近日,工信部相关负责人明确指出,随着汽车智能化、网联化的发展,网络数据安全问题凸显,如果监管措施不能及时跟上,将会产生未经授权的个人信息和重要数据采集利用等数据安全问题。因此要加大监管措施,坚守安全底线,优化发展环境。
的确,《网络安全法》、《数据安全法》对数据安全、个人信息保护做了基本规定。汽车数据安全管理领域亟需出台有针对性的规章制度,明确汽车数据处理者的责任和义务,规范汽车数据处理活动,促进汽车数据依法合理有效利用和汽车行业健康有序发展。
最近,在千呼万唤中,国家互联网信息办公室等五部门联合发布了《汽车数据安全管理若干规定(试行)》(以下简称《规定》),聚焦汽车领域个人信息和重要数据的安全风险,就若干重点问题做出规定,自2021年10月1日起施行,给汽车产业数据安全管理指明了方向。
数据几何倍增长 安全问题凸显
汽车产业涉及国家经济、装备制造、金融、交通运输、生产生活等诸多领域,汽车数据规模庞大,同时暴露出的汽车数据安全问题和风险隐患也日益突出。
比如,汽车数据处理者超越实际需要,过度收集重要数据;未经用户同意,违规处理个人信息,特别是敏感个人信息;未经安全评估,违规出境重要数据等。《规定》的出台既是防范化解汽车数据安全风险的实践需要,也是保障汽车数据依法合理有效利用的客观需要。
爱驰汽车首席数据官、资深技术专家李海军指出,燃油车时代,人们通常以出行的便捷为目的,交通工具的可用性、方便性是大多数人关注的重点,机械动力也决定了数据的有限性。随着汽车新四化,用户体验诉求不断加强,汽车传感器数量成倍增长,数据以几何倍速度产生,数据的多样性融合,一时间让我们无法有效、合理、正确地使用这些数据,从而暴露了很多问题。
比如,数据的采集没有具体标准,车企理念不同,对数据诉求也不同,大多以汽车诊断、检测为目的,少数考虑到用户体验诉求,各自按需采集。数据的传输也很随意,车企需要多家配件供应商协作,实现多链路数据通讯,因为各自协议标准不统一,对数据的理解不同,通常无法有效保证数据安全、共享使用。
汽车数据处理应坚持四原则
《规定》中明确了汽车数据是指汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据;所称汽车数据处理,包括汽车数据的收集、存储、使用、加工、传输、提供、公开等,涉及汽车数据处理的全生命周期;还进一步明确了汽车数据中的个人信息、敏感个人信息、重要数据以及汽车数据处理者的含义和类型。
《规定》明确了汽车数据处理者开展汽车数据处理活动的一般要求。主要包括:一是处理汽车数据应当合法、正当、具体、明确,与汽车的设计、生产、销售、使用、运维等直接相关。二是利用互联网等信息网络开展汽车数据处理活动,应当落实网络安全等级保护等制度,加强汽车数据保护,依法履行数据安全义务。三是应当建立投诉举报渠道,设置便捷的投诉举报入口,及时处理用户投诉举报。
《规定》坚持安全和发展并重,倡导汽车数据处理者在开展汽车数据处理活动中坚持“车内处理”、“默认不收集”、“精度范围适用”、“脱敏处理”等原则,减少对汽车数据的无序收集和违规滥用,鼓励汽车数据依法合理有效利用,促进汽车行业健康有序发展。
《规定》亦明确了处理个人信息、敏感个人信息的具体要求。针对个人信息,一是告知义务,二是征得同意义务,三是匿名化要求。
《规定》特别强调,汽车数据处理者开展重要数据处理活动,应当遵守依法在境内存储的规定。
《规定》比《征求意见稿》要求有所放松
汽车行业资深专家张楠指出,实际上,8月发布的《规定》比先前在5月发布的《汽车数据安全管理若干规定(征求意见稿)》(以下简称“《征求意见稿》”),在条款规定上要更为放松。
比如,《征求意见稿》中倡导运营者处理个人信息和重要数据过程中,默认不收集原则,除非确有必要,每次驾驶时默认为不收集状态,驾驶人的同意授权只对本次驾驶有效。这意味着,如的确需要收集驾驶人数据,车企需要在驾驶人每次上车时都要获得其同意,实际操作起来较为繁琐。考虑到车企的接受程度,《规定》中取消了“驾驶人的同意授权只对本次驾驶有效”的时效性规定。
《征求意见稿》提到运营者处理个人信息应当通过用户手册、车载显示面板或其他适当方式,告知负责处理用户权益责任人的有效联系方式;而《规定》中则将告知用户的方式增加为“通过用户手册、车载显示面板、语音、汽车使用相关应用程序等显著方式”,为车企提供了更多可行途径,也为车企应对降低了成本,更加符合汽车行业现实。
李海军认为,《规定》明确了消费者对个人隐私信息、出行轨迹数据,以及日常驾驶行为、车内应用场景数据,具有知情权、处理权,个人根据自己体验需求,可以自由、灵活地决定数据是否被采集、采集多少;针对这些采集的数据也具有要求删除的权利,数据所有权归属用户个人。
对于车企来说,将会在用户知晓并被授权的情况下,以增强用户体验服务为目的,获取用户出行、驾乘数据;这些数据如何使用,向第三方服务商或者公共渠道提供数据公开等也将被约束。而对于整个汽车行业产业链,将会建立起从用户到车企再到供应商、第三方服务商的全方位安全网,数据安全主管部门参与监管,切实保护用户隐私和国家信息安全。
车企积极应对、主动达标
对于车企如何提升数据安全管理,李海军表示,爱驰汽车从成立之初,就坚守欧盟GDPR和国家的安全标准,针对各项安全指标做到一一认证,接下来借助这些经验,达到国家的安全标准相对容易很多。
李海军建议,车企应当做到数据采集及时脱敏,从源头避免重要信息泄漏。传输过程做好数据安全加密,数据一致性校验;个人数据和车辆数据,多任务分离传输。同时以服务用户为中心,具体场景具体处理,多问用户是否愿意授权数据采集;数据是否被过度采集,为企业自身利益而为之;要给到用户合理的、足够的权限,能够决定自己数据的去向。
张楠则建议,务必落实网络安全等制度,开展汽车数据相关关键信息系统风险评估工作和报告制度,建立汽车数据投诉举报系统并及时响应和处理用户投诉、审核删除用户要求删除的数据;做好汽车产品规划,筛查采集用户数量的类型,非必要不采集、默认不采集。
加大信息安全技术研发投入,加快匿名化、去标识化、轮廓化等关键脱敏技术的研发落地工作;针对未上市的车型,建议通过产品手册、车机系统、车主App等途径履行告知义务,发布告知内容,征得用户同意,通过车机大屏、车主App等方式提供数据终止采集、期限设定的渠道。
针对已上市车型确已采集个人信息的,需对该款车型进行合规性整改,加装交互设备、开发交互系统等方式满足《规定》要求;建立端内数据存储机制;评估出境数据的必要性,数据非必要不出境,必须出境的,应尽早联系国家网信部门进行安全评估,取得出境许可。(郝文丽)