智能網聯汽車數據合規體系構建解析及建議(系列三)—從數據分類分級視角
作者:楊軍 2023-01-11引言
2021年9月1日起正式施行的《數據安全法》是我國第一部有關數據安全的專門法律。雖然《數據安全法》提出了“核心數據”、“重要數據”等概念,但是整體上看,《數據安全法》的規定還停留在原則意義上,缺乏具體指引方法。《汽車數據安全管理若干規定(試行)》對汽車行業的數據分類進行了嘗試,該規定主要將汽車數據分為“個人信息”和“重要數據”兩大類,并對“重要數據”做了進一步的明確,但該規定并未規定如何對汽車數據進行分級。另一方面,隨著汽車智能化、網聯化程度日益提高,收集及處理的數據體量增大,數據安全隱患也日益突出。汽車數據的分級分類保護是保障汽車數據安全的基礎和前提,只有首先對汽車數據進行分類分級,才能針對不同的汽車數據的重要性、敏感程度采取不同的保護措施,有條不紊并有針對性地展開汽車數據保護工作。 本文意在解析與智能網聯汽車企業(“車企”)數據合規體系相關的法律法規、標準對車企數據分類分級的相關規定,分析該等法律法規、標準對車企數據分類分級的要求,并從完善車企數據分類分級的角度為車企建立完整的數據合規體系提出初步建議,供業內同行參考。
一、《數據安全法》對數據分類分級的規制
(一)數據分類 根據《數據安全法》,由國家建立覆蓋全國和各行各業的數據分類保護制度,統籌協調有關部門制定重要數據目錄,加強對重要數據的保護。重要數據目錄由虛擬機構(國家數據安全工作協調機制)制定,各地區、各部門按照上述數據分類分級制度確立本地區、本部門以及相關領域的重要數據具體目錄。[1]工信行業的具體目錄由工信部制定。 (二)數據分級 關于數據的分級,《數據安全法》根據數據一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,將數據從低到高分成一般數據、重要數據、核心數據共三個級別。 (三)評析 不難看出,《數據安全法》關于數據分類和分級的規定和標準太過簡略,缺乏可操作性和系統性,許多細節問題,尚需進一步細化和明確。
二、《工業和信息化領域數據安全管理辦法(試行)》對數據分類分級的規制
由工業和信息化部(“工信部”)發布并于2023年1月1日生效的《工業和信息化領域數據安全管理辦法(試行)》(“試行辦法”)劃定了監管部門和企業在工業數據分類分級的不同角色定位,工信部負責組織制定工業和信息化領域數據分類分級、重要數據和核心數據識別認定、數據分級防護等標準規范,指導開展數據分類分級管理工作,制定行業重要數據和核心數據具體目錄。地方行業監管部門分別組織開展本地區工業和信息化領域數據分類分級管理及重要數據和核心數據識別工作,確定本地區重要數據和核心數據具體目錄并上報工信部。作為工業和信息化領域數據處理者的車企應當定期梳理數據,按照相關標準規范識別重要數據和核心數據并形成車企的具體目錄。[2] (一)數據分類 根據行業要求、特點、業務需求、數據來源和用途等因素,試行辦法將工業和信息化領域數據分類為研發數據、生產運行數據、管理數據、運維數據、業務服務數據等。[3]雖然本處的分類未提到個人信息數據,但考慮到業務服務會涉及到收集并處理客戶數據,企業也會為了提供售后服務處理客戶個人信息,因此在對企業進行上述五個類別的數據歸類時可同時識別是否包含個人信息數據,從而保證企業的數據分類的完整性。 (二)數據分級 根據數據遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益等造成的危害程度,試行辦法將工業和信息化領域數據分為三個級別:一般數據、重要數據和核心數據,[4]定義如下: 危害程度符合下列條件之一的數據為一般數據:(1)對公共利益或者個人、組織合法權益造成較小影響,社會負面影響小;(2)受影響的用戶和企業數量較少、生產生活區域范圍較小、持續時間較短,對企業經營、行業發展、技術進步和產業生態等影響較小;(3)其他未納入重要數據、核心數據目錄的數據。[5] 危害程度符合下列條件之一的數據為重要數據:(1)對政治、國土、軍事、經濟、文化、社會、科技、電磁、網絡、生態、資源、核安全等構成威脅,影響海外利益、生物、太空、極地、深海、人工智能等與國家安全相關的重點領域;(2)對工業和信息化領域發展、生產、運行和經濟利益等造成嚴重影響;(3)造成重大數據安全事件或生產安全事故,對公共利益或者個人、組織合法權益造成嚴重影響,社會負面影響大;(4)引發的級聯效應明顯,影響范圍涉及多個行業、區域或者行業內多個企業,或者影響持續時間長,對行業發展、技術進步和產業生態等造成嚴重影響;(5)經工業和信息化部評估確定的其他重要數據。[6] 危害程度符合下列條件之一的數據為核心數據:(1)對政治、國土、軍事、經濟、文化、社會、科技、電磁、網絡、生態、資源、核安全等構成嚴重威脅,嚴重影響海外利益、生物、太空、極地、深海、人工智能等與國家安全相關的重點領域;(2)對工業和信息化領域及其重要骨干企業、關鍵信息基礎設施、重要資源等造成重大影響;(3)對工業生產運營、電信網絡和互聯網運行服務、無線電業務開展等造成重大損害,導致大范圍停工停產、大面積無線電業務中斷、大規模網絡與服務癱瘓、大量業務處理能力喪失等;(4)經工業和信息化部評估確定的其他核心數據。[7] (三)評析 試行辦法所規定的分類分級是一個基本的框架,企業仍可在此基礎上細分數據的類別和級別。車企應定期梳理數據,按照工信部做出的分類分級、重要數據和核心數據識別認定、數據分級防護等標準規范識別企業自身的重要數據和核心數據后形成本單位的具體目錄,并應當將本單位重要數據和核心數據目錄向本地區行業監管部門備案。備案內容包括但不限于數據來源、類別、級別、規模、載體、處理目的和方式、使用范圍、責任主體、對外共享、跨境傳輸、安全保護措施等基本情況,不包括數據內容本身。[8] 另外,試行辦法對數據的分類分級著眼于工業數據,即使其數據分類中可能涉及個人信息數據,建議的數據分類分級也未提及個人信息數據,車企在參照試行辦法制定其自身的數據分類分級規則時應注意這個問題,且應補齊這方面的規定。
三、《工業數據分類分級指南(試行)》對數據分類分級的規制
(一)數據分類 根據《工業數據分類分級指南(試行)》(“分類分級指南”) 第六條,工業企業工業數據分類維度包括但不限于研發數據域(研發設計數據、開發測試數據等)、生產數據域(控制信息、工況狀態、工藝參數、系統日志等)、運維數據域(物流數據、產品售后服務數據等)、管理數據域(系統設備資產信息、客戶與產品信息、產品供應鏈數據、業務統計數據等)、外部數據域(與其他主體共享的數據等)。簡而言之,從工業數據分類維度,車企數據可以分為研發數據、生產數據、運維數據、管理數據和外部數據共五個類別,但是分類分級指南的分類未提及個人信息數據。 (二)數據分級 分類分級指南根據不同類別工業數據遭篡改、破壞、泄露或非法利用后,可能對工業生產、經濟效益等帶來的潛在影響,將工業數據分為一級、二級、三級共3個級別,分別如下: 三級數據:(1)易引發特別重大生產安全事故或突發環境事件,或造成直接經濟損失特別巨大;或(2)對國民經濟、行業發展、公眾利益、社會秩序乃至國家安全造成嚴重影響。[9] 二級數據:(1)易引發較大或重大生產安全事故或突發環境事件,給企業造成較大負面影響,或直接經濟損失較大;或(2)引發的級聯效應明顯,影響范圍涉及多個行業、區域或者行業內多個企業,或影響持續時間長,或可導致大量供應商、客戶資源被非法獲取或大量個人信息泄露;或(3)恢復工業數據或消除負面影響所需付出的代價較大。[10] 一級數據:(1)對工業控制系統及設備、工業互聯網平臺等的正常生產運行影響較小;或(2)給企業造成負面影響較小,或直接經濟損失較小;或(3)受影響的用戶和企業數量較少、生產生活區域范圍較小、持續時間較短;或(4)恢復工業數據或消除負面影響所需付出的代價較小。[11] 雖然叫法不同,但不難看出本分類分級指南一級數據、二級數據和三級數據分別對應《數據安全法》和試行辦法規定的一般數據、重要數據和核心數據。 (三)評析 分類分級指南的分類未提到個人信息數據,但考慮到業務服務會涉及到收集并處理客戶數據,企業也會為了提供售后服務等原因處理客戶個人信息(運維數據),因此在對企業進行上述五個類別的數據歸類時可同時識別是否包含個人信息數據,從而保證企業的數據分類的完整性。企業并應在此基礎上對涉及到的個人信息的等級進行識別。 還需注意的是,分類分級指南要求工業企業承擔工業數據管理的主體責任,企業應按規定建立健全相關管理制度,實施工業數據分類分級管理并開展年度復查,并應在企業系統、業務等發生重大變更時及時更新分類分級結果。[12]
四、《汽車數據安全管理若干規定(試行)》對數據分類分級的規制
(一)數據分類 根據《汽車數據安全管理若干規定(試行)》(“若干規定”)第三條第一款,汽車數據包括汽車設計、生產、銷售、使用、運維等過程中的涉及個人信息數據和重要數據,即本款采用了兩個數據分類維度:(1)公民個人維度,按照數據是否可識別自然人或與自然人關聯,將數據分為個人信息、非個人信息;(2)業務流程維度,以汽車設計、生產、銷售、使用、運維共五個階段作為汽車數據分類的緯度,由此汽車數據包括設計、生產、銷售、使用和運維五類重要數據。簡而言之,汽車數據包括五個階段的兩種數據(個人信息數據和重要數據)。 (二)數據分級 該條第二款對個人信息進行了定義,即個人信息是指以電子或者其他方式記錄的與已識別或者可識別的車主、駕駛人、乘車人、車外人員等有關的各種信息,不包括匿名化處理后的信息。第三款對敏感個人信息專門做了定義,是指一旦泄露或者非法使用,可能導致車主、駕駛人、乘車人、車外人員等受到歧視或者人身、財產安全受到嚴重危害的個人信息,包括車輛行蹤軌跡、音頻、視頻、圖像和生物識別特征等信息。從這兩個定義可以推導出若干規定將與汽車相關的個人信息數據分為一般個人信息和敏感個人信息兩個等級。 若干規定對個人信息數據以外的數據并未進行明確的分類,僅對重要數據進行了定義,是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能危害國家安全、公共利益或者個人、組織合法權益的數據,包括:(1)軍事管理區、國防科工單位以及縣級以上黨政機關等重要敏感區域的地理信息、人員流量、車輛流量等數據;(2)車輛流量、物流等反映經濟運行情況的數據;(3)汽車充電網的運行數據;(4)包含人臉信息、車牌信息等的車外視頻、圖像數據;(5)涉及個人信息主體超過10萬人的個人信息;(6)國家網信部門和國務院發展改革、工業和信息化、公安、交通運輸等有關部門確定的其他可能危害國家安全、公共利益或者個人、組織合法權益的數據。根據若干規定的文義解讀,汽車數據僅包括個人信息和重要數據,其他數據包括一般數據不屬于汽車數據的范疇,也就沒有對個人信息數據以外的數據進行分級。 (三)問題及解決思路 1.從第三條第一款的文義解讀,汽車數據只包括個人信息(結合上下文,第一款所提到個人信息應包括敏感個人信息)和重要數據,似乎不包括一般數據,但汽車數據應是涵括個人信息、一般數據、重要數據甚至核心數據的一個完整閉環,也只有包括汽車所有的數據,數據分類分級及相應的保護機制設定才會完整。我們無法猜度國家網信辦、國家發改委、工信部、公安部、交通運輸部在聯合發布若干規定時對汽車數據的范圍設定的本意,在沒有對本條的定義的補充和/或修訂規定出臺的情況下,對車企比較安全和可行的做法是在對其數據進行分類分級時將一般數據納入通盤考慮,以確保其數據合規體系的完整性,也符合工信部發布的試行辦法設定的數據分類分級標準。 2.若干規定只提到汽車數據,但這對于車企建立完整的數據合規體系是不夠的。除汽車數據外,與車企相關的公司運營、財務、人事、供應商、經銷商等非汽車數據亦應作為車企建立完整的數據合規體系考慮的重要因素,因此在對車企相關的數據進行分類分級時應覆蓋汽車數據和非汽車數據,以確保車企數據合規體系的完整性。
五、行業標準對智能網聯汽車數據分類分級的規制
關于數據的分類分級,工業和信息化部發布了2項行業標準,分別為《車聯網信息服務 數據安全技術要求》(YD/T 3751—2020)(“3751標準”)和《車聯網信息服務 用戶個人信息保護要求》(YD/T 3746—2020) (“3746標準”)。另外,全國信息安全標準化技術委員會秘書處2021年12月發布的《網絡安全標準實踐指南—網絡數據分類分級指引》(TC260-PG-20212A)(“實踐指南”)對數據分類分級提供了指引。下面簡要介紹上述兩個標準建議的車聯網信息服務數據和用戶個人信息的分類分級規則和實踐指南提供的網絡數據分類分級指南。 (一) 3751標準 3751標準是工信部發布的關于車聯網信息服務數據安全保護的標準。 1.數據分類 根據3751標準,車聯網信息服務相關的數據基于其屬性或特性,按照數據主題進行分類,分為六大類:基礎屬性數據、車輛工控數據、環境感知數據、車控類數據、應用服務類數據和用戶個人信息。[13] 2. 數據分級 3751標準依據車聯網信息服務數據的安全目標、重要性以及在發生安全事件時可能造成的影響范圍與嚴重程度不同,將車聯網信息服務相關的數據劃分為不同的敏感度等級,并按照等級不同實施相應的安全保護措施。3751標準將車聯網信息服務數據敏感性劃分為一般數據、重要數據和敏感數據。 一般數據是指在車聯網信息服務運行過程中,車聯網各主體間進行信息交互時的一般性、能公開獲取或能在一定范圍內公開的數據。 重要數據是指在車聯網信息服務運行過程中,車聯網各主體間進行信息交互時的數據,通過這些數據能一定程度標識或識別到特定的車聯網信息服務的主體、對象或其重要特征,且這些數據一旦泄漏,會對與車聯網信息服務相關的汽車廠商、零部件供應商、4S店、維修車、第三方供應商、車聯網服務提供商、用戶造成較大影響,在一定范圍內影響經濟效益或造成財產損失,或會對人身和財產安全造成較大影響。 敏感數據是指在車聯網信息服務運行過程中,車聯網各主體間進行信息交互時的數據,通過這些數據能唯一標識或識別到特定的車聯網信息服務主體、對象或其敏感特征,且這些數據與汽車廠商、零部件供應商、4S店、維修車、第三方供應商、車聯網服務提供商等企業利益密切相關,或直接關系到用戶的個人隱私,這些數據一旦未經授權泄露、丟失、濫用、篡改或銷毀,會造成嚴重后果。 除了關系到個人隱私、公共安全等相關的數據必須劃分為重要數據或敏感數據外,車聯網服務相關企業可以根據自身業務情況劃分數據敏感性等級。[14] (二) 3746標準 3746標準是工信部發布的關于車聯網用戶個人信息保護的標準。 1.數據分類 根據3746標準,用戶個人信息是指車聯網信息服務如數據采集傳輸和使用銷毀等過程中與用戶密切相關的數據信息,這些數據信息能夠一定程度上識別車聯網用戶個人身份或反映出用戶個人活動情況。3746標準項下車聯網信息服務用戶個人信息細分為用戶身份證明類信息、車聯網信息服務用戶數據和服務內容信息、用戶服務相關信息三大類。[15] 2. 數據分級 3746標準綜合考慮下述因素進行數據分級:車聯網信息服務中用戶個人信息的敏感程度和在發生用戶個人信息泄露或濫用等事件后對用戶人身和財產等方面的危害程度。在此基礎上,3746標準將車聯網信息服務用戶個人信息劃分為個人敏感信息、個人重要信息和個人一般信息。 個人敏感信息:是指在車聯網信息服務過程中相關的用戶個人信息,一旦泄露、被非法提供或被濫用后會給用戶人身和財產帶來嚴重危害,極易導致個人名譽、身心健康受到損害或歧視性待遇等個人信息。 個人重要信息:是指在車聯網信息服務過程中相關的個人信息,在被泄露、被非法提供或被濫用后會給用戶人身和財產帶來較大危害,甚至一定程度上影響個人名譽和身心健康。 個人一般信息:是指在車聯網信息服務過程中相關的個人信息,在被泄露、被非法提供或被濫用后會給用戶帶來一定危害,但相對影響范圍和程度有限,不會對財產和人身安全構成危害。[16] (三)實踐指南 1.數據分類 根據實踐指南,數據處理者進行數據分類時,應優先遵循國家、行業的數據分類要求,如果所在行業沒有行業數據分類規則,也可從組織經營維度進行數據分類。實踐指南采用面分類法,從國家、行業、組織等視角給出了多個維度的數據分類參考框架,其描述的常見數據分類維度,包括但不限于公民個人維度、公共管理維度、信息傳播維度、行業領域維度、組織經營維度,數據處理者進行數據分類時,可在遵循國家和行業數據分類要求的基礎上,采用面分類法從多個維度進行分類,對不同維度的數據類別進行標識,每個維度的數據分類也可采用線分類法進行細分。[17] 2. 數據分級 實踐指南按照《數據安全法》要求,根據數據一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,將數據從低到高分成一般數據、重要數據、核心數據共三個級別。[18]實踐指南按照個人信息一旦泄露或者非法使用,對個人合法權益造成的危害程度,將個人信息分為一般個人信息和敏感個人信息。一般個人信息是指一旦泄露或者非法使用,對自然人個人信息權益造成輕微或一般影響,不易導致自然人的人格尊嚴、人身安全、財產安全受到侵害。敏感個人信息是指一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息。[19]在上述分級的基礎上,實踐指南還建議了一般數據的分級規則:按照數據一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對個人、組織合法權益造成的危害程度,將一般數據從低到高分為 1 級、2 級、3 級、4 級共四個級別。 (四)評析 3746標準與3751標準的思路基本一致,規定了車聯網信息服務中用戶個人信息保護的信息內容分類、敏感性分級和分級保護要求,適用于汽車廠商、零部件和元器件供應商、軟件提供商、數據內容提供商和服務提供商等在提供服務過程中的個人信息保護。但是,3751標準的六大類數據并不包括汽車數據以外的車企運營相關數據,對車企建立完整的覆蓋汽車運營的所有數據的合規體系是一個缺陷。 實踐指南指出了數據分類的基本原則:數據處理者進行數據分類時,應優先遵循國家、行業的數據分類要求,如果所在行業沒有行業數據分類規則,也可從組織經營維度進行數據分類。對于車企而言,可參照上述基本原則并結合企業實際確定自己的數據分類原則。至于數據分級原則,實踐指南的指向比較清楚,車企可參考適用。另外,實踐指南建議的將一般數據進一步分級為1 級、2 級、3 級、4 級共四個級別的分級規則實踐中不多見,但不失為完善和細化數據分級管理的一個可行選項。
六、構建和完善車企數據分類分級的建議
(一)確定車企數據分類分級原則 車企應首先根據與車企數據合規相關法律法規的規定,確定其數據分類分級原則,建議參考實踐指南的數據分類分級原則,設定企業的數據分類分級原則如下: 1.合法合規原則:數據分類分級應遵循有關法律法規及部門(車企的行業主管部門為工業和信息化部門)規定(如“試行辦法”、“若干規定”)的要求,優先對國家或工業和信息化部門管理要求的數據進行識別和管理,滿足相應的數據安全監管要求。 2.分類多維原則:數據分類具有多種視角和維度,可從便于車企數據管理和使用角度,考慮國家、行業、組織等多個視角的數據分類,在此基礎上選定一到兩個適合車企的數據分類緯度,如以業務流程結合個人信息與非個人信息的方式的分類。 3.綜合考慮原則:數據分類不僅應考慮汽車數據,而且應覆蓋汽車數據以外的與汽車企業運營相關的其他數據;在對數據進行定級時,不僅要考慮重要數據,也應覆蓋一般數據,避免出現若干規定只規制個人信息數據和重要數據的情況。 4.分級明確原則:數據分級的目的是為了保護數據安全,數據分級的各級別應界限明確,不同級別的數據應采取不同的保護措施。 5.就高從嚴原則:當數據的級別界限難以區分時,宜采用就高不就低的原則進行定級,例如數據集包含多個級別的數據項,按照數據項的最高級別對數據集進行定級。 6.動態調整原則:數據的類別級別可能因時間變化、政策變化、安全事件發生、不同業務場景的敏感性變化或相關行業規則不同而發生改變,因此需要對數據分類分級進行定期審核并及時調整。[20] (二)車企數據分類 1.分類方法概述 數據分類具有多種視角和維度,常見的數據分類維度,包括但不限于: a)公民個人維度:按照數據是否可識別自然人或與自然人關聯, 將數據分為個人信息、非個人信息。 b)公共管理維度:為便于國家機關管理數據、促進數據共享開放,將數據分為公共數據、社會數據。 c)信息傳播維度:按照數據是否具有公共傳播屬性,將數據分為公共傳播信息、非公共傳播信息。 d)行業領域維度:按照數據處理涉及的行業領域,將數據分為工業數據、電信數據、金融數據、交通數據、自然資源數據、衛生健康數據、教育數據、科技數據等。 e)組織經營維度:分為用戶數據、業務數據、經營管理數據、系統運行和安 全數據。[21] 2.法律法規規定的分類方法 根據《數據安全法》,各地區、各部門按照數據分類分級制度確立本地區、本部門以及相關領域的重要數據具體目錄,即應由汽車行業主管部門工信部門確立汽車領域的重要數據具體目錄,但目前工信部門尚未確立和發布汽車領域的重要數據具體目錄。根據試行辦法的規定,工業和信息化部門會制定行業重要數據和核心數據具體目錄,作為工業和信息化領域數據處理者的車企應當按照工業和信息化部門制定的行業重要數據和核心數據目錄識別重要數據和核心數據并形成車企的具體目錄。目前工業和信息化部門尚未發布行業重要數據和核心數據目錄。若干規定項下的數據僅指汽車數據,包括汽車設計、生產、銷售、使用、運維等過程中的涉及的個人信息數據和重要數據,其采用公民個人和業務流程兩個維度相結合的方法對汽車數據進行分類。 3.行業標準建議的分類方法 3751標準按照數據主題進行分類,分為六大類:基礎屬性數據、車輛工控數據、環境感知數據、車控類數據、應用服務類數據和用戶個人信息,而用戶個人信息按照3746標準細分為用戶身份證明類信息、車聯網信息服務用戶數據和服務內容信息、用戶服務相關信息三大類。 4.建議的分類方法 鑒于工業和信息化部門以及其他管理部門尚未發布汽車行業重要數據和核心數據目錄,在遵守《數據安全法》、試行辦法和若干規定的前提下,車企可參照若干規定的分類方法,即從公民個人維度和組織經營維度相結合的方式對汽車數據進行分類,并參考3751標準和3746標準的分類分級方法,但應注意補齊與車企運營有關的非汽車數據,在此基礎上形成車企自己的數據目錄。 (三)汽車企業數據分級 1.法律法規規定的分級方法 如前所述,《數據安全法》將數據從低到高分成一般數據、重要數據、核心數據共三個級別,但未提及個人信息數據的分級。試行辦法根據危害程度,將工業和信息化領域數據分為三個級別:一般數據、重要數據和核心數據,但未提及個人信息數據的分級。根據若干規定的文義解讀,汽車數據僅包括個人信息和重要數據,其他數據包括一般數據不屬于汽車數據的范疇,因此若干規定沒有對個人信息數據以外的數據進行分級。 2. 行業標準建議的分級方法 3741標準將車聯網信息劃分為一般數據、重要數據和敏感數據。3746標準將車聯網信息服務用戶個人信息劃分為個人敏感信息、個人重要信息和個人一般信息。分類分級指南根據不同類別工業數據遭篡改、破壞、泄露或非法利用后,可能對工業生產、經濟效益等帶來的潛在影響,將工業數據分為一級、二級、三級等3個級別,對應上述一般數據、重要數據和核心數據。 3.建議的分級方法 建議將車企的數據按風險等級從低到高分成一般數據、重要數據、核心數據共三個級別,并將涉及的個人信息按風險等級從低到高區分為一般個人信息、個人重要信息和敏感個人信息。 上述三個級別是從數據安全角度給出的數據分級基本框架。由于一般數據涵蓋數據范圍較廣,采用同一安全級別保護可能無法滿足車企不同數據的安全需求。有鑒于此,建議車企優先按照基本框架進行定級,在基本框架定級的基礎上也可結合汽車行業數據分類分級規則或組織生產經營需求,對一般數據進行細化分級,具體細化分級可參考《網絡安全標準實踐指南—網絡數據分類分級指引》(TC260-PG-20212A)之6.3條項下的一般數據分級參考規則。 (四)車企數據分類分級示例 結合《數據安全法》、試行辦法、分類分級指南、若干規定的相關規定,并參考行業標準的體例,本文建議將汽車數據分為七個大類,前五大大類參考了若干規定的體例。由于前五大類數據主要為與汽車相關的數據,不包括與車企運營相關的非汽車數據,為建立完整的覆蓋汽車和非汽車的車企數據合規體系,我們在若干規定設定的五大類數據的基礎上增加了綜合管理數據和外部數據(其他數據處理者共享給車企的數據),這種分類與分類分級指南建議的數據分類一致。在上述分類的基礎上,本文采用了兩個維度的數據分級,將車企的數據的基本級別從低到高分成一般數據、重要數據、核心數據共三個等級,并將涉及的個人信息區分為一般個人信息、重要個人信息和敏感個人信息三個等級。鑒于下表中的大部分數據類型還要進行進一步的分類,其分級需待進一步的分類才可確認,因此下表的分類僅顯示到二級,且未做分級,具體如下:
(五)補充說明 1.上述《車企數據分類分級示例》僅為我們建議的數據分類分級基本框架,且所列的數據類型可能并不完整。車企數據浩如煙海,其分類分級是一個系統工程,且各家企業的情況及不同地區的主管部門對數據分類分級的要求不盡相同,沒有絕對統一的標準,上述《車企數據分類分級示例》僅可作為參考之用,且并不必然適合于所有車企。 2. 根據《數據安全法》的規定,國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄,各地區、各部門應當按照數據分類分級保護制度,確定本地區、本部門以及相關行業、領域的重要數據具體目錄。鑒于工業和信息化部門以及其他管理部門尚未發布汽車行業重要數據和核心數據目錄,車企制定自己的數據目錄可能存在一定的難度和不確定性。由于工信部先后發布了分類分級指南和試用辦法,為工業和信息化數據分類分級規定了基本原則,網信辦、工信部等五部門聯合發布了若干規定,為車企制定汽車數據分類分級提供了基本原則(雖然不完整),車企可在遵照上述法律法規確定的數據分類分級基本原則的基礎上,參照行業標準、指南制定車企自己的數據分類分級原則并制定自己的數據目錄。如有問題,可以尋求工信部門專家和外部數據合規顧問的支持。 3. 由于汽車行業特別是有關智能網聯汽車相關的技術仍在不斷演進,與之相關的立法也會相應更新和調整,車企應結合自身實際和最新的法律法規規定和監管部門的最新要求實時調整數據分類分級規則并形成其新的數據目錄,以確保其包括數據分類分級在內的數據合規體系符合法律法規的規定和監管要求。
注釋 [1] 《數據安全法》第二十一條。 [2] 《工業和信息化領域數據安全管理辦法(試行)》第七條。 [3] 《工業和信息化領域數據安全管理辦法(試行)》 第八條 根據行業要求、特點、業務需求、數據來源和用途等因素,工業和信息化領域數據分類類別包括但不限于研發數據、生產運行數據、管理數據、運維數據、業務服務數據等。 [4] 《工業和信息化領域數據安全管理辦法(試行)》 第八條 根據數據遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益等造成的危害程度,工業和信息化領域數據分為一般數據、重要數據和核心數據三級。 [5] 《工業和信息化領域數據安全管理辦法(試行)》第九條。 [6] 《工業和信息化領域數據安全管理辦法(試行)》第十條。 [7] 《工業和信息化領域數據安全管理辦法(試行)》第十一條。 [8] 《工業和信息化領域數據安全管理辦法(試行)》第十二條。 [9]《工業數據分類分級指南(試行)》第九條。 [10]《工業數據分類分級指南(試行)》第十條。 [11]《工業數據分類分級指南(試行)》第十一條。 [12]《工業數據分類分級指南(試行)》第十三條。 [13] 《車聯網信息服務數據安全技術要求》(YD/T 3751—2020),5. 車聯網信息服務數據分類。 [14] 《車聯網信息服務數據安全技術要求》(YD/T 3751—2020),6. 車聯網信息服務數據分級。 [15] 《車聯網信息服務用戶個人信息保護要求》(YD/T 3746—2020),6. 用戶個人信息分類要求。 [16] 《車聯網信息服務用戶個人信息保護要求》(YD/T 3746—2020),7. 用戶個人信息敏感性分級要求。 [17] 《網絡安全標準實踐指南—網絡數據分類分級指引》(TC260-PG-20212A),4.1 數據分類框架。 [18] 《網絡安全標準實踐指南—網絡數據分類分級指引》(TC260-PG-20212A),4.2 數據分級框架。 [19] 《網絡安全標準實踐指南—網絡數據分類分級指引》(TC260-PG-20212A),6.4.2 個人信息定級。 [20] 此處的“數據分類分級原則”的1、2、4、5和6參考了“實踐指南”的分類分級原則并有所調整。 [21] 《網絡安全標準實踐指南—網絡數據分類分級指引》(TC260-PG-20212A),4.1 數據分類框架。
