当前,汽车装有各类数据采集设备、采集大量数据的情况已较普遍。面向车内、车外采集的各类数据中,可能包含对国家、社会或个人较为重要、敏感的部分,存在较高的安全风险,引起了社会的广泛讨论。
国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合发布《汽车数据安全管理若干规定(试行)》(以下简称《规定》),已于2021年10月1日起施行。为支撑《规定》落地实施,全国信息安全标准化技术委员会于10月8日发布技术文件TC260-001《汽车采集数据处理安全指南》(以下简称“技术文件”)。技术文件细化了部分《规定》条款中关于汽车数据传输、存储和出境等方面的要求,同时为遵循《规定》中的部分原则给出了指引。
《规定》中被管理对象范围包括汽车制造商、零部件和软件供应商、经销商、维修机构以及服务出行企业等开展汽车数据处理活动的组织。技术文件的指导对象专注于汽车制造商,原因是汽车制造商出于提升汽车智能化程度、改进功能和产品等需求,有很强的处理汽车采集数据的动力,但也存在很高的数据安全风险。技术文件可以帮助汽车制造商提高汽车数据安全管理水平,更好地开展汽车的设计、生产等相关工作。
技术文件主要对汽车采集数据在传输、存储、出境等处理活动提出了要求,汽车采集数据是通过汽车传感设备、控制单元采集的数据,以及对其进行加工后产生的数据。不包括通过其他网络传输到汽车进行处理的数据,例如手机等车外设备采集的数据、汽车数据处理者通过销售合同等线下方式收集的个人信息等。
技术文件明确了汽车采集数据分为车外数据、座舱数据、运行数据和位置轨迹数据,并对不同类型的数据分别提出要求。技术文件对车外数据,围绕车外个人信息的匿名化处理、数据的最长存储时间、数据出境等方面提出要求;对座舱数据,围绕数据向车外传输和数据出境等方面提出要求;对位置轨迹数据,围绕数据的最长存储时间和数据出境等方面提出了要求。同时,技术文件明确提出汽车制造商应对其生产的整车数据安全负责,除约束和监督零部件供应商处理汽车采集数据的行为外,还应将汽车采集数据向外传输的完整情况对用户披露。
技术文件的发布可有力支撑《规定》中部分要求条款和倡导建议的落地实施,可帮助汽车制造商落实好法律法规要求、提高汽车数据安全管理水平、保护重要数据安全以及个人信息安全,进而促进汽车数据安全方面的行业自律以及公众监督。
技术文件查阅渠道:
https://www.tc260.org.cn/front/cbw.html?start=0&length=4&type=6
(本文作者:中国电子技术标准化研究院 郝春亮)
声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
