汽车数据在智能交通系统中扮演着重要角色。汽车数据安全,即确保车辆和车主的个人信息以及车辆数据不受到未经授权的访问、篡改或泄露,是当前车联网产业下个人信息保护与数据安全工作的重中之重。
近年来,我国从立法与标准规范制定两个层面,不断加强汽车数据安全规范体系的构建,并形成以下框架。
汽车数据安全法律法规框架
国家法律:
《个人信息保护法》
《数据安全法》
《网络安全法》
《测绘法》
《保密法》
法规、部门规章及指导性文件:
《汽车数据安全管理若干规定(试行)》
《关于加强智能网联汽车生产企业及产品准入管理的意见》
《关于加强车联网网络安全和数据安全工作的通知》
《网络安全审查办法》
《网络数据安全管理条例 (征求意见稿)》
车联网产业标准框架
国家标准:
《国家车联网产业标准体系建设指南 (总体要求) 》
《国家车联网产业标准体系建设指南(智能网联汽车) 》
国家车联网产业标准体系建设指南(信息通信)》
国家车联网产业标准体系建设指南(电子产品与服务)》
《汽车采集数据处理安全指南》
行业标准:
《智能网联汽车数据安全共享模型与规范(征求意见稿)》
《车联网信息服务用户个人信息保护要求》
《机动车保险车联网数据采集规范》
《工业控制系统信息安全防护指南》
图:车联网产业标准体系建设结构图
汽车数据涉及的类型
根据2021年国家网信办等五部委发布的《汽车数据安全管理若干规定(试行)》规定,汽车数据包括汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据。
具体而言,汽车数据涉及以下类型:
个人信息,指以电子或者其他方式记录的与已识别或者可识别的车主、驾驶人、乘车人、车外人员等有关的各种信息,不包括匿名化处理后的信息。
敏感个人信息,是指一旦泄露或者非法使用,可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的个人信息,包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。
重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益的数据,包括:
(一)军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据;
(二)车辆流量、物流等反映经济运行情况的数据;
(三)汽车充电网的运行数据;
(四)包含人脸信息、车牌信息等的车外视频、图像数据;
(五)涉及个人信息主体超过10万人的个人信息;
(六)国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。
此外,工业和信息化部《关于加强车联网网络安全和数据安全工作的通知》对“车联网”、“智能网联汽车”进行定义。
其中,车联网是新一代网络通信技术与汽车、电子、道路交通运输等领域深度融合的新兴产业形态。
智能网联汽车是搭载先进的车载传感器、控制器、执行器等装置,并融合现代通信与网络技术,实现车与车、路、人、云端等智能信息交换、共享,具备复杂环境感知、智能决策、协同控制等功能,可实现“安全、高效、舒适、节能”行驶的新一代汽车。
汽车数据的特征
车联网数据具有多样性、实时性、大数据量、高维度、时空关联性和个人信息敏感性、保密性等特征。
(1)多样性:车联网数据来源于不同类型的传感器和设备,包括车辆自身的传感器(如车速、加速度、刹车等)、GPS定位系统、交通基础设施传感器等。不同类型数据的集合决定了车联网数据的多样性。
(2)实时性:车联网数据通常是实时生成的。例如,车辆状态信息、驾驶行为数据等都是在车辆运行时实时采集的,可以提供即时的反馈和决策支持。
(3)大数据量:随着车联网技术的普及和应用,车辆产生的数据量呈指数级增长。大规模的车联网数据需要有效的存储和处理能力,以支持数据分析和应用。
(4)高维度:车联网数据通常具有高维度的特点,包含丰富的信息。例如,一个车辆的数据中包含了位置、速度、油耗、发动机转速、刹车压力等多个维度的信息,这些信息可以用于驾驶行为分析、车辆健康监测等应用。
(5)时空关联性:车联网数据具有明显的时空关联性。通过分析车辆之间的数据,可以了解交通拥堵情况、道路状况等。同时,通过对同一车辆历史数据的分析,可以了解驾驶员的行为习惯和车辆的健康状态。
(6)敏感性:车联网数据中包含了大量的个人信息和位置信息,涉及到用户隐私。因此,在处理和使用车联网数据时需要遵守相关的法律法规,保护用户的隐私权益。
(7)保密性:智能网联汽车收集、使用的公共交通数据与地图数据,往往是涉及国家安全的相关数据,需要通过《测绘法》与《保密法》予以规制;此外,车联网数据还可能属于《数据安全法》中重要数据的范畴。但凡涉及国家安全与公共利益的数据,应当严格遵守保密性规定。
汽车数据的重要性
汽车数据在智能交通系统中扮演着重要角色,具有以下几点重要性:
其一,实时监控和调度。通过汽车数据,可以实时监控车辆的位置、状态和行驶情况,帮助交通管理部门进行交通流量调度、拥堵疏导等工作,提高道路利用率和交通效率。
其二,提升驾驶安全。汽车数据可以记录驾驶行为数据,如急加速、急刹车、超速等,通过分析这些数据可以为驾驶员提供驾驶行为评估和安全提示,降低交通事故发生率。
其三,实现智能导航和路径规划。汽车数据可以提供实时的路况信息、交通拥堵情况等,帮助驾驶员选择最佳的行驶路径,节约时间和燃料成本。
其四,支持自动驾驶技术。汽车数据是自动驾驶技术的基础,通过车辆之间和车辆与基础设施之间的数据交换和通信,实现车辆间的协同行驶和智能决策,提升道路安全性和交通效率。
其五,提供个性化服务。通过分析汽车数据,可以为驾驶员提供个性化的车辆维护提醒、驾驶建议等服务,提升驾驶体验和车辆的可靠性。
汽车数据处理者的责任义务
汽车数据处理活动的原则:
根据《汽车数据安全管理若干规定(试行)》的规定,汽车数据处理者在开展汽车数据处理活动时,应坚持以下四项原则:
(一)车内处理原则,除非确有必要不向车外提供;
(二)默认不收集原则,除非驾驶人自主设定,每次驾驶时默认设定为不收集状态;
(三)精度范围适用原则,根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率;
(四)脱敏处理原则,尽可能进行匿名化、去标识化等处理。
处理个人信息的告知义务:
汽车数据处理者在处理个人信息时,应当通过用户手册、车载显示面板、语音、汽车使用相关应用程序等显著方式,告知个人以下事项:
(一)处理个人信息的种类,包括车辆行踪轨迹、驾驶习惯、音频、视频、图像和生物识别特征等;
(二)收集各类个人信息的具体情境以及停止收集的方式和途径;
(三)处理各类个人信息的目的、用途、方式;
(四)个人信息保存地点、保存期限,或者确定保存地点、保存期限的规则;
(五)查阅、复制其个人信息以及删除车内、请求删除已经提供给车外的个人信息的方式和途径;
(六)用户权益事务联系人的姓名和联系方式;
(七)法律、行政法规规定的应当告知的其他事项。
车外个人信息采集的匿名化处理:
根据《汽车数据安全管理若干规定(试行)》的规定,因保证行车安全需要,无法征得个人同意采集到车外个人信息且向车外提供的,应当进行匿名化处理,包括删除含有能够识别自然人的画面,或者对画面中的人脸信息等进行局部轮廓化处理等
处理敏感个人信息的要求:
汽车数据处理者处理敏感个人信息,应当符合以下要求或者符合法律、行政法规和强制性国家标准等其他要求:
(一)具有直接服务于个人的目的,包括增强行车安全、智能驾驶、导航等;
(二)通过用户手册、车载显示面板、语音以及汽车使用相关应用程序等显著方式告知必要性以及对个人的影响;
(三)应当取得个人单独同意,个人可以自主设定同意期限;
(四)在保证行车安全的前提下,以适当方式提示收集状态,为个人终止收集提供便利;
(五)个人要求删除的,汽车数据处理者应当在十个工作日内删除。
汽车数据处理者具有增强行车安全的目的和充分的必要性,方可收集指纹、声纹、人脸、心律等生物识别特征信息。
重要数据处理活动开展风险评估的要求:
汽车数据处理者开展重要数据处理活动,应当按照规定开展风险评估,并向省、自治区、直辖市网信部门和有关部门报送风险评估报告。
风险评估报告应当包括处理的重要数据的种类、数量、范围、保存地点与期限、使用方式,开展数据处理活动情况以及是否向第三方提供,面临的数据安全风险及其应对措施等。
向境外提供重要数据的处理要求:
根据《汽车数据安全管理若干规定(试行)》第十一条规定,重要数据应当依法在境内存储,因业务需要确需向境外提供的,应当通过国家网信部门会同国务院有关部门组织的安全评估。未列入重要数据的涉及个人信息数据的出境安全管理,适用法律、行政法规的有关规定。
根据第十二条的规定,汽车数据处理者向境外提供重要数据,不得超出出境安全评估时明确的目的、范围、方式和数据种类、规模等。国家网信部门会同国务院有关部门以抽查等方式核验前款规定事项,汽车数据处理者应当予以配合,并以可读等便利方式予以展示。
根据第十三至十四条的规定,向境外提供重要数据的汽车数据处理者,应当向省、自治区、直辖市网信部门和有关部门报送以下年度汽车数据安全管理情况:
(一)汽车数据安全管理负责人、用户权益事务联系人的姓名和联系方式;
(二)处理汽车数据的种类、规模、目的和必要性;
(三)汽车数据的安全防护和管理措施,包括保存地点、期限等;
(四)向境内第三方提供汽车数据情况;
(五)汽车数据安全事件和处置情况;
(六)汽车数据相关的用户投诉和处理情况;
(七)国家网信部门会同国务院工业和信息化、公安、交通运输等有关部门明确的其他汽车数据安全管理情况;
(八)接收者的基本情况;
(九)出境汽车数据的种类、规模、目的和必要性;
(十)汽车数据在境外的保存地点、期限、范围和方式;
(十一)涉及向境外提供汽车数据的用户投诉和处理情况;
(十二)国家网信部门会同国务院工业和信息化、公安、交通运输等有关部门明确的向境外提供汽车数据需要报告的其他情况。
参考文献:
【1】中国政府网:《国家车联网产业标准体系建设指南(智能网联汽车) 》,https://www.gov.cn/zhengce/zhengceku/202307/P020230727459713380334.pdf
【2】工业和信息化部:两部门关于印发《国家车联网产业标准体系建设指南(总体要求)》等系列文件的通知,https://wap.miit.gov.cn/zwgk/zcwj/wjfb/zh/art/2020/art_eab131ea349f43c4ba74eaece1377d6f.html
【3】中国政府网:《工业和信息化部关于加强车联网网络安全和数据安全工作的通知》,https://www.gov.cn/zhengce/zhengceku/2021-09/16/content_5637709.htm
【4】中国政府网:《汽车数据安全管理若干规定(试行)》,https://www.gov.cn/zhengce/zhengceku/2021-09/12/content_5640023.htm
声明:本文来自数据信任与治理,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。