汽车数据安全管理若干规定_汽车数据安全管理若干规定(试行)
如果您对汽车数据安全管理若干规定感兴趣,那么我可以提供一些关于它的背景和特点的信息,以及一些相关的资源和建议。
1.???????ݰ?ȫ???????ɹ涨
2.起亚把360功能停用了,为何360全景会被禁用?
3.数据跨境传输
4.汽车数据安全法规
5.315聚焦|细数新能源汽车六大“罪状”
???????ݰ?ȫ???????ɹ涨
围绕车联网安全标准体系建设的目标,征求意见稿中的表述为“到2023年底,初步构建起车联网(智能网联 汽车 )网络安全标准体系”,“数据安全”只是文件中的一个二级指标。而《指南》中的表述变成了“到 2023 年底,初步构建起车联网网络安全和数据安全标准体系”,“数据安全”得以与“网络安全”并列。此外,征求意见稿中“数据安全”一词出现27次,而《指南》中出现达43次。
针对 汽车 数据安全问题,2021年7月,工信部、公安部等部门联合发布《 汽车 数据安全管理若干规定(试行)》,倡导“匿名化”、“去标识化”、“脱敏处理”等 汽车 数据处理原则。2021年9月,工信部又发布《关于加强车联网网络安全和数据安全工作的通知》,对 汽车 数据提出了多项安全要求,包括加强个人信息保护。
值得注意的是,此前出台的政策文件虽然倡导“匿名化”、“去标识化”、“脱敏处理”等 汽车 数据处理原则,但并未就这些原则的实施方法和具体要求提供进一步的说明。行业分析人士表示,《指南》的正式发布,意味着这一问题,即将通过建设行业标准的方式加以解决。
《指南》提出,个人信息保护标准要明确用户敏感数据和个人信息保护的场景、规则、技术方法,包括“匿名化”、“去标识化”、“数据脱敏”、异常行为识别等标准。根据《指南》,与个人信息保护标准相关的两个标准项目,即《基于移动互联网的 汽车 用户数据应用与保护技术要求》和《基于移动互联网的 汽车 用户数据应用与保护评估方法》,均已在制定中。
不仅是个人信息保护,《指南》还提到了应用数据安全的问题,并点名了网约车。《指南》提出,应用数据安全标准主要规范车联网相关应用所开展的数据采集和处理使用等活动,包括车联网平台、网约车、车载应用程序等数据安全标准。
实际上, 汽车 应用数据也时常涉及个人信息保护问题。2021年7月,工信部发布《关于侵害用户权益行为的APP通报》,万顺叫车位列其中,所涉问题为违规收集、使用个人信息。同月,“滴滴出行”APP因存在严重违法违规收集使用个人信息问题,被国家网信办通知下架。
除了数据安全标准,《指南》还针对终端与设施网络安全、网联通信安全提出了明确了标准建设方向,其中前者包括 汽车 网关、电子控制单元、车用安全芯片、车载计算平台等安全标准,后者则用于规范蜂窝车联网(C-V2X),以及应用于车联网的4G/5G、卫星通信、车内无线局域网等安全防护与检测要求。
与数据安全相比,网络硬件层面的安全直接涉及智能网联 汽车 用户的人身安全。数据显示,2020年,全球车联网相关的恶意攻击超过280余万次。据了解,黑客通过网络攻击可以控制车辆行驶,也能利用软件漏洞操控智能网联 汽车 ,给车辆行驶带来极大安全隐患。
起亚把360功能停用了,为何360全景会被禁用?
网络安全政策和措施:加强战略部署、强化网络安全风险防范能力、健全网络安全国家标准体系等。加强战略部署:发布《国家网络空间安全战略》,颁布数据安全法、个人信息保护法、《关键信息基础设施安全保护条例》等一系列法律法规,出台《汽车数据安全管理若干规定(试行)》等政策文件,让网络安全工作在法治化轨道上运行。
强化网络安全风险防范能力:实施《国家网络安全事件应急预案》,有效提升网络安全应急响应和事件处置能力;建立网络安全审查制度和云计算服务安全评估制度,发布《网络安全审查办法》《云计算服务安全评估办法》,有效防范化解供应链网络安全风险;出台《数据出境安全评估办法》,提升国家数据出境安全管理水平。
健全网络安全国家标准体系:印发《关于加强国家网络安全标准化工作的若干意见》,对网络安全国家标准进行统一技术归口,制定发布340余项网络安全国家标准,推动发布多项我国主导和参与的国际标准,我国网络安全标准国际话语权和影响力显著提升。
网络安全的主要特性
保密性:是指网络中的信息不被非授权实体(包括用户和进程等)获取与使用。这些信息不仅包括国家机密,也包括企业和社会团体的商业机密和工作机密,还包括个人信息。人们在应用网络时很自然地要求网络能提供保密性服务,而被保密的信息既包括在网络中传输的信息,也包括存储在计算机系统中的信息。
完整性:数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。数据的完整性是指保证计算机系统上的数据和信息处于一种完整和未受损害的状态,这就是说数据不会因为有意或无意的事件而被改变或丢失。
以上内容参考:中华人民共和国国家互联网信息办公室官网-筑牢全民网络安全“防火墙”我国网络安全工作成就综述
数据跨境传输
起亚把360功能停用了,为何360全景会被禁用?
起亚汽车销售业务工作员解释说,关闭是依据中国法律法规的需要,早就在2021年10月1日实施的《汽车数据安全管理若干规定(试行)》,在这其中要求:“默认不收集规范,除非是驾驶人员单设,每一次行车安全时默认设定为不收集状况”“因保证安全安全驾驶务必,无法征询自己容许收集到车窗外个人信息且向窗外所提供的,理当进行匿名化处理,包括删除含有能够辨别自然人的页面,或者对画面中的脸部信息内容等开展一部分轮廓化处理等”。
针对驾驶员担心被关闭360°全景影像功效,客服人员也表示无需担心,此次关闭的是用手机APP远程查看车辆周边影像的功能,并不是车内驾驶时使用的360°影像,对安全行车和便利性并没有什么危害。据调查,包括起亚汽车汽车K5、嘉华等在内的车型,都是有电脑远程监控功效可以选择,驾驶员可以通过一键下载起亚汽车UVO手机App,远程控制相对基本功效(打开关闭发动机、上锁车门、车灯警报报警、吹空调并设置工作温度等),也可通过监控摄像机远程查看车辆四周的情况,并对找车。
找“肇事者”情况等具有一定推动作用,而此次关闭的,恰好是这一功效,因其应用车辆外部监控摄像机及时得到影像资料,并把页面同步传输到手机,属于《规定》中明确严禁的个人行为。专业人士和法律界人员都认为,虽然目前对智能驾驶手机上个人信息的管理方法还有待改进,但目前对汽车数据具体内容、收集、管理方法、传送的保密与抗过敏的建规法律已经加快开展之中,起亚汽车关掉360°全景影像的远程查看作用,就是一个很大的发展,展现了法律法规的发展和企业对法律的遵循。
汽车数据安全法规
(一)明确传输的是否为 受监管的特殊数据信息,如:
1)个人信息数据,则:
个人信息出境前达量必须进行安全评估:
1.处理个人信息达到100万人;
2.向境外提供超过10万人以上个人信息;
3、累计向境外提供超过1万人以上个人敏感信息;
2)重要数据, 出境前需要进行安全评估 :
重要数据界定:
1.《网络安全法》的规定, 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据 以境内存储为原则,确需出境的,需要进行安全评估。
2.的《汽车数据安全管理若干规定(试行)》,其中第三条[6]明确例举了构成汽车行业重要数据的数据, 例如重要敏感区域的地理信息、人员流量、车辆流量数据,车辆流量、物流等反映经济运行情况的数据 等。
3.国家互联网信息办公室于2021年11月14日发布的《网络数据安全管理条例(征求意见稿)》中列举:
(1)未公开的政务数据、工作秘密、情报数据和执法司法数据;(2)出口管制数据,出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据,密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据;(3)国家法律、行政法规、部门规章明确规定需要保护或者控制传播的国家经济运行数据、重要行业业务数据、统计数据等;(4)工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产、运行的数据,关键系统组件、设备供应链数据;(5)达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据;(6)国家基础设施、关键信息基础设施建设运行及其安全数据,国防设施、军事管理区、国防科研生产单位等重要敏感区域的地理位置、安保情况等数据;(7)其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。
(二)数据信息出境:并不代表境内数据处理者对数据的义务的终结。 处理者应有境外数据情况清晰的了解和把控,负有报告义务。
参考《网络数据安全管理条例(征求意见稿)》第四十条的规定, 向境外提供个人信息和重要数据的数据处理者 ,应当在每年1月31日前编制数据出境安全报告,向设区的市级网信部门报告上一年度以下数据出境情况:(一)全部数据接收方名称、****;(二)出境数据的类型、数量及目的;(三)数据在境外的存放地点、存储期限、使用范围和方式;(四)涉及向境外提供数据的用户投诉及处理情况;(五)发生的数据安全事件及其处置情况;(六)数据出境后再转移的情况;(七)国家网信部门明确向境外提供数据需要报告的其他事项。
(二) 核实第三方数据来源的合法性、正当性( 前期安全尽调、要求第三方签订承诺书、保证书等):
1)《数据安全法》第三十二条的规定,任何组织、个人收集数据,都必须采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。
2)《数据安全法》第五十一条的规定,窃取或者以其他非法方式获取数据,开展数据活动排除、限制竞争,或者损害个人、组织合法权益的,按照有关法律、行政法规的规定处罚,从而进一步援引至《网络安全法》、《刑法》、《反垄断法》、《个人信息保护法》等规定。
(三) 设立数据安全管理制度,采取技术和必要措施保障数据传输安全。
网络安全等级保护认证,采取数据分类分级管理、风险评估、监测预警和应急处置等数据安全管理各项基本制度;
1) 数据分级分类:网络安全标准实践指南——数据分类分级指引(征求意见稿)
分类:
a)个人信息:一般个人信息;敏感个人信息
b)? 公共数据;
c)? 法人数据;
2)数据出境安全评估 :无论数据处理者的数据出境活动是否触发安全评估申报的要求,其在向境外提供数据前均应事先开展数据出境风险自评估。—《数据出境安全评估办法(征求意见稿)》
第五条 数据处理者在向境外提供数据前,应事先开展数据出境风险自评估,重点评估以下事项:
(一)数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;
(二)出境数据的数量、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;
(三)数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险;
(四)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;
(五)数据出境和再转移后泄露、毁损、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等;
(六)与境外接收方订立的数据出境相关合同是否充分约定了数据安全保护责任义务。
第九条 数据处理者与境外接收方订立的合同 充分约定数据安全保护责任义务,应当包括但不限于以下内容:
(一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;
(二)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者合同终止后出境数据的处理措施;
(三)限制境外接收方将出境数据再转移给其他组织、个人的约束条款;
(四)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区法律环境发生变化导致难以保障数据安全时,应当采取的安全措施;
(五)违反数据安全保护义务的违约责任和具有约束力且可执行的争议解决条款;
(六)发生数据泄露等风险时,妥善开展应急处置,并保障个人维护个人信息权益的通畅渠道。
(四) 发生数据安全事件的报告义务
根据《数据安全法》第二十九条的规定,开展数据活动应当加强风险监测,在发现数据安全缺陷、漏洞等风险时,应当立即采取处置措施;发生数据安全事件时,应当按照规定及时告知用户并向有关主管部门报告。
《数据安全管理办法》第三十五条,即发生个人信息泄露、毁损、丢失等数据安全事件,或者发生数据安全事件风险明显加大时,网络运营者应当立即采取补救措施,及时以电话、短信、邮件或信函等方式告知个人信息主体,并按要求向行业主管监管部门和网信部门报告。
( 五)遇域外执法时的先行报告义务
根据《数据安全法》第三十六条规定,境外执法机构要求提供数据的请求,非经中华人民共和国主管机关批准,我国境内的组织、个人不得提供。
《数据安全法》第四十八条第二款规定,未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;造成严重后果的,处一百万元以上五百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。
315聚焦|细数新能源汽车六大“罪状”
汽车数据安全法规国内首个汽车数据安全的监管法规昨天开始向社会征求意见,新规明确个人信息将“默认不收集”,数据出境需要经过严格评估。
新规定涉及的汽车数据涵盖收集存储、传输、删除等全过程,监管范围也涉及全产业链,中国汽车技术研究中心车联网信息安全标准法规工程师王海均介绍,车主、驾驶员、乘客和行人的个人信息都在保护范围里。
在网络安全法里对个人信息做了一些明确定义,比如身份证号、电话号码,虹膜、指纹,在车载大屏上登录的密钥,都算我们的个人信息。
个人信息保护的第一原则就是默认不收集,赛博汽车创始人、主编肖莹介绍:现在我们很多车是默认收集的状态,车主还不知道该怎么去关闭。这次法规要求每次驾驶之前默认为不收集个人信息,只有这个驾驶员同意授权,才能对于这一次驾驶行程中的数据进行收集。
肖莹说,车主的知情权被充分保障。相关企业要通过用户的手册以及车载显示面板来告知消费者,数据收集的类型,你的数据保存的期限是多长,以及消费者想把这些数据删除掉,他应该去进行什么样的操作?
除了个人信息,新规明确划定,涉及国家安全、汽车充电网、道路车流量、车外音视频等数据属于重要数据,知名汽车博主常岩介绍:所有的重要数据或个人信息是应该依法放在境内存储的,如果需要向境外提供的,经过国家网信部门专门的安全评估,批准之后才可以的。同时,数据即便放在境外,如果涉及到用户的投诉和侵犯用户权益的时候,车企是需要依法承担责任的。
国家网信办介绍,新规面向社会公开征求意见。对于国内汽车数据安全的第一个法规,特斯拉率先表态支持并响应。目前,L2级别智能网联汽车的市场渗透率达到15%,车辆数据监管有法可依,也将促进行业规范和技术进步。
又到了一年一度的“3·15”,消费维权又成关注焦点,而与汽车消费相关的维权事件自然也是热搜常客。3月14日,国家市场监督管理总局官方公众号发布文章提到,2022年全国12315平台接收新能源汽车投诉举报1.6万件,同比增长62.84%。其中,合同问题、质量问题、虚假宣传问题增速较快,分别同比增长126.33%、77.35%、75.65%。话说回来,新能源带来了不仅是新的动力形式,新的出行体验,也带来了新的商业模式和用户运营模式。但是随着新能源车销量不断飙涨,其暴露出来的问题也越来越多。而这些问题虽然常常有用户控诉,但在新能源品牌野蛮生长的背景之下,却从来没有被主机厂正面对待过。今天我们就来数一数这些年新能源车的六大罪状。
夸大宣传自动驾驶
自动驾驶是最能体现新能源车科技感的功能,也是新能源车曾经一直着力宣传的卖点。
然而大家应该还会对两年前蔚来ES8在沈海高速上的车祸有印象,当时车主因为开启了所谓的自动驾驶功能导致车辆在高速上发生交通事故,最终车毁人亡。也正是因为这件事引发的舆论风波,让当时蔚小理这批造车新势力们匆忙将“自动驾驶”改成“辅助驾驶”。一场因为轻信厂家对自动驾驶的宣传而引发的事故,最终以所有厂家更改宣传话术草草收场。
此后的这两年里,主机厂虽然一方面在宣传话术上规避“自动驾驶”,同时加入各种免责条款和注意事项,但是另一方面还是在通过智能辅助、激光雷达、视觉感知这类体现着尖端科技,充满诱惑力的词汇,和官方的各种无人驾驶视频在占领用户的心智,让用户对这类辅助驾驶系统充满信任感。
事实上,无论是顶流的特斯拉,还是装配越来越多激光雷达的国产新能源车,在国内现阶段的自动驾驶能力仍然是停留在L2级别辅助驾驶上,哪怕是这些车型在软硬件层面上已经具备了L3级别甚至更高的能力。
但正是由于这种对硬件过度宣传给用户的暗示,让很多人还是会相信车辆的辅助驾驶功能,因此我们可以看到,这两年即使车企不提“自动驾驶”,但因为辅助驾驶引发的交通事故也是有增无减。
续航里程严重缩水
新能源车续航里程的缩水和虚标,基本上已经成为了一个行业的潜规则。在2021年发布的《中国新能源汽车市场洞察报告》中就有显示,在新能源汽车使用不满意因素排行中,续航不足占比达30.3%,位列第一。
最近几年,威马、埃安、小鹏、飞凡等新能源车企都曾经因为续航里程虚标和严重缩水的问题,被车主集体投诉维权。但车企面对续航里程这个问题,却从来没有正面回应过。
理由很简单,因为“裁判”和“球员”都是厂家。只要车企测试认为电池没问题,电控系统没问题,那么就必定是车主自己的问题。更何况,续航里程也的确会受到季节、环境、驾驶习惯等因素的影响。因此,哪怕是国标从当初的NEDC变成了如今的CLTC,依然没能真正客观的反映出一辆新能源车的真实续航能力。
于是,新能源车市场就形成了这样一个默契的规则:车企卖力宣传标称续航,消费者买车从不相信标称续航,最终默默吃亏的还是消费者。其实,给一组客观的可供参考的续航数据很难吗?并不难,只是达不到宣传的目的,车企不愿而已。
电池自燃事故频发
先看几组数据:
在2022年的第一季度,新能源汽车共发生640起火灾,相比2021年上升了32%,90天自燃640辆汽车,平均每天有7台新能源汽车发生火灾。请注意这还只是2022年的一季度,要知道整个2022年新能源车的销量仍在飙涨。
有媒体统计过,2022年1-11月,仅仅是在各媒体网站上有过明确报道的新能源车自燃事件就有74起,理想、小鹏、宝马、埃安、保时捷、北汽等等,几乎你数的出来的新能源车都曾“榜上有名”。
无论是三元锂电还是磷酸铁锂,无论是刀片电池还是弹匣电池,不管厂家事前宣传通过什么针刺火烧试验,多么多么安全,在市场上仍然难逃自燃和爆炸的现象。即使“新能源汽车自燃概率更低”常常被马斯克、李斌这些新能源车企大佬们拿来作为宣称电动车更安全的理由,但不可否认的是,相比燃油车起火,新能源汽车起火往往更难以控制和预防的,且常常在短时间内发生不可控的火情。
以次充好,货不对板
2022年,售价直追保时捷的高合汽车又闹出了“音响门”事件,导致大量车主集体投诉,由此揭开了又一行业内幕:所谓的各种高端车型上配备的国际名牌音响,大多都是授权贴牌的国产产品而已,不仅音响效果存在差异,而且价格相差悬殊。
这类事件在燃油车时代并不多见,但在新能源时代,随着造车方式发生了改变,厂家的宣传一味强调高端,实际上在一辆新能源车上,那些厂家宣称的硬件配置到底是不是货真价实,或许我们都要打个问号。
用户数据隐私无保障
还记得在2021年底,先是有小鹏因为6个月违规采集43万张客户人脸数据被上海市徐汇区市场监督管理局罚款10万元。之后又有蔚来的用户数据遭窃,被黑客勒索1500万元。
用户隐私数据是否被违规采集,以及如何确保安全,本来就是相关部门高速重视的一个问题。2021年10月开始实施的《汽车数据安全管理若干规定(试行)》对汽车数据的合理开发利用进行了规范,明确规定数据采用默认不收集原则,除非驾驶人自主设定;数据要进行脱敏处理,尽可能进行匿名化、去标识化等。
但事实上,无论是出于产品的开发研究,还是对驾驶行为安全的研究,车企必然会对车辆和用户数据进行采集。来自国家工业信息安全发展研究中心调研显示,一辆智能网联汽车每天至少收集10TB数据。那么这些数据,哪些属于合规采集,哪些属于违规采集,又该如何保证数据的安全,用户不关心,车企也不会主动透露。
某位互联网大佬曾表示中国用户更加开放,对隐私问题没那么敏感,在很多情况下愿意用隐私交换便捷性和效率。这也导致了车企在隐私数据这块有太多不透明的操作。随着新能源车用户基数越来越大,这个问题迟早要爆雷。
厂家漠视合同权益纠纷
大部分新能源车企都采用了直营模式,这种模式的好处是厂家更好管控价格,以销定产,消费者购车也能够享受全国统一的价格和权益。然而这也意味着,一旦合同出现纠纷,消费者将要直面比经销商更加强势的厂家。
在新能源车领域,消费者支付定金后,排产期限达不到预期时间,承诺提车期限一再延迟、下订后对应车型的价格、配置或权益发生变化等引起的纠纷依旧可以说是相当常见。强势的厂家基本上都是“我说了算”的态度,稍许友好一点的厂家或许会做出一些补偿方案,但说到底,吃亏的还是用户。
像此前特斯拉、小鹏、理想都曾经遭遇过类似的维权问题。比如小鹏和理想的新车定价罔顾老车主的权益遭到老车主集体投诉;特斯拉因为全系车型频繁降价也被车主集体维权。还有极氪、阿维塔、smart都因为订车之后出现权益纠纷,或是排产不断延期而遭致车主的投诉。
如果投诉群体规模大,厂家或许迫于舆论压力会给出解决方案。但那些散户型的用户,往往只会成为维权浪潮下沉默的大多数。
写在最后:
根据媒体报道,2022年我国新能源汽车用户投诉率为20%,在全球排名第一。这个数字在高达688.7万辆的销量数据衬托下,显得格外刺眼。而前面说到的新能源车六大“罪状”,在举国鼓励新能源车发展的大背景下,却从未在315期间被真正引起重视过。或许,这也是新能源车企多年来一直有恃无恐的原因吧。(文/优视汽车 老炮)
注:配图来自网络,权利归原作者所有,一并感谢!本文仅代表作者个人观点,不代表优视汽车的立场。
本文来自易车号作者优视汽车,版权归作者所有,任何形式转载请联系作者。内容仅代表作者观点,与易车无关
好了,今天关于“汽车数据安全管理若干规定”的话题就到这里了。希望大家通过我的介绍对“汽车数据安全管理若干规定”有更全面、深入的认识,并且能够在今后的学习中更好地运用所学知识。