10月11日,由中央宣传部、中央网信办等国家十部门联合举办的“2021年国家网络安全宣传周”(简称“国家网安周”)隆重开幕。
随着汽车智能化、网联化趋势加快,关系到消费者、产业和国家安全的汽车数据受到广泛关注。国家网信办也将其列入了重点项目之一。
宣传周期间,在网络安全应急技术国家工程实验室指导下,“汽车数据安全合规实验室”依托ICMA智联出行研究院启动成立。同时,汽车数据安全合规实验室主任、ICMA智联出行研究院执行院长何姗姗女士在网信办、工信部、公安部等中央和地方领导出席的国家网安周主题晚会上就《汽车数据安全管理若干规定(试行)》进行权威解读。
汽车数据安全合规实验室启动
近日,国家计算机网络与信息安全管理中心联合ICMA智联出行研究院,结合国内15个品牌的智能网联汽车平台实时监测、收集的数据情况进行了分析,发现目前智能网联汽车采集的数据规模大、范围广,数据合规和出境整体情况不容乐观。由于汽车产业链涉及面广,上下游各参与方掌握的数据规模远远超出人们的想象。
研究中还发现,智能网联汽车数据具有规模大、类型多、处理场景复杂多样等特点,个别车企和其他汽车产业链参与方还存在过度收集个人信息、汽车数据存储或传输不当等问题。这些海量数据一旦发生泄露,不仅影响个人隐私保护,还关系到产业安全和国家安全。
为了完善汽车数据安全保障体系,网络安全应急技术国家工程实验室指导ICMA智联出行研究院启动设立“汽车数据安全合规实验室”,并在网信办、工信部、公安部等中央和地方领导出席的国家网安周晚会上正式启动,就汽车数据安全合规问题发布权威研究成果。
汽车数据安全合规实验室的启动与汽车产业未来发展息息相关、密不可分。实验室拟从汽车数据安全监管支撑、汽车数据跨境流动安全实施方案、企业汽车数据合规治理的最佳实践、汽车数据安全科学治理建设等多方面开展工作,切实加强汽车数据安全治理,防范化解相关安全问题和风险隐患,保障汽车数据依法合理有效利用。
据悉,“汽车数据安全合规实验室成立仪式”将于10月底举行,届时将发布《中国智能网联汽车数据安全发展报告》、汽车数据合规和跨境流动等多项治理方案等,持续为国家网络安全、汽车产业发展输出支撑力量。
国家汽车数据新规解读
10月1日,由国家互联网办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合发布的《汽车数据安全管理若干规定(试行)》正式施行。
↑在2021国家网安周主题晚会上,汽车数据安全合规实验室主任、ICMA智联出行研究院执行院长何姗姗女士就《汽车数据安全管理若干规定(试行)》进行权威解读。
以下为现场实录:
主持人:一辆汽车究竟会收集哪些数据?收集这些数据的用途是什么?
何姗姗:目前,智能网联汽车安装了越来越多的传感器。从汽车启动时,便开始收集车主、乘客的个人相关信息。包括个人的定位信息、行驶轨迹信息、身份证号、驾驶证、档案编号、车牌号、家庭住址,以及车主娱乐爱好、出行习惯、行为喜好等详细个人信息。采集这些个人信息的主要目的是为了更好地服务车主,如个人推送服务等。
除上述个人信息外,智能网联汽车还会收集周边的一些环境信息,也会拍摄周边的行人、地理环境信息,收集这一类信息的主要目的是为了能够更好地服务导航,帮助驾驶员行车安全。整体来讲,智能网联汽车将成为手机之外第二个移动的终端。
主持人:下面进入本次晚会的第二次权威发布。我们注意到这次出台的《汽车数据安全管理若干规定(试行)》,您是全程参与了相关的研究和起草工作。您觉得为什么要出台一部专门针对汽车数据的法规呢?
何姗姗:汽车整体采集的数据非常广泛,同时汽车全产业链上所暴露的信息安全的风险也非常明显。因此国家出台了《汽车数据安全的若干规定(试行)》这样一部专门针对汽车数据的法规,来加强汽车数据安全管理。严格来讲,《汽车数据安全的若干规定(试行)》是针对汽车全产业链上的参与方来进行规定的。所以它不仅包括车企,也包括软件和硬件的供应商,同时还包括经销商、维修商,以及出行行业等,如打车类的汽车服务型企业等,均包含在内。
主持人:这部法规对于车主、车企都做出了哪些具体的规定呢?
何姗姗:首先,智能网联汽车未来将更多地提供给用户多种多样的服务。基于此,汽车会收集一些个人数据。个人数据有哪些分类?一类是能够识别到个人的车主和乘客的信息,属于个人信息。比较典型的例子有,车主在买车时,需要登记的姓名、身份证号;另一类个人信息,如轨迹类信息,包括一些定位的驾驶习惯等。
针对这类的数据采集,新规规定:
第一,应有告知的义务,对我们的用户,应告诉采集哪一些信息,应用到什么场景。
第二,也需要征得客户的同意,在征得客户同意的情况之下,也要告诉客户采集的数据需要存储多长时间,未来应用到什么场景。对于不能够征得客户同意的情况,《规定》里也明确说明,经过匿名化的一些处理,可以让这些信息不能够链接到个人。这种情况下的数据也可以应用到汽车的相关的服务和功能当中。
此外,汽车用户还享有“被删除权”及“遗忘权”。也就是说,汽车全产业链上的参与方收集的用户的个人信息,如果用户希望它被删除,亦或被遗忘,也应该提供相应渠道,能够让收集到的用户信息被删除。所以,《汽车数据安全的若干规定(试行)》生效之后,将会更好地保护用户权益。
主持人:《汽车数据安全管理若干规定(试行)》的出台是非常必要和及时的。而做好汽车数据安全管理,离不开我们在座的每一位,需要政府、汽车数据处理者、个人等多方主体的共同努力。