常常说车联⽹⼤数据,那么车联⽹的数据具体都有哪些呢,采集和使⽤的时候会不会涉及⽤户隐私国家安全问题呢?
下⾯⼏个⾏业标准,对车联⽹数据给出了种类划分,及相应采集、存储、应⽤规则。
⽬录
汽车采集数据——⾏业标准⽂件
1. 3715标准。
3751标准为推荐性标准,不具有强制执⾏⼒。
2020年8⽉31⽇,⼯信部于2020年8⽉31⽇发布的通信⾏业标准《车联⽹信息服务 数据安全技术要求》(YD/T 3751-2020)(下称“3751标准”),已于2020年10⽉1⽇起实施。
2. 安全管理若⼲规定。
《若⼲规定》以部门规章的形式,根据《数据安全法》进⼀步完善汽车数据安全管理,并为汽车数据安全
管理提供了⼀定的法律依据。
2021年8⽉16⽇,发改委、⼯信部等五部委发布了《汽车数据安全管理若⼲规定(试⾏)》(下称“《若⼲规定》”),该规定已于2021年10⽉1⽇⽣效。
3. 3746标准
⼯信部还发布了通信⾏业标准《车联⽹信息服务 ⽤户个⼈信息保护要求》(YD/T 3746-2020)[8](下称“3746标准”)。
3746标准与3751标准的思路基本⼀致,规定了车联⽹信息服务中⽤户个⼈信息保护的信息内容分类、敏感性分级和分级保护要求,适⽤于汽车⼚商、零部件和元器件供应商、软件提供商、数据内容提供商和服务提供商等在提供服务过程中的个⼈信息保护。
车联⽹信息服务——数据类型
1. 3751标准:将车联⽹信息服务数据基于其属性或特征,分为六⼤类,并在六⼤类中细分若⼲⼩类。
2. 《若⼲规定》
数据范围上,相较3751标准针对的车联⽹信息服务数据,《若⼲规定》规范的范围扩展到汽车数据。
“汽车数据”的定义为“包括汽车设计、⽣产、销售、使⽤、运维等过程中的涉及个⼈信息数据和重要数据”,并定义了“个⼈信息”、“敏感个⼈信息”和“重要数据”。
“汽车数据处理者” 包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出⾏服务企业等,涵盖了所有车联⽹信息服务提供者。
3. 3746标准
将个⼈信息分为三⼤类:⽤户⾝份证明类信息、车联⽹信息服务内容类⽤户数据信息、⽤户服务相关信息。
进⼀步地,三⼤类中的各细分⼩类将根据车联⽹信息服务中⽤户个⼈信息的敏感程度和在发⽣⽤户个⼈信息泄露或滥⽤等事件后对⽤户⼈⾝
和财产等⽅⾯的危害程度,划分为三个敏感性分级:个⼈⼀般信息、个⼈重要信息、个⼈敏感信息,安全保护要求也逐级递增。
数据保护原则
主要有分类分级保护原则、敏感个⼈信息特殊保护,跨境传输存储特别审核,汽车数据(车内处理,默认不收集,告知同意,精度范围最⼩化,脱敏处理)等。
1. 分类分级保护
分级保护的基本原理是:在不同的处理环节,处理任何敏感等级数据都必须满⾜基本级安全保护要求;重要数据和敏感数据的处理则均需额外满⾜增强级安全保护要求。
2. 敏感个⼈信息特殊保护
《若⼲规定》对第九条对敏感个⼈信息予以特殊保护。特殊要求体现在,
1 处理⽬的直接服务于个⼈⽬的,包括增强⾏车安全、智能驾驶、导航等;
2 要求取得个⼈的单独同意;
3 赋予个⼈⾃主设定同意期限的权利;
4 提⽰收集状态;
5 在个⼈删除权⽅⾯量化规定了⼗个⼯作⽇内删除的时限。
3. 告知同意原则——汽车数据
《若⼲规定》要起汽车数据处理者处理个⼈信息应遵循告知同意原则,应当以显著⽅式告知个⼈。
显著⽅式包括:⽤户⼿册、车载显⽰⾯板、语⾳、汽车相关应⽤程序等。
应告知个⼈的事项范围:
1 处理个⼈信息的种类,包括车辆⾏踪轨迹、驾驶习惯、⾳频、视频、图像和⽣物识别特征等;
2 收集各类个⼈信息的具体情境以及停⽌收集的⽅式和途径;
3 处理各类个⼈信息的⽬的、⽤途、⽅式;
4 个⼈信息保存地点、保存期限,或者确定保存地点、保存期限的规则;
5 查阅、复制其个⼈信息以及删除车内、请求删除已经提供给车外的个⼈信息的⽅式和途径;
6 ⽤户权益事务联系⼈的姓名和联系⽅式;
7 法律、⾏政法规规定的应当告知的其他事项。
不需告知同意原则的数据:
出于保证⾏车安全的需要, 数据条件:
(1) 采集的个⼈信息范围为车外个⼈信息,
(2) 传输⽅向是向车外传输,以及
(3) 个⼈信息应当匿名化处理。
4. 精度范围适⽤原则——汽车数据
根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率。这也是数据采集范围最⼩化原则的体现。
5. 脱敏处理原则——汽车数据
《若⼲规定》要求对于汽车数据尽可能进⾏匿名化、去标识化等处理。
6. 默认不收集原则——汽车数据
《若⼲规定》要求除⾮驾驶⼈⾃主设定,每次驾驶时默认设定为不收集状态。在实现过程中,这要求驾驶系统设计中提供⾃主设定和默认设定的选项。
7. 车内处理原则——汽车数据
《若⼲规定》要求汽车数据除⾮确有必要不向车外提供。该规定契合汽车产业的真实场景,区分了车内和车外场景。当然,真正要实现汽车数据最⼤程度的车内处理,还需要边缘计算、车载芯⽚计算能⼒和车辆本地数据储存能⼒等软硬件⽀持。
8. 跨境传输
《若⼲规定》下的重要数据和个⼈信息数据均涉及境内储存问题。
对提供汽车数据中的重要数据,需要满⾜以下⼏个要求:
汽车投诉网(1)提供必要范围内的重要数据,且不得超出出境安全评估时明确的⽬的、范围、⽅式和数据种类、规模等;(2)通过国家⽹信部门会同国务院有关部门组织的安全评估(3)除履⾏⼀般报告义务外,还需履⾏额外报告义务[9]。
向提供重要数据的汽车数据处理者应当在本规定第⼗三条要求的基础上,补充报告以下情况:(⼀)
接收者的基本情况;(⼆)出境汽车数据的种类、规模、⽬的和必要性;(三)汽车数据在的保存地点、期限、范围和⽅式;(四)涉及向提供汽车数据的⽤户投诉和处理情况;(五)国家⽹信部门会同国务院⼯业和信息化、公安、交通运输等有关部门明确的向提供汽车数据需要报告的其他情况。
发布评论