本报记者 牛小欧 翟亚男 北京报道
近年来,随着智能化、网联化程度的不断提高,汽车逐渐成为网络数据收集和产生的重要来源之一,甚至与国家安全、国计民生、公共利益等重要问题的安全保障息息相关。今年开始我国更加重视汽车数据安全规范管理,越来越多的相应政策法规相继出台。
就在近日,国家互联网信息办公室(下称“网信办”)、国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合发布了《汽车数据安全管理若干规定(试行)》(下称“《规定》”)。新规落地,为有序开展汽车领域重要数据和个人信息保护工作指明了方向。
保障安全有序的汽车数据系统
《规定》一共分为十九条,包括倡导汽车数据处理者在开展汽车数据处理活动中坚持“车内处理”“默认不收集”“精度范围适用”“脱敏处理”等数据处理原则,减少对汽车数据的无序收集和违规滥用,自2021年10月1日起施行。
国家互联网信息办公室有关负责人表示,出台《规定》旨在规范汽车数据处理活动,保护个人、组织的合法权益,维护国家安全和社会公共利益,促进汽车数据合理开发利用。
有法律界人士向《华夏时报》记者分析指出,相较于网信办2021年5月12日发布的《汽车数据安全管理若干规定(征求意见稿)》,此次《规定》中将原有的“运营者”概念转换为“汽车数据处理者”,“运营者”概念可能是派生自《网络安全法》中的“网络运营者”,而转换为“汽车数据处理者”则更贴近汽车行业实务中对数据的处理模式。
《规定》明确,汽车数据处理者应当履行个人信息保护责任,充分保护个人信息安全和合法权益。汽车数据处理者应当通过显著方式告知个人相关信息,取得个人同意或者符合法律、行政法规规定的其他情形。处理敏感个人信息,汽车数据处理者还应当取得个人单独同意,满足限定处理目的、提示收集状态、终止收集等具体要求或者符合法律、行政法规和强制性国家标准等其他要求。汽车数据处理者具有增强行车安全的目的和充分的必要性,方可收集指纹、声纹、人脸、心律等生物识别特征信息。
《规定》强调,汽车数据处理者开展重要数据处理活动,应当遵守依法在境内存储的规定,加强重要数据安全保护;落实风险评估报告制度要求,积极防范数据安全风险;落实年度报告制度要求,按时主动报送年度汽车数据安全管理情况。因业务需要确需向境外提供重要数据的,汽车数据处理者应当落实数据出境安全评估制度要求,不得超出出境安全评估结论违规向境外提供重要数据,并在年度报告中补充报告相关情况。
此外,《规定》还提出,国家有关部门依据各自职责做好汽车数据安全管理和保障工作,包括开展数据安全评估、数据出境事项抽查核验、智能(网联)汽车网络平台建设等工作。对于违反本规定的汽车数据处理者,有关部门将依照《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律、行政法规的规定进行处罚。
在中国电子技术标准化研究院网络安全研究中心主任姚相振看来,汽车智能化产业正处于高速发展阶段,汽车数据安全问题已经成为产业发展中的焦点问题、难点问题。《规定》的落地实施为构建安全有序的汽车数据生态,推动汽车智能化产业良性发展提供了保障。
后续仍需明确操作细则
随着新一代信息技术与汽车产业加速融合,智能汽车产业、车联网技术的快速发展,以自动辅助驾驶为代表的人工智能技术日益普及,汽车数据处理能力日益增强,暴露出的汽车数据安全问题和风险隐患日益突出。
目前能够收集信息的汽车主要包括智能汽车,自动驾驶、自动座舱、车联网等先进技术都集合于智能汽车之中。从事云端安全方案的公司Upstream Security发布的2020年《汽车信息安全报告》显示,从2016年到2020年1月,汽车信息安全事件的数量增长了605%,仅2019年公开报道的针对智能网联汽车信息安全攻击的事件就达到了155起。目前我国智能网联汽车数量快速增加,预计到2022年,智能网联汽车预计会超过7800万辆。
如此庞大的车辆数据背后其实就是一个巨大的信息数据库。汽车数据是一把双刃剑,在提供便利的同时如果不能合理监管也会对个人隐私和公共安全产生危害,因此,不仅要从数据流通层面进行监管,从数据收集层面也要进行限制,这样才能双管齐下从真正意义上保证数据安全。
全国乘用车市场信息联席会秘书长崔东树表示:“智能汽车产生的数据主要分为两部分,一类是用户数据,主要关于用户个人隐私,如微信上车会涉及到用户账号和访问记录,车内摄像头、车内麦克风等也可能侵犯用户隐私。另外一类是车辆数据,包括地理位置、系统信息、业务相关的数据。在车辆智能化的同时,相应的保障措施也要强化,形成规范体系,在汽车数据安全管理领域出台有针对性的规章制度,明确汽车数据处理者的责任和义务,规范汽车数据处理活动,是防范化解汽车数据安全风险、保障汽车数据依法合理有效利用的需要,也是维护国家安全利益、保护个人合法权益的需要。”
通过对《规定》的梳理,不难看出,后续仍有配套的操作细则需要明确。中国汽车工业协会会大数据分会执行秘书长滕添益认为,相信后续网信办及有关部门将会在《规定》的框架下加紧制定相应的文件,并呼吁企业与各有关部门应更加紧密地沟通与交流,从而促进共识,不断探索安全管理与产业发展相平衡的最佳实践。
业内观点认为,作为我国汽车行业数据安全领域的重要法规,《规定》的施行将确立汽车行业数据安全及治理的基本框架。对于企业合规而言,遵循《规定》相关规则并构建自身的合规体系是非常紧迫的现实需求。随着《规定》的落地与生效,我国汽车产业数据安全领域的监管制度将更为完善。《规定》的施行在短期内看企业需要进行相应的调整,从长远而言,对于企业加强数据安全管理,保障我国汽车产业的安全、健康发展将具有积极意义。
责任编辑:于建平 主编:王大勇