03
汽車數據安全標準通用技術要求
當前汽車數據安全標準中��,一般將汽車的數據分為2類:個人信息和重要數據��。其中��,個人信息主要是指以電子或者其它方式記錄的與已識別或者可識別的自然人有關的各種信息����,不包括匿名化處理后的信息。個人信息包含個人敏感信息(一旦泄露或者非法使用�,可能導致車主、駕駛人���、乘車人�、車外人員等受到歧視或者人身��、財產安全受到嚴重危害的個人信息�����,包括車輛行蹤軌跡����、音頻、視頻�、圖像和生物識別特征等信息)和個人一般信息。重要數據主要是指一旦遭到篡改�、破壞��、泄露或者非法獲取��、非法利用����,可能危害國家安全��、公共利益或者個人��、組織合法權益的數據�。
綜合各標準來看,完整的數據處理活動一般包括數據的收集��、存儲��、使用��、加工�、傳輸、提供����、公開、刪除等過程���。同時��,標準中也對數據處理記錄��、汽車出境����、匿名化�����、數據處理風險評估等方面進行了要求��。
在數據收集階段��,一般要求數據收集應遵循合法��、正當�、必要的原則,得到數據主體的明示同意����;數據收集方需要向用戶明示收集的目的、方式和范圍��,保持透明度;數據采集設備的精度不能超出功能所需����,避免過度采集信息。
在數據存儲階段�,需要采取適當的措施存儲數據;確保存儲數據的保密性���、訪問可控���、不可篡改;存儲期限應在用戶同意的期限內�����。
在數據傳輸階段�����,大多標準要求對數據采用安全的加密方案����,確保數據傳輸的完整性、保密性、真實性�����。
在數據刪除階段����,應提供用戶自主刪除個人信息的路徑并告知刪除的影響��;數據存儲時間超出用戶同意范圍后�����,需進行數據刪除��;確保數據刪除后不可恢復�����。
同時��,對于特定場景的數據處理活動���,需要進行記錄����,且記錄內容要符合相關標準的規(guī)定,如數據處理活動類型��、時間等�����。
隨著汽車出境業(yè)務的增加����,為了防止車輛數據直接出境造成數據泄露,各標準也對汽車數據出境進行了一定的要求��,通信包中不能夠包含境外IP地址�����;需要出境的數據必須進行全面的風險評估����,根據其風險結果確認其是否適合出境或需要采取一定的防護措施。
當前眾多標準提出需將車外采集信息中的人臉�����、車牌等進行匿名化或去標識化。匿名化是指個人信息經處理無法識別特定自然人且不能復原的過程��?����!吨悄芫W聯汽車 數據通用要求》(征求意見稿)對車牌及人臉匿名化處理的要求�����,給出了詳細的技術指標要求(檢出率��、誤檢率�、交并比等)����,能夠更加準確地指導汽車數據處理者進行匿名化工作。
部分標準還要求進行汽車數據在處理前�,需要先進行汽車數據風險評估,一般包括汽車數據識別��、數據處理安全風險識別�����、風險分析及評估等。
04
汽車數據安全標準實施難點
1. 汽車數據安全技術仍需提升���。盡管當前汽車數據安全技術隨著法規(guī)標準的頒布已經顯著得到提升�����,但是隨著智能網聯汽車的普及攻擊技術的提高�����,數據安全的復雜性及潛在風險也日益增加�����。當前需要不斷提升技術水平����,強化車輛網絡防御機制��,采用先進的加密技術和安全標準�����。
2. 汽車數據安全監(jiān)管需要加強�。監(jiān)管部門應加強對汽車制造商及服務提供商的監(jiān)管���,對上市車輛進行數據安全檢測,推動汽車處理者提高數據安全保障�,提供更加透明的數據使用政策,提高用戶知情權及隱私保護����。
隨著全球范圍內汽車數據安全標準的發(fā)展,汽車產業(yè)鏈中的汽車制造商��、技術提供商等逐漸認識到數據安全的重要性����,積極采用先進的加密技術、建立安全管理體系�。然而由于技術的迅速發(fā)展和不斷涌現的威脅���,標準制定和法規(guī)體系仍在不斷地調整和完善�,需要不斷地國際協(xié)作和創(chuàng)新�,以適應快速變化的汽車行業(yè)和數字化時代的挑戰(zhàn)。
參考文獻:
[1] 《中華人民共和國網絡安全法》
[2] 《中華人民共和國數據安全法》
[3] 《中華人民共和國個人信息保護法》
[4] 《汽車數據安全管理若干規(guī)定(試行)》
[5] 《智能網聯汽車 數據通用要求》(征求意見稿)
[6]《汽車整車信息安全技術要求》
[7] GB/T 40855-2021《電動汽車遠程服務與管理系統(tǒng)信息安全技術要求及試驗方法》
[8] GB/T 40856-2021《車載信息交互系統(tǒng)信息安全技術要求及試驗方法》
[9] GB/T 40857-2021《汽車網關信息安全技術要求及試驗方法》
