2023年1月5日,在第二届数据安全治理峰会上,《汽车数据安全若干问题合规实践指南》正式发布,中国信息通信研究院云计算与大数据研究所工程师张亚兰进行了解读。
《汽车数据安全若干问题合规实践指南》旨在进一步提高汽车行业数据安全保护水平,增强汽车企业数据安全合规保障能力,推动汽车数据价值安全使用,保障安全与发展的双向促进。
本指南依据国家法律法规和标准,同时参考行业最佳实践,针对汽车数据安全的重要合规内容,结合汽车行业特有场景,提出合规实践建议。
►►►
以下为现场PPT分享实录
在汽车“新四化”的趋势下,汽车涉及数据交互的功能越来越多,各种数据安全问题不容忽视。我们依托数据安全推进计划(DSI)汽车工作组,收集了汽车行业比较关注的数据安全合规问题,并梳理监管政策,划定七大合规议题:车内处理原则、脱敏处理原则、数据安全防护、告知与征得同意义务、处理敏感个人信息、数据安全风险评估、数据出境。
落实“车内处理”原则,需要以充分保障个人信息权利和数据安全为衡量尺度,同时兼顾行业与技术创新发展的必要空间。以上七点建议在指南中进行了详细阐述,并提供了参考示例。
脱敏处理的合规实践可以考虑从四个方面进行:一是遵循法律及国家和行业标准对于数据脱敏处理的具体要求;二是完善数据脱敏的技术措施与标准化;三是保障用户个人信息权益和消费者知情权;四是建立数据脱敏后的检验机制。
汽车企业数据安全防护需要以数据分类分级为基础,从管理制度、防护技术、风险评估三个方面进行整体的数据安全防护建设。其中安全防护技术建设可以从数据安全开发能力嵌入、数据本体保护、数据管控、风险监测四个方向进行。
“告知-同意”是法律确立的个人信息保护核心规则,是保障个人对其个人信息处理知情权和决定权的重要手段。车载场景下,汽车企业依法履行“告知-同意”法定义务,可从四个方面入手:一是告知用户的内容应遵循法律和国家标准的规定;二是告知同意可兼顾合规性和用户体验;三是可采取多样性技术方案;四是保障个人信息权利主体撤回同意的权利。
汽车企业应在具有增强行车安全的目的和充分的必要性,并采取严格保护措施的情形下,方可处理敏感个人信息。处理敏感个人信息的合规实践可以做好组织架构建设、个人信息保护影响评估、已有敏感个人信息核查、敏感个人信息单独同意的具体技术措施落实、恰当的技术保障手段和安全管理措施、用户的个人信息权利请求及时响应六个方面。
数据安全风险评估旨在帮助汽车企业明确数据安全风险点,为汽车数据安全管理建设和数据安全风险处置指明方向。依据监管要求和标准,通过关联已识别的数据安全风险要素,构建数据安全风险矩阵,对业务场景下的数据安全风险进行定性或定量分析,开展数据安全风险评估活动。另外,也要采取风险处置措施,检验风险处置措施的效率和策略的有效性,并持续改进。
数据安全领域三部上位法初步确立了以安全评估制度为核心的数据出境基本原则。在此基础上2022年7月7日国家互联网信息办公室发布《数据出境安全评估办法》。汽车企业应尽早梳理企业数据出境活动和场景。根据梳理结果情形,研判本企业适用的数据出境路径。如有数据出境的需求,应尽早着手准备数据出境安全评估工作,我们梳理了数据出境安全评估的流程供参考。
《汽车数据安全若干问题合规实践指南》的编写得到了律所、汽车主机厂、汽车供应商和安全厂商的广泛支持和帮助,再次感谢!
《汽车数据安全若干问题合规实践指南》下载链接:https://pan.baidu.com/s/1n-OYJPZAE0OXdVc1ooYAAw?pwd=2315 提取码:2315
声明:本文来自数据安全推进计划,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
