2021年10月,我国首个汽车数据安全技术文件《汽车采集数据处理安全指南》(以下简称《指南》)正式发布。《指南》通过技术文件建议的方式明确了境内汽车重要及敏感数据的采集、传输、存储和出境要求,将对汽车制造商实施数据安全保护产生广泛影响。《指南》是对2021年9月试行的《汽车数据安全管理若干规定(试行)》(以下简称《若干规定》)的细化与延伸,将为汽车数据安全处理活动提供了更具实践指导意义的参考,为汽车制造商面对日益严峻的数据安全问题提供了细化可执行的解决方案,同时在智能网联汽车的数据安全利用方面提出了新的探索方向。
一方面是汽车行业技术快速变革,大量采集、存储、传输海量数据,如车内外的摄像头等,引起公众和业界广泛担忧。本次发布的《指南》进一步细化落实数据安全法律法规、从源头上防范重大数据安全事件发生。《指南》基于最小化使用原则对汽车全流程数据活动提出具体要求,明确了车外数据、座舱数据的传输边界、车外数据、位置轨迹数据的存储时间以及数据跨境边界,细化了重要数据和个人敏感信息范围,明确了对用户披露汽车采集数据向车外传输的完整情况的要求。《指南》细化《若干规定》,是对《数据安全法》在汽车领域的有效落实,能够帮助数据处理者有效防范国家重要及敏感数据跨境泄露风险。
另一方面是基于我国现阶段各汽车行业网络安全发展现状,提出要规范企业数据安全管理、从根本上提升行业数据安全保护水平。《指南》填补了汽车行业落实数据安全法律法规的技术依据空白,规范了汽车制造商数据安全管理行为,进一步压实了数据安全主体责任,明确了汽车制造商应对整车的数据安全负责,《指南》提出的内容具备较好的可操作性,能够帮助汽车制造商提升数据安全保护水平,有利于汽车生态健康有序发展。
第三是从国家监管角度,明确建立监管部门监管渠道、从手段上实现数据安全管控有的放矢。《指南》的发布也对国家安全监管部门履行数据安全监管职能提供了有效参考。根据指南内容开展数据活动,尤其是明确了汽车制造商应为主管监管部门开展数据出境情况的抽查工作提供技术手段,将对促进数据安全监管提供有效的方向与渠道。《指南》明确了汽车采集数据能不能出境,怎么出境,为企业提出了可操作可落地的具体要求。
《指南》也是对《个人信息保护法》在汽车领域的有效落实,其综合考虑了车企和车主对于数据的使用需求,在智能化技术发展需求和网络安全要求寻求平衡,相信随着《指南》的进一步推进和实践验证,会逐渐突显它的效果,不仅有效的保护了车主隐私、规避了敏感个人信息被泄露的风险,还有效的保护了车企、规避了网络攻击带来的负面风险,最终为国家数据安全做出贡献。
作者:王晖 国家计算机网络应急技术处理协调中心