引 言

2022年3月10日,中国汽车工业协会在官网发布由国家工业信息安全发展研究中心牵头编制的《智能网联汽车数据安全评估指南(征求意见稿)》(“《指南草案》”)并向社会征求意见,意见反馈截止日期为2022年4月8日。

2021年是数据监管至关重要的一年。在基本立法方面,《数据安全法》和《个人信息保护法》相继出台并生效,与《网络安全法》构成的数据监管“三驾马车”已经就位;在配套制度方面,《关键信息基础设施安全保护条例》《网络数据安全管理条例(征求意见稿)》《数据出境安全评估办法(征求意见稿)》《网络安全标准实践指南——网络数据分类分级指引》等规定不断出台,为数据合规监管的落地提供重要指引与保障。同时,在汽车数据监管方面,网信办、工信部、信安标委相继发布《汽车数据安全管理若干规定(试行)》《工业和信息化部关于加强智能网联汽车生产企业及产品准入管理的意见》《智能网联汽车生产企业及产品准入管理指南》《信息安全技术 汽车采集数据的安全要求(征求意见稿)》等文件,反映出加强汽车数据合规与安全管理的监管态势。

在此背景下,中国汽车工业协会综合考虑以上各项法律法规、制度文件的要求,制定并发布《指南草案》,以期为智能网联汽车相关企业自行开展数据安全评估工作提供指引,也为主管监管部门、第三方测评机构等组织开展智能网联汽车相关企业数据采集与处理情况的监督、检查、管理、评估等工作提供参考。

为帮助企业快速了解《指南草案》,本文将以快问快答的形式提示草案核心内容。

问题1

《指南草案》的适用范围(包括适用主体、适用对象)有哪些,呈现出何种特征?

根据《指南草案》,其既适用于智能网联汽车相关组织自行开展数据安全评估工作,也可为主管部门、第三方测评机构等组织开展智能网联汽车数据安全检查、评估、监督等工作提供参考。

根据该适用范围,《指南草案》对 “汽车数据”“一般数据”“个人信息”“敏感个人信息”“重要数据”等适用客体的概念和“汽车数据处理者”这一适用主体做出了规定。

就适用的数据范围来看,对比2021年10月1日生效的《汽车数据安全管理若干规定(试行)》(“《汽车规定》”)可以发现,《指南草案》扩展了《汽车规定》中“汽车数据”的范围,并在“个人信息”“重要数据”之外增加了“一般数据”的概念。具体可见下图:

图1 “汽车数据”规定对比

就“汽车数据处理者”这一行为主体来看,如上图所示,《指南草案》中的“汽车数据”并不限定为智能网联汽车数据处理者处理的各类数据,而指“汽车数据处理者”处理的数据。《指南草案》将“汽车数据处理者”定义为“开展汽车数据处理活动的组织,包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等”,从范围上来说,其显然较智能网联汽车数据处理者更为宽泛。原因可参考如下规定:

根据工信部《智能网联汽车道路测试与示范应用管理规范(试行)》(工信部联通装〔2021〕97号),“本规范所称智能网联汽车是指搭载先进的车载传感器、控制器、执行器等装置,并融合现代通信与网络技术,实现车与X(人、车、路、云端等)智能信息交换、共享,具备复杂环境感知、智能决策、协同控制等功能,可实现安全、高效、舒适、节能行驶,并最终可实现替代人来操作的新一代汽车。智能网联汽车通常也被称为智能汽车、自动驾驶汽车等。智能网联汽车自动驾驶包括有条件自动驾驶、高度自动驾驶和完全自动驾驶。”另,根据《汽车驾驶自动化分级》(GB/T 40429-2021),基于驾驶自动化系统能够执行动态驾驶任务的程度,根据在执行动态驾驶任务中的角色分配以及有无涉及运行范围限制,将驾驶自动化分为0级至5级,其中有条件自动驾驶、高度自动驾驶和完全自动驾驶分别对应3级自动驾驶、4级自动驾驶和5级自动驾驶。因此,可以理解为,智能网联汽车一般仅指具备3级自动驾驶以上条件的汽车。

问题2

《指南草案》规范的数据安全评估有哪些类型?

根据《指南草案》,智能网联汽车数据安全评估主要有数据安全风险评估、数据安全合规性评估数据出境安全评估三种类型,其主要给出了智能网联汽车数据安全风险评估数据安全合规性评估的实施流程和评估方法,数据出境安全评估参照后续法规标准执行。

对于智能网联汽车的数据安全风险评估和数据安全合规性评估,下面的问答将进一步做出介绍。而就数据出境安全评估而言,《汽车规定》规定:“重要数据应当依法在境内存储,因业务需要确需向境外提供的,应当通过国家网信部门会同国务院有关部门组织的安全评估。未列入重要数据的涉及个人信息数据的出境安全管理,适用法律、行政法规的有关规定。”2021年10月,国家网信办发布了《数据出境安全评估办法(征求意见稿)》,未来智能网联汽车的数据出境安全评估也将参照该办法的正式生效版本开展。

问题3

《指南草案》中规范的两种数据安全评估所运用的方法论是什么,主要适用于哪些场景?

《指南草案》对数据安全风险评估和数据安全合规性评估两种评估做出了定义。根据《指南草案》,数据安全风险评估是指,通过分析数字资产的重要程度、所面临的威胁和脆弱性,对企业数据安全风险进行评价的过程,主要揭示数据安全风险的种类、大小和发生概率。数据安全合规性评估是指,针对智能网联汽车数据处理活动,判断其是否符合相关法律、法规、标准和管理要求,评估企业数据安全管理措施合理有效的过程,重在反映数据处理行为对相关要求的符合性。

从评估的方法论来看,数据安全风险评估应用风险分析与评估路径,主要参考推荐性国标《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)、《信息安全技术 信息安全风险评估实施指南》(GB/T 31509-2015)和《信息安全技术 个人信息安全影响评估指南》(GB/T 39335-2020);而数据安全合规性评估则更多应用差距分析的思路,将处理者现有的数据处理实践与法律法规、政策文件等众多合规要求做对比,从中发现自身的数据合规一致性水平。

从具体的适用场景来看,尽管无论是数据安全风险评估、还是数据安全合规性评估,均既可适用于被评估企业的全部业务及与业务开展相关的各类信息系统,也可以是某个独立的业务及相关信息系统。但是考虑到二者所采取方法论的不同,一般认为,数据安全风险评估更加适用于对某一特定业务场景的汽车数据处理活动安全风险的评估,例如针对某一业务场景/需求下的汽车数据处理活动的风险分析;而数据安全合规性评估则更加适用于企业整体的数据合规程度分析,例如对某一汽车处理者整体的汽车数据安全水平的差距分析

问题4

数据安全风险评估和数据安全合规性评估的实施流程各有哪些环节,有何异同?

《指南草案》对数据安全风险评估和数据安全合规性评估两种评估的实施流程均绘制了详细的流程图,具体如下:

图2 《指南草案》数据安全风险评估实施流程图

图3 《指南草案》数据安全合规性评估实施流程图

经对比二种评估的实施流程,异同主要表现在以下方面:

图4 《指南草案》数据安全风险评估和数据安全合规性评估异同对比

问题5

数据安全风险评估和数据安全合规性评估如何准备?

如上一问所述,数据安全风险评估和数据安全合规性评估两种评估的准备环节基本一致,具体来说均可以概括为确定评估目标→确定评估范围→组建评估团队→调研→确定评估依据→确定评估工具→制定评估方法几个步骤,各环节的注意事项总结如下图:

图5 《指南草案》数据安全风险评估和数据安全合规性评估准备环节主要内容

问题6

数据安全风险评估如何实施?

数据安全风险评估的实施阶段分为数据资产识别、数据威胁识别、脆弱性识别三个环节。通过对数据资产、数据威胁和脆弱性三项要素提供赋值的方法,《指南草案》将处理者所具备的数据处理基本情况予以量化,便于下一环节进行风险分析计算。

(1)关于数据资产的识别,其实可以归结到数据分类分级工作的范畴。根据《数据安全法》,我国建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。2021年信安标委发布的《网络安全标准实践指南——网络数据分类分级指引》为企业数据分类分级工作提供了通用性的指引,其中关于数据分级所用的原则和《指南草案》中数据资产赋值打分的原理基本一致。

表1 《指南草案》数据资产赋值表

表2 《网络安全标准实践指南——网络数据分类分级指引》数据分级判定要求节选

(2)关于数据威胁识别,《指南草案》同样用赋值方法,对数据处理全生命周期(包括采集、传输、存储、共享、使用和销毁)中数据可能遭受的威胁进行打分,赋值考虑因素主要包括数据威胁的攻击动机、攻击能力和威胁发生频率。以威胁发生频率为例,《指南草案》将其分为从很低、低、中等、高和很高五个等级,并为其提供具体的定义标准。

表3 《指南草案》数据威胁频率赋值表

(3)关于数据脆弱识别,《指南草案》将其分为技术脆弱性和管理脆弱性,二者的示例可见下表。根据脆弱性被利用的路径、攻击者访问目标系统时利用脆弱性的难易程度、攻击者为利用脆弱性所需通过目标系统鉴别要求的高低、和利用脆弱性是否需要用户交互等考量因素,《指南草案》将技术脆弱性分为很低、低、中、高、很高五个级别。根据脆弱性被成功利用对数据机密性、完整性、可用性和可控性四方面的影响,将影响严重程度亦分为很低、低、中、高、很高五个级别。

表4 《指南草案》脆弱性识别内容示例

在完成了数据资产识别、数据威胁识别、脆弱性识别后,《指南草案》提供以下风险分析模型,并建议评估人员根据情况选择定量计算或定性计算来计算风险值。定量计算方法例如矩阵法、相乘法的风险计算示例可参考《信息安全技术 信息安全风险评估规范》(GB/T20984-2007)。

图6 《指南草案》数据安全风险分析模型

问题7

数据安全合规性评估如何实施?

数据安全合规性评估实施阶段的主要内容是技术管理评估和数据管理评估。对于前者,《草案指南》列举了包括组织架构、制度体系、安全合规检查执行情况确认、风险评估执行情况确认、出境合规情况确认、年报执行情况确认、应急响应、人员管理、人员培训、数据存证执行情况确认十个方面的内容;而后者主要规定了包括数据采集、传输、存储、删除等处理环节在内的数据全生命周期的评估内容。

对于以上两方面内容,《指南草案》均列举了具体的安全要求分项、评估方法和结果判定标准。安全要求分项和结果判定标准可以看做是各项法律法规、政策文件关于汽车数据处理合规要求的汇总。根据具体安全要求的不同,《指南草案》为每一项安全要求均提供了相应的评估方法。例如,对于了解是否按规定建立了数据安全管理部门,《指南草案》建议通过文件查验的方式,评估部门的工作内容和相关文件,确认其是否履行数据安全工作职责;对于人员管理和培训的落实情况,《指南草案》则在文档查阅之外增加对相关人员访谈的要求,从而更全面地了解企业实践操作。以上内容对于汽车数据处理者构建内部数据合规体系均可提供非常有效的参考和指引。

表5 《指南草案》人员培训评估内容节选

问题8

如何进行数据存证并确保数据的真实性和完整性?

对于数据安全合规性评估,《指南草案》明确要求应当进行“数据存证执行情况确认”并通过“现场核验”的方式确保数据采集遵循默认不采集、采集数据确保一致性、数据可信定点传输、数据内容与链路加密、数据传输完整、脱敏等原则。

根据《指南草案》,《工业数据安全评估指南(草案)》对溯源系统提出要求,智能网联汽车企业应采用数据溯源系统来进行数据存证,以确保可以检查数据的真实性。《指南草案》对数据存证的流程以图的形式做出阐述,具体如下。智能网联汽车将一定时间段内采集的原始数据(包含但不限于轮廓化处理后的视频、图像、车辆运行数据、位置轨迹数据等)上传至汽车企业时,应同步计算该原始数据的哈希值并上传到第三方数据存证平台,以确保可对企业数据收集活动进行溯源与核查。

图7 《指南草案》数据存证实施流程

根据《指南草案》,为了核验企业在数据采集、传输、应用以及接受检查阶段的合规性,确保汽车企业不多采、不乱传、不篡改数据,企业需要接受主管部门和评估机构的现场数据核验,核验以数据存证为依据,针对数据收集、传输、存储等活动开展检测和核查,以确认企业提交的数据的合规性、完整性和真实性。

现场数据核验是指针对企业车辆进行抽样检查。抽样检查应当保证样品、检查时间和时间段、以及车辆测试状态均具有随机性。现场数据核验的原理具体可见下图:

图8 《指南草案》现场数据核验测试方法

如上图所示,通过抽样检测车辆在电磁屏蔽室模拟车辆带电静止、锁车断电、车辆行驶等场景下上传的数据(通过检测设备抓取),将该数据进行哈希计算,并将计算得到的哈希值与在整车端同步上传至存证中心的数据哈希存证进行比对,以确认哈希值生成算法的准确性,从而确保存证中心存储的哈希值与原始数据是对应的。同时还可以通过检测设备抓取的原始数据分析企业数据收集、传输等活动的合规性。

问题9

数据安全评估的结果包括哪些?

对于数据安全风险评估结果,《指南草案》对图6中的数据威胁发生可能性(包括数据威胁攻击动机、攻击能力和发生频率)、脆弱性可利用性、脆弱性影响严重程度和数据重要程度四项指标和相关子指标的评分均分为很低、低、中、高、很高五个级别,并根据其中得分为“很高”“高”“中”等各项指标的比例提供了高风险、中风险、低风险三个级别的评估结果。具体可见下表:

表6 《指南草案》数据安全风险评估结果依据

对于数据安全合规性评估结果,《指南草案》提供了评估结果依据和计算公式(见下表),其中,𝑥为单项评估得分,符合为1分,基本符合为0.5分,不符合为0分;𝑉为数据安全合规评估得分,𝑙为数据安全合规性评估项数。以“优秀”为例,如果评估实施环节中的各项要求均不存在不符合项(即均为符合或基本符合),且根据计算公式得出的总得分在90分(含)以上,即可被认定为优秀,企业针对评估项中基本符合项进行建议性整改即可。

表7 《指南草案》数据安全合规性评估结果依据

结 语

正如《指南草案》的编制背景所述,随着数据成为重要的生产要素,汽车产业进入了大数据时代。而智能网联汽车作为一种高度数字化的产品,在实际运行中需要采集大量车内外数据,这些数据的分析与使用在使汽车产品更加智能的同时,也给数据安全带来了挑战。因此,如何保障数据处理的风险最小化以及处理活动的合规性成为每一个汽车数据处理企业无法回避的问题。

在此背景下,协会发布本《指南草案》,一方面意在为汽车数据处理企业的数据合规体系建设工作提供更多可供实操的指引,另一方面也反映出在正式监管规定之外的行业先行先试的自律态度和趋势。此外,尽管本《指南草案》仅属于团体标准且为征求意见稿,但由于《指南草案》的多数内容已与法律法规、规章等文件衔接一致,且牵头编制单位国家工业信息安全发展研究中心是重要的汽车数据规则制定参与机构,亦不排除将来的生效版本将会作为监管部门执法时的重要参考依据的可能,并在合适的时机升格为国家标准或者效力等级更高的规范性文件。因此,我们建议汽车数据处理企业应当充分研读《指南草案》的内容并密切关注后续修改、生效动态,并结合自身实践情况,有选择性地将《指南草案》生效版中的内容融入到自身实践中,从而实现汽车数据的安全高效利用。

作者:薛颖

薛颖律师是北京己任律师事务所主管法律合规业务的高级顾问律师(合伙人级),专长于网络安全和数据保护、竞争法、反商业贿赂、中国社会信用体系等领域的合规业务,对前述法律的交叉领域有深刻的理解。薛律师在美国伊利诺伊大学法学院专门研习竞争法并取得博士学位(J.S.D.);执业之余,还担任湖北省反垄断专家库专家和深圳市公平竞争审查和竞争法专家库专家、辽宁省公平竞争审查专家,并作为中国社会科学院法学所博士后参与多项研究课题,为竞争和数据监管政策的制定踊跃建言献策。加入己任律师事务所之前,薛律师作为合规高级律师服务于两家中国律师事务所。薛律师积极撰写与法律合规相关的文章、评论,还曾担任澳新政府学院主办的The China Competition Bulletin的编辑。薛律师参与组织翻译了第一本GDPR 中文译本,该书于2018 年正式出版发行。

作者:陈扬

陈扬律师专注于网络安全和数据保护、个人信息保护以及合规监管咨询业务,参与多件疑难复杂案件。陈扬律师本科毕业于华东政法大学,硕士毕业于对外经济贸易大学。


新规链接请点击链接阅览:http://www.caam.org.cn/chn/5/cate_68/con_5235501.html