赵 津 赵鹏超 谢卉瑜 谢 蓉
(中汽数据(天津)有限公司,天津300300交强险
)摘要:随着智能网联汽车的飞速发展,智能汽车数据安全问题已成为行业关注的焦点㊂在‘数据安全法“‘网络安全法“‘汽车数据安全管理若干规定(试行)“等法律法规的基础上,对汽车数据安全管理分类分级方法进行了分析㊂为建立完善的数据安全体系,对数据安全管理分类分级提出了建议,以期帮助企业建立完善的数据管理机制,保障数据安全,促进数据的开发利用㊂
关键词:智能网联汽车;数据安全;数据管理机制
作者简介:赵津(1994 )
,本科,工程师,主要研究方向为智能网联汽车产业发展及其政策标准研究㊂0 前言
智能网联汽车通过传感器采集信息,有数据类型多㊁持续时间长㊁收集体量大等特点㊂随着汽车智能化
㊁网联化程度日益提高,收集及处理的数据体量增大,数据安全隐患也日益突出㊂由于收集的数据类型不同,应用主体和利用价值也存在差异,应根据数据的安全级别予以区别处理㊂2021年9月1日起正式施行的‘数据安全法“是一部统筹数字经济时代 安全与发展 并重的法律,标志着数据经济无序发展时代的结束,为数据处理全生命周期提供了保障㊂‘数据安全法“的实施规范了数据的开发㊁使用和数据处理,确保了数据的安全,既对个人㊁企业的合法权益进行了保障,也维护了国家安全和主权完整㊂企业的数据处理活动应遵守以下4项监管要求:①对数据实行出口管制制度㊂按照出口管制的规则判定该数据属于管制物项,应实施出口管制㊂②对数据进行风险监测及评估㊂企业处理的重要数据,应定期对其进行风险评估,并将评估报告报送至主管部门㊂③明确数据安全负责人和管理机构㊂企业应成立数据安全机构,并且明确数据安全机构的负责人,对数据安全全面负责,同时综合提升相关人员的安全管理水平,定期对相关从业人员进行安全教育和技能培训,并匹配相当的职责㊂④建立数据分级分类保护制度㊂国家统筹协调重要数据目录的制定,对国家核心数据进
行重点识别,建立分级分类保护制度[
1]
㊂国家核心数据这一概念在‘数据安全法“中首次提出,也是从国家法律法规层面对数据分类进一步的细分㊂在数据分级分类方面,参考了网络安全等级保护评测制度,分行业㊁分属性,阶段性地推进实施㊂
随着‘数据安全法“的出台,有关数据安全方面的部门规章密集性落地,国家各管理部门将自动驾驶数据的安全防护与监管提升到前所未有的高度㊂‘汽车数据安全管理若干规定(试行)“(以下简称 规定 )是由国家互联网信息办公室㊁发展和改革委员会㊁工业和信息化部㊁公安部㊁交通运输部等五部门联合发布的规定㊂该规定体现了管理规则层面上的接榫和自洽,对企业数据安全管理提出了具体的要求㊂
智能网联汽车产业链中参与主体众多,不同主体涉及的数据性质也不同,数据安全风险等级也不尽相同㊂开展数据安全管理首先要识别数据特性及业务使用场景等因素㊂企业应分析自身所处行业的发展特点㊁企业经营能力㊁组织特点㊁技术与管理能力㊁数据敏感度等,结合自身情况对内部数据进行分类分级,建立相应的数据管理制度,综合考虑数据安全管理的总体目标和安全策略要求,对不同级别㊁不同类型的数据,匹配相应的技术管控措施㊂对于已经建立分级分类管理体系的企业,需要根据重要数据目录的颁布情况对现有体系进行适当调整㊂1 数据分类分级概述
目前,无论是现行的法律㊁行政法规还是部门规
52
2022 NO.2
汽车与新动力
19座校车多少钱
Copyright©博看网. All Rights Reserved.
章,对数据分类分级的具体标准都未进行明确的要求,作为后续数据保护策略部署的基础,数据分类分级的准确性在制定相关标准阶段尤为重要㊂研究制定智能网联汽车数据分类分级规则,有助于企业明确国家安全和个人隐私保护的最小数据收集边界,可为企业建立数据管理制度提供指导㊂
1.1数据分类
根据数据关联性分析,通常汽车数据可以分为2大类㊂①关于车辆本身的基础数据,包括各传统部件的数据㊁自动驾驶软硬件数据和车辆外部的数据等;
②与用户相关的个人信息数据,包括驾驶人的身份信息㊁使用车辆过程中产生的行为数据㊁人脸和语音数据㊁车外人流数据等[2]㊂
1.2数据分级
从政府监管层面来看,合理的数据分级标准,可以使数据监管更加高效,也可以规避因对数据价值的错估而导致的不确定风险;从企业管理层面来看,统一的数据分级标准,既可以指导企业建立合理的数据安全防护等级,又可以使企业提高数据管理效率,降低防护成本㊂因此,数据分级标准的制定是提高数据效率,降低数据安全风险的有效手段,是建立数据全生命周期安全保护框架的基础,有助于
补胎胶水智能网联汽车行业根据数据分级标准制定有针对性的数据安全管控措施㊂
2智能网联汽车分类分级规则
数据的分类与数据的分级密切相关㊂数据分类分级是数据安全管理的基础性工作,其最终目标是基于分类分级结果配置差异化的安全策略和技术保障手段,从而实现数据的有序流动与安全保障㊂数据分类分级标准化工作思路应按照 急用先行 从易入难 的原则进行制定㊂从基础电信业务着手,同时选取重点互联网业务,研究制定数据分类分级和重要数据识别标准,逐步形成 1+N 的数据分类分级标准体系㊂根据国家数据安全和个人信息保护的立法内容㊁数据管理技术经验和行业实践,对智能网联汽车数据管理进行分类分级[3]㊂
2.1智能网联汽车数据分类
根据智能网联汽车数据系统功能及应用主体不同,可将数据分为车辆基本数据㊁感知数据㊁决策数据㊁运行数据㊁用户数据等5类㊂目前,关于用户数据的分类判定最为迫切㊂工业和信息化部在2020年8月批准发布了2项行业标准,分别为‘车联网信息服务数据安全技术要求“(Y D/T3751 2020)和‘车联网信息服务用户个人信息保护要求“(Y D/T3746 2020),并对用户一般数据与隐私数据进行了分类,如表1所示㊂
表1用户一般数据与隐私数据的分类
数据分类具体内容
宝马523li用户一般数据
•电话号码
•邮箱
•车辆防碰撞预警服务中的个人信息
•红绿灯车速引导过程中的个人信息用户隐私数据
•车辆位置和行踪轨迹
•驾驶人或乘车人的音频和视频
•个人生物识别信息:指纹㊁人脸㊁声纹㊁心律㊁虹膜
沃尔沃s90论坛•个人身份信息:身份证㊁驾驶证㊁社保卡
•车联网交易信息:交易账号㊁密码和交易记录2.2智能网联汽车数据分级
目前,智能网联汽车领域数据分级标准还在制定过程中㊂参照‘信息安全等级保护管理办法“,智能网联汽车数据安全级别从低到高划分为1~4级,级别越高表明影响面越广㊁影响后果越严重,如表2所示㊂第1级,数据的安全防护遭到破坏后,对企业权益及个人隐私造成轻微影响,对公众权益和国家安全未产生影响;第2级,在数据的安全防护遭到破坏后,未对国家安全产生影响,对企业合法权益及个人隐私造成中等影响,对公众权益造成轻微或中等影响;第3级,数据安全防护遭到破坏后,国家重要的安全保卫工作受到局部影响,引发危害社会秩序和公共利益的事件,引发小范围体事件,对智能网联汽车企业业务造成重大影响;第4级,数据安全防护遭到破坏后,对公众权益表2智能网联汽车数据安全分级
安全级别
数据安全级别的定义
影响对象影响程度
1个人隐私轻微
企业合法权益轻微
2
公众权益轻微/中等
个人隐私中等
企业合法权益中等
3
国家安全轻微/中等
公众权益严重
个人隐私严重
企业合法权益严重
4国家安全严重/非常严重
公众权益非常严重
53
汽车与新动力
Copyright©博看网. All Rights Reserved.
造成非常严重的影响,对国家安全产生严重的影响㊂因此,企业应确定数据的重要性和敏感度,有针对性地采取适当㊁合理的管控措施,建立企业数据中心,开展相关数据的处理工作㊂
3 智能网联汽车数据安全管理办法
3.1 开展数据分类分级探索
企业应根据数据的属性和数据对企业业务的重要程度进行数据分类,并按照数据管理要求进行数据分级,如分为公开㊁内部㊁机密㊁绝密等类别㊂数据分级应明确其格式和适用范围,对于不同级别的数据,应探索制定相应的数据保护措施㊂
3.2 建立重要数据及核心数据保护制度
合理规范的数据分类分级方法有助于企业对数据资产进行评估和保护,降低重要数据及核心数据遭受篡改㊁破坏㊁泄露㊁丢失,甚至被非法利用的风险㊂通过对数据进行分类分级,并对不同类别和级别的数据匹配不同的安全保护规则,可以有效确保数据的安全㊂
根据数据分类分级方案,企业可对与国家安全㊁企业合法权益至关重要的数据提高安全级别,赋予最高要求的安全保护规则,最终实现对重要数据及核心数据的保护㊂此外,智能网联汽车企业应当与国家制定的 重要数据目录 保持一致,相应制定和调整企业内部数据分类分级标准,调整企业所采用的数据安全保护措施,与国家制定的个人信息和重要数据安全保护措施相
匹配[
4]
㊂3.3 设立数据安全管理机构
企业应当重视数据安全,设立独立的数据安全管理部门,并由企业法人担任部门的第一负责人,落实数据安全保护责任制度㊂在部门设置中,应充分考虑 权责一致 ,既要使该部门承担‘数据安全法“规定的法律义务,对企业数据处理活动承担责任,也要赋予其足够的权利,包括获得各个业务部门的支持
和配合,对于高风险的数据处理场景业务具有决策权等㊂考虑到‘网络安全法“有设立网络安全负责人制度的明确要求,建议企业可以联合数据安全与网络安全管理部门,统筹实施‘网络安全法“的法规要求㊂4 结语
江南奥拓报价本文全面阐述了智能网联汽车数据安全管理的重要性,对汽车数据安全管理分类分级规则进行了剖析,提出了有利于汽车数据安全管理分类分级的建议,以期对智能网联汽车数据安全管理的发展能有一定借鉴意义㊂
参 考 文 献
[1]洪延青.国家安全视野中的数据分类分级保护[J ].中国法律评论,2021(5):71-78.
[2]张峰,于乐,马禹昇,等.数据安全分类分级研究与实践[J ].信息通信技术与政策,2021,47(8):45-50.[3
]高磊,赵章界,林野丽,等.基于‘数据安全法“的数据分类分级方法研究[J ].信息安全研究,2021,7(10):933-940.[4]侯利阳,贺斯迈.如何对数据进行分类分级保护[J ].检察风云,2020,(19):14-15.
54
汽车与新动力
Copyright©博看网. All Rights Reserved.
发布评论