随着汽车智能化、网联化水平的不断提升,汽车数据的安全管理已经刻不容缓。
近日,国家网信办、国家发改委、工信部、公安部、交通运输部联合发布《汽车数据安全管理若干规定(试行)》(以下简称《规定》),自2021年10月1日起施行。《规定》的出台旨在规范汽车数据处理活动,保护个人、组织的合法权益,维护国家安全和社会公共利益,促进汽车数据合理开发利用。
在消费者购置汽车以及使用汽车的过程中,哪些属于汽车数据是需要进行明确规范的。对此,国家互联网信息办公室有关负责人表示,《规定》中所称汽车数据,是指汽车设计、生产、销售、使用、运维等过程中涉及的个人信息数据和重要数据;所称汽车数据处理,包括汽车数据的收集、存储、使用、加工、传输、提供、公开等,涉及汽车数据处理的全生命周期。《规定》还进一步明确了汽车数据中的个人信息、敏感个人信息、重要数据以及汽车数据处理者的含义和类型。
简而言之,汽车产生的数据以及对汽车数据所进行的处理,都属于数据安全范畴。
那么,汽车数据安全工作应该如何开展?《规定》要求,汽车数据处理者在开展汽车数据处理活动中坚持“车内处理”、“默认不收集”、“精度范围适用”、“脱敏处理”等数据处理原则,减少对汽车数据的无序收集和违规滥用。这些原则相当于划定了数据处理的底线。比如“精度范围适用”原则就非常有必要。目前,具备一定自动驾驶辅助功能的智能网联汽车普遍采用高精度地图进行导航,高精度地图可以采集我国的地理信息,而地理信息是国家重要的基础性、战略性资源,直接关系到国家主权、安全和利益。一旦这些地理信息被泄露,潜在隐患极大。再比如对涉密数据的脱敏处理,当一些必要的数据必须被采集又有外泄的可能性,就必须进行脱敏处理。在地理信息方面,就可以采用特定手段对涉密地理信息的空间位置、精度、属性、相邻关系等进行偏移、变形、伪造、隐藏等处理。
除了明确车辆信息安全的若干底线,《规定》还强调了汽车数据处理者应该重点做的一些工作。比如,要求汽车数据处理者履行个人信息保护责任,充分保护个人信息安全和合法权益。开展个人信息处理活动时,应当通过显著方式告知个人相关信息,取得个人同意。处理敏感个人信息,汽车数据处理者还应取得个人单独同意,满足限定处理目的、提示收集状态、终止收集等具体要求或者符合法律、行政法规和强制性国家标准等其他要求。汽车数据处理者具有增强行车安全的目的和充分的必要性,方可收集指纹、声纹、人脸、心律等生物识别特征信息。这些要求,把数据关进了“规则”的笼子里,有助于切实保护消费者的隐私。再比如,汽车数据处理者开展重要数据处理活动,应当遵守依法在境内存储的规定,加强重要数据安全保护;落实风险评估报告制度要求,积极防范数据安全风险;落实年度报告制度要求,按时主动报送年度汽车数据安全管理情况。因业务需要确需向境外提供重要数据的,应当落实数据出境安全评估制度要求。这就明确了汽车数据拥有“国籍”。
此外,《规定》对汽车数据安全的执法监督以及违规违法行为的惩处,也进行了明确说明,国家有关部门将依据各自职责做好汽车数据安全管理和保障工作,包括开展数据安全评估、数据出境事项抽查核验、智能(网联)汽车网络平台建设等工作。对于违规者,将依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等法律、行政法规的规定进行处罚。
安全是产业发展的第一前提,法规需要走在安全的前面,并随着发展变化进行适时调整,以推动产业健康可持续发展。《规定》的出台和实施,促使企业绷紧“安全”这根弦,让汽车数据采集和使用走出“野蛮时代”,进入规范发展的新阶段。
