数据安全法出台 汽车数据安全现在有保障了?
6月10日,十三届全国人大常委会第二十九次会议表决通过《中华人民共和国数据安全法》 ,自2021年9月1日起实施。《数据安全法》是数据领域的基础性法律,从法律上规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益。
6月11日上午特斯拉在微博表态称,“数据隐私安全,关乎着每一个消费者。特斯拉将严格遵守数据安全法,保护消费者数据相关权益。努力促进行业和数字经济健康蓬勃发展。”近年来,随着智能网联汽车的加速发展,数据安全问题行业关注的重点。
《数据安全法》的表决通过,确立了数据分类分级保护等基本制度,明确了开展数据处理活动及其安全监管组织和个人的义务和责任,规定了支持促进数据安全与发展的措施以及保障政务数据安全和推动政务数据开放的制度措施。
业内人士认为虽然《数据安全法》虽未具体到某个行业,但为数据安全的治理工作提供了基础性法律;《数据安全法》也是智能网联汽车涉及到的重要上位法。
例如第三章第二十一条提及,国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。
第四章第二十七条中表示重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任;此外也提及企业需要制定相关制度来保障数据安全,补救数据安全风险,上报数据安全事件。
中国汽车工业协会副总工程师许海东曾表示,关于智能网联的信息安全涉及到三个问题,一是数据相关的制度,二是能否境外传输,三是怎么样去建立安全的数据交互体系;对此中汽协方面也提出相应建议,建议对数据进行分类分级管理,明确相应的责任主体。中汽协方面提出的汽车数据管理建议与《数据安全法》涉及的内容相似相通。
此外,第二十九条开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告等条例也都适用于汽车数据安全管理。中国汽车工业协会秘书长助理兼技术部部长王耀在接受新京报记者采访时表示,《数据安全法》的出台,把数据安全上升到了国家安全层面,确定了数据流转过程中组织、个人的安全责任和义务,明确了监管要求。《数据安全法》的出台将进一步规范汽车产业的发展。
智能网联汽车不仅包含汽车的属性,同时也包含智能终端、储能设施等属性;换句话说智能网联汽车首先是具有交通工具属性的汽车,但也是加上了各类传感器和操作系统的一个智能终端,需采集到的信息面也更广。例如车辆处于行驶状态时,激光雷达和摄像头会时刻采集车辆经过路段的路面信息、车流情况、周边环境信息等、甚至是地理测绘信息,极有可能涉及到敏感内容;同时也会获悉驾驶员的驾驶习惯等驾驶数据信息。
王耀表示,目前我国汽车产业进入“电动化、智能化、网联化、共享化”转型升级,汽车已经逐步从孤立的电子信息终端逐步向网联化的信息节点发展,未来无论是智能网联汽车的研发、测试验证,还是政府对于智能网联汽车的监管都将依赖于多种类的海量交互数据,包括外部环境数据、车辆运行数据、用户驾驶行为数据等数据,大量且频繁的数据交互给汽车数据安全带来了潜在的风险。
王耀等业内人士均认为,汽车产业数据生态体系涉及多行业领域,汽车数据安全管理将是未来汽车产业发展的一大挑战,其一,传统汽车的安全手段对于智能网联汽车而言并不适用;其二,车载的数据通过车联模块实时上传到车企的云端服务器,但云端安全也存在一定的安全隐患;其三,互联性增加了车辆被攻击的可能性,以及车企的网络安全。
“《数据安全法》作为纲领性法规,为各部门、各行业、各领域在后续制定相关配套制度、措施、规范和标准过程中指明了方向;同时将进一步指导完善相关法律法规以及实施细则,推动行业建立一种更好的汽车数据安全监管机制、监管技术和监管平台。”王耀对记者说道。汽车行业分析师张翔认为,虽然《数据安全法》明确了数据安全的法规,但是针对于全行业,对于汽车行业而言仍需要结合汽车行业的发展规律和特点具体化。
从上位法到专项法规,汽车数据安全逐渐立法化
随着智能网联汽车的加速发展,当前暴露出来的数据问题尤为突出。张翔认为跨国车企未在中国市场建立数据中心存在一定安全风险。从国家层面也开始注重汽车安全问题。4月,工信部装备司发布《智能网联汽车生产企业及产品准入管理指南》(征求意见稿);4月末,工信部发布征求《信息安全技术网联汽车采集数据的安全要求》标准草案意见的通知。5月智能汽车数据迎来专项法规,国家网信办就《汽车数据安全管理若干规定(征求意见稿)》,对智能汽车产生的数据进行了界定,并明确了责任主体、数据范围、收集方式、隐私保护、数据出境等问题。
从企业层面来看,特斯拉、大众汽车、福特汽车、宝马和戴姆勒等跨国车企在华或是已建或是计划建本土化数据中心。可以发现智能网联汽车行业数据治理问题已经成为行业关注的焦点,许海东表示随着未来发展,每个企业一定要建立自己的数据中心,外资企业在中国市场建立数据中心也将是大势所趋。
在王耀看来,未来相关监管部门需在《网联安全法》《数据安全法》《个人信息保护法》等上位法的框架下,进一步推动完善《智能网联汽车生产企业及产品准入管理指南》《汽车数据安全管理若干规定》相关规章制度以及技术标准,尽快出台相关管理办法以及实施细则,明确企业的数据安全保护责任,推动企业进一步加大对数据安全的投入,完善汽车数据安全保护体系,提升数据安全能力和水平。