Padresvater's Blog
Posts Categories Tags
Padresvater's Blog

Contents

汽车数据安全若干问题的合规实践

Padresvater  included in  category 网络安全
     284 words   2 minutes 

部分资料来源:数据安全推进计划

汽车数据安全若干问题合规实践指南

《规定》中明确,国家鼓励汽车数据依法合理有效利用,倡导数据处理者在开展汽车数据处理活动时坚持车内处理原则,除非确有必要,不向车外提供数据。

车内处理原则:
指基于汽车本身产生的数据,应在车内完成处理,除非确有必要,不应传输至车外设备系统或第三方。“通过网络向外传输”指通过移动通信网络、无线局域网、充电桩接口等方式将数据传输到车外。同时,为保证行车安全,已进行匿名化处理的视频、图像数据除外。

(注:是否等同于本地化处理有待行业实践观察)

①“哨兵模式”可通过车身装载的摄像头持续监控周围环境,当探测到可疑行为时, 车辆会自动根据威胁的严重程度做出反应。如果摄像头采集到的视频不是在车内处理,而 是通过APP推送等方式向车外传输,可能会威胁到车辆数据安全及车外行人的隐私安全。 ②V2X的实现依赖汽车和外界进行信息交换,在车路协同、智慧交通等应用过程中需 要落实车内处理原则。

汽车企业需要提高车内数据处理能力。为了实现数据安全合规,尽量在车端对数据进 行处理,通过改进算法、提升芯片性能等手段提高车端算力,为“车内处理”提供客观条件。 例如,传感器端可以将收集到的数据先进行预处理和优化,并提取出原始数据中的代表性 特征,再由车端计算平台将这些特征数据进行融合,并基于融合后的数据做识别判断以及 输出决策,这一方案能够有效缓解车端计算平台的负载;或者通过车、路、云三者的信息 交互,实现协同感知和协同计算,将云端对目标物的识别结果输出至车端,减少在车端的 识别和计算。

汽车企业需要在设计产品功能阶段以“车内处理”为原则。尽量降低向车外提供数据 的功能需求,对于属于未来技术发展趋势并涉及数据安全的功能,要提前识别和评估可能 与法规产生冲突的风险,从而实现数据安全保护和汽车技术发展的平衡。产品设计阶段制 定功能实现方案时,首先应识别数据流向,如存在向外传输的需求,应考虑是否有满足车 内处理原则的替代方案,合理设计电子电气架构及算力资源分配。

汽车企业应贯彻落实“默认不收集”原则。即在汽车场景下,除非驾驶人自主设定, 每次驾驶时默认设定为不收集状态。例如汽车企业收集座舱数据时,只有当驾驶人通过实 体按键或触摸按键等方式主动选择后才能开始收集。 汽车企业应对数据访问权限、数据存储安全等技术进行全面合规建设。例如: • 可建立数据访问权限的控制机制,进一步降低人为泄露汽车数据的风险; • 建立汽车企业制度规范,确立数据存储技术安全标准等; • 可结合自身情况,定期开展数据安全评估评测,并根据监管要求及时上报。

汽车企业需要梳理“确有必要向车外传输”的情形。汽车企业首先应遵循法律法规规 定的“车内处理”原则。根据法律法规和行业技术实践发展,在确需向车外传输数据的场 景下,梳理“确有必要向车外传输”的情形,如为保证车辆行驶安全的车辆报警信息和其 他充分必要性目的,具体可参考表1。汽车企业应根据行业技术发展实践,将不符合上述“确 有必要向车外传输”的数据做车端本地化存储、处理,如一般车内音视频数据、不影响行 车安全和道路安全的车辆信息以及车内人员生物识别信息等。

汽车企业需落实“向车外传输”信息的匿名化处理。具体措施包括对视频、图像中可 识别个人身份的人脸、车牌等信息进行擦除等,确保无法利用视频、图像数据识别个人身份, 从而确保“车内处理”原则实现保护个人信息与汽车数据安全的目标。匿名化处理的标准 可参考团体标准《汽车传输视频及图像脱敏技术要求与方法》。

| 汽车数据分类示例

“确有必要向车外传输”限定情形示例
汽车座舱数据:
通过摄像头、红外传感器、指纹传感器或传声器等部件从汽车座舱采集的可能包含个人信息的数据,包括对其进行加工后产生的数据。 语音指令:为实现语音识别功能以实时判断汽车控制指令;
云存储:为实现远程查看车内情况或云存储功能;
远程查看:为实现远程查看车内情况或云存储功能,向使用者提供数据,取得个人信息主体同意,并采取安全措施,除使用者外的其他组织和个人不能访问;
执法、监管要求:应监管部门或执法机构要求传输数据。

《规定》中明确,国家鼓励汽车数据依法合理有效利用,倡导数据处理者在开展数据处理活动时坚持脱敏处理原则,即尽可能对数据进行匿名化、去标识化处理。

根据数据处理不同阶段,数据脱敏可分为:

  • 车端数据脱敏:

    在车端数据处理设备上,通过一定方法消除原始环境数据中的敏感信息,使信息主体无法被识别或关联,且处理后的信息不可复原,同时保留业务所需的数据特征。

  • 车外数据脱敏:

    指上述脱敏处理行为发生在云端服务器或位于车外的物理服务器上。为贯彻“车内处理”原则,向车端以外的第三方传输的数据必须进行脱敏处理;同时,当车端内数据或个人信息达到法律或行业规定的脱敏标准时,也应进行脱敏处理。

    (注:车外数据在未完成匿名化前不应向车外提供,且过程数据应立即删除)

汽车企业适用“脱敏处理”原则的场景包括但不限于:

  • 汽车数据向车外系统传输
  • 汽车数据向第三方传输或共享
  • 汽车数据向境外传输
  • 汽车数据中包含道路车辆信息
  • 汽车数据中包含敏感个人信息

汽车数据全生命周期的脱敏处理典型应用场景包括:

  • 汽车产品开发测试阶段
  • 汽车数据挖掘分析阶段
  • 汽车产品运维及售后阶段

汽车企业应完善数据脱敏技术措施与标准化建设,包括但不限于:

  • 建立数据访问权限控制
  • 使用 TLS 加密传输
  • 采用 AES256、RSA2048 或更高强度加密算法进行加密存储
  • 敏感信息脱敏显示

同时,可通过内部调研明确各部门对个人信息数据的具体需求,形成详细的脱敏需求调研表,例如下表所示:

数据脱敏需求调研表

来源:数据安全推进计划

项目 是否必须使用真实原始数据 必须使用的真实原始数据项目 需使用到的脱敏数据项目 是否需要脱敏数据聚合可用 脱敏数据是否可删除 脱敏数据是否保持唯一性 是否需要数据具备可逆性 是否需要保持原有数值顺序 是否需要保持原有格式不变 是否需要保持统计特征 是否需要保持数据库完整性 是否可以更改数据类型 是否可添加噪声
示例 (逐项填写)

汽车企业还应在《隐私政策》中对“脱敏处理”作出明确规定,示例如下:

表 4 《隐私政策》对“脱敏处理”的具体规定示例

来源:数据安全推进计划

  • 关于个人信息处理:

    “对于汽车数据涉及的重要数据和敏感个人信息,我们会采取符合法律要求及国家或行业技术标准的措施进行脱敏处理,如设置数据访问权限控制、加密传输(采用【加密算法名称】或更高标准)、数据分类存储及脱敏显示等。”

  • 关于向第三方共享信息:

    “在与第三方共享个人信息或汽车数据时,我们将签订数据处理协议,并要求对方采取符合国家标准的数据安全措施,同时对数据进行脱敏处理。”

《规定》要求汽车数据处理者协同加强智能(网联)汽车网络及数据安全防护。工业和信息化部《关于加强车联网网络安全和数据安全工作的通知》要求汽车企业全面提升安全保护能力。YD/T 3751-2020《车联网信息服务 数据安全技术要求》规定了车联网服务过程中数据生命周期内的保护要求。面对车联网海量数据在用户端、车端、云端等多场景的交互流动,传统的边界防护已难以全面保障数据安全,因此需要从数据采集、传输、存储到使用等全生命周期采取有效保护措施。

  1. 供应链数据安全:

    汽车行业供应链涉及汽车制造商、芯片供应商、关键部件供应商、零部件供应商、出行服务商及经销商等,数据在多环节流转时易产生泄露风险且难以追溯。

  2. 新车型研发:

    在汽车研发过程中,根据数据安全法规对整车功能进行风险评估,明确数据安全目标,并形成数据安全需求规范。

  3. 车联网数据接口安全:

    车联网依赖大量接口传输共享数据,接口的安全性需通过鉴权、调用监控等措施加以保障。

数据分类分级落地后,企业应建立完善的数据分级管理制度,对不同级别数据在采集、传输、存储、使用、共享及销毁过程中采取不同管理措施。例如,下表展示了数据使用环节不同级别数据的审批流程和管理要求。

此外,企业应从以下几个方向推进数据安全防护建设:

  • 概念规划阶段: 梳理车辆数据相关功能和场景,依据法律法规确定数据分类分级,并开展数据安全风险评估。
  • 设计阶段: 拆分数据安全合规及管理要求,制定设计规范(如使用安全、数据流动安全、外部入侵安全、数据存储安全等)。
  • 研发阶段: 按照设计要求开发安全功能。
  • 测试验证阶段: 对安全功能进行测试及合规性验证。
  • 上线阶段: 整车正向测试并进行安全合规评审后上线。
  • 运行阶段: 定期进行逆向测试和安全监控,及时修复安全风险,并收集用户反馈以不断改进。

采用数据加密和脱敏等措施对数据进行保护,重点对重要级别数据在业务改造时实施加密,并在产品设计中统一加密标准。

通过构建基于数据级别的管控机制,实现细粒度的数据访问控制,例如将分类分级结果与数据库运维管控系统联动,对不同级别数据进行分层授权管理。

建立数据暴露面、接口风险及数据流转风险监测机制,建议结合数据库和应用层监测,实现“用户—应用—数据库”三层关联分析。

数据处理者在开展重要数据处理活动时,还应定期进行风险评估,并根据评估结果推动安全整改和数据安全管理制度的完善。

《个人信息保护法》、《规定》以及《信息安全技术 个人信息安全规范》等相关法律法规和国家标准要求,数据处理者在处理个人信息时必须就数据收集、处理情况向用户进行充分告知,并取得用户同意。“告知—同意”制度是保障个人知情权和决定权的核心规则。

  • 告知内容应包括数据的保存期限、存储地点(如地级市)、用户权益事务联系人等详细信息。
  • 征得同意应涵盖明示同意、授权同意、重新取得同意、撤回同意以及单独同意等方式。
  • 处理个人信息前须先取得用户同意;
  • 处理敏感个人信息前须取得用户的单独同意;
  • 涉及数据出境前须取得用户的单独同意;
  • 处理未满十四周岁未成年人信息前,应取得其监护人同意,并设立专门的儿童信息处理规则;
  • 在汽车销售、使用及售后服务过程中,收集身份信息、行程轨迹等时,应提前公开个人信息收集处理规则。

参见:《信息安全技术 汽车数据处理安全要求》4.16

汽车企业应采用多样化告知方式,如用户手册、车载显示面板弹窗、语音提示及应用程序内告知等,同时提供便捷的撤回同意机制,并在收到用户投诉后及时记录与处理。

在汽车行业中,敏感个人信息指一旦泄露或被非法使用,可能导致车主、驾驶人、乘客或其他相关人员受到歧视或严重危害的个人信息。GB/T 41871-2022《信息安全技术 汽车数据处理安全要求》明确了敏感个人信息的范围,包括但不限于:

  • 行踪轨迹、音频、视频、图像、医疗健康、宗教信仰等信息
  • 指纹、心率、声纹、面部识别特征等生物识别信息
  • 居民身份证、军官证、工作证、社保卡、居住证等身份信息
  • 银行账户、鉴别信息、金融账户等财产信息
  • 未满十四周岁未成年人的信息

《个人信息保护法》规定,只有在具有特定目的和充分必要性,且采取严格保护措施的情形下,才能处理敏感个人信息。

  • 处理敏感个人信息时应确保具有增强行车安全的目的和充分必要性;
  • 当处理对象超过 10 万人时,须设立专职的个人信息保护负责人及工作机构;
  • 对涉及敏感信息的人员进行背景审查和培训;
  • 保存个人信息保护影响评估报告至少三年;
  • 建立安全事件处置机制,敏感信息泄露时应及时告知受影响的个人并采取补救措施。
  • 增强行车安全: 如碰撞预警、自动紧急制动、疲劳预警等;
  • 智能驾驶: 如自适应巡航控制、导航等;
  • 车机服务: 如车机个人中心、应用商店等场景。
  • 逐项同意: 针对每项敏感个人信息应单独取得用户同意,避免“一揽子”同意;
  • 设置同意期限: 用户应能自主设定敏感信息处理的同意期限(如单次、7 天、3 个月或 1 年);
  • 状态提示: 在收集敏感信息时,应以显著方式提示用户当前数据收集状态。

参见:《信息安全技术 汽车数据处理安全要求》4.211

依据《数据安全法》和《规定》,汽车数据处理者在开展重要数据处理活动时,必须定期进行数据安全风险评估,并向有关部门报送评估报告。风险评估主要以数据资产为对象,识别和分析数据处理活动中面临的安全风险,并据此制定相应的防护措施。

风险评估工作主要包括以下步骤:

  1. 评估准备: 明确评估对象、范围、边界,组建评估团队,制定评估方案并获得管理层支持。
  2. 风险要素识别: 针对数据采集、传输、存储、使用、共享、销毁等环节,识别关键的风险要素(数据资产、威胁、脆弱性及现有安全措施)。
  3. 风险分析: 构建风险矩阵,对风险发生的可能性与影响程度进行定性或定量分析。
  4. 风险评价: 根据风险值确定风险优先级,为高风险数据优先分配保护资源。
  5. 报告编写: 编制包含项目概述、评估范围、依据、方法、风险分析结果及整改建议的风险评估报告。
  6. 风险处置: 根据评估结果制定风险处置计划,选择适当的数据备份、灾备、合规整改等措施。
  • 数据安全风险评估工作流程

  • 数据安全风险要素的关系

  • 数据安全风险矩阵

  • 数据安全风险等级参考表
等级 标识 描述
5 很高 一旦风险发生,对国民经济命脉、重要民生及重大公共利益造成严重损害
4 风险发生可能直接危害国家安全、经济运行、社会稳定及公共健康
3 数据泄露、篡改或损毁可能对组织或个人合法权益造成严重危害
2 风险发生可能对组织或个人合法权益造成中等危害
1 很低 风险发生可能对组织或个人合法权益造成轻微危害

汽车企业应尽快建立完善的数据安全风险管理全流程机制,及时识别并补救安全风险,确保在风险事件发生时能迅速响应并向监管部门报送风险评估报告,从而不断完善数据安全防护治理措施。

数据出境主要指将国内收集或产生的数据传输、存储至境外,或境外机构能访问国内存储的数据。依据国家相关规定和《数据出境安全评估办法》、以及《数据出境安全评估申报指南》,数据出境安全评估主要适用于下列情形:

  • 数据处理者将境内收集产生的数据传输或存储至境外;
  • 数据存储在境内,但境外的机构、组织或个人可以访问、调取、下载或导出;
  • 国家网信办规定的其他数据出境行为。

汽车企业在开展数据出境时,应依照法律法规进行数据安全评估并完成申报。数据出境路径主要包括:

  • 数据直接存储于境外服务器;
  • 境内数据按照规则传输至境外系统;
  • 邮件等方式将数据传输至境外;
  • 境外运维人员访问境内数据;
  • 使用全球化办公软件(如 Office、Cisco Webex)等场景。

参见国家网信办发布的《申报指南》及下表:

  • 数据出境路径
数据出境路径 适用范围
数据出境安全评估 1. 数据处理者向境外提供重要数据;2. 关键信息基础设施运营者和处理 100 万人以上个人信息的数据处理者向境外提供个人信息;3. 自上年 1 月 1 日起累计向境外提供 10 万人个人信息或 1 万人敏感个人信息的数据处理者;4. 国家网信办规定的其他情形。
专业机构进行个人信息保护认证机制 参见《网络安全标准实践指南——个人信息跨境处理活动安全认证规范》和《个人信息保护认证实施规则》
签订标准合同 参考《个人信息出境标准合同规定(征求意见稿)》,适用于非强制申报的个人信息出境场景

对于有数据出境需求的汽车企业,应尽早启动数据出境安全评估工作,完成内部立项、风险自评估及申报材料准备工作。企业需要按规定在限期内整改不符合要求的数据出境行为,并建立高质量的风险自评估报告,为监管部门正式评估提供依据。

图示:

  • 数据出境安全评估流程

  • 数据出境风险自评估

Updated on 2025-02-27
 法规汽车数据安全
 | Home