五部门发文要求新能源车企保障数据安全,分类管理个人信息等或有挑战
21世纪经济报道记者郭美婷南方财经全媒体记者李润泽子广州报道
4月8日,工业和信息化部、公安部、交通运输部、应急管理部、市场监管总局(以下统称“五部门”)联合发布了《关于进一步加强新能源汽车企业安全体系建设的指导意见》(以下简称《意见》)。
21世纪经济报道记者发现,《意见》高度重视汽车网络安全保障,对比此前发布的征求意见稿,专门新增“健全网络安全保障体系”一节作出规定。
受访专家表示,在车辆进入智能网联时代以后,网络安全、数据安全和个人信息安全已成为支撑智能网联汽车发展的重要一环,是未来的趋势。此次《意见》中,“对个人信息实行分类管理”和“对已销售的新能源汽车产品的运行安全状态进行监测”或是企业存在落实难点之处。
新增网络安全保障章节
近年来,我国新能源汽车产业发展取得显著成效,产销量连续7年位居全球首位、产品技术水平快速提升、产业生态体系逐步建立、配套环境不断完善。
但随着新能源汽车保有量的快速增长以及老旧车辆不断增多,产品质量安全风险问题引发关注,而部分企业质量保障体系仍然有待健全完善;同时,网络安全、数据安全等新问题的出现,使新能源汽车安全的内涵和外延也在发生变化。2020年,《新能源汽车产业发展规划(2021-2035)》发布,其中不仅提出健全安全保障体系,还提到要打造网络安全保障体系。
根据上述规划,我国将健全新能源汽车网络安全管理制度,构建统一的汽车身份认证和安全信任体系,推动密码技术深入应用,加强车载信息系统、服务平台及关键电子零部件安全检测,强化新能源汽车数据分级分类和合规应用管理,完善风险评估、预警监测、应急响应机制,保障“车端—传输管网—云端”各环节信息安全。
在此背景之下,为进一步压实新能源汽车企业主体责任,建立健全产品安全保障体系,切实提升产品安全水平,推动新能源汽车产业高质量发展,五部门于2021年10月形成《意见》征求意见稿,并于日前联合制定发布了最终版的《意见》。
21世纪经济报道记者梳理发现,对比此前发布的征求意见稿,《意见》专门新增“健全网络安全保障体系”一节,从网络安全、数据安全、个人信息防护方面提出意见。
其中在网络安全方面,《意见》提出加强网络安全防护。企业要依法落实关键信息基础设施安全保护、网络安全等级保护、车联网卡实名登记、汽车产品安全漏洞管理等要求。对车辆网络安全状态进行监测,采取有效措施防范网络攻击、入侵等危害网络安全的行为。
“在车辆进入智能网联时代以后,网络安全、数据安全和个人信息安全已成为支撑智能网联汽车发展的重要一环,是未来的趋势。” 国家智能网联汽车创新中心信息安全部部长罗承刚告诉21世纪经济报道记者。
事实上,今年以来监管部门对于汽车网络安全愈发重视。就在4月1日,国家市场监督管理总局等五部门联合发布《关于试行汽车安全沙盒监管制度的通告》。据罗承刚此前介绍,网络安全、预期功能安全等新技术已经超出了传统监管范围,沙盒监管是面向新技术监管很好的方式。
强化数据安全保护
《意见》提出强化数据安全保护,要求企业建立健全全流程数据安全管理制度,采取相应的技术措施和其他必要措施,保障数据安全。同时,企业要按照法律、行政法规的有关规定进行数据收集、存储、使用、加工、传输、提供、公开等处理活动,以及数据出境安全管理。
《个人信息保护法》自去年11月起落地,施行至今已近半年。《意见》强调落实个人信息安全防护,要求企业按照《个人信息保护法》以及相关法律法规的规定处理个人信息,制定内部管理和操作规程,对个人信息实行分类管理,并采取相应的加密、去标识化等安全技术措施,防止未经授权的访问以及个人信息泄露、篡改、丢失。
《意见》还要求企业落实安全监测主体责任,自建或委托第三方建立新能源汽车产品运行安全状态监测平台(简称企业监测平台)。企业要按照与新能源汽车产品用户的协议,对已销售的新能源汽车产品的运行安全状态进行监测,并按照相关标准要求上传监测数据,确保上传数据的及时性、真实性和有效性。
罗承刚表示,“对个人信息实行分类管理”和“对已销售的新能源汽车产品的运行安全状态进行监测”恰恰是此次《意见》中企业存在落实难点之处。
“《个人信息保护法》及部分相关配套措施在去年才出台,即使是国外,欧盟《通用数据保护条例》亦仅在2018年才实施,对于个人信息分类并未有具体的细化规则。车辆运行产生大量的数据,这些数据虽然大都集中存储于企业数据中心,但是由各部门、各子公司相关的业务系统采集并使用,需要将这些数据集中进行分类管理,在管理层面而非技术层面上实现难度较大。”罗承刚解释,而车辆运行安全状态的监测难度,则体现在需将车端、网络、云端等多维度数据集中分析,数据量大且杂。
《意见》强调“监测数据不得违法违规使用”,在附件《企业监测平台建设指南》(下称《指南》)中亦有体现。《指南》明确,企业监测平台建设指南应具有数据接入、数据存储、数据计算、数据检索,以及稳定性及安全性的性能,要求平台具有网络安全、数据安全防护能力,具有完整的安全访问日志记录、预警、审计等功能,同时建立网络安全和数据安全管理制度等。
工信部官网显示,下一步,工信部等五部门将督促企业参照《意见》开展自查,整改存在的问题,加快构建系统、科学、规范的安全体系,全面提升在安全管理机制、产品质量、运行监测、售后服务、事故响应处置、网络安全等方面的保障能力;同时,五部门将形成工作合力,加强部门、地方之间的协同和衔接,强化信息共享和事中事后监管,共同加强对新能源汽车安全管理工作的指导和监督等。
