赞
踩
随着车联网及人工智能技术的日益成熟及商业化,智能网联汽车(IntelligentConnectedVehicle,简称“ICV”)应运而生。智能网联汽车兼具智能与联网的特性,通过V2X(VehicletoEverything)通信技术实现了车辆与车辆、人、道路交通设施、云之间的成熟交互。智能网联汽车不仅能进行数据交互和信息共享,优化驾驶路径并降低交通事故发生的风险,还能实现通过传感设备进行自动驾驶等功能,提供个性化的用户体验,引发对未来驾驶方式的展望。
近年来,汽车企业和互联网企业蓬勃发展,加速了车联网、自动驾驶、互联网地图、智能交通技术的升级与革新,世界各国家地区政府对智能网联汽车的大力支持和消费者对出行方式的需求转变,推动了智能网联汽车的研发、生产与普及,商用场景正在不断增加。为提供更好的用户体验,智能网联汽车及其后台支持系统每时每刻都在处理海量数据,包括车辆运行数据、路况信息、位置信息、车载应用操作信息等。对于这些数据信息,如果没有严格的数据安全合规管控措施,处理这些数据极易造成安全合规隐患,对国家、公共安全、企业经营、个人隐私等产生影响。因此,智能网联汽车的数据安全合规在数据生命周期中至关重要,数据安全合规也成为智能网联汽车产业健康发展的重要基础。
随着监管与消费者对数据安全和隐私保护关注程度的提升,全球各国家与地区对于数据安全的法律法规相继出台,针对智能网联汽车的行业规范也在逐步完善。
中国出台了各项法律法规标准要求,建立数据安全法律保障体系屏障,针对智能网联汽车的数据安全行业规范也在不断完善与深化。
2017年6月1日 《网络安全法》生效
2020年10月1日 YD/T3746—2020《车联网信息服务用户个人信息保护要求》、YD/T3751-2020《车联网信息服务数据安全技术要求》、YD/T3752-2020《车联网信息服务平台安全防护技术要求》生效
发挥了国家标准在智能网联汽车产业生态环境构建中的引领作用,完善了行业数据安全标准规范,从数据传输的保密性、数据加密、数据访问规则、动态脱敏、数据销毁等方面
提出层层保护用户数据,保护用户的知情权和选择权,保障智能网联汽车加快创新和安全应用的要求
2021年8月24日 《智能网联汽车数据通用要求 (征求意见稿)》发布
2021年9月1日 《数据安全法》生效
2021年10月1日 《汽车数据安全管理若干规定(试行)》生效
提出了对智能网联汽车数据应进行分类分级的要求,需要区分个人信息、座舱数据、车外数据、位置轨迹数据等数据类型,并应相应地配置安全保护措施
提出了每年应进行风险评估和数据安全管理情况的常态化报送,形成数据安全保障体系
2021年11月1日 《个人信息保护法》生效
确立了“告知-知情-同意”的个人信息处理规则
对处理敏感个人信息进行了要求
强调了掌握海量用户数据后,互联网
2022年9月1日 《数据出境安全评估申报指南(第一版)》生效
2022年9月1日 《数据出境安全评估办法》生效
要求企业在开展数据出境活动前申报并通过数据出境安全评估
对数据出境数量的判断情形作了明确的定义
2023年5月1日 GB/T41871-2022《信息安全技术汽车数据处理安全要求》生效
放眼全球,为强化智能网联汽车数据安全,保障数据安全和用户隐私,世界各国家与地区也同时在不断强化数据安全合规管理相应的法律法规和行业规范要求
2013年(2022年更新) ISO/IEC27001信息安全管理体系发布
2014年(2019年更新) ISO/IEC27018公有云个人可识别信息保护认证发布
2017年8月6日英国 《联网和自动驾驶车辆网络安全重要原则》发布
提出保障数据存储和传输安全可控等在内的八大原则
强调数据安全问题应纳入汽车生命周期
2017年9月7日 美国H.R.3388《自动驾驶法案》发布
提出自动驾驶车辆厂商制定网络安全政策,要求车辆厂商建立监控、测试和保护
2018年5月23日 英国《2018数据保护法案》颁布
采用了大量GDPR的核心理念
提出故意或过失识别出已去识别化的个人数据会构成新的刑事犯罪
2018年5月25日 欧盟《通用数据保护条例》(GDPR)生效
定义了个人数据和特殊类别的个人数据
提出了个人数据处理需遵循的透明性、数据最小化、完整性与保密性等原则
2019年8月 ISO/IEC27701隐私信息管理体系发布
2020年1月1日 《加州消费者隐私法案》(CCPA)生效
强调加州消费者提供各种与个人信息相关的权利,包括访问权、删除权等
2021年1月12日 美国《现代车辆安全性的网络安全最佳实践》发布
从整个汽车行业的角度给出了45个重要的原则
网络安全问题提供了解决方案和实践指南
2021年3月9日 欧盟《车联网个人数据保护指南v2.0》生效
将GDPR应用于联网车辆中涉及处理个人数据的场景
设定了针对网联汽车数据的基本性保护规则
对数据出境进行了规定
2021年4月13日英国 《自动与电动汽车法案》生效
明确了充电点相关的数据传输等规则
2021年6月28日 欧盟《网络安全法案》生效
规定个人信息保护要求
2021年8月31日 ISO/SAE21434:2021《道路车辆-信息安全工程》发布
2022年6月21日 《美国数据隐私和保护法案》发布
在隐私政策中要求披露收集的数据类型、处理目的、与第三方共享数据的情况
2022年7月6日 《网络安全管理系统》(UNR155)《软件更新管理系统》(UNR156)
(WP.29)发布的全球第一个汽车信息安全强制性法规
R155要求汽车制造商在车辆生命周期的各阶段制定网络安全管理流程
R156是关于软件更新和软件升级管理体系车辆审批的统一规定
在欧盟汽车组提交的修订案中,UNR155和UNR156共同成为防护车辆网络攻击的技术法规
2023年1月1日 《加利福尼亚隐私权法案》(CPRA,CCPA修正版)生效
世界各地对智能网联汽车数据安全合规领域均提出了采取适当的技术和组织措施来保护数据的机密性、完整性和可用性,保护个人信息,以及在适当的情况下获得消费者同意的要求。但在不同的国家和地区,具体的要求内容存在差异
个人信息分类:
欧盟强调个人数据的特殊类别,在GDPR中有明确的定义,而美国对敏感个人信息的定义因法律法规不同而有差异
汽车数据安全:
中国出台行业规范,英美提出原则和最佳实践,欧盟重点关注该场景下的个人信息保护,后续可能在联合国世界车辆法规协调论坛(WP.29)对不同系统继续发布安全合规要求
智能网联汽车生态伙伴需在满足行业通用标准的基础上,在各地区经营时,遵守当地相关法律法规和行业规范。
数据是驱动智能网联汽车发展的重要资产,合理的数据分类分级是妥善管理数据的基础,也是海量数据处理的基础。为实现智能网联汽车数据在数据生命周期的安全治理,应根据科学合理、客观明确的原则对相关数据进行分类分级。本白皮书将依据已发布的行业规范要求,从个人信息和车辆数据角度对智能网联车数据的安全合规要求展开分析。
个人信息:
车辆数据:
《网络安全法》、《数据安全法》、《汽车数据安全管理若干规定(试行)》等相关法律法规定义下的智能网联汽车行业重要数据包括但不限于:
在数据分类的基础上,根据数据发生安全问题时的影响对象和影响程度,可进一步将不同数据分为一般级、敏感级、重要级和核心级
一般级
敏感级
重要级
核心级
会对公共利益造成严重危害、对国家安全造成一般危害的数据
同一数据由于数据量的累积或使用场景的变化会造成数据级别上升;不同种类数据的组合、汇聚、分析可能会造成数据级别上升。因此数据分级可结合实际情况进行划分与调整。
为确保数据生命周期内的数据安全合规,企业需要在数据分类分级的基础上,不断完善自身管理手段和技术措施。在此过程中,保证数据的机密性、完整性及可用性,满足安全合规要求的同时,还应特别关注其中涉及不同类别、不同级别数据处理的特殊要求,如重要数据、个人隐私数据等。
智能网联汽车数据生命周期典型安全合规要求
数据采集:
数据传输:
车内传输:基于车内处理原则,原则上数据应仅在车内传输
车外传输:仅在法定要求或履行合同所必须的情况下进行车外传输,并需要:
数据储存:
车内本地存储:应满足事故风险排查及事故数据还原要求
车外存储:仅存储必要数据
数据使用:
加密处理等方式
数据共享:
数据销毁:
中国
中国重视数据出境安全,不断立法进行强调保护原则。企业需对出境数据进行安全自评估,并根据评估结果,选择采取以下几种措施:
欧盟
在对方国家提供与欧盟同等水平保护措施的前提下,欧洲允许数据跨境流动。通常企业需要采取如下一种保障措施:
美国
美国主张全球数据自由流动,同时也对企业敏感数据的跨境进行严格的管理,包括:
英国
英国根据脱欧后制定的《英国通用数据保护准则》中提出了跨境传输的标准合同要求。标准数据保护条款(UKSCC)涉及两份文件,要求企业选择其一进行签署:
以上是智能网联汽车行业数据合规的一些基本背景和要求,下一篇我们将重点介绍智能网联汽车行业数据合规的相关解决方案。
阅读更多:
用九智汇受邀参加WELEGAL与六和律师事务所线下沙龙活动:《数据如何合规出境》
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。