对于智能汽车数据要进行安全风险评估

文/图 羊城晚报记者 戚耀琪

日前，中汽协日前发布了《智能网联汽车数据安全评估指南(征求意见稿)》。据悉，智能网联汽车数据安全评估主要有数据安全风险评估、数据安全合规性评估和数据出境安全评估三种类型。文件适用于智能网联汽车相关组织自行开展数据安全评估工作，也可为主管部门、第三方测评机构等组织开展智能网联汽车数据安全检查、评估、监督等工作提供参考。

值得注意的是，文件对数据进行了详细的框定，比如“个人信息”是指以电子或者其他方式记录的与已识别或者可识别的车主、驾驶人、乘车人、车外人员等有关的各种信息，不包括匿名化处理后的信息。“敏感个人信息”是指一旦泄露或者非法使用，可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的个人信息，包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。“重要数据” 包括了重要敏感区域的地理信息、人员流量、车辆流量等数据；车辆流量、物流等反映经济运行情况的数据；汽车充电网的运行数据；包含人脸信息、车牌信息等的车外视频、图像数据；涉及个人信息主体超过10万人的个人信息等，这些重要数据发生泄露会对国家安全和公共利益构成危害。

因此，对于数据要进行安全风险评估，分析数字资产的重要程度、所面临的威胁和脆弱性，对企业数据安全风险进行评价；还要进行数据安全合规性评估，针对智能网联汽车数据处理活动，判断其是否符合相关法律、法规、标准和管理要求，评估企业数据安全管理措施合理有效的过程。

对于风险的处理方式，一般包括接受、消减、转移、规避等。安全整改是风险处理中常用的风险消减方法，风险评估需提出安全整改建议。安全整改建议需根据安全风险的严重程度、加固措施实施的难易程度、降低风险的时间紧迫程度、所投入的人员力量及资金成本等因素综合考虑。对于非常严重、需立即降低且加固措施易于实施的安全风险，建议被评估企业立即采取安全整改措施。

根据风险评估报告，企业组织应制定相应的风险处理计划，明确风险处理方式，确定风险处理措施，以规避相应的数据安全风险。同时，应对风险评估工作进行记录，并定期开展评估、验证工作，以确定风险处理措施是否有效、是否存在新的风险，对评估工作、处理措施进行持续改进。