协会聚焦 汽车行业数据安全合规迫在眉睫

协会聚焦 汽车行业数据安全合规迫在眉睫本站　　随着汽车智能化、数字化的发展，与汽车相关的数据安全及个人隐私信息保护事件时有发生

　　随着汽车智能化、数字化的发展，与汽车相关的数据安全及个人隐私信息保护事件时有发生。当下，从汽车设计、研发、生产、销售、使用、运维等整个产业链，都不可避免会收集大量的个人信息和重要数据。为加强个人信息和重要数据保护，规范汽车数据处理活动，根据《网络安全法》等法律法规，国家互联网信息办公室会同有关部门起草了《汽车数据安全管理若干规定（征求意见稿）》（以下简称《规定》）， 向社会公开征求意见。

　　这是我国首个汽车行业数据安全管理的规章制度，是针对目前智能网联汽车在发展过程中引发公众关注的数据安全问题的监管回应。基于 360 大数据协同安全技术国家工程实验室多年来在数据安全治理方面的研究和实践工作，本文在数据开发利用和保障数据安全相互促进与协调发展的基础上，从技术层面和管理层面提出了保障汽车数据安全的具体方法。

　　数智时代的到来让汽车迎来新一轮的变革，汽车智能化在带来便利的同时也极易引发数据安全问题。据英特尔公司预测，一辆联网的自动驾驶汽车每运行 8 小时将产生 4TB 的数据。这主要是因为汽车上安装了越来越多的传感器，汽车收集的数据种类和数量不断上升。在数智时代，所有的业务都将是数据驱动的，一旦敏感数据被破坏或泄露，将会造成重大经济损失或生产瘫痪。因此，需要建立起数据全生命周期保护的理念，保障数据活动在每一个环节的数据安全。

　　1、数据采集安全汽车依赖其传感器进行数据采集，通过网络获得来自云服务平台或其他设备的交互数据。对于任何一个云服务平台来说，汽车是主要的数据采集工具。因此，在某种程度上说，做好汽车数据采集安全，汽车数据安全就成功了大半。我们认为，汽车数据采集安全需要做到：

　　2、数据传输安全汽车数据传输主要是针对车外交互数据，这存在很多潜在的攻击入口和路径，比如车内 Wi-Fi、蓝牙和移动通信网络等，需防止数据遭到嗅探、篡改和其他攻击。因此，数据传输安全需要做到：

　　一是数据在汽车内的存储安全，二是汽车数据在云服务平台上的存储安全。对于车内数据，应该有基本的访问控制措施，防止未授权的访问，且不需要长时间保存，例如，行车安全相关的数据可以用后即删，或者根本不需要存储。而对于云服务平台上的数据，需要有数据库安全防护和大数据平台安全防护相关措施，并在管理上满足相关法规标准要求。

　　4、数据处理安全汽车数据处理过程包括数据的使用和加工，应注意防范数据滥用和数据泄露问题。根据《规定》中提出的汽车数据运营者处理个人信息和重要数据应坚持 “车内处理”、“匿名化处理”、“精度范围适用”原则，大量汽车数据在加工、分析处理前应对重要数据进行脱敏，保证数据可用性和安全性的平衡，在数据处理过程中应采取适当的安全控制措施，防止数据挖掘、分析过程中有价值数据和个人信息泄露的风险。对于需要商业合作伙伴进行数据开发利用的场景，比如进行某种汽车智能化功能的开发，汽车数据运营者需审核其数据安全能力，以有效降低数据应用开发过程中因提供数据带来的数据泄露风险。

　　采用隐私计算技术，在确需多方汽车数据联合计算的需求场景，通过隐私计算平台来可控、安全地交换数据的使用权，保证自己的数据不离开本地，实现“数据可用不可见”模式下的汽车数据价值挖掘；

　　对必须转移或出售数据的需求场景，应严格按照相关法律规范，对数据进行去标识化、匿名化和脱敏后方可实施。同时，对数据交换过程应进行监控与审计，共享的数据不能超出数据共享使用授权范围。

　　6、数据销毁安全数据销毁安全体现在汽车数据存储介质上的数据销毁和云服务平台上的数据销毁两个地方。汽车应提供数据擦除功能，以支持原车主在汽车转移登记之前将所有数据清除。而对于云服务平台上的数据，云服务平台应提供数据安全清除的功能。

　　7、从“云、管、端”落实汽车数据安全保障措施典型的车联网结构分为“端”、“管”、“云”三层，汽车数据安全包括数据在这三个层面的安全保障。“端”主要指汽车，是属于车主的个人物品；管”指的是“云”和“端”之间连接的网络通道，通常会通过移动通信网络进行连接；“云”则是车企建立的云服务平台，会从“端”获取汽车相关的数据，为“端”提供相关服务。

　　从“端”、“管”、“云”三个层面，更易于看清汽车数据安全保障措施的落地。汽车在出厂时就应具备基本的数据安全防护能力，例如安全策略设置、身份鉴别、数据加密、访问控制和安全审计等功能，并可以通过行车电脑进行持续升级。同时，建议逐步增加数据分类分级、去标识化、匿名化和数据脱敏等功能，确保上传给“云”的数据不含与服务无关的个人信息。

　　通过在汽车和“云”上装载数据加密模块，确保“管”的数据通信是受到加密保护的。“云”数据安全是大数据平台的数据安全，既需要身份鉴别、授权管理、访问控制和安全审计等基础安全功能，也需要数据库安全、数据脱敏、数据接口和数据销毁等涉及数据全生命周期安全的功能组件或模块，并要求在中国境内建立云服务平台。

　　安全是为了更好地发展，目前汽车领域数据安全进入强监管时代，开展汽车数据安全合规建设具有“时间紧”、“任务重”特点。天津市大数据协会愿与您一道，梳理企业在汽车数据安全合规建设方面面临的难点，提出切实有效的解决措施，为企业提供汽车数据安全合规建设服务，欢迎与我们留言互动。

　　声明：本文由入驻搜狐公众平台的作者撰写，除搜狐官方账号外，观点仅代表作者本人，不代表搜狐立场。