數據安全法出臺 汽車數據安全有保障了?
6月10日,十三屆全國人大常委會第二十九次會議表決通過《中華人民共和國數據安全法》 ,自2021年9月1日起實施。《數據安全法》是數據領域的基礎性法律,從法律上規範數據處理活動,保障數據安全,促進數據開發利用,保護個人、組織的合法權益。
6月11日上午特斯拉在微博表態稱,“數據隱私安全,關乎着每一個消費者。特斯拉將嚴格遵守數據安全法,保護消費者數據相關權益。努力促進行業和數字經濟健康蓬勃發展。”近年來,隨着智能網聯汽車的加速發展,數據安全問題行業關注的重點。
《數據安全法》的表決通過,確立了數據分類分級保護等基本制度,明確了開展數據處理活動及其安全監管組織和個人的義務和責任,規定了支持促進數據安全與發展的措施以及保障政務數據安全和推動政務數據開放的制度措施。
業內人士認爲雖然《數據安全法》雖未具體到某個行業,但爲數據安全的治理工作提供了基礎性法律;《數據安全法》也是智能網聯汽車涉及到的重要上位法。
例如第三章第二十一條提及,國家建立數據分類分級保護制度,根據數據在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對數據實行分類分級保護。
第四章第二十七條中表示重要數據的處理者應當明確數據安全負責人和管理機構,落實數據安全保護責任;此外也提及企業需要制定相關制度來保障數據安全,補救數據安全風險,上報數據安全事件。
中國汽車工業協會副總工程師許海東曾表示,關於智能網聯的信息安全涉及到三個問題,一是數據相關的制度,二是能否境外傳輸,三是怎麼樣去建立安全的數據交互體系;對此中汽協方面也提出相應建議,建議對數據進行分類分級管理,明確相應的責任主體。中汽協方面提出的汽車數據管理建議與《數據安全法》涉及的內容相似相通。
此外,第二十九條開展數據處理活動應當加強風險監測,發現數據安全缺陷、漏洞等風險時,應當立即採取補救措施;發生數據安全事件時,應當立即採取處置措施,按照規定及時告知用戶並向有關主管部門報告等條例也都適用於汽車數據安全管理。中國汽車工業協會秘書長助理兼技術部部長王耀在接受新京報記者採訪時表示,《數據安全法》的出臺,把數據安全上升到了國家安全層面,確定了數據流轉過程中組織、個人的安全責任和義務,明確了監管要求。《數據安全法》的出臺將進一步規範汽車產業的發展。
智能網聯汽車不僅包含汽車的屬性,同時也包含智能終端、儲能設施等屬性;換句話說智能網聯汽車首先是具有交通工具屬性的汽車,但也是加上了各類傳感器和操作系統的一個智能終端,需採集到的信息面也更廣。例如車輛處於行駛狀態時,激光雷達和攝像頭會時刻採集車輛經過路段的路面信息、車流情況、周邊環境信息等、甚至是地理測繪信息,極有可能涉及到敏感內容;同時也會獲悉駕駛員的駕駛習慣等駕駛數據信息。
王耀表示,目前我國汽車產業進入“電動化、智能化、網聯化、共享化”轉型升級,汽車已經逐步從孤立的電子信息終端逐步向網聯化的信息節點發展,未來無論是智能網聯汽車的研發、測試驗證,還是政府對於智能網聯汽車的監管都將依賴於多種類的海量交互數據,包括外部環境數據、車輛運行數據、用戶駕駛行爲數據等數據,大量且頻繁的數據交互給汽車數據安全帶來了潛在的風險。
王耀等業內人士均認爲,汽車產業數據生態體系涉及多行業領域,汽車數據安全管理將是未來汽車產業發展的一大挑戰,其一,傳統汽車的安全手段對於智能網聯汽車而言並不適用;其二,車載的數據通過車聯模塊實時上傳到車企的雲端服務器,但云端安全也存在一定的安全隱患;其三,互聯性增加了車輛被攻擊的可能性,以及車企的網絡安全。
“《數據安全法》作爲綱領性法規,爲各部門、各行業、各領域在後續制定相關配套制度、措施、規範和標準過程中指明瞭方向;同時將進一步指導完善相關法律法規以及實施細則,推動行業建立一種更好的汽車數據安全監管機制、監管技術和監管平臺。”王耀對記者說道。汽車行業分析師張翔認爲,雖然《數據安全法》明確了數據安全的法規,但是針對於全行業,對於汽車行業而言仍需要結合汽車行業的發展規律和特點具體化。
從上位法到專項法規,汽車數據安全逐漸立法化
隨着智能網聯汽車的加速發展,當前暴露出來的數據問題尤爲突出。張翔認爲跨國車企未在中國市場建立數據中心存在一定安全風險。從國家層面也開始注重汽車安全問題。4月,工信部裝備司發佈《智能網聯汽車生產企業及產品准入管理指南》(徵求意見稿);4月末,工信部發布徵求《信息安全技術網聯汽車採集數據的安全要求》標準草案意見的通知。5月智能汽車數據迎來專項法規,國家網信辦就《汽車數據安全管理若干規定(徵求意見稿)》,對智能汽車產生的數據進行了界定,並明確了責任主體、數據範圍、收集方式、隱私保護、數據出境等問題。
從企業層面來看,特斯拉、大衆汽車、福特汽車、寶馬和戴姆勒等跨國車企在華或是已建或是計劃建本土化數據中心。可以發現智能網聯汽車行業數據治理問題已經成爲行業關注的焦點,許海東表示隨着未來發展,每個企業一定要建立自己的數據中心,外資企業在中國市場建立數據中心也將是大勢所趨。
在王耀看來,未來相關監管部門需在《網聯安全法》《數據安全法》《個人信息保護法》等上位法的框架下,進一步推動完善《智能網聯汽車生產企業及產品准入管理指南》《汽車數據安全管理若干規定》相關規章制度以及技術標準,儘快出臺相關管理辦法以及實施細則,明確企業的數據安全保護責任,推動企業進一步加大對數據安全的投入,完善汽車數據安全保護體系,提升數據安全能力和水平。