日前,中汽協(xié)日前發(fā)布了《智能網聯(lián)汽車數(shù)據(jù)安全評估指南(征求意見稿)》����。據(jù)悉,智能網聯(lián)汽車數(shù)據(jù)安全評估主要有數(shù)據(jù)安全風險評估����、數(shù)據(jù)安全合規(guī)性評估和數(shù)據(jù)出境安全評估三種類型。文件適用于智能網聯(lián)汽車相關組織自行開展數(shù)據(jù)安全評估工作���,也可為主管部門���、第三方測評機構等組織開展智能網聯(lián)汽車數(shù)據(jù)安全檢查、評估���、監(jiān)督等工作提供參考����。
值得注意的是,文件對數(shù)據(jù)進行了詳細的框定����,比如“個人信息”是指以電子或者其他方式記錄的與已識別或者可識別的車主、駕駛人����、乘車人、車外人員等有關的各種信息����,不包括匿名化處理后的信息。“敏感個人信息”是指一旦泄露或者非法使用����,可能導致車主、駕駛人���、乘車人����、車外人員等受到歧視或者人身����、財產安全受到嚴重危害的個人信息����,包括車輛行蹤軌跡����、音頻����、視頻、圖像和生物識別特征等信息���。“重要數(shù)據(jù)” 包括了重要敏感區(qū)域的地理信息���、人員流量、車輛流量等數(shù)據(jù)���;車輛流量���、物流等反映經濟運行情況的數(shù)據(jù);汽車充電網的運行數(shù)據(jù)����;包含人臉信息����、車牌信息等的車外視頻����、圖像數(shù)據(jù);涉及個人信息主體超過10萬人的個人信息等���,這些重要數(shù)據(jù)發(fā)生泄露會對國家安全和公共利益構成危害����。
因此���,對于數(shù)據(jù)要進行安全風險評估���,分析數(shù)字資產的重要程度、所面臨的威脅和脆弱性����,對企業(yè)數(shù)據(jù)安全風險進行評價;還要進行數(shù)據(jù)安全合規(guī)性評估���,針對智能網聯(lián)汽車數(shù)據(jù)處理活動���,判斷其是否符合相關法律���、法規(guī)、標準和管理要求����,評估企業(yè)數(shù)據(jù)安全管理措施合理有效的過程���。
對于風險的處理方式���,一般包括接受、消減����、轉移、規(guī)避等����。安全整改是風險處理中常用的風險消減方法,風險評估需提出安全整改建議����。安全整改建議需根據(jù)安全風險的嚴重程度���、加固措施實施的難易程度、降低風險的時間緊迫程度����、所投入的人員力量及資金成本等因素綜合考慮。對于非常嚴重����、需立即降低且加固措施易于實施的安全風險,建議被評估企業(yè)立即采取安全整改措施����。
根據(jù)風險評估報告,企業(yè)組織應制定相應的風險處理計劃����,明確風險處理方式,確定風險處理措施����,以規(guī)避相應的數(shù)據(jù)安全風險。同時����,應對風險評估工作進行記錄����,并定期開展評估���、驗證工作����,以確定風險處理措施是否有效����、是否存在新的風險���,對評估工作���、處理措施進行持續(xù)改進。
