强监管下，车企如何应对数据安全合规风险

网站首页 >> 所有新闻 >> 强监管下，车企如何应对数据安全合规风险

新闻中心

NEWS center

强监管下，车企如何应对数据安全合规风险

来源: | 作者:智协慧同 | 发布时间: 1230天前 | 1485 次浏览 | 分享到:

在“汽车新四化”大背景下，智能网联汽车数量迅速增长，伴随着车辆传感器、软件、APP的爆发式发展，车辆各类交互、传输数据量正由“G”向“T”转变，数据安全风险应运而生。

据报道，2020年1-9月，针对车企及车联网信息服务提供商等相关企业的恶意攻击达280余万次；2021年6月的某次信息安全事件中，约有330万汽车车主和潜在客户的个人信息遭到泄露。

今年下半年，相关部门密集出台了关于汽车数据安全的新法规，从其频率和强度不难看出，国家高度重视汽车数据安全问题，在可预见的将来，会有更多的相关法规出台。

2021年下半年出台的汽车行业数据安全法规：

2021.7

《工业和信息化部关于加强智能网联汽车生产企业及产品准入管理的意见》

2021.8

《汽车数据安全管理若干规定》

2021.9

《工业和信息化部关于加强车联网网络安全和数据安全工作的通知》

2021.10

《汽车采集数据处理安全指南》

毫无疑问，在这一不断变化的新形势下，车企为实现数据信息合规，必然在研发、法务上加大资金、人力投入，而由于对政策的不同解读、监管部门众多、监管不断细化，车企面临巨大的违规风险。

智协慧同请到了武汉路特斯科技信息安全负责人熊吉，共同探索在强监管下，车企的应对思路和措施。

编辑：熊总您好，是否能先给我们明晰一下汽车数据的定义？

熊总：很高兴今天能跟智协慧同一起做这个专题，在《汽车采集数据处理安全指南》中，有对汽车数据的明确定义，“通过汽车传感设备、控制单元采集的数据，以及对其进行加工后产生的数据“被称为”汽车采集数据“，具体来说，分为1、车外数据：车外环境数据，如道路、建筑、地形等；2、座舱数据：驾乘人员的人脸、声纹等个人信息数据；3、运行数据：通过车速、温度等传感器等从动力、底盘系统等采集的数据；4、位置轨迹数据：汽车定位和途径路线等数据。

编辑：能帮我们概括一下国家对不同类型数据的安全合规具体要求吗？

熊总：事实上除了汽车数据的法规，数据安全相关的还有《中华人民共和国数据安全法》、《数据安全管理办法》、《大数据安全管理指南》，包括今年11月刚发布的《网络数据安全管理条例（征求意见稿）》等各个维度、各个层级的法律法规，对包括数据的采集、传输、存储、使用、报备、审批、监管等都有详细的规范，所以说在现在的强监管形势下，对车企及相关数据服务企业是一个巨大的挑战，即使在资金、人力上投入巨大，很多时候仍免不了违规，这是由多部门监管、法规众多、解读各异带来的必然后果，可以说，没有任何一个车企敢打包票，说自己在数据安全方面，没有任何风险。

编辑：那能给我们一些建议吗？车企应该如何做呢？

熊总：给大家分享一下路特斯目前在数据安全方面的一些实践经验，我们以数据生命周期作为工作主线，剖析每个点可能引发的风险，配套相应的风控措施，例如在采集环节，我们明确规范采集目的、方式、范围、渠道等；传输环节做好接口管控和监测，实现异常数据报警；存储环节实现“本地化存储”，做好存储介质管理，备份恢复测试等；处理环节践行“最小化、必要”原则；共享环节做好风险评估、检测和审计；最后销毁环节要建立销毁机制，明确介质删除方法。

除此以外，在产品开发层面，我们有完整的“安全/隐私开发生命周期”流程；在企业文化层面，建立全员安全意识；在技术标准层面，打造“安全/隐私设计、数据保护”等标准；在管理框架层面，制定战略、完善相关流程规范。

智协慧同的核心产品为边缘计算/数据库，请问数据的边缘处理是否能为数据合规提供一个新方法？

熊总：是的，事实上，现在智能网联汽车的车端算力日益强大，边缘计算是行业大趋势，在法规层面，有一些直接的利好，例如对《汽车采集数据处理安全指南》的解读：如果数据只是在车内由行车电脑进行处理，并不对外交互，可以认为不涉及数据安全和个人隐私保护问题。《汽车数据安全管理若干规定》第六条规定：倡导汽车数据处理者在开展汽车数据处理活动中坚持车内处理原则，除非确有必要不向车外提供。

我认为，边缘计算至少能为数据合规提供2种新思路，一是在车内完成数据的采集、处理、反馈闭环，数据不上传，在完全规避数据合规风险的同时，也节省了流量、存储等成本，尤其是对一些涉及驾驶习惯、行为习惯的敏感数据，完全可以借助边缘计算，在车内完成驾乘人员、计算引擎、车内界面/设施的反馈闭环，实现优化用户体验的目的；二是边缘计算还可以实现对数据的预处理，例如涉及行踪轨迹的数据，可将数据计算、脱敏再后上传，减小了数据传输量，也同时规避了安全风险。