网约车|雷军官宣【小米汽车】正式成立：汽车信息安全不容忽视( 二 ) 抽成|程维|柳青

02 “小米汽车”开展数据合规正当时随着《规定》的出台，强化汽车数据安全管理领域的数据合规问题将开创制造业开展数据合规治理的先河。结合《规定》、《网络安全法》、《数据安全法》、《个人信息保护法》等规定，汽车行业数据合规可从以下几个方面入手：
①建立网络安全等级保护
大家可能觉得不可思议，汽车也需要等级保护吗？2015年， Charlie Miller和Chris Valasek两名来自美国的黑客，利用克莱斯勒 Uconnect 车载系统的漏洞植入了带有病毒的固件，并向 CAN 总线发送指令控制了一台自由光，入侵事件发布之后，直接导致克拉斯勒公司宣布召回了140万辆相关车型。
从事云端安全方案的公司Upstream Security发布的2020年《汽车信息安全报告》显示，从2016年到2020年1月，汽车信息安全事件的数量增长了605% ，仅2019年公开报道的针对智能网联汽车信息安全攻击的事件就达到了155起。
所以，汽车上的信息处理系统一旦被突破，汽车数据就可能遭受不法篡改、删除和破坏，车辆安全在日常行驶中就根本得不到保障。

②封闭处理汽车数据
《规定》明确，汽车数据处理者在开展汽车数据处理活动中坚持“车内处理”、“默认不收集”、“精度范围适用”、“脱敏处理”等原则，减少对汽车数据的无序收集和违规滥用。
除非在确有必要的情况下才能向车外输出汽车数据，而且在向外输出数据时，还必须进行脱敏、匿名化处理处理，其中包括对人脸进行轮廓化处理，确保个人信息数据的安全。
③数据收集遵循必要性
对于汽车处理者来说，应当在取得汽车使用人同意的后方可处理个人信息，而且收集的个人信息，仅限于实现处理目的的最小范围，保存期限也应当控制在为实现处理目的所必要的最短时间内。
因此，对于汽车数据的收集处理最好由个人自主设定，同时根据所需要车辆提供功能服务对数据精度的要求决定摄像头、麦克风、雷达等的覆盖范围和分辨率。

④建立“五报告”制度
第一，向国家职能部门定期报告组织开展重要数据处理活动风险评估的相关情况。
第二，重要数据以境内存储为原则，如果确因业务需要确需向境外提供的，需向国家相关部门报告出境安全评估情况。
第三，对国家相关部门进行抽查核验后报告核验检查整改整改工作报告。
第四，每年定期报告年度汽车数据安全管理情况。
第五，向境外提供重要数据的汽车数据处理者应当向相关国家部门报告补充情况。
通过“五报告”制度，切实做到事前、事中、事后的全面跟踪和把握。
⑤创建特别条款保护隐私
汽车数据处理者通过手册、车载显示屏、语音等方式告知个人收集事项，只有具有增强行车安全的目的和充分的必要性时，方可收集指纹、声纹、人脸、心律等生物识别特征信息。如果汽车使用人要求删除信息的，汽车数据处理者还应当在十个工作日内予以删除。

03 写在最后今年7月发布的《中国互联网发展报告（2021）》显示， 2020年，我国智能网联汽车销量为303.2万辆，同比增长107% 。预计到2022年，智能网联汽车预计会超过7800万辆。在如此庞大的社会体量下，汽车数据安全问题日益严峻。
作为汽车产业与人工智能、大数据、物联网等新一代信息技术深度融合的产物，智能网联汽车将成为汽车与交通出行领域智能化、网联化发展的主要方向。《规定》是汽车产业数据安全的重要法规。对于汽车数据合规而言，遵循《规定》相关规则并构建自身的合规体系是非常紧迫的现实需求。