你的浏览器版本过低,可能导致网站不能正常访问!为了你能正常使用网站功能,请使用这些浏览器。
引言
2021年9月1日起正式施行的《数据安全法》是我国第一部有关数据安全的专门法律。虽然《数据安全法》提出了“核心数据”、“重要数据”等概念,但是整体上看,《数据安全法》的规定还停留在原则意义上,缺乏具体指引方法。《汽车数据安全管理若干规定(试行)》对汽车行业的数据分类进行了尝试,该规定主要将汽车数据分为“个人信息”和“重要数据”两大类,并对“重要数据”做了进一步的明确,但该规定并未规定如何对汽车数据进行分级。另一方面,随着汽车智能化、网联化程度日益提高,收集及处理的数据体量增大,数据安全隐患也日益突出。汽车数据的分级分类保护是保障汽车数据安全的基础和前提,只有首先对汽车数据进行分类分级,才能针对不同的汽车数据的重要性、敏感程度采取不同的保护措施,有条不紊并有针对性地展开汽车数据保护工作。
一、《数据安全法》对数据分类分级的规制
(一)数据分类
(二)数据分级
关于数据的分级,《数据安全法》根据数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,将数据从低到高分成一般数据、重要数据、核心数据共三个级别。
(三)评析
不难看出,《数据安全法》关于数据分类和分级的规定和标准太过简略,缺乏可操作性和系统性,许多细节问题,尚需进一步细化和明确。
二、《工业和信息化领域数据安全管理办法(试行)》对数据分类分级的规制
根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度,试行办法将工业和信息化领域数据分为三个级别:一般数据、重要数据和核心数据,[4]定义如下:
另外,试行办法对数据的分类分级着眼于工业数据,即使其数据分类中可能涉及个人信息数据,建议的数据分类分级也未提及个人信息数据,车企在参照试行办法制定其自身的数据分类分级规则时应注意这个问题,且应补齐这方面的规定。
三、《工业数据分类分级指南(试行)》对数据分类分级的规制
根据《工业数据分类分级指南(试行)》(“分类分级指南”)第六条,工业企业工业数据分类维度包括但不限于研发数据域(研发设计数据、开发测试数据等)、生产数据域(控制信息、工况状态、工艺参数、系统日志等)、运维数据域(物流数据、产品售后服务数据等)、管理数据域(系统设备资产信息、客户与产品信息、产品供应链数据、业务统计数据等)、外部数据域(与其他主体共享的数据等)。简而言之,从工业数据分类维度,车企数据可以分为研发数据、生产数据、运维数据、管理数据和外部数据共五个类别,但是分类分级指南的分类未提及个人信息数据。
分类分级指南根据不同类别工业数据遭篡改、破坏、泄露或非法利用后,可能对工业生产、经济效益等带来的潜在影响,将工业数据分为一级、二级、三级共3个级别,分别如下:
三级数据:(1)易引发特别重大生产安全事故或突发环境事件,或造成直接经济损失特别巨大;或(2)对国民经济、行业发展、公众利益、社会秩序乃至国家安全造成严重影响。[9]
虽然叫法不同,但不难看出本分类分级指南一级数据、二级数据和三级数据分别对应《数据安全法》和试行办法规定的一般数据、重要数据和核心数据。
分类分级指南的分类未提到个人信息数据,但考虑到业务服务会涉及到收集并处理客户数据,企业也会为了提供售后服务等原因处理客户个人信息(运维数据),因此在对企业进行上述五个类别的数据归类时可同时识别是否包含个人信息数据,从而保证企业的数据分类的完整性。企业并应在此基础上对涉及到的个人信息的等级进行识别。
四、《汽车数据安全管理若干规定(试行)》对数据分类分级的规制
根据《汽车数据安全管理若干规定(试行)》(“若干规定”)第三条第一款,汽车数据包括汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据,即本款采用了两个数据分类维度:(1)公民个人维度,按照数据是否可识别自然人或与自然人关联,将数据分为个人信息、非个人信息;(2)业务流程维度,以汽车设计、生产、销售、使用、运维共五个阶段作为汽车数据分类的纬度,由此汽车数据包括设计、生产、销售、使用和运维五类重要数据。简而言之,汽车数据包括五个阶段的两种数据(个人信息数据和重要数据)。
若干规定对个人信息数据以外的数据并未进行明确的分类,仅对重要数据进行了定义,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益的数据,包括:(1)军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据;(2)车辆流量、物流等反映经济运行情况的数据;(3)汽车充电网的运行数据;(4)包含人脸信息、车牌信息等的车外视频、图像数据;(5)涉及个人信息主体超过10万人的个人信息;(6)国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。根据若干规定的文义解读,汽车数据仅包括个人信息和重要数据,其他数据包括一般数据不属于汽车数据的范畴,也就没有对个人信息数据以外的数据进行分级。
(三)问题及解决思路
1.从第三条第一款的文义解读,汽车数据只包括个人信息(结合上下文,第一款所提到个人信息应包括敏感个人信息)和重要数据,似乎不包括一般数据,但汽车数据应是涵括个人信息、一般数据、重要数据甚至核心数据的一个完整闭环,也只有包括汽车所有的数据,数据分类分级及相应的保护机制设定才会完整。我们无法猜度国家网信办、国家发改委、工信部、公安部、交通运输部在联合发布若干规定时对汽车数据的范围设定的本意,在没有对本条的定义的补充和/或修订规定出台的情况下,对车企比较安全和可行的做法是在对其数据进行分类分级时将一般数据纳入通盘考虑,以确保其数据合规体系的完整性,也符合工信部发布的试行办法设定的数据分类分级标准。
五、行业标准对智能网联汽车数据分类分级的规制
关于数据的分类分级,工业和信息化部发布了2项行业标准,分别为《车联网信息服务数据安全技术要求》(YD/T3751—2020)(“3751标准”)和《车联网信息服务用户个人信息保护要求》(YD/T3746—2020)(“3746标准”)。另外,全国信息安全标准化技术委员会秘书处2021年12月发布的《网络安全标准实践指南—网络数据分类分级指引》(TC260-PG-20212A)(“实践指南”)对数据分类分级提供了指引。下面简要介绍上述两个标准建议的车联网信息服务数据和用户个人信息的分类分级规则和实践指南提供的网络数据分类分级指南。
(一)3751标准
3751标准是工信部发布的关于车联网信息服务数据安全保护的标准。
1.数据分类
2.数据分级
一般数据是指在车联网信息服务运行过程中,车联网各主体间进行信息交互时的一般性、能公开获取或能在一定范围内公开的数据。
(二)3746标准
3746标准是工信部发布的关于车联网用户个人信息保护的标准。
3746标准综合考虑下述因素进行数据分级:车联网信息服务中用户个人信息的敏感程度和在发生用户个人信息泄露或滥用等事件后对用户人身和财产等方面的危害程度。在此基础上,3746标准将车联网信息服务用户个人信息划分为个人敏感信息、个人重要信息和个人一般信息。
(三)实践指南
1.数据分类
根据实践指南,数据处理者进行数据分类时,应优先遵循国家、行业的数据分类要求,如果所在行业没有行业数据分类规则,也可从组织经营维度进行数据分类。实践指南采用面分类法,从国家、行业、组织等视角给出了多个维度的数据分类参考框架,其描述的常见数据分类维度,包括但不限于公民个人维度、公共管理维度、信息传播维度、行业领域维度、组织经营维度,数据处理者进行数据分类时,可在遵循国家和行业数据分类要求的基础上,采用面分类法从多个维度进行分类,对不同维度的数据类别进行标识,每个维度的数据分类也可采用线分类法进行细分。[17]
实践指南按照《数据安全法》要求,根据数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,将数据从低到高分成一般数据、重要数据、核心数据共三个级别。[18]实践指南按照个人信息一旦泄露或者非法使用,对个人合法权益造成的危害程度,将个人信息分为一般个人信息和敏感个人信息。一般个人信息是指一旦泄露或者非法使用,对自然人个人信息权益造成轻微或一般影响,不易导致自然人的人格尊严、人身安全、财产安全受到侵害。敏感个人信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。[19]在上述分级的基础上,实践指南还建议了一般数据的分级规则:按照数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对个人、组织合法权益造成的危害程度,将一般数据从低到高分为1级、2级、3级、4级共四个级别。
(四)评析
实践指南指出了数据分类的基本原则:数据处理者进行数据分类时,应优先遵循国家、行业的数据分类要求,如果所在行业没有行业数据分类规则,也可从组织经营维度进行数据分类。对于车企而言,可参照上述基本原则并结合企业实际确定自己的数据分类原则。至于数据分级原则,实践指南的指向比较清楚,车企可参考适用。另外,实践指南建议的将一般数据进一步分级为1级、2级、3级、4级共四个级别的分级规则实践中不多见,但不失为完善和细化数据分级管理的一个可行选项。
六、构建和完善车企数据分类分级的建议
(一)确定车企数据分类分级原则
1.合法合规原则:数据分类分级应遵循有关法律法规及部门(车企的行业主管部门为工业和信息化部门)规定(如“试行办法”、“若干规定”)的要求,优先对国家或工业和信息化部门管理要求的数据进行识别和管理,满足相应的数据安全监管要求。
2.分类多维原则:数据分类具有多种视角和维度,可从便于车企数据管理和使用角度,考虑国家、行业、组织等多个视角的数据分类,在此基础上选定一到两个适合车企的数据分类纬度,如以业务流程结合个人信息与非个人信息的方式的分类。
4.分级明确原则:数据分级的目的是为了保护数据安全,数据分级的各级别应界限明确,不同级别的数据应采取不同的保护措施。
5.就高从严原则:当数据的级别界限难以区分时,宜采用就高不就低的原则进行定级,例如数据集包含多个级别的数据项,按照数据项的最高级别对数据集进行定级。
(二)车企数据分类
1.分类方法概述
数据分类具有多种视角和维度,常见的数据分类维度,包括但不限于:
a)公民个人维度:按照数据是否可识别自然人或与自然人关联,将数据分为个人信息、非个人信息。
b)公共管理维度:为便于国家机关管理数据、促进数据共享开放,将数据分为公共数据、社会数据。
c)信息传播维度:按照数据是否具有公共传播属性,将数据分为公共传播信息、非公共传播信息。
d)行业领域维度:按照数据处理涉及的行业领域,将数据分为工业数据、电信数据、金融数据、交通数据、自然资源数据、卫生健康数据、教育数据、科技数据等。
e)组织经营维度:分为用户数据、业务数据、经营管理数据、系统运行和安全数据。[21]
2.法律法规规定的分类方法
3.行业标准建议的分类方法
4.建议的分类方法
鉴于工业和信息化部门以及其他管理部门尚未发布汽车行业重要数据和核心数据目录,在遵守《数据安全法》、试行办法和若干规定的前提下,车企可参照若干规定的分类方法,即从公民个人维度和组织经营维度相结合的方式对汽车数据进行分类,并参考3751标准和3746标准的分类分级方法,但应注意补齐与车企运营有关的非汽车数据,在此基础上形成车企自己的数据目录。
(三)汽车企业数据分级
1.法律法规规定的分级方法
如前所述,《数据安全法》将数据从低到高分成一般数据、重要数据、核心数据共三个级别,但未提及个人信息数据的分级。试行办法根据危害程度,将工业和信息化领域数据分为三个级别:一般数据、重要数据和核心数据,但未提及个人信息数据的分级。根据若干规定的文义解读,汽车数据仅包括个人信息和重要数据,其他数据包括一般数据不属于汽车数据的范畴,因此若干规定没有对个人信息数据以外的数据进行分级。
2.行业标准建议的分级方法
3741标准将车联网信息划分为一般数据、重要数据和敏感数据。3746标准将车联网信息服务用户个人信息划分为个人敏感信息、个人重要信息和个人一般信息。分类分级指南根据不同类别工业数据遭篡改、破坏、泄露或非法利用后,可能对工业生产、经济效益等带来的潜在影响,将工业数据分为一级、二级、三级等3个级别,对应上述一般数据、重要数据和核心数据。
3.建议的分级方法
建议将车企的数据按风险等级从低到高分成一般数据、重要数据、核心数据共三个级别,并将涉及的个人信息按风险等级从低到高区分为一般个人信息、个人重要信息和敏感个人信息。
上述三个级别是从数据安全角度给出的数据分级基本框架。由于一般数据涵盖数据范围较广,采用同一安全级别保护可能无法满足车企不同数据的安全需求。有鉴于此,建议车企优先按照基本框架进行定级,在基本框架定级的基础上也可结合汽车行业数据分类分级规则或组织生产经营需求,对一般数据进行细化分级,具体细化分级可参考《网络安全标准实践指南—网络数据分类分级指引》(TC260-PG-20212A)之6.3条项下的一般数据分级参考规则。
(四)车企数据分类分级示例
(五)补充说明
1.上述《车企数据分类分级示例》仅为我们建议的数据分类分级基本框架,且所列的数据类型可能并不完整。车企数据浩如烟海,其分类分级是一个系统工程,且各家企业的情况及不同地区的主管部门对数据分类分级的要求不尽相同,没有绝对统一的标准,上述《车企数据分类分级示例》仅可作为参考之用,且并不必然适合于所有车企。
注释
[1]《数据安全法》第二十一条。
[2]《工业和信息化领域数据安全管理办法(试行)》第七条。
[3]《工业和信息化领域数据安全管理办法(试行)》
[4]《工业和信息化领域数据安全管理办法(试行)》
第八条根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度,工业和信息化领域数据分为一般数据、重要数据和核心数据三级。
[5]《工业和信息化领域数据安全管理办法(试行)》第九条。
[6]《工业和信息化领域数据安全管理办法(试行)》第十条。
[7]《工业和信息化领域数据安全管理办法(试行)》第十一条。
[8]《工业和信息化领域数据安全管理办法(试行)》第十二条。
[9]《工业数据分类分级指南(试行)》第九条。
[10]《工业数据分类分级指南(试行)》第十条。
[11]《工业数据分类分级指南(试行)》第十一条。
[12]《工业数据分类分级指南(试行)》第十三条。
[13]《车联网信息服务数据安全技术要求》(YD/T3751—2020),5.车联网信息服务数据分类。
[14]《车联网信息服务数据安全技术要求》(YD/T3751—2020),6.车联网信息服务数据分级。
[15]《车联网信息服务用户个人信息保护要求》(YD/T3746—2020),6.用户个人信息分类要求。
[16]《车联网信息服务用户个人信息保护要求》(YD/T3746—2020),7.用户个人信息敏感性分级要求。
[17]《网络安全标准实践指南—网络数据分类分级指引》(TC260-PG-20212A),4.1数据分类框架。
[18]《网络安全标准实践指南—网络数据分类分级指引》(TC260-PG-20212A),4.2数据分级框架。
[19]《网络安全标准实践指南—网络数据分类分级指引》(TC260-PG-20212A),6.4.2个人信息定级。
[20]此处的“数据分类分级原则”的1、2、4、5和6参考了“实践指南”的分类分级原则并有所调整。
[21]《网络安全标准实践指南—网络数据分类分级指引》(TC260-PG-20212A),4.1数据分类框架。