對于智能汽車資料要進行安全風險評估
中汽協釋出《智能網聯汽車資料安全評估指南(征求意見稿)》
文/圖 羊城晚報記者 戚耀琪
日前,中汽協日前釋出了《智能網聯汽車資料安全評估指南(征求意見稿)》。據悉,智能網聯汽車資料安全評估主要有資料安全風險評估、資料安全合規性評估和資料出境安全評估三種類型。檔案适用于智能網聯汽車相關組織自行開展資料安全評估工作,也可為主管部門、第三方測評機構等組織開展智能網聯汽車資料安全檢查、評估、監督等工作提供參考。
值得注意的是,檔案對資料進行了詳細的框定,比如“個人資訊”是指以電子或者其他方式記錄的與已識别或者可識别的車主、駕駛人、乘車人、車外人員等有關的各種資訊,不包括匿名化處理後的資訊。“敏感個人資訊”是指一旦洩露或者非法使用,可能導緻車主、駕駛人、乘車人、車外人員等受到歧視或者人身、财産安全受到嚴重危害的個人資訊,包括車輛行蹤軌迹、音頻、視訊、圖像和生物識别特征等資訊。“重要資料” 包括了重要敏感區域的地理資訊、人員流量、車輛流量等資料;車輛流量、物流等反映經濟運作情況的資料;汽車充電網的運作資料;包含人臉資訊、車牌資訊等的車外視訊、圖像資料;涉及個人資訊主體超過10萬人的個人資訊等,這些重要資料發生洩露會對國家安全和公共利益構成危害。
是以,對于資料要進行安全風險評估,分析數字資産的重要程度、所面臨的威脅和脆弱性,對企業資料安全風險進行評價;還要進行資料安全合規性評估,針對智能網聯汽車資料處理活動,判斷其是否符合相關法律、法規、标準和管理要求,評估企業資料安全管理措施合理有效的過程。
對于風險的處理方式,一般包括接受、消減、轉移、規避等。安全整改是風險進行中常用的風險消減方法,風險評估需提出安全整改建議。安全整改建議需根據安全風險的嚴重程度、加強措施實施的難易程度、降低風險的時間緊迫程度、所投入的人員力量及資金成本等因素綜合考慮。對于非常嚴重、需立即降低且加強措施易于實施的安全風險,建議被評估企業立即采取安全整改措施。
根據風險評估報告,企業組織應制定相應的風險處理計劃,明确風險處理方式,确定風險處理措施,以規避相應的資料安全風險。同時,應對風險評估工作進行記錄,并定期開展評估、驗證工作,以确定風險處理措施是否有效、是否存在新的風險,對評估工作、處理措施進行持續改進。