作者:张勇
摘要
传统汽车行业在数字经济时代快速发展,但数据安全风险也随着而来。本文从数据使用与安全的平衡、数据安全合规要求、基于全生命周期的数据安全技术保障、强化汽车数据安全管理等方面阐述对汽车数据安全的认识与思考。
1 引言
随着新技术赋能,一方面,机械化汽车已经变得更加智能和网络化,智能网联汽车和外界交互也愈加频繁,传输的数据也更加多样化,并已成为信息社会的数据生产和传输重要终端。另一方面,数据安全风险也向智能网联汽车领域蔓延,一旦被非法获取、非法利用将直接威胁国家安全、公共安全、个人权益。
2 平衡数据使用与安全
2.1 数字经济时代需鼓励汽车合规使用
随着人工智能、物联网等新技术广泛运用,经济社会的发展更加以数据的形式驱动, 数据处理更加频繁,数据传输种类更加丰富。数据安全与发展的动态平衡已成为数字经济领域各类新业态、新产业、新模式创新发展的关键。智能网联汽车从在发展过程中,从最开始的辅助驾驶逐渐演变到自动驾驶,为了应对复杂多样的路况和行车场景,数据的收集与分析使用将是智能网联汽车发展过程中必不可少的动力源泉,也是一个汽车品牌能否提升核心竞争力并立足市场的关键因素。因此,汽车产业需要鼓励汽车数据开发利用,鼓励数字创新应用发展,绝不能单纯为了保障数据安全遏制数据合法合规合理的收集与使用,需要在两者之间至少取得相对平衡。
2.2 区分车内与车外交互数据
《汽车数据安全管理规定(试行)》第六条明确指出,“国家鼓励汽车数据依法合理有效利用,倡导汽车数据处理者在开展汽车数据处理活动中坚持车内收集原则,除非确有必要不向车外提供”。上述内容为平衡数据使用安全指明了方向。汽车一方面属于个人私有物品,必然会收集大量个人敏感信息,为降低数据泄露风险,需要在车内存储和处理;另一方面,汽车安全驾驶功能的实现需要采集大量的路况、位置和地理数据,其中必然涉及敏感数据,如果这些敏感数据仅在车内存储和处理, 数据安全风险相对可控。
针对车内数据,数据安全的重点在于车主身份鉴别、数据采集的充分告知、授权同意以及合规采集;对于车外数据,数据安全的重点在于数据传输和存储、数据合规分析、使用以及共享、数据审计等方面。
3 智能网联汽车数据安全合规要求
近年来,我国在大力发展车联网同时, 始终强调数据安全的重要性,提出了一系列数据安全合规要求,具体如下:
2017 年 6 月 1 日正式实施的《中华人民共和国网络安全法》明确规定我国实行网络安全等级保护制度,防止网络数据泄露或者被窃取、篡改。
工业和信息化部于 2021 年 7 月 30 日发布《关于加强智能网联汽车生产企业及产品准入管理的意见》,《意见》明确指出要强化数据安全管理和加强网络安全保障。针对数据安全管理,车企需建立相关数据安全管理制度,履行数据安全保护义务,建立数据资产台账,实施数据分类分级管理,加强数据安全防护。《意见》还从具体技术层面, 对车企确保数据安全提出了一系列要求,尤其是开展数据安全风险评估、重要数据和个人信息原则上在境内存储;针对网络安全保障,《意见》明确指出,车企要建立网络安全管理制度,做好网络安全等级保护和车联网卡实名认证工作,具备汽车网络安全风险监测和处置能力。
国家互联网信息办公室于 2021 年 8 月 16 日发布《汽车数据安全管理若干规定(试行)》, 该规定对在我国境内开展数据处理活动的汽车厂家处理个人信息和重要数据提出了一系列有关规定。
2021 年 8 月 20 日,《中华人民共和国个人信息保护法》发布,并于同年 11 月 1 日正式施行。该法律明确了个人信息处理规则、个人信息跨境提供规则、个人信息处理者义务。 2021 年 9 月 1 日施行的《中华人民共和国数据安全法》对数据安全制度和数据安全保护义务做了明确规定,具体条款为第 21 条至第 36 条。
2020 年 2 月 10 日,中央网信办、国家发改委等 11 个国家部委联合发布“关于印发《智能汽车创新发展战略》的通知”,该“通知”特别强调加强数据安全监管,具体包括:建立汽车数据全生命周期安全管理机制,对汽车数据进行分类分级管理,完善数据安全管理制度,开展数据安全、数据出境安全评估。除法律、部门规章外,国家标准《信息安全技术汽车采集数据的安全要求》(征求意见稿),通信行业标准 YD/T3751-2020《车联网信息服务数据安全服务要求》、YD/ T3746-2020《车联网信息服务用户个人信息保护要求》等对智能网联汽车数据安全和个人信息保护提出了具体要求。上述法律、部门规章、标准为我国车企有效开展数据安全管理提供方向指引。
4 基于全生命周期保障数据安全
伴随着 5G、人工智能、区块链等新技术赋能,汽车智能化带来便利的同时也极易引起数据安全问题。由于汽车上安装了大量的传感器,汽车收集的数据规模和种类持续上升,在数据驱动的数字经济时代,一旦数据遭受破坏或泄露,导致被非法获取或利用,将会给公共安全、个人权益,甚至国家安全产生威胁。因此,需要基于数据生命周期理念保障数据安全。
《信息安全技术数据安全能力成熟度模型》(GB/T37988-2019)从数据安全过程维度将数据安全分为 6 个阶段,分别是:数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全等方面,该标准为规范汽车厂商数据处理活动提供了重要依据和参考。
4.1 数据采集安全
汽车高度依赖传感器进行数据采集,同时也通过网络获得来自车企服务平台或其它设备的交互数据。对于汽车数据采集安全需要做到:一是数据分类分级,可分为车内数据和车外数据两类,针对上述两类数据,可分为一般数据、重要数据;二是针对不同类别和级别的数据采取不同程度的安全防护措施;三是基于知情同意和充分授权原则进行数据采集;四是按照合法、正当、必要原则采集数据,不得超过业务功能范围采集数据; 五是鉴别采集数据的完整性、准确性,保证数据质量。
从上看出,数据分类分级是最基础也是最重要的工作,在确保数据准确基础上,建议车企结合自身管理实际,对采集的数据进行认真梳理,对汽车数据进行归类,统筹考虑安全与业务发展,对归类的数据采取不同强度的安全保障措施。
4.2 数据传输安全
汽车传输数据主要是针对车外交互数据, 这里存在很多潜在的安全风险,例如车内WiFi、蓝牙和移动通信网络,需防止数据遭嗅探、篡改和其它攻击。对于汽车数据传输安全需要做到:一是传输前对车外交互数据进行匿名化、去标识化和脱敏处理;二是传输过程中对车外交互数据进行加密,防止数据劫持和恶意汽车控制;三是车与人、路、车、云的无线通信安全防护机制;四是禁止汽车安装卫星通信部件,与境外服务器通信。
从上看出,汽车传输安全主要聚焦在车外数据传输,建议车企原则上非必要不向车外传输数据,如需向车外传输数据,按照“最小必要”原则,在不同场景下,对传输的数据类型和频次进行限制。
4.3 数据存储安全
汽车数据存储安全需关注车内数据存储安全和车外交互数据在车企管理平台存储安全。针对车内数据,应对数据访问者采取身份鉴别和访问控制措施,防止未经授权访问,且数据存储时间满足业务场景需要的最短时间即可,没必要长期保存。对于存储在车企信息管理平台的车外交互数据,汽车厂商需要严格按照《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》《汽车数据安全管理规定(试行)》要求,履行网络安全主体责任,保障车企信息管理平台网络安全和数据安全。
从上看出,数据存储安全风险主要聚焦在数据访问主体身份认证、数据存储时间范围、数据加密存储等方面,建议车企可考虑基于指纹识别的方式验证数据访问主体身份,按照“最小必要”原则限制数据存储时间,统筹考虑安全与功能需要对存储数据进行加密。
4.4 数据处理安全
汽车数据处理包括数据加工、使用和分析,极易导致数据滥用和泄露风险,依据《信息安全技术数据安全能力成熟度模型》,汽车处理安全需要做到:一是针对敏感数据要进行脱敏处理,平衡数据可用性和安全性; 二是数据分析过程采取适当安全措施,降低有价值的个人信息泄露风险;三是严格按照国家法律、行政法规和部门规章要求正当使用数据,并建立相关责任机制。
从上看出,数据处理安全需要考虑的主要风险隐私是数据滥用和泄露。建议车企对汽车数据开展汇总分析,原则上不对个人行为数据进行分析。
4.5 数据交换安全
建议汽车厂商按照“非必要不对外交换” 原则严格控制数据交换。汽车数据交换安全需要做到:一是汽车厂商需建立规范化流程, 管理数据导入和导出,降低数据泄露风险;二是针对数据共享场景,需评估合作方数据安全保障能力,降低因数据共享使用带来的安全风险;三是建立数据接口安全管理机制, 防止合作厂商通过接口调用数据产生的安全风险;四是未经网信部门和行业主管部门许可,不可擅自向境外传输数据。
从上看出,建议车企在开展数据交换前, 需要对数据接收方的数据安全保障能力进行评估,还需要签订有关数据交换合同,明确双方责任范围。除此之外,未经国家监管部门允许,绝不允许向境外提供数据。
4.6 数据销毁安全
数据销毁安全主要体现在车内数据销毁和车外信息平台数据销毁。针对车内数据, 汽车需定期销毁存储数据或提供数据销毁功能,支持车主主动销毁数据。针对车外信息平台数据,应按照国家法律、行政法规、部门规章要求,结合自身实际,制定满足业务需求的数据保存期限,一旦超过该期限先对数据进行匿名化处理,然后自动或手动销毁数据。
从上看出,数据销毁安全作为数据安全全生命周期的最后环节,不可忽略,做好数据销毁,有助于降低数据泄露和滥用风险。
5 强化汽车数据安全管理
除了采用上述技术措施外,还应该从管理角度降低数据安全风险。
5.1 不得驶入敏感场所
参考智能手机不能带入涉密场所,应该严格限制汽车驶入场所,原则上应禁止智能网联汽车驶入党委机关、政府部门、军事管理区、国防科工单位、国家安全部门等敏感区域,可从源头上有效降低数据非法采集和泄露风险。
5.2 最小必要原则采集地理位置信息
精准的位置信息和周边环境信息是汽车自动驾驶的基础,这涉及到对周边道路信息和地理位置信息的测绘,更直接关系国家安全。汽车厂商在开展业务过程中,应严格按照国家测绘信息相关法律法规,禁止采集超出满足汽车自动驾驶功能的地理环境数据,不得超高频率采集地理环境数据,不允许在汽车未运行情况下采集地理环境数据,严禁汽车装配超高精度测绘零部件,对涉及国家安全的地理信息数据要强化监管力度。
5.3 管控数据处理安全风险
《汽车数据安全管理若干规定(试行)》第十条明确规定,“汽车数据处理者开展重要数据处理活动,应当按照规定开展风险评估,并向省、自治区、直辖市网信部门和有关部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量、范围、保存地点与期限、使用方式,开展数据处理活动情况以及是否向第三方提供,面临的数
据安全风险及其应对措施等。”上述条款对开展数据处理活动设置了底线。具体到汽车厂商而言,为最大限度提升数据使用效能, 需要对采集的数据进行利用,以满足科研与合作伙伴需要。在数据处理过程中,除汽车厂商外,还涉及到零部件供应商、应用软件供应商、网约车企业、保险公司和科研机构。为保障数据处理安全,上述相关方需要持续提升数据安全保障能力,才能有效管控数据处理过程中的安全风险。建议汽车厂商基于《信息安全技术数据安全能力成熟度模型》, 委托具有测评资质的第三方机构对汽车数据所涉及关联方开展数据安全测评,根据测评等级不同,获取相应级别汽车数据。
5.4 严格限制数据跨境传输
《汽车数据安全管理若干规定(试行)》第十一条明确规定:“重要数据应当依法在境内存储,因业务需要确需向境外提供的,应当通过国家网信部门会同国务院有关部门组织的安全评估。未列入重要数据的涉及个人信息数据的出境安全管理,适用法律、行政法规的有关规定。我国缔结或者参加的国际条约、协定有不同规定的,适用该国际条约、协定,但我国声明保留的条款除外”。按照上述要求,汽车数据原则上应不出境。凡是在我国境内销售的汽车品牌,无论是国内还是国外汽车厂商, 数据均在我国境内存储、分析和使用。如果汽车厂商有数据跨境传输需求,需对数据进行匿名化、去标识化和脱敏处理,以及通过国家网信部门会同相关部门组织的安全评估后,才允许向境外传输数据。
5.5 及时向网信部门报告年度数据安全管理情况
《汽车数据安全管理若干规定(试行)》第十三条已明确规定,汽车数据处理者应在每年十二月二十五日前向所在省级网信部门报送该年度数据安全管理情况,并规定了具体报送内容。在我国境内进行汽车销售的厂家(无论是国内还是国外厂家),均应严格执行该规定。
5.6 做好汽车数据分级分类管理
2021 年 12 月 31 日,全国信息安全标准委员会正式发布《网络安全标准实践指南—— 网络数据分类分级指引》(TC260-PG- 20212A),《指南》为贯彻落实《中华人民共和国数据安全法》中“国家建立数据分类分级保护制度”要求,给出了网络数据分类分级的原则、框架和方法,可用于指导汽车厂商开展数据分类分级工作。
结合具体汽车数据实际情况,根据《指南》数据分类流程,可考虑按照公民个人维度和行业领域维度对汽车数据进行分类,再根据对国家安全、公共利益、个人合法权益、组织合法权益等影响对象,和汽车数据非法获取、非法利用所造成的危害所造成的影响程度,对汽车数据进行分级。
5.7 开展网络安全等级保护测评
网络安全是数据安全的基础,离开网络安全,数据安全将无法“独善其身”。《中华人民共和国网络安全法》第二十一条明确规定,国家实行网络安全等级保护制度。《中华人民共和国数据安全法》第二十七条明确规定,通过互联网开展数据处理活动,应当在网络安全等级保护制度基础上,履行数据安全保护义务。
汽车厂商在开展数据处理过程中,应按照上述法律要求,向所在地公安部门申请信息系统等级认定,然后委托专业测评机构进行相应等级等级保护测评或建设,最后出具属地公安部门认可的网络安全等级保护测评报告。
5.8 强化企业员工全流程数据安全管理
汽车数据安全管理,除技术和管理制度外,人的因素是最重要的。加强人的管理至关重要。
汽车厂商在开展数据处理过程中,在员工入职时,需要签订保密协议或保密承诺书; 员工在岗时,要强化对员工的数据安全教育培训,还要制定具体的管理流程规范员工的数据操作行为,定期对员工数据操作行为进行审计;员工离岗时,需及时收回有关信息系统访问和数据处理权限,并及时移交有关材料。