准入自查来袭!车企如何对焦监管重点
随着新兴科技、数字经济的高速发展,智能网联汽车已超越传统,成为全球汽车产业发展战略方向和制高点。智能化、网联化带来前所未有的便利与美好体验的同时,也带来了数据安全、网络安全等隐患,助推汽车行业进入强监管时代。
2021年8月12日,工信部发布《关于加强智能网联汽车生产企业及产品准入管理的意见》,旨在从最根本的「准入」环节下手,强化汽车数据安全、网络安全、软件在线升级、驾驶辅助功能等管理。
不符合要求的,将可能失去汽车生产资质。
为此,工信部装备工业发展中心于2021年9月13日发出《关于开展汽车数据安全、网络安全等自查工作的通知》(简称“通知”),要求整车生产企业(简称“车企”)限时自查。
本文借自查,看汽车行业监管重点,拟从数据安全的角度,分析监管要求、提供合规建议,供车企参考借鉴。
根据《通知》,本次自查,针对汽车数据安全,主要围绕以下几个方面进行:
1. 自查范围
获得道路机动车辆生产企业准入许可的汽车整车生产企业。
2. 自查内容
①汽车数据处理活动:
「数据」指车企在汽车设计、生产、销售、使用、运维等全链条中,处理的个人信息数据、重要数据。「数据处理」,包含数据的收集、存储、使用、加工、传输、提供、公开等情况。
②数据安全管理制度体系:
针对数据安全,有无依法建立全流程的管理制度。
③责任部门及人员配置:
车企有无设置专门的部门、人员,负责数据安全工作。
④数据资产管理台账、分类分级管理:
车企是否根据数据的内容、重要程度、出现泄漏等安全事件时的影响程度等,对数据归类、定级,分级保护。
⑤数据安全保护技术措施:
车企有效保护、合法利用数据的技术措施,如匿名化、去标识化、加密、完整性保护等。
⑥数据安全事件报告机制:
对数据安全事件的风险识别、应急预案、解决机制等。
⑦数据安全风险评估:
车企在处理重要数据时,是否开展数据安全影响评估(DPIA),对可能存在的风险及影响进行监测,并做好相应处理。
⑧数据收集、存储:
车企是否在境内收集、产生个人信息和重要数据,收集了哪些数据,是否存储在境内,存储的技术保护措施等。
⑨数据跨境:
车企是否将个人信息和重要数据内容跨境传输,如有,需说明最近一次出境时间、出境频率、出境是否开展过安全评估等情况。
自查内容,透露监管重点,下文将从「安全管理制度、分类分级保护、技术措施、报告机制、安全风险评估、境内存储与跨境传输」6个监管重点,根据监管概况,提出相关建议
重点1:数据安全管理制度
数据安全管理制度体系,是车企运营过程中,落实数据安全合规、处理合规的理论保障及实践标准,《数据安全法》、《网络安全法》、《个人信息保护法》、《汽车数据安全管理若干规定(试行)》均有相关规定,要求车企建立全流程数据安全管理制度。
建立全面、有效的制度体系,车企应结合自身业务与监管要求,可从「管理、人员、运营、持续合规」,4大体系,分类制定:
①管理体系:
建立《数据内部管理制度》、《数据分类分级管理制度》、《审批和访问权限制度》等,从战略层面,自上而下对企业数据安全管理进行方向性、统领性、原则性把控,为各项具体制度的设定,确立整体框架及宏观标准。
②人员体系:
建立《数据从业人员定期培训制度》、《重要数据安全负责人与管理机构制度》等,明确人员架构及层级、落实责任主体,保障人员专业性。
③运营体系:
针对数据处理全流程(收集、存储、使用、加工、传输、提供、公开、删除等)设置相应制度,如《数据处理事先风险评估制度》等,以确保各项业务在各数据处理环节中,保持安全、合规状态。
同时,车企应特别注意,在对外合作中,应将数据合规要求及措施,通过商业协议等方式,推及各合作方,形成安全闭环。
④持续安全合规:
可建立《数据安全应急预案制度》、《定期风险评估制度》等,同时,应设置与监管部门畅通的沟通机制,及时备案、报告,保障数据合规的长效化。
重点2:数据分类分级保护
智能网联汽车时代,数据是汽车的「燃料」,而汽车已成为数据的「生产线」。
据不完全统计,每辆车每天产生的数据达50G-250G。然而,面对海量数据,很多车企不分类、不分级、不区分保护等级,造成使用混乱、安全隐患潜藏。
2021年,《数据安全法》从国家层面确立了数据分类分级保护制度,但具体标准未明确,只有较少非强制性规范,其中:
①国家数据安全管理层面:
2021年12月,《TC260-PG-20212A 网络安全标准实践指南-网络数据分类分级指引》公布,明确了数据分类分级「五原则」(合法合规、分类多维、分级明确、就高从严、动态调整),并根据数据主体、影响程度,将数据分「五类三级」:
五类:公民个人维度、公共管理维度、信息传播维度、行业领域维度、组织运营维度
三级:核心数据、重要数据及一般数据(一般数据从高到低分为4 级、3级、2级、1级共四个级别)
②智能网联汽车领域:
车企可参考2021年7月19日发布的团体标准《智能网联汽车数据共享安全要求》(T/TIAA 101-2021),该要求由国家工业信息安全发展研究中心参与、二十余家机构共同编制,针对智能网联汽车数据分类、分级,明确了数据安全等级。包括:
分类:根据数据来源,分为「车厂数据」、「第三方数据」;同时,根据数据的作用场景、影响范围、关联性等因素,将数据进一步细分:
分级:根据数据影响程度、应用场景,将数据安全等级分为「完全公开、慎重公开、一般、敏感、秘密」五级。
以上规范,车企可结合公司实际情况,参考使用。
整体而言,数据分类分级,是车企「基本功」,是风险识别的基础,贯穿汽车设计、生产、销售、使用、运维等全过程,及数据处理的全生命周期。
强监管下,车企应建立健全日常数据资产台账,对不同类型、等级的数据,分别存储、分级保护、差异性管理,既要把控风险,又避免过度限制,保障数据依法有序自由流动。
重点3:数据安全保护技术措施
数据安全,需技术作支撑。在汽车数据收集到销毁的全生命周期中,重要数据、个人信息均存在被泄露、毁损、丢失、篡改、误用、滥用等风险,轻则关系个人权益,重则牵涉国家安全。
车企除制定有效管理制度外,更需在技术层面,加强安全保障水平及力度。
根据《汽车数据安全管理若干规定(试行)》对规定,脱敏处理是汽车数据处理原则之一,车企应尽可能进行匿名化、去标识化等处理。
同时,根据所处理的数据敏感程度不同,应采取不同的技术手段对数据进行分类存储、加密传输等,确保数据处于有效保护、合法利用状态。
重点4:数据安全事件报告机制
纵观全球,数据泄漏等重大事件频发,不少企业被处亿级罚金。
如2018年英国航空公司数据泄露事件被罚约 2.04 亿欧元(约14.6亿人民币)、万豪集团数据泄露事件被罚1.1亿欧元(约7.9亿人民币)。
我国《数据安全法》规定,开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
数据安全应急预案,车企应「技术」与「制度」两手抓。
①制度层面
明确安全事件处理方案、报告机制、人员设置等,同时,加强应急响应培训和演练,定期落实风险监测及识别机制,强化数据安全监测预警和应急处置能力建设。
②技术层面
提升数据异常流动分析、违规跨境传输监测、安全事件追踪溯源等技术水平,将风险和损失及时控制在最小限度内。
重点5:重要数据安全风险评估
《汽车数据安全管理若干规定(试行)》,明确车企开展重要数据处理活动,应当进行风险评估,并向监管部门报送风险评估报告。
《规定》对「重大数据」及「处理活动」的定义,以及风险报告需载明的内容,均有明确规定,但对于风险评估方式、评估内容,现行监管制度中,暂无定性定量的评估标准。
实践中,建议车企结合企业实际情况,从重要数据的种类、数量、范围、保存地点与期限、使用方式、开展数据处理活动情况、是否向第三方提供、面临的数据安全风险及其应对措施等方面,进行逐项评估,以确保重大数据处理活动在安全、合规的前提下进行。
重点6:境内储存与跨境传输
关于数据存储,《个人信息保护法》、《汽车数据安全管理若干规定(试行)》等,均要求重要数据、个人信息数据,原则依法应当我国在境内储存。对于数据出境,采取审慎态度。
个人信息出境,《个人信息保护法》规定,在因业务等需要的前提下,具备「国家网信部门组织的安全评估」、「经专业机构进行个人信息保护认证」、「按照标准合同与境外接收方订立合同」等条件之一,并取得个人的单独同意,可以将个人信息进行跨境传输。
重要数据出境,《汽车数据安全管理若干规定(试行)》规定,若因业务需要,确需向境外提供的,须经监管部门出境安全评估,可以出境,但不得超出出境安全评估时明确的目的、范围、方式和数据种类、规模等。
2021年7月2日,网络安全审查办公室对「滴滴出行」实施网络安全审查(主要问题为重要数据出境),审查期间「滴滴出行」从各大App应用商场下架,并停止新用户注册。
虽然滴滴并非本文所称的汽车整车生产企业,但滴滴收集的个人数据、重要数据与整车生产企业的数据大同小异,滴滴事件值得广大车企引以为鉴。
2021年10月11日,安标委发布《汽车采集数据处理安全指南》(简称指南),进一步缩紧汽车数据出境的口子,明确「汽车采集数据」中的「车外数据」、「座舱数据」、「位置轨迹数据」不可出境,而该等数据包含部分个人信息、敏感个人信息、重要数据。
该指南在上位法的大框架下,从汽车行业发展实际出发,切中数据安全弊病,提出更为严格、明确等要求。足以体现监管对数据出境的重视与谨慎,车企在涉及数据出境时,建议严格遵照执行。
汽车产业在数字经济时代的大背景下转型升级,数据价值与数据安全,是监管天平的两端,持续强监管已成必然。
在智能网联汽车的赛道上,谁把握了数据合规,谁就占据了领跑前线。保持数据在安全、合规的状态下依法有效利用,是车企长效发展的保障,也是核心竞争力。
