中国出台《汽车数据条例》，将对汽车行业产生重大影响

中国出版 控制自动化数据安全管理（用于测试实践） （“汽车数据监管”）将于 2021 年 10 月 1 日生效。 汽车数据监管旨在改变汽车行业对汽车数据处理的监管格局。 因此，一些行业，例如自动驾驶，可能会受到影响（如果不是瘫痪的话）。 一些跨国公司，包括从中国境内传输的数据，应考虑将其部分数据处理转移到中国。

首先，重要的汽车数据出境将面临重大障碍。

汽车数据包括个人信息数据和涉及汽车设计、生产、销售、使用、运行和维护过程的重要数据。 涉及重要数据的，将存储在中国境内此外，出于经营目的向境外提供数据的，还应当由国家互联网信息办公室会同国务院有关部门进行安全评估。

重要数据是指曾经被毁损、毁损、泄露或者被非法获取、使用，可能危害国家安全、社会公共利益或者个人、组织合法权益的数据： (1) 地理信息、客流、军事区级以上党政机关和其他重要感知区域的安全、国家安全科学和工业单位、车辆等数据； (2) 反映车辆交通、物流等经济活动的数据； （三）车辆充电网络运行数据； (4) 车外视频和图像数据包含人脸信息和车牌信息； （五）涉及个人信息主体超过10万人的个人信息； （六）国家网信办和发展改革、工业和信息化、公共安全、交通运输等国务院认定的危害国家安全、公共利益或者合法权益的个人或者组织的数据。 基于这一重要数据，兼容跨国公司、新能源汽车、无人机。

当然，我们需要看看在中国境外提供数据的安全评估流程是什么。 但是，即使一些重要数据在经过安全评估过程后转移到中国境外，一些数据可能更重要的转移到中国境外（例如高清或互联网地图）。 跨国公司不仅需要受到汽车数据监管的影响，还需要受到数据安全立法的影响。

其次，分类保护不仅仅是一种理想的做法。

条例第五条规定：利用互联网或其他信息网络进行车辆数据处理业务的经营者，必须实施配套的安全制度，加强车辆数据的安全保护，履行数据保护职责。 在实践中，自动化数据处理总是涉及到互联网信息网络，这意味着自动化网络必须实施信息安全分类的安全系统。

什么是机密安全？ 保密是中国《网络安全法》（第 21 条）、《数据保护法》（第 27 条）和《汽车数据控制法》（第 5 条）规定的合规义务（也是一种特权）。 如果通过 CP 认证，公司将拥有主要证据证明其满足其网络系统法律规定的某些基本安全和安全义务。 始终显示红旗的孔可以稍后插入。 如果履行义务，公司可能会根据法律（包括刑法）避免某些潜在的审判或处罚。

机密安全是如何进行的？ 在机密安全下，网络系统的等级从 1 级到 5 级。 认证机构（需要认证许可）将测试和确定网络系统存在的级别，并就存在漏洞的位置提供建议。 但是，经过认证的公司不能提供编辑服务，因为仲裁员不能同时作为参与者——编辑服务必须由编辑公司提供，以应对信息技术、流程和网络系统控制方面的漏洞。 . 虽然编辑公司的编辑服务不需要许可证，但编辑公司必须精通信息技术和风险管理。

为什么机密安全很重要？ 理想情况下，各种安全措施将有助于处理网络系统中的漏洞和漏洞。 我们可以从下面的失败案例中了解到分级保护的重要性。

2015 年，一家汽车制造商发布了一份影响美国 140 万辆汽车的安全备忘录，此前安全研究人员表明其中一辆汽车可能被黑客入侵。 黑客通过连接到互联网的娱乐系统控制了其中一辆品牌汽车。 结果，制造商主动撤回更新受影响车辆的软件。

从以上案例中，您可能会意识到机密安全或类似的风险管理系统并不是一个好的系统。 它是管理风险和避免负债的保险或金盾。

机密保护是强制性的吗？ 任何网络运营商的答案都是肯定的——基本上每个拥有网络的业务运营商都是网络运营商，即使他们是重要的信息基础设施运营商（“CIIO”）。 《网络安全法》规定每年对一名 CIIO 进行强制性机密安全检查。

《网络安全法》将CIIO定义为公共电信和信息服务、能源、通信、水资源、金融、公共服务和电子公共服务领域的网络组织。 一旦被摧毁，CIIO 会对自身和周围的公司造成巨大且无法弥补的损害。

非 CIIO 也必须进行分类保护。 如果等级为3级左右，则至少每年进行一次分级保护。 尽管有《网络安全法》（以及《数据保护法》和《汽车数据条例》）的法律要求，但许多非 CIIO 不接受机密安全，但有些公司确实提供机密安全以获得额外的特权安全。 特别是那些依赖互联网提供商品和服务的人不会受到黑客攻击和惩罚。 当执法人员在执行执法规则方面更加老练和经验丰富时，它可以预测对非 CIIO 执法的加强。

传统制造商是否应该做各种保护？ 答案是肯定的。 Assorted Security已经发展到第2版，为云计算系统、移动互联系统、物联网、大数据和工业控制系统提供了通用要求和综合要求。 由于传统制造商拥有工业控制系统，因此该系统也必须通过分类安全认证。

三是车辆数据采集难度大幅增加。

根据规定，汽车数据处理者在进行汽车数据处理操作时必须遵守：（1）“汽车处理”政策实际上不必提供在车外； (2) 未选择驱动程序的“默认不收集”策略； (3)“应用范围内的精度”政策——摄像机和雷达覆盖的范围和分辨率符合所提供的运营服务的数据精度要求； （四）在匿名化和除戳中优先适用“脱敏处理”原则。

如果设置和使用策略，自动数据处理器可以收集个人信息或敏感数据。

第四，风险评估报告已成为合规流程的重要组成部分。

根据规定，开展重要数据处理活动的车辆数据处理者必须按照规定进行风险评估，并向政府提交风险评估报告。 风险评估报告中拟处理的重要数据的类型、大小和用途，存储空间和时长及使用方法，是否应开展数据处理活动并提供给第三方，数据安全风险及应对措施等在。

任何车辆数据处理者必须处理重要数据，并在每年 12 月 15 日前向相关政府官员报告车辆数据保护管理信息。 向境外提供敏感数据的汽车数据处理方必须提供以下支持报告： (1) 接收方的基本信息； （二）出境车辆数据的种类、数量、用途和要求； （三）在境外存储汽车数据的地点、时间、目的和方式； (4) 自动化数据保护事件及其处理； （五）国家网信办和国务院其他有关工业和信息化、公安、交通运输等有关部门明确表示需要报告的。

为了响应自动数据监管（以及其他一些法律 个人信息保护法 和 数据保护法)，中国国家信息安全标准化技术团队实施了一项标准的信息安全技术——车辆采集数据的安全要求。 它将为汽车数据安全管理提供实践指导，包括数据传输、数据存储、跨境数据管理和专用车辆数据等功能。 本文件是任何数据处理者在车辆数据处理活动中管理风险的一次受欢迎的尝试。