樊华:智能汽车数据合规政策、标准简析
来源:知识产权家
日期:2022/11/08
浏览量:891
2022年9月24日,由《中国知识产权》杂志主办的“第十二届中国知识产权新年论坛暨2022年中国知识产权经理人年会”在京召开。本届新年论坛以“守正创新 聚势谋远”为主题,持续关注企业知识产权管理与法律合规问题。在分论坛一“智能汽车知识产权论坛”上,中国网络安全审查技术与认证中心高级工程师樊华发表了题为“智能汽车数据合规政策、标准简析”的主题演讲。
樊华在演讲中介绍了我国数据安全立法背景及监管趋势,总结了智能汽车领域与数据安全相关的一系列重要政策、标准,并对车企数据合规工作提出了对策建议。大家好,很高兴能在这里分享关于数据安全,特别是智能汽车领域数据安全合规的一些问题,并从网络安全、数据安全领域入手探讨智能汽车的未来发展建设方向。我今天主要会分成两部分向大家分享:第一部分是我国数据安全立法背景和监管趋势;第二部分是智能汽车领域数据安全相关的政策、标准简介。我国已经进入全面的移动互联网时代,移动应用因其及时、快捷和便民的特征得到了广泛应用。据统计,我国移动App的TOP 200排行榜中,占第一位的应用MAU(月活跃用户量)已经突破10亿,这是一个相当惊人的数字;排名第二的应用MAU也已超过7亿。据工信部统计,截至2021年12月份,我国移动互联网接入流量已达到2216.0亿GB,2017-2021年的流量增长极为迅速;移动App数量自2018年达到452万款的高峰后却逐渐下降,截至2021年12月为252万款。这一表面矛盾与数据安全监管有关。近年来,App强制授权、过度索权、超范围收集个人信息的现象普遍存在,个人信息泄露、滥用等情形时有发生,广大网民对此反映强烈。App收集大量用户个人信息,安全问题不容忽视。在《网络安全法》出台之前,2017年,为落实《网络安全法》要求,提升网络运营者的个人信息保护水平,中央网信办、工业和信息化部、公安部、国家标准委开展个人信息保护提升行动之隐私条款专项工作,要求每个App在安装时都应弹出隐私政策的同意界面。2018年,中消协选取了通讯社交、影音播放、网上购物、交易支付、出行导航、金融理财、旅游住宿、新闻阅读、邮箱云盘和拍摄美化10类App进行星级评价,发布测评报告。相比2017年,此次测评不仅审查App是否提示隐私政策,也审查隐私政策文本是否足够全面、适宜阅读。2019年开始,针对广大网民集中反映的App收集个人信息等突出问题,由中央网信办、工业和信息化部、公安部、市场监督管理总局四部门联合发布公告,在全国范围内组织开展App违法违规收集使用个人信息专项治理,并对App收集个人信息进行文本审核、功能试用和技术检测,更全面地检测和挖掘App收集个人信息的隐藏行为。此外,我国监管部门还通过各种手段推进数据安全工作。2021年,网信办网络安全审查办公室发布了对“滴滴出行”启动网络安全审查的公告,从公告中我们看到此次审查主要是由于存在严重违法违规收集使用个人信息问题。2021年年底,修订后的《网络安全审查办法》规定,掌握超过100万用户个人信息的网络平台运营者赴国外上市必须向网络安全审查办公室申报网络安全审查,同时,将核心数据、重要数据以及重大的、数量较多的个人信息泄露列为国家安全风险。2019年3月份和2022年6月份,市场监管总局和网信办两部委又先后发布了关于开展App安全认证的公告和关于开展数据安全管理认证的公告,前者侧重于个人信息,后者侧重于数据安全管理。对于企业而言,完成数据安全管理认证的过程也是熟悉安全合规工作、主动补齐自身数据安全弱点、提升企业数据安全能力的过程。如今,数据安全的监管总体朝着更为严格、更为深入的趋势发展。在通报涉数据安全违法行为的过程当中,监管部门不仅通报App,也会对SDK以及应用市场和操作系统进行通报。这是因为《个人信息保护法》第五十八条对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者设置了守门人义务,要求其不仅要管理自身行为,还应尽到个人信息保护的责任。智能网联汽车本身也是一种平台和系统,未来或许也要担负起守门人义务。此外,监管部门对App的治理工作的成果,会反映到后续制定发布的部门规章、规范性文件、标准当中,我们应积极跟踪了解。随着我国对于数据安全、网络安全的日益重视,近年来,数据安全领域的各类政策、标准、规范性文件、行政法规等陆续出台。2017年,《网络安全法》颁布实施;2021年,《数据安全法》和《个人信息保护法》颁布实施。上述三部法律构成了数据安全领域的“三驾马车”,是该领域的基础性法律。此外,《网络数据安全管理条例(征求意见稿)》同样于2021年发布,正式文本预计将很快与大家见面。《网络安全法》是一部框架性的法律,其对个人信息做了定义,即“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”。这一定义被后来的法律法规和政策文件所广泛引用。同时,《网络安全法》也规定了收集、使用个人信息的基本原则,即“合法、正当、必要”。《数据安全法》是我国第一部数据方面的法规,其明确提出国家建立数据分类分级保护制度。鉴于此,企业也应建立自身的数据分类分级保护制度,明确不同类别、级别数据的保护方法。与此同时,《数据安全法》还提出建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制,数据安全应急处置机制,数据安全审查制度等。这些基础性的制度设计在此后颁布的各项标准与政策文件中将得到逐步落实。在智能汽车领域,与数据安全相关的政策文件,建议从以下几个层面密切关注:从战略层面上,应关注发改委、网信办、科技部、工信部、公安部、财政部、自然资源部、住建部、交通运输部、商务部、市场监管总局于2020年发布的《智能汽车创新发展战略》。该《战略》规划了从当前到2050年我国智能汽车的产业发展蓝图,其中包括了网络和数据安全体系的建设要求。《战略》提出,“建立覆盖智能汽车数据全生命周期的安全管理机制,明确相关主体的数据安全保护责任和具体要求。实行重要数据分类分级管理,确保用户信息、车辆信息、测绘地理信息等数据安全可控。完善数据安全管理制度,加强监督检查,开展数据风险、数据出境安全等评估。”这些表述与《数据安全法》一脉相承。在具体规定层面,应关注网信办、发改委、工信部、公安部、交通运输部于2021年发布的《汽车数据安全管理若干规定(试行)》。该《规定》共19条,指明汽车数据“包括汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据”,要求“汽车数据处理者处理汽车数据应当合法、正当、具体、明确,与汽车的设计、生产、销售、使用、运维等直接相关”,指出“开展汽车数据处理活动造成用户合法权益或者公共利益受到损害的,汽车数据处理者应当依法承担相应责任”。特别地,该《规定》明确了倡导汽车数据处理者在开展汽车数据处理活动中坚持的四条原则:一是车内处理原则,除非确有必要不向车外提供;二是默认不收集原则,除非驾驶人自主设定,每次驾驶时默认设定为不收集状态(对应于《个人信息保护法》中的告知同意原则);三是精度范围适用原则,根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率;四是脱敏处理原则,尽可能进行匿名化、去标识化等处理。对于个人信息,该《规定》强调个人的自主控制以及重要数据的备案控制。在汽车数据出境和监管手段方面,该《规定》强调数据应依法本地化,并对数据出境强制开展安全评估、高水平的安全保障、年度备案。在标准建设方面,应关注工信部于今年发布的《车联网网络安全和数据安全标准体系建设指南》。该《指南》“重点领域及方向”部分一共分为六点,其中第四点“数据安全标准”包括通用要求、分类分级、出境安全、个人信息保护、应用数据安全等5类标准。标准来源于企业的实践经验,如今以自上而下的政策文件形式确定下来,代表了更为细化的要求。今后,汽车企业在开发操作系统等涉及网络安全和数据安全的工作上,应根据上述的标准规范自身行为,将隐私和数据保护作为优先任务。在数据安全方面,我们还应关注工信部于近期发布的《国家车联网产业标准体系建设指南(智能网联汽车)(2022年版)》。该《指南》采用三纵两横的框架结构,其中对网络安全和数据安全的要求贯穿了整个智能感知与信息通信层、决策控制与执行层、资源管理与应用层。在数据安全方面,明确了通用要求、安全要求、安全管理体系规范、安全共享模型与规范、安全共享参考架构方面的国家标准或行业标准;在网络安全方面,明确了汽车整车信息安全技术要求、汽车软件升级通用技术要求、道路车辆信息安全工程、道路车辆网络安全保障等级和目标攻击可行性等方面的国家标准。上述标准部分已发布,部分已立项,还有部分正在预研或申请立项过程中。由于智能汽车收集数据的特殊性,我们还应该关注自然资源部于今年发布的《关于促进智能网联汽车发展维护测绘地理信息安全的通知》。该《通知》规定,“智能网联汽车安装或集成了卫星导航定位接收模块、惯性测量单元、摄像头、激光雷达等传感器后,在运行、服务和道路测试过程中对车辆及周边道路设施空间坐标、影像、点云及其属性信息等测绘地理信息数据进行采集、存储、传输和处理的行为,属于《中华人民共和国测绘法》规定的测绘活动,应当依照测绘法律法规政策进行规范和管理。各类车载传感器以及智能网联汽车的制造、集成、销售等,不属于法定的测绘活动。对智能网联汽车运行、服务和道路测试过程中产生的空间坐标、影像、点云及其属性信息等测绘地理信息数据进行收集、存储、传输和处理者,是测绘活动的行为主体,应遵守相关规定并依法承担相应责任。”同时,智能网联汽车涉及对测绘地理信息数据进行采集、存储、传输和处理的行为的,还应遵守《测绘成果管理条例》《保守国家秘密法》《保守国家秘密法实施条例》《地图管理条例》《地图审核管理规定》等法律法规政策标准,以及全国地理信息标准化技术委员会(TC230)及其下属的分技术委员会制修订的《智能汽车地理信息采集安全技术基本要求》《智能汽车测绘传感系统安全检测基本要求》等强制性国家标准。最后,企业可以参考全国信息安全标准化技术委员会(TC260)制作的大数据安全标准地图,查询已经发布的一些相关标准。该标准地图串联了基础、平台和技术、数据安全、服务安全、应用等业务场景,从检测评估、实施指南、安全要求和基础类等方面分别制定了相关标准。其中,《重要数据识别指南》《数据安全分类分级实施指南》《个人信息去标识化指南》《个人信息去标识化效果分级评估规范》等都是十分值得汽车企业在数据合规过程中参考的文件。智能汽车直接关乎用户的人身安全,其网络安全与数据安全更具特殊性,企业应对此始终保持高度重视。
服务热线
地址
邮箱
专业研究 
热点推荐
