一.汽车数据出境安全管理背景
随着数字经济快速发展,数据作为数字经济的核心要素,已经成为国家之间争夺的重要战略资源,“数据主权”、“数据隐私”、“数据跨境流通规则”等越来越受到国际的关注。我国作为世界数据资源大国之一,面临的数据安全风险相较于其他国家也更为严峻,亟需建立健全数据跨境管理规则。
汽车是一个全球化程度极高的产业,也是数据跨境流动极为频繁的产业。为了防范数据跨境流动可能带来的国家安全、社会安全和个人信息安全隐患,我国也正在逐步完善跨境流动监管体系。数据出境安全也成为汽车企业合规的重要课题之一。
2021年10月1日,由国家网信办、国家发展和改革委员会、工信部、公安部、交通运输部联合发布的《汽车数据安全管理若干规定(试行)》(后简称“规定”)正式施行。《规定》强调,汽车数据处理者开展重要数据处理活动,应当遵守依法在境内存储的规定,加强重要数据安全保护;落实风险评估报告制度要求,积极防范数据安全风险;落实年度报告制度要求,按时主动报送年度汽车数据安全管理情况。因业务需要确需向境外提供重要数据的,汽车数据处理者应当落实数据出境安全评估制度要求,不得超出出境安全评估结论违规向境外提供重要数据,并在年度报告中补充报告相关情况。
二.汽车数据出境安全管理难点
汽车数据出境安全风险主要来自于云端和车端,云端的风险在于数据的分类分级管理;而车端风险在于主机厂需要面对众多零部件厂商,从制造业角度而言,汽车产业链中上游包括元器件供应商、通信设备提供商、汽车电子系统供应商等,下游主要是整车厂商,包括传统车企与互联网车企。而对于各环节流通的数据,配合相关的法律法规进行安全审查会起到一定的监管作用,但由于车端产品及隐蔽信道的复杂性,任何一个环节被植入后门,都可能影响到整车的安全,且极难排查。尤其是国外厂商,不可控因素增多,因此,车端风险主要包含以下几个方面:
三.中国汽研汽车数据跨境安全检测实验室
国家法规虽然出台,要求车企对跨境数据备案,无论从监管的角度还是主机厂自身数据跨境的摸查,都应该从车端的跨境数据检测开始,但目前我国汽车跨境数据的传输检测方面力量仍较为薄弱。
中国汽车工程研究院股份有限公司是目前国内首推汽车跨境数据检测及认证的单位。中国汽研北京院网络与数据安全中心自2019年就开始自主研发汽车跨境数据的安全检测,获得一致好评,并建设汽车数据跨境安全检测实验室(以下简称“跨境实验室”),旨在面向汽车行业探索数据合规跨境等关键技术及产业化应用。该检测实验室由大型屏蔽仓及专业自主研发的通讯检测设备组成。在电磁屏蔽环境中模拟车辆带电静止、锁车断电、车辆行驶等场景,通过通讯检测设备获得数据传输的路径,并截获上传数据,从而完成对车辆数据回传路径、数据回传地址、数据回传内容的检测分析;该实验室的研发填补了国内汽车数据跨境传输检测的空白。
四.保障汽车数据出境安全合规可落地
通过以上测试,汽车企业跨境数据流转中的敏感数据的出境可被及时发现,帮助有数据出境需要的汽车企业或监管机构对照自查或检查出境数据的合规情况。实现敏感数据出境的安全风险可视化。形成符合要求的敏感数据检查策略和防泄露措施,满足我国数据安全的合规要求,促进数据出境安全合规的落地。
保障汽车数据安全出境,实现“防范风险、自由流动”一直是汽车行业探索数据合规使用的重大问题。数据安全的国际博弈才刚刚开始。中国汽研北京院网络与数据安全中心会继续帮助客户实现数据资产在境内、外的安全流转,为保障国家、企业、个人的数据安全贡献自己的力量!
来源:ACSRC