试数据、车载软件OTA升级信息和远程故障分析等信息可实现在监管条件下的跨境传输。在车联网数据跨境传输方面, 不排除未来成立专门的数据跨境监管机构或职能部门, 规范车联网数据在符合监管条件的情况下向境外传输。

2. 安全技术措施与漏洞管理监管

如前所述, 车联网企业采集数据庞杂, 应当在建立数据分类分级的基础上落实合规要求。根据《指南》, 车联网服务的参与企业既需要注意终端、基础设施等设备与平台安全, 也应保证网联通信等环节与流程安全, 因此, 车联网服务相关企业应当在数据采集、传输、共享、存储等各个环节落实安全技术要求, 特别是对于车联网服务过程中的特殊性问题, 如网联通信安全等, 应当利用身份认证、安全防护等多种技术手段保证数据安全。

2021年9月, 《网络产品安全漏洞管理规定》和《关于加强车联网网络安全和数据安全工作的通知》生效, 两部规定对车联网网络安全与数据安全提出要求。特别是在漏洞管理方面, 根据两部规定的相关要求, 车联网企业应当落实日志留存义务, 如留存网络产品安全漏洞信息接收日志不少于6个月, 同时明确本企业漏洞发现、验证、分析、修补、报告等工作程序, 在发现漏洞后采取补救措施并按规定进行上报。

1. 《指南》发布后, 车联网企业应当密切关注相关标准的制定与发布, 并按照标准的具体内容在企业内落地合规要求。

2. 车联网服务相关企业应当在企业内部建立数据治理标准与流程, 包括数据分类分级制度、数据访问控制制度、漏洞管理制度、安全审计标准以及整改制度。

3. 车联网服务企业涉及汽车生产企业、服务平台运营企业等多种类型主体, 除了应当符合安全管理制度、数据采集与传输合规等共性要求外, 还应当注重法律法规或标准对企业的特殊要求, 如车联网汽车生产企业应当加强整车网络安全架构设计; 车联网平台运营企业则需要建立车联网应用程序开发、上线、使用、升级等安全管理制度等。

注: 本篇文章首次发表于律商网。

作者:

长按下图识别二维码关注我们

© 通力律师事务所

本微信所刊登的文章仅代表作者本人观点, 不代表通力律师事务所的法律意见或建议。我们明示不对任何依赖该等文章的任何内容而采取或不采取行动所导致的后果承担责任。如需转载或引用该等文章的任何内容, 请注明出处。

点击“阅读原文”，直达通力官网了解更多资讯！