记者 戚耀琪
日前,中汽协日前发布了《智能网联汽车数据安全评估指南(征求意见稿)》。据悉,智能网联汽车数据安全评估主要有数据安全风险评估、数据安全合规性评估和数据出境安全评估三种类型。文件适用于智能网联汽车相关组织自行开展数据安全评估工作,也可为主管部门、第三方测评机构等组织开展智能网联汽车数据安全检查、评估、监督等工作提供参考。
值得注意的是,文件对数据进行了详细的框定,比如“个人信息”是指以电子或者其他方式记录的与已识别或者可识别的车主、驾驶人、乘车人、车外人员等有关的各种信息,不包括匿名化处理后的信息。“敏感个人信息”是指一旦泄露或者非法使用,可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的个人信息,包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。“重要数据” 包括了重要敏感区域的地理信息、人员流量、车辆流量等数据;车辆流量、物流等反映经济运行情况的数据;汽车充电网的运行数据;包含人脸信息、车牌信息等的车外视频、图像数据;涉及个人信息主体超过10万人的个人信息等,这些重要数据发生泄露会对国家安全和公共利益构成危害。
因此,对于数据要进行安全风险评估,分析数字资产的重要程度、所面临的威胁和脆弱性,对企业数据安全风险进行评价;还要进行数据安全合规性评估,针对智能网联汽车数据处理活动,判断其是否符合相关法律、法规、标准和管理要求,评估企业数据安全管理措施合理有效的过程。
对于风险的处理方式,一般包括接受、消减、转移、规避等。安全整改是风险处理中常用的风险消减方法,风险评估需提出安全整改建议。安全整改建议需根据安全风险的严重程度、加固措施实施的难易程度、降低风险的时间紧迫程度、所投入的人员力量及资金成本等因素综合考虑。对于非常严重、需立即降低且加固措施易于实施的安全风险,建议被评估企业立即采取安全整改措施。
根据风险评估报告,企业组织应制定相应的风险处理计划,明确风险处理方式,确定风险处理措施,以规避相应的数据安全风险。同时,应对风险评估工作进行记录,并定期开展评估、验证工作,以确定风险处理措施是否有效、是否存在新的风险,对评估工作、处理措施进行持续改进。