随着新能源汽车市场占比的不断提升,全球汽车产业的转型升级已成为时代趋势,“数字化、智能化、网联化”成为汽车产业主要方向。随着人工智能技术的快速发展,新能源汽车、无人驾驶技术、车联网技术的不断升级与应用,汽车已从传统的运输工具,变成了新的数据处理节点。除了汽车自身信息、车主信息、座舱内数据外,汽车所搭载的各类设备还会采集海量的车外个人信息与测绘信息等重要数据,这些重要数据可以与其他智能终端进行数据交互,使汽车从传统的信息孤岛转变成为数据网络的重要节点。目前,包括驾驶辅助系统、车载摄像头、车辆和机器系统的语音信息等在内的大部分智能车联网功能,都需要依赖于大量车内外信息、司乘信息等多种类、敏感度高的数据,为司乘带来便利的同时,也使得汽车行业数据合规问题面临多个方面的新挑战。
一、法规政策繁杂,合规义务难梳理
针对汽车行业数据合规的整体监管框架,按法规政策结构,大致可以分为六个方面,不仅包括了国家产业政策与行业发展战略、法律法规、部门规章与规范性文件等上位法规,还包含了进一步细分的国家与行业标准、实践指南等引导性文件,共同形成了汽车行业相对繁杂的合规体系。
国家政策与行业发展战略文件主要包括:
·《交通强国建设纲要》(中共中央、国务院 2019年9月)
·《数字交通发展规划纲要》(交规划发〔2019〕89号)
· 《推进综合交通运输大数据发展行动纲要(2020-2025)》(交科技发〔2019〕161 号)
·《新能源汽车产业发展规划(2021—2035年)》(国办发〔2020〕39号)
·《智能汽车创新发展战略》(发改产业〔2020〕202号)
汽车行业相关法律与行政法规文件主要包括:
·《中华人民共和国民法典》
·《中华人民共和国刑法(2020年修正)》
·《中华人民共和国国家安全法(2015)》
·《中华人民共和国网络安全法》
·《中华人民共和国数据安全法》
·《中华人民共和国个人信息保护法》
·《中华人民共和国消费者权益保护法(2013年修正)》
·《中华人民共和国测绘法(2017年修正)》
·《中华人民共和国电信条例(2016修订)》
·《互联网信息服务管理办法(2011修订)》
·《地图管理条例》
·《中华人民共和国测绘成果管理条例》
行业主管部门规章与规范性文件:
·《网络安全审查办法(2021)》
·《汽车数据安全管理若干规定(试行)》
·《数据出境安全评估办法(征求意见稿)》
·《智能网联汽车道路测试与示范应用管理规范(试行)》
·《智能网联汽车生产企业及产品准入管理指南(试行)》
·《国家测绘局关于导航电子地图管理有关规定的通知》
·《外国的组织或者个人来华测绘管理暂行办法(2019修正)》
·《测绘地理信息管理工作国家秘密范围的规定》
·《关于加强自动驾驶地图生产测试与应用管理的通知》
·《测绘资质管理办法》
·《测绘资质分类分级标准》
国家与行业标准文件:
·《GB/T40856-2021车载信息交互系统信息安全技术要求及实验方法》
·《GB/T40861-2021汽车信息安全通用技术要求》
·《GB/T40857-2021汽车网管信息安全技术要求及试验方法》
·《GB/T40855-2021电动汽车远程服务与管理系统信息安全技术要求与试验方法》
·《GB/T22239-2019信息安全技术-网络等级保护基本要求》
·《GB20263-2006导航电子地图安全处理技术基本要求》
·《YD/T3752-2020车联网信息服务平台安全防护技术要求》
·《YD/T3752-2020车联网信息服务数据安全技术要求》
·《YD/T3752-2020车联网信息服务平台安全防护技术要求》
·《YD/T3752-2020车联网信息服务用户个人信息保护要求》
·《TC26-001汽车采集数据处理安全指南》
根据各地实际情况及发展特点,多个省市还出台了地方法规与规范性文件,进一步指导并约束本地智能网联汽车的体系化管理。因涉及的文件数量较多,在此不一一列举。
二、采集数据量大,不同数据合规要求存在差异
随着智能网联技术在汽车产品上的广泛应用,汽车已经逐渐成为产生与连接海量数据的中枢,引发汽车网络与数据安全事故的概率也因此飙升。据相关机构统计,一辆L4高级别自动驾驶汽车每天会产生约10TB数据,是传统汽车的5~10倍。自2015年起,汽车网络与数据安全事件频发,主要体现在用户隐私泄露、车辆远程非法控制、汽车功能失效等方面。在数据收集层面,则存在车外摄像头滥采环境数据、人脸数据、个人敏感信息采集未经用户授权等现象。在数据存储方面,云端汇集了海量数据,造成漏洞和风险也相对较大。
因此,根据工信、网信、公安、交通等监管机构的要求,针对智能网联汽车采集和产生的数据,需要对其中的个人信息、重要数据进行有效识别并落实分类分级管理,并对不同类型数据规定了具体的合规义务:
针对个人信息:
· 处理个人信息的合法性基础与告知义务;
· 存储最小化与超期删除;
· 个人信息合规保障义务;
· 信息主体权益保障义务;
· 个人信息保护影响评估(PIA);
· 个人信息安全事件应急管理;
· 合规审计义务;
· 个人信息跨境的合规义务(三类出境路径、单独同意等);
· 不同处理场景下的合规义务(共同处理、委托处理、对外提供、转移、公开披露等);
· 大型互联网平台的特别义务;
· 汽车数据处理者采集车外个人信息的匿名化处理要求;
· 汽车数据处理者处理敏感个人信息的特殊要求。
针对重要数据:
· 重要数据识别+目录备案;
· 全流程数据安全管理制度、数据安全教育培训;
· 数据安全负责人和管理机构,明确岗位、职责;
· 重要数据采取备份、加密等安全措施;重要数据处理活动严格管理并留存记录;
· 对外提供重要数据,签署数据安全协议并核验接收方的保护能力;
· 定期开展风险评估,并上报风险评估报告;
· 出境前履行数据出境安全评估;
· 重要数据安全事件报告义务;
· 汽车数据处理者的特有任务:
· 年度汽车数据安全管理情况报告。
三、数据形式多样,准确识别难度高
要想有效针对不同数据落实相应的合规义务,及时准确的识别数据内容是基本的前提条件。而在智能网联汽车采集和生成的数据中,除了结构化数据外,还包含了大量的图片、音频、视频等非结构化数据,这类数据通过传统手段,会在识别准确率或识别效率层面给汽车起来带来阻力。
四、如何解决上述挑战?
针对上述3个方面的新挑战,用九从底层数据资产的发现识别与分类分级出发,整合法规解析、场景分析及数据合规实践,形成智能化数据合规管理能力,将数据属性和合规要点作为数据风险监测和安全防护的重要输入,构建数据合规LED (Law,Event ,Data) 架构。
基于LED框架,用九已构建成由数据治理套件、数据安全套件、隐私合规套件组成的一站式智能网联汽车数据合规平台,上通法律法规、下联数据安全,实现数据发现识别、分级安全防护、数据合规管理的三向协同,最终形成的产品矩阵如下:
解决合规义务难梳理-智能合规知识库
通过收录汽车行业数据合规相关的法律法规、国标、行标、地方政策、监管动态、专家解读等内容,形成汽车数据合规工作的参考依据,并支持按细分场景、关键字等维度进行内容查询,可进行法规内容对比及血缘关联展示。
特点1:外法内规相结合,充分符合企业特点。除已受理的超1700部法规内容外,还支持企业上传内部制度规范等文件,形成外法内规相结合的个性化合规知识库,并成为合规义务梳理与检测的基线依据。
特点2:人机结合的合规义务智能梳理。利用基于LLM的Privacy Chat技术,高效实现合规义务梳理,形成具有企业特色的定制化义务清单,帮助实现后续评估的完整性,有效性。
解决数据合规不同场景的差异化管理要求-长期积累更新行业模版
除了基于法律法规的通用标识外,通过行业专家的长期服务经验,沉淀了近百个针对汽车行业的特殊标识,可匹配细分场景后开箱即用,有效降低冷启动阶段时间成本。
特点1:智能辅助人工审核标识,准确率和效率全面提升。初次完成新增字段的识别和分类分级打标后,通过智能辅助人工确认的方式对打标结果进行审核,以保证分类分级结果100%符合场景合规要求及企业管理标准(仅在第一次识别时需要执行此动作,完成审核后即可通过机器学习自动持续运行)。
特点2:提供敏感数据的聚类发现和一键打标功能。针对内置标识以及自定义标识均未识别匹配的数据进行聚类发现,从海量的数据中主动发现具有相似特征的数据,让企业更好的认识和管理自己的数据,并支持对相同簇内字段进行一键标识,支持从已有标识打标和一键生成新标识两种方式,可快速对未知数据进行批量分类分级。
特点3:数据资产自动合规检测。在数据完成分类分级后,根据不同数据对应的合规管理要求,进行检测,如发现不符合项,则向指定人员推送合规风险信息。例如:针对个人信息,需实行分类管理,并采取相应的加密、去标识化等安全技术措施。在检测中如发现敏感个人信息未执行加密和去标识化存储要求,则推送风险信息。
解决非结构化数据识别问题-创新专利的敏感数据识别算法
针对非结构化数据中的人脸图片、文档文件中的账密信息、视频文件中的车牌信息等内容预置了标识和强化识别算法,可有效提升识别能力。
特点1:强大的非结构化数据识别能力。具备双重识别能力,可针对非结构化数据文件本身以及内容分别进行识别和打标,快速确定文件的敏感性并补获文件中包含的敏感内容,有效加强非结构化数据的敏感性识别与打标。
特点2:可自定义敏感字段标识并提供标识的自主训练模型。针对不同场景中存在的特殊字段特征或特有敏感数据内容,可通过正则、机器学习、模型训练等多种形式自定义敏感标识。模型训练可支持图片、文本等多种类型,最小仅需5条样本,秒级训练速度,可灵活满足具体场景差异化的敏感数据识别需求。
用九智汇,以科技助力智能联网时代汽车数据合规!
阅读原文:智能网联时代汽车行业数据合规挑战