傳統(tǒng)汽車行業(yè)在數(shù)字經(jīng)濟(jì)時代快速發(fā)展，但數(shù)據(jù)安全風(fēng)險也隨著而來。本文從數(shù)據(jù)使用與安全的平衡、數(shù)據(jù)安全合規(guī)要求、基于全生命周期的數(shù)據(jù)安全技術(shù)保障、強(qiáng)化汽車數(shù)據(jù)安全管理等方面闡述對汽車數(shù)據(jù)安全的認(rèn)識與思考。

1 引言

隨著新技術(shù)賦能，一方面，機(jī)械化汽車已經(jīng)變得更加智能和網(wǎng)絡(luò)化，智能網(wǎng)聯(lián)汽車和外界交互也愈加頻繁，傳輸?shù)臄?shù)據(jù)也更加多樣化，并已成為信息社會的數(shù)據(jù)生產(chǎn)和傳輸重要終端。另一方面，數(shù)據(jù)安全風(fēng)險也向智能網(wǎng)聯(lián)汽車領(lǐng)域蔓延，一旦被非法獲取、非法利用將直接威脅國家安全、公共安全、個人權(quán)益。

2 平衡數(shù)據(jù)使用與安全

2.1 數(shù)字經(jīng)濟(jì)時代需鼓勵汽車合規(guī)使用

隨著人工智能、物聯(lián)網(wǎng)等新技術(shù)廣泛運(yùn)用，經(jīng)濟(jì)社會的發(fā)展更加以數(shù)據(jù)的形式驅(qū)動， 數(shù)據(jù)處理更加頻繁，數(shù)據(jù)傳輸種類更加豐富。數(shù)據(jù)安全與發(fā)展的動態(tài)平衡已成為數(shù)字經(jīng)濟(jì)領(lǐng)域各類新業(yè)態(tài)、新產(chǎn)業(yè)、新模式創(chuàng)新發(fā)展的關(guān)鍵。智能網(wǎng)聯(lián)汽車從在發(fā)展過程中，從最開始的輔助駕駛逐漸演變到自動駕駛，為了應(yīng)對復(fù)雜多樣的路況和行車場景，數(shù)據(jù)的收集與分析使用將是智能網(wǎng)聯(lián)汽車發(fā)展過程中必不可少的動力源泉，也是一個汽車品牌能否提升核心競爭力并立足市場的關(guān)鍵因素。因此，汽車產(chǎn)業(yè)需要鼓勵汽車數(shù)據(jù)開發(fā)利用，鼓勵數(shù)字創(chuàng)新應(yīng)用發(fā)展，絕不能單純?yōu)榱吮Ｕ蠑?shù)據(jù)安全遏制數(shù)據(jù)合法合規(guī)合理的收集與使用，需要在兩者之間至少取得相對平衡。

2.2 區(qū)分車內(nèi)與車外交互數(shù)據(jù)

《汽車數(shù)據(jù)安全管理規(guī)定（試行）》第六條明確指出，“國家鼓勵汽車數(shù)據(jù)依法合理有效利用，倡導(dǎo)汽車數(shù)據(jù)處理者在開展汽車數(shù)據(jù)處理活動中堅(jiān)持車內(nèi)收集原則，除非確有必要不向車外提供”。上述內(nèi)容為平衡數(shù)據(jù)使用安全指明了方向。汽車一方面屬于個人私有物品，必然會收集大量個人敏感信息，為降低數(shù)據(jù)泄露風(fēng)險，需要在車內(nèi)存儲和處理；另一方面，汽車安全駕駛功能的實(shí)現(xiàn)需要采集大量的路況、位置和地理數(shù)據(jù)，其中必然涉及敏感數(shù)據(jù)，如果這些敏感數(shù)據(jù)僅在車內(nèi)存儲和處理， 數(shù)據(jù)安全風(fēng)險相對可控。

針對車內(nèi)數(shù)據(jù)，數(shù)據(jù)安全的重點(diǎn)在于車主身份鑒別、數(shù)據(jù)采集的充分告知、授權(quán)同意以及合規(guī)采集；對于車外數(shù)據(jù)，數(shù)據(jù)安全的重點(diǎn)在于數(shù)據(jù)傳輸和存儲、數(shù)據(jù)合規(guī)分析、使用以及共享、數(shù)據(jù)審計等方面。

3 智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全合規(guī)要求

近年來，我國在大力發(fā)展車聯(lián)網(wǎng)同時， 始終強(qiáng)調(diào)數(shù)據(jù)安全的重要性，提出了一系列數(shù)據(jù)安全合規(guī)要求，具體如下：

2017 年 6 月 1 日正式實(shí)施的《中華人民共和國網(wǎng)絡(luò)安全法》明確規(guī)定我國實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。

工業(yè)和信息化部于 2021 年 7 月 30 日發(fā)布《關(guān)于加強(qiáng)智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理的意見》，《意見》明確指出要強(qiáng)化數(shù)據(jù)安全管理和加強(qiáng)網(wǎng)絡(luò)安全保障。針對數(shù)據(jù)安全管理，車企需建立相關(guān)數(shù)據(jù)安全管理制度，履行數(shù)據(jù)安全保護(hù)義務(wù)，建立數(shù)據(jù)資產(chǎn)臺賬，實(shí)施數(shù)據(jù)分類分級管理，加強(qiáng)數(shù)據(jù)安全防護(hù)?！兑庖姟愤€從具體技術(shù)層面， 對車企確保數(shù)據(jù)安全提出了一系列要求，尤其是開展數(shù)據(jù)安全風(fēng)險評估、重要數(shù)據(jù)和個人信息原則上在境內(nèi)存儲；針對網(wǎng)絡(luò)安全保障，《意見》明確指出，車企要建立網(wǎng)絡(luò)安全管理制度，做好網(wǎng)絡(luò)安全等級保護(hù)和車聯(lián)網(wǎng)卡實(shí)名認(rèn)證工作，具備汽車網(wǎng)絡(luò)安全風(fēng)險監(jiān)測和處置能力。

國家互聯(lián)網(wǎng)信息辦公室于 2021 年 8 月 16 日發(fā)布《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》， 該規(guī)定對在我國境內(nèi)開展數(shù)據(jù)處理活動的汽車廠家處理個人信息和重要數(shù)據(jù)提出了一系列有關(guān)規(guī)定。

2021 年 8 月 20 日，《中華人民共和國個人信息保護(hù)法》發(fā)布，并于同年 11 月 1 日正式施行。該法律明確了個人信息處理規(guī)則、個人信息跨境提供規(guī)則、個人信息處理者義務(wù)。2021 年 9 月 1 日施行的《中華人民共和國數(shù)據(jù)安全法》對數(shù)據(jù)安全制度和數(shù)據(jù)安全保護(hù)義務(wù)做了明確規(guī)定，具體條款為第 21 條至第 36 條。

2020 年 2 月 10 日，中央網(wǎng)信辦、國家發(fā)改委等 11 個國家部委聯(lián)合發(fā)布“關(guān)于印發(fā)《智能汽車創(chuàng)新發(fā)展戰(zhàn)略》的通知”，該“通知”特別強(qiáng)調(diào)加強(qiáng)數(shù)據(jù)安全監(jiān)管，具體包括：建立汽車數(shù)據(jù)全生命周期安全管理機(jī)制，對汽車數(shù)據(jù)進(jìn)行分類分級管理，完善數(shù)據(jù)安全管理制度，開展數(shù)據(jù)安全、數(shù)據(jù)出境安全評估。除法律、部門規(guī)章外，國家標(biāo)準(zhǔn)《信息安全技術(shù)汽車采集數(shù)據(jù)的安全要求》（征求意見稿），通信行業(yè)標(biāo)準(zhǔn) YD/T3751-2020《車聯(lián)網(wǎng)信息服務(wù)數(shù)據(jù)安全服務(wù)要求》、YD/ T3746-2020《車聯(lián)網(wǎng)信息服務(wù)用戶個人信息保護(hù)要求》等對智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全和個人信息保護(hù)提出了具體要求。上述法律、部門規(guī)章、標(biāo)準(zhǔn)為我國車企有效開展數(shù)據(jù)安全管理提供方向指引。

4 基于全生命周期保障數(shù)據(jù)安全

伴隨著 5G、人工智能、區(qū)塊鏈等新技術(shù)賦能，汽車智能化帶來便利的同時也極易引起數(shù)據(jù)安全問題。由于汽車上安裝了大量的傳感器，汽車收集的數(shù)據(jù)規(guī)模和種類持續(xù)上升，在數(shù)據(jù)驅(qū)動的數(shù)字經(jīng)濟(jì)時代，一旦數(shù)據(jù)遭受破壞或泄露，導(dǎo)致被非法獲取或利用，將會給公共安全、個人權(quán)益，甚至國家安全產(chǎn)生威脅。因此，需要基于數(shù)據(jù)生命周期理念保障數(shù)據(jù)安全。

《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》（GB/T37988-2019）從數(shù)據(jù)安全過程維度將數(shù)據(jù)安全分為 6 個階段，分別是：數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全等方面，該標(biāo)準(zhǔn)為規(guī)范汽車廠商數(shù)據(jù)處理活動提供了重要依據(jù)和參考。

4.1 數(shù)據(jù)采集安全

汽車高度依賴傳感器進(jìn)行數(shù)據(jù)采集，同時也通過網(wǎng)絡(luò)獲得來自車企服務(wù)平臺或其它設(shè)備的交互數(shù)據(jù)。對于汽車數(shù)據(jù)采集安全需要做到：一是數(shù)據(jù)分類分級，可分為車內(nèi)數(shù)據(jù)和車外數(shù)據(jù)兩類，針對上述兩類數(shù)據(jù)，可分為一般數(shù)據(jù)、重要數(shù)據(jù)；二是針對不同類別和級別的數(shù)據(jù)采取不同程度的安全防護(hù)措施；三是基于知情同意和充分授權(quán)原則進(jìn)行數(shù)據(jù)采集；四是按照合法、正當(dāng)、必要原則采集數(shù)據(jù)，不得超過業(yè)務(wù)功能范圍采集數(shù)據(jù)；五是鑒別采集數(shù)據(jù)的完整性、準(zhǔn)確性，保證數(shù)據(jù)質(zhì)量。

從上看出，數(shù)據(jù)分類分級是最基礎(chǔ)也是最重要的工作，在確保數(shù)據(jù)準(zhǔn)確基礎(chǔ)上，建議車企結(jié)合自身管理實(shí)際，對采集的數(shù)據(jù)進(jìn)行認(rèn)真梳理，對汽車數(shù)據(jù)進(jìn)行歸類，統(tǒng)籌考慮安全與業(yè)務(wù)發(fā)展，對歸類的數(shù)據(jù)采取不同強(qiáng)度的安全保障措施。

4.2 數(shù)據(jù)傳輸安全

汽車傳輸數(shù)據(jù)主要是針對車外交互數(shù)據(jù)， 這里存在很多潛在的安全風(fēng)險，例如車內(nèi)WiFi、藍(lán)牙和移動通信網(wǎng)絡(luò)，需防止數(shù)據(jù)遭嗅探、篡改和其它攻擊。對于汽車數(shù)據(jù)傳輸安全需要做到：一是傳輸前對車外交互數(shù)據(jù)進(jìn)行匿名化、去標(biāo)識化和脫敏處理；二是傳輸過程中對車外交互數(shù)據(jù)進(jìn)行加密，防止數(shù)據(jù)劫持和惡意汽車控制；三是車與人、路、車、云的無線通信安全防護(hù)機(jī)制；四是禁止汽車安裝衛(wèi)星通信部件，與境外服務(wù)器通信。

從上看出，汽車傳輸安全主要聚焦在車外數(shù)據(jù)傳輸，建議車企原則上非必要不向車外傳輸數(shù)據(jù)，如需向車外傳輸數(shù)據(jù)，按照“最小必要”原則，在不同場景下，對傳輸?shù)臄?shù)據(jù)類型和頻次進(jìn)行限制。

4.3 數(shù)據(jù)存儲安全

汽車數(shù)據(jù)存儲安全需關(guān)注車內(nèi)數(shù)據(jù)存儲安全和車外交互數(shù)據(jù)在車企管理平臺存儲安全。針對車內(nèi)數(shù)據(jù)，應(yīng)對數(shù)據(jù)訪問者采取身份鑒別和訪問控制措施，防止未經(jīng)授權(quán)訪問，且數(shù)據(jù)存儲時間滿足業(yè)務(wù)場景需要的最短時間即可，沒必要長期保存。對于存儲在車企信息管理平臺的車外交互數(shù)據(jù)，汽車廠商需要嚴(yán)格按照《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《汽車數(shù)據(jù)安全管理規(guī)定（試行）》要求，履行網(wǎng)絡(luò)安全主體責(zé)任，保障車企信息管理平臺網(wǎng)絡(luò)安全和數(shù)據(jù)安全。

從上看出，數(shù)據(jù)存儲安全風(fēng)險主要聚焦在數(shù)據(jù)訪問主體身份認(rèn)證、數(shù)據(jù)存儲時間范圍、數(shù)據(jù)加密存儲等方面，建議車企可考慮基于指紋識別的方式驗(yàn)證數(shù)據(jù)訪問主體身份，按照“最小必要”原則限制數(shù)據(jù)存儲時間，統(tǒng)籌考慮安全與功能需要對存儲數(shù)據(jù)進(jìn)行加密。

4.4 數(shù)據(jù)處理安全

汽車數(shù)據(jù)處理包括數(shù)據(jù)加工、使用和分析，極易導(dǎo)致數(shù)據(jù)濫用和泄露風(fēng)險，依據(jù)《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》，汽車處理安全需要做到：一是針對敏感數(shù)據(jù)要進(jìn)行脫敏處理，平衡數(shù)據(jù)可用性和安全性；二是數(shù)據(jù)分析過程采取適當(dāng)安全措施，降低有價值的個人信息泄露風(fēng)險；三是嚴(yán)格按照國家法律、行政法規(guī)和部門規(guī)章要求正當(dāng)使用數(shù)據(jù)，并建立相關(guān)責(zé)任機(jī)制。

從上看出，數(shù)據(jù)處理安全需要考慮的主要風(fēng)險隱私是數(shù)據(jù)濫用和泄露。建議車企對汽車數(shù)據(jù)開展匯總分析，原則上不對個人行為數(shù)據(jù)進(jìn)行分析。

4.5 數(shù)據(jù)交換安全

建議汽車廠商按照“非必要不對外交換” 原則嚴(yán)格控制數(shù)據(jù)交換。汽車數(shù)據(jù)交換安全需要做到：一是汽車廠商需建立規(guī)范化流程， 管理數(shù)據(jù)導(dǎo)入和導(dǎo)出，降低數(shù)據(jù)泄露風(fēng)險；二是針對數(shù)據(jù)共享場景，需評估合作方數(shù)據(jù)安全保障能力，降低因數(shù)據(jù)共享使用帶來的安全風(fēng)險；三是建立數(shù)據(jù)接口安全管理機(jī)制， 防止合作廠商通過接口調(diào)用數(shù)據(jù)產(chǎn)生的安全風(fēng)險；四是未經(jīng)網(wǎng)信部門和行業(yè)主管部門許可，不可擅自向境外傳輸數(shù)據(jù)。

從上看出，建議車企在開展數(shù)據(jù)交換前， 需要對數(shù)據(jù)接收方的數(shù)據(jù)安全保障能力進(jìn)行評估，還需要簽訂有關(guān)數(shù)據(jù)交換合同，明確雙方責(zé)任范圍。除此之外，未經(jīng)國家監(jiān)管部門允許，絕不允許向境外提供數(shù)據(jù)。

4.6 數(shù)據(jù)銷毀安全

數(shù)據(jù)銷毀安全主要體現(xiàn)在車內(nèi)數(shù)據(jù)銷毀和車外信息平臺數(shù)據(jù)銷毀。針對車內(nèi)數(shù)據(jù)， 汽車需定期銷毀存儲數(shù)據(jù)或提供數(shù)據(jù)銷毀功能，支持車主主動銷毀數(shù)據(jù)。針對車外信息平臺數(shù)據(jù)，應(yīng)按照國家法律、行政法規(guī)、部門規(guī)章要求，結(jié)合自身實(shí)際，制定滿足業(yè)務(wù)需求的數(shù)據(jù)保存期限，一旦超過該期限先對數(shù)據(jù)進(jìn)行匿名化處理，然后自動或手動銷毀數(shù)據(jù)。

從上看出，數(shù)據(jù)銷毀安全作為數(shù)據(jù)安全全生命周期的最后環(huán)節(jié)，不可忽略，做好數(shù)據(jù)銷毀，有助于降低數(shù)據(jù)泄露和濫用風(fēng)險。

5 強(qiáng)化汽車數(shù)據(jù)安全管理

除了采用上述技術(shù)措施外，還應(yīng)該從管理角度降低數(shù)據(jù)安全風(fēng)險。

5.1 不得駛?cè)朊舾袌鏊?

參考智能手機(jī)不能帶入涉密場所，應(yīng)該嚴(yán)格限制汽車駛?cè)雸鏊?，原則上應(yīng)禁止智能網(wǎng)聯(lián)汽車駛?cè)朦h委機(jī)關(guān)、政府部門、軍事管理區(qū)、國防科工單位、國家安全部門等敏感區(qū)域，可從源頭上有效降低數(shù)據(jù)非法采集和泄露風(fēng)險。

5.2 最小必要原則采集地理位置信息

精準(zhǔn)的位置信息和周邊環(huán)境信息是汽車自動駕駛的基礎(chǔ)，這涉及到對周邊道路信息和地理位置信息的測繪，更直接關(guān)系國家安全。汽車廠商在開展業(yè)務(wù)過程中，應(yīng)嚴(yán)格按照國家測繪信息相關(guān)法律法規(guī)，禁止采集超出滿足汽車自動駕駛功能的地理環(huán)境數(shù)據(jù)，不得超高頻率采集地理環(huán)境數(shù)據(jù)，不允許在汽車未運(yùn)行情況下采集地理環(huán)境數(shù)據(jù)，嚴(yán)禁汽車裝配超高精度測繪零部件，對涉及國家安全的地理信息數(shù)據(jù)要強(qiáng)化監(jiān)管力度。

5.3 管控數(shù)據(jù)處理安全風(fēng)險

《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》第十條明確規(guī)定，“汽車數(shù)據(jù)處理者開展重要數(shù)據(jù)處理活動，應(yīng)當(dāng)按照規(guī)定開展風(fēng)險評估，并向省、自治區(qū)、直轄市網(wǎng)信部門和有關(guān)部門報送風(fēng)險評估報告。風(fēng)險評估報告應(yīng)當(dāng)包括處理的重要數(shù)據(jù)的種類、數(shù)量、范圍、保存地點(diǎn)與期限、使用方式，開展數(shù)據(jù)處理活動情況以及是否向第三方提供，面臨的數(shù)

據(jù)安全風(fēng)險及其應(yīng)對措施等?！鄙鲜鰲l款對開展數(shù)據(jù)處理活動設(shè)置了底線。具體到汽車廠商而言，為最大限度提升數(shù)據(jù)使用效能， 需要對采集的數(shù)據(jù)進(jìn)行利用，以滿足科研與合作伙伴需要。在數(shù)據(jù)處理過程中，除汽車廠商外，還涉及到零部件供應(yīng)商、應(yīng)用軟件供應(yīng)商、網(wǎng)約車企業(yè)、保險公司和科研機(jī)構(gòu)。為保障數(shù)據(jù)處理安全，上述相關(guān)方需要持續(xù)提升數(shù)據(jù)安全保障能力，才能有效管控數(shù)據(jù)處理過程中的安全風(fēng)險。建議汽車廠商基于《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》， 委托具有測評資質(zhì)的第三方機(jī)構(gòu)對汽車數(shù)據(jù)所涉及關(guān)聯(lián)方開展數(shù)據(jù)安全測評，根據(jù)測評等級不同，獲取相應(yīng)級別汽車數(shù)據(jù)。

5.4 嚴(yán)格限制數(shù)據(jù)跨境傳輸

《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》第十一條明確規(guī)定：“重要數(shù)據(jù)應(yīng)當(dāng)依法在境內(nèi)存儲，因業(yè)務(wù)需要確需向境外提供的，應(yīng)當(dāng)通過國家網(wǎng)信部門會同國務(wù)院有關(guān)部門組織的安全評估。未列入重要數(shù)據(jù)的涉及個人信息數(shù)據(jù)的出境安全管理，適用法律、行政法規(guī)的有關(guān)規(guī)定。我國締結(jié)或者參加的國際條約、協(xié)定有不同規(guī)定的，適用該國際條約、協(xié)定，但我國聲明保留的條款除外”。按照上述要求，汽車數(shù)據(jù)原則上應(yīng)不出境。凡是在我國境內(nèi)銷售的汽車品牌，無論是國內(nèi)還是國外汽車廠商， 數(shù)據(jù)均在我國境內(nèi)存儲、分析和使用。如果汽車廠商有數(shù)據(jù)跨境傳輸需求，需對數(shù)據(jù)進(jìn)行匿名化、去標(biāo)識化和脫敏處理，以及通過國家網(wǎng)信部門會同相關(guān)部門組織的安全評估后，才允許向境外傳輸數(shù)據(jù)。

5.5 及時向網(wǎng)信部門報告年度數(shù)據(jù)安全管理情況

《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》第十三條已明確規(guī)定，汽車數(shù)據(jù)處理者應(yīng)在每年十二月二十五日前向所在省級網(wǎng)信部門報送該年度數(shù)據(jù)安全管理情況，并規(guī)定了具體報送內(nèi)容。在我國境內(nèi)進(jìn)行汽車銷售的廠家（無論是國內(nèi)還是國外廠家），均應(yīng)嚴(yán)格執(zhí)行該規(guī)定。

5.6 做好汽車數(shù)據(jù)分級分類管理

2021 年 12 月 31 日，全國信息安全標(biāo)準(zhǔn)委員會正式發(fā)布《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—— 網(wǎng)絡(luò)數(shù)據(jù)分類分級指引》（TC260-PG- 20212A），《指南》為貫徹落實(shí)《中華人民共和國數(shù)據(jù)安全法》中“國家建立數(shù)據(jù)分類分級保護(hù)制度”要求，給出了網(wǎng)絡(luò)數(shù)據(jù)分類分級的原則、框架和方法，可用于指導(dǎo)汽車廠商開展數(shù)據(jù)分類分級工作。

結(jié)合具體汽車數(shù)據(jù)實(shí)際情況，根據(jù)《指南》數(shù)據(jù)分類流程，可考慮按照公民個人維度和行業(yè)領(lǐng)域維度對汽車數(shù)據(jù)進(jìn)行分類，再根據(jù)對國家安全、公共利益、個人合法權(quán)益、組織合法權(quán)益等影響對象，和汽車數(shù)據(jù)非法獲取、非法利用所造成的危害所造成的影響程度，對汽車數(shù)據(jù)進(jìn)行分級。

5.7 開展網(wǎng)絡(luò)安全等級保護(hù)測評

網(wǎng)絡(luò)安全是數(shù)據(jù)安全的基礎(chǔ)，離開網(wǎng)絡(luò)安全，數(shù)據(jù)安全將無法“獨(dú)善其身”?！吨腥A人民共和國網(wǎng)絡(luò)安全法》第二十一條明確規(guī)定，國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度?！吨腥A人民共和國數(shù)據(jù)安全法》第二十七條明確規(guī)定，通過互聯(lián)網(wǎng)開展數(shù)據(jù)處理活動，應(yīng)當(dāng)在網(wǎng)絡(luò)安全等級保護(hù)制度基礎(chǔ)上，履行數(shù)據(jù)安全保護(hù)義務(wù)。

汽車廠商在開展數(shù)據(jù)處理過程中，應(yīng)按照上述法律要求，向所在地公安部門申請信息系統(tǒng)等級認(rèn)定，然后委托專業(yè)測評機(jī)構(gòu)進(jìn)行相應(yīng)等級等級保護(hù)測評或建設(shè)，最后出具屬地公安部門認(rèn)可的網(wǎng)絡(luò)安全等級保護(hù)測評報告。

5.8 強(qiáng)化企業(yè)員工全流程數(shù)據(jù)安全管理

汽車數(shù)據(jù)安全管理，除技術(shù)和管理制度外，人的因素是最重要的。加強(qiáng)人的管理至關(guān)重要。

汽車廠商在開展數(shù)據(jù)處理過程中，在員工入職時，需要簽訂保密協(xié)議或保密承諾書；員工在崗時，要強(qiáng)化對員工的數(shù)據(jù)安全教育培訓(xùn)，還要制定具體的管理流程規(guī)范員工的數(shù)據(jù)操作行為，定期對員工數(shù)據(jù)操作行為進(jìn)行審計；員工離崗時，需及時收回有關(guān)信息系統(tǒng)訪問和數(shù)據(jù)處理權(quán)限，并及時移交有關(guān)材料。