2023年1月5日，在第二屆數(shù)據(jù)安全治理峰會上，《汽車數(shù)據(jù)安全若干問題合規(guī)實踐指南》正式發(fā)布，中國信息通信研究院云計算與大數(shù)據(jù)研究所工程師張亞蘭進(jìn)行了解讀。

《汽車數(shù)據(jù)安全若干問題合規(guī)實踐指南》旨在進(jìn)一步提高汽車行業(yè)數(shù)據(jù)安全保護(hù)水平，增強汽車企業(yè)數(shù)據(jù)安全合規(guī)保障能力，推動汽車數(shù)據(jù)價值安全使用，保障安全與發(fā)展的雙向促進(jìn)。
本指南依據(jù)國家法律法規(guī)和標(biāo)準(zhǔn)，同時參考行業(yè)最佳實踐，針對汽車數(shù)據(jù)安全的重要合規(guī)內(nèi)容，結(jié)合汽車行業(yè)特有場景，提出合規(guī)實踐建議。

???

以下為現(xiàn)場PPT分享實錄

在汽車“新四化”的趨勢下，汽車涉及數(shù)據(jù)交互的功能越來越多，各種數(shù)據(jù)安全問題不容忽視。我們依托數(shù)據(jù)安全推進(jìn)計劃（DSI）汽車工作組，收集了汽車行業(yè)比較關(guān)注的數(shù)據(jù)安全合規(guī)問題，并梳理監(jiān)管政策，劃定七大合規(guī)議題：車內(nèi)處理原則、脫敏處理原則、數(shù)據(jù)安全防護(hù)、告知與征得同意義務(wù)、處理敏感個人信息、數(shù)據(jù)安全風(fēng)險評估、數(shù)據(jù)出境。

落實“車內(nèi)處理”原則，需要以充分保障個人信息權(quán)利和數(shù)據(jù)安全為衡量尺度，同時兼顧行業(yè)與技術(shù)創(chuàng)新發(fā)展的必要空間。以上七點建議在指南中進(jìn)行了詳細(xì)闡述，并提供了參考示例。

脫敏處理的合規(guī)實踐可以考慮從四個方面進(jìn)行：一是遵循法律及國家和行業(yè)標(biāo)準(zhǔn)對于數(shù)據(jù)脫敏處理的具體要求；二是完善數(shù)據(jù)脫敏的技術(shù)措施與標(biāo)準(zhǔn)化；三是保障用戶個人信息權(quán)益和消費者知情權(quán)；四是建立數(shù)據(jù)脫敏后的檢驗機制。

汽車企業(yè)數(shù)據(jù)安全防護(hù)需要以數(shù)據(jù)分類分級為基礎(chǔ)，從管理制度、防護(hù)技術(shù)、風(fēng)險評估三個方面進(jìn)行整體的數(shù)據(jù)安全防護(hù)建設(shè)。其中安全防護(hù)技術(shù)建設(shè)可以從數(shù)據(jù)安全開發(fā)能力嵌入、數(shù)據(jù)本體保護(hù)、數(shù)據(jù)管控、風(fēng)險監(jiān)測四個方向進(jìn)行。

“告知-同意”是法律確立的個人信息保護(hù)核心規(guī)則，是保障個人對其個人信息處理知情權(quán)和決定權(quán)的重要手段。車載場景下，汽車企業(yè)依法履行“告知-同意”法定義務(wù)，可從四個方面入手：一是告知用戶的內(nèi)容應(yīng)遵循法律和國家標(biāo)準(zhǔn)的規(guī)定；二是告知同意可兼顧合規(guī)性和用戶體驗；三是可采取多樣性技術(shù)方案；四是保障個人信息權(quán)利主體撤回同意的權(quán)利。

汽車企業(yè)應(yīng)在具有增強行車安全的目的和充分的必要性，并采取嚴(yán)格保護(hù)措施的情形下，方可處理敏感個人信息。處理敏感個人信息的合規(guī)實踐可以做好組織架構(gòu)建設(shè)、個人信息保護(hù)影響評估、已有敏感個人信息核查、敏感個人信息單獨同意的具體技術(shù)措施落實、恰當(dāng)?shù)募夹g(shù)保障手段和安全管理措施、用戶的個人信息權(quán)利請求及時響應(yīng)六個方面。

數(shù)據(jù)安全風(fēng)險評估旨在幫助汽車企業(yè)明確數(shù)據(jù)安全風(fēng)險點，為汽車數(shù)據(jù)安全管理建設(shè)和數(shù)據(jù)安全風(fēng)險處置指明方向。依據(jù)監(jiān)管要求和標(biāo)準(zhǔn)，通過關(guān)聯(lián)已識別的數(shù)據(jù)安全風(fēng)險要素，構(gòu)建數(shù)據(jù)安全風(fēng)險矩陣，對業(yè)務(wù)場景下的數(shù)據(jù)安全風(fēng)險進(jìn)行定性或定量分析，開展數(shù)據(jù)安全風(fēng)險評估活動。另外，也要采取風(fēng)險處置措施，檢驗風(fēng)險處置措施的效率和策略的有效性，并持續(xù)改進(jìn)。

數(shù)據(jù)安全領(lǐng)域三部上位法初步確立了以安全評估制度為核心的數(shù)據(jù)出境基本原則。在此基礎(chǔ)上2022年7月7日國家互聯(lián)網(wǎng)信息辦公室發(fā)布《數(shù)據(jù)出境安全評估辦法》。汽車企業(yè)應(yīng)盡早梳理企業(yè)數(shù)據(jù)出境活動和場景。根據(jù)梳理結(jié)果情形，研判本企業(yè)適用的數(shù)據(jù)出境路徑。如有數(shù)據(jù)出境的需求，應(yīng)盡早著手準(zhǔn)備數(shù)據(jù)出境安全評估工作，我們梳理了數(shù)據(jù)出境安全評估的流程供參考。