数治长文：智能网联汽车数据分类分级与全生命周期保护–数治网

随着汽车的电动化、网联化以及智能化发展，智能网联汽车产业的发展过程中交融了车辆运行安全、数据安全等合规风险。然而很多企业在落实法规政策时却遇到诸多困难。

本指南正在此背景下进行编制，旨在以合规为主要导向，明确智能网联汽车数据分类分级的方法论，及对应不同等级的数据，在其不同生命周期，给出通用的安全措施，为实现智能网联汽车数据在数据全生命周期中安全治理落实提供指导性建议。

为实现智能网联汽车数据在数据全生命周期的安全治理，根据以下原则针对智能网联汽车数据进行分类分级：

智能网联汽车数据分类分级工作的重点应从数据源（车、路、云、人）的角度与产业链(智能网联汽车产业链上的公司/机构/业务部门等)联动进行数据的盘点，制定数据分类分级方法，并制定数据安全保护要求。其中数据分类维度以及数据分级指标是分类分级方法的核心。

基于定性指标判定智能网联汽车数据的重要性等级：针对一般数据和重要数据，本指南给出了四个等级划分方式：一般数据一级（一般级）、一般数据二级（重要级）、一般数据三级（敏感级）、重要数据四级（核心级）。针对已经确定的级别的数据，企业应根据等级分别明确数据保护要求，为后续实施不同强度的数据保护手段(包含隐私合规要求)提供依据。

3.1数据分类方法

3.1.1数据资产识别

在开展智能网联汽车数据分类之前，需要为数据分类提供数据资产全景，便于确定数据分类分级方法。

可以根据数据基本信息、应用/功能场景、传输方法和位置状态，对数据拥有者的数据资产进行盘点，需要形成数据资产识别清单。

3.1.2数据属性分析

3.1.3数据分类实践

本文中的数据分类方法结合产业链上的实际运营情况，从“车、人、路、云”四个类别对智能网联汽车数据进行梳理，整体将数据分类架构分为一类、二类、三类三个层级，一类示例如下，整体分类分级示例在附录中展示。

3.2数据分级方法

针对数据从影响对象和影响程度两个方面，确定智能网联汽车数据的重要性级别。其中影响对象是指数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享，可能影响的对象。数据安全风险涉及的影响对象包括国家安全、公共利益、组织权益、个人权益。影响程度是指数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享，可能造成的影响程度。影响程度从高到低可分为特别严重危害、严重危害、一般危害。

对不同影响对象进行影响程度判断时，采取的基准不同。如果影响对象是组织或个人权益，则以本单位或本人的总体利益作为判断影响程度的基准。如果影响对象是国家安全、经济运行、社会稳定或公共利益，则以国家、社会或行业领域的整体利益作为判断影响程度的基准。

3.2.1影响对象分析

参照《信息安全技术网络数据分级分类要求（征求意见稿）》针对影响对象层面定义如下：

1)国家安全：

数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享，可能影响国家政治、国土、经济、科技、文化、社会、生态、军事、网络、人工智能、核、生物、太空、深海、极地、海外利益等领域国家利益安全。

2)公共利益：

数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享，可能影响社会公众使用公共服务、公共设施、公共资源或影响公共健康安全等。

3)组织/企业权益：

数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享，可能影响法人和其他组织的生产运营、声誉形象、公信力、知识产权等。

4)个人利益：

数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享，可能直接影响自然人的人身权、财产权以及其他合法权益。

3.2.2影响程度分析

参照《信息安全技术网络数据分级分类要求（征求意见稿）》针对影响程度层面定义如下：

1)特别严重危害：

个人信息主体可能会遭受重大的、不可消除的、可能无法克服的影响，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害。如遭受无法承担的债务、失去工作能力、导致长期的心理或生理疾病、导致死亡等。

2)严重危害：

直接危害公共健康和安全，如严重影响疫情防控、传染病的预防监控和治疗等；

可能导致重大突发公共卫生事件，造成社会公众健康严重损害的重大传染病疫情、群体性不明原因疾病、重大食物和职业中毒等严重影响公众健康的事件；

导致一个或多个地市大部分地区的社会公共资源供应较长期中断，较大范围社会成员无法使用公共设施、获取公开数据资源、接受公共服务；

个人信息主体可能遭受较大影响，个人信息主体克服难度高，消除影响代价较大。如遭受诈骗、资金被盗用、被银行列入黑名单、信用评分受损、名誉受损、造成歧视、被解雇、被法院传唤、健康状况恶化等。

3)一般危害

对国土、经济、科技、文化、社会、生态、军事、网络、人工智能、核、生物、太空、深海、极地、海外利益等任一领域国家安全造成直接威胁；

对公共利益产生一般危害，影响小范围社会成员使用公共设施、获取公开数据资源、接受公共服务等；

个人信息主体可能会遭受困扰，但尚可以克服。如付出额外成本、无法使用应提供的服务、造成误解、产生害怕和紧张的情绪、导致较小的生理疾病等。

3.2.3数据分级实践

根据上述内容，通过判断数据一旦被泄露、篡改、破坏或者非法获取、非法利用、非法共享，对国家安全、公共利益、组织、个体合法权益的影响程度，将数据等级分为如下4个级别：

1)一般数据一级（一般级）：是指在车联网信息服务过程中，数据在被泄露、篡改、破坏或者非法获取、非法利用、非法共享后，对个人权益、组织权益公共利益造成一般危害的数据；2)一般数据二级（重要级）：是指在车联网信息服务过程中，数据在被泄露、篡改、破坏或者非法获取、非法利用、非法共享后，对个人权益、组织权益公共利益造成严重危害的数据；3)一般数据三级（敏感级）：是指在车联网信息服务过程中，数据在被泄露、篡改、破坏或者非法获取、非法利用、非法共享后，对个人权益、组织权益造成特别严重危害、对公益利益造成一般危害的数据；4)重要数据四级（核心级）：是指在车联网信息服务过程中，数据在被泄露、篡改、破坏或者非法获取、非法利用、非法共享后，对公共利益造成严重危害、对国家安全造成一般危害的数据；

注：1.本次指南不会对重要数据进行进一步的层级划分，暂定参考级为四级。

数据分级方法如表1所示：

表1数据分级方法

3.3数据分类分级优化

明确定义智能网联汽车数据分类分级框架和方法后，企业在落地执行数据分类分级保护机制过程中，需要依赖于已有或新建的数据平台承载数据分类分级方法的落地。以下对平台建设中分类分级流程和技术功能进行建议说明。

3.3.1分类分级流程图

3.3.2建立数据分类分级平台

为有效承载数据分类分级方法落地，支撑平台用户灵活配置、高效管理、有效识别并保护敏感数据资产，满足合规需求。以下分别对数据资产盘点、敏感数据规则配置、敏感数据识别、敏感数据处理4个方面，提出平台建设建议：

（1）数据资产盘点

（2）敏感数据规则配置

根据已有的数据分类分级方法，用户可自定义新建敏感数据分级分类以及敏感数据识别规则，用于识别现有系统中的敏感字段。帮助用户可以快速标识数据库内敏感数据，为其后期保护该类数据奠定了基础，可更好地保护企业的重要数据信息，降低泄露风险。

基于已完成配置的分类和分级规则，需要在平台中配置敏感数据的识别规则，用于后续执行敏感数据识别任务。选定需要识别的敏感数据类别和级别后，需要配置识别策略。目前业界主流策略包括：正则表达式、语种类型匹配、数据内容分析、机器学习模型训练等。

（3）敏感数据识别

通过已创建的识别规则进行全库或指定范围库表的敏感数据识别，帮助用户发现一个数据库内哪些表内存在对应的敏感字段，即敏感数据分布情况，并可对识别结果，即敏感字段，进行统一管理。

在数据平台中，基于已创建的识别规则，对盘点后的数据配置对应的识别任务，帮助用户识别和发现当前数据库内所包含的敏感数据分布情况。平台内应支持用户对规则和识别结果进行统一的管理，并可根据业务需求对识别结果进行调整。

（4）敏感数据处理

对于已识别的敏感数据设置有效的安全保护策略是数据分类分级的落脚点，即分类分级管理具体如何有效衔接技术措施，从而对敏感数据进行安全保障。考虑到数据生命周期过程中存在传输、存储、使用等阶段，在不同角色的用户使用场景下，均需保障敏感数据的安全性。建议平台使用脱敏、加密等方式对敏感数据进行处理。

a）数据脱敏

数据脱敏是屏蔽敏感数据，对某些敏感信息通过脱敏规则进行数据变形，实现敏感数据的可靠保护。目前业界主流的脱敏规则包括：替换、重排、加密、截断、掩码等。具体来说，数据脱敏可以分为静态数据脱敏和动态数据脱敏。

静态数据脱敏：静态数据脱敏是将数据抽取进行脱敏处理，下发给下游环节随意取用和读写。脱敏后数据与生产环境相隔离，满足业务需求的同时保障生产数据库的安全。

动态数据脱敏：在访问敏感数据的同时，实时进行脱敏处理，可以为不同角色、不同权限、不同数据类型执行不同的脱敏方案，从而确保返回的数据可用且安全。

表2针对不同字段类型，给出建议的脱敏方式：

表2脱敏方式示例

b)数据加密

数据加密是通过对数据进行编码来保护数据，检索原始值的唯一方法是使用解密密钥解码数据。加密的目的是为了防止信息被不应该获取、不允许获取的人得到。为保证数据存储的安全，数据平台中建议使用数据加密的方式对数据进行存储，保障存储介质上的数据始终处于加密状态，防止数据文件被物理拷贝的风险。建议平台内使用国家标准的加密方式，如SM2、SM4、AES、RSA等。

针对本指南框架中的各级数据对应的全生命周期保护均适用的通用保护要求如下。

1.1数据收集安全

1.2数据传输安全

1.3数据存储安全

1.4数据使用、加工安全

1.5数据销毁安全

1)应制定数据存储介质销毁操作规程，明确数据存储介质销毁场景、销毁技术措施，以及销毁过程的安全管理要求，并对已提供或者已被使用的数据提出有针对性的数据存储介质销毁管控规程；2)存储数据的介质如不再使用，应采用不可恢复的方式如消磁、焚烧、粉碎等对介质进行销毁处理；存储介质如需继续使用，不应只采用删除索引、删除文件系统的方式进行数据销毁，应通过多次覆写等方式安全地擦除数据，确保介质中的数据不可再被恢复或者以其他形式被利用；3)应定期对数据销毁效果进行抽样认定，通过数据恢复工具或数据发现工具进行数据的尝试恢复及检查，验证结果。

对于本指南分级框架中的高敏感级别，即一般数据敏感级（三级）和重要数据（核心级），需要采取的特殊保护要求枚举如下。

2.1一般数据敏感级（三级）的安全保护要求

本指南中“敏感级数据”以未达到10万人的敏感个人信息为典型，一旦泄露或者非法使用，可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害，包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。

2.1.1敏感个人信息的收集

1)对处理敏感个人信息的合法性、必要性及正当性进行审查，重点排除非必要收集敏感个人信息的场景。原则上不应以改善服务质量、提升用户体验以及研发新产品等为目的处理敏感个人信息。

【保护建议】

对于人脸、声纹或指纹等生物识别信息，应评估是否具有增强行车安全的目的和充分的必要性，并应满足国家标准《信息安全技术生物特征识别信息保护基本要求》（GB/T40660-2021）。

2)除《个人信息保护法》第十七条第一款规定事项外，还应向用户告知处理敏感个人信息的必要性以及对个人权益的影响。

以弹窗、用户协议等方式向用户（车主及访客）明确告知处理敏感个人信息的必要性以及对个人权益的影响，不得以用户主动点击的方式告知该等信息。

3)应对每项敏感个人信息取得个人信息主体单独同意，不应一次性针对多项敏感个人信息或多种处理活动取得同意。取得单独同意时，不得将处理敏感个人信息的同意期限设置为“始终允许”或“永久”。

4)对座舱数据中的敏感个人信息，应设置为默认不收集状态，包括不开启摄像头、红外感知、指纹识别等，除非驾驶员选择相应收集模式。

2.1.2敏感个人信息的存储

个人信息保护影响评估应包括以下内容：

a)个人信息的处理目的、处理方式等是否合法、正当、必要；b)对个人权益的影响及安全风险；c)所采取的保护措施是否合法、有效并与风险程度相适应。

2)智能座舱、位置轨迹、车外视频和车外图像场景下的敏感个人信息，应依法在中国境内存储。

2.1.3敏感个人信息的使用、加工

1)持续处理敏感个人信息的，还应满足如下告知要求：

a)应通过车载显示面板图标或信号装置指示灯的闪烁或长亮等方式提示收集状态。b)持续提示收集敏感个人信息时，应根据信息类型的不同设置差异明显且清晰易懂的提示。如，可通过摄像图标闪烁或长亮提示正在收集车内视频数据，通过录音图标闪烁或长亮提示正在收集车内语音数据，通过斜向上三角图标的闪烁或长亮提示正在收集位置数据。

2)建议对敏感个人信息进行匿名化或去标识化后，再进行处理；处理完成后，应立即删除过程数据。3)对车外数据中的敏感个人信息，在未完成匿名化处理前，不应向车外提供。

4)对座舱数据中的敏感个人信息，应设置为默认不向外提供，除非：

本指南的第四级（核心级）数据是指汽车行业的重要数据，即《汽车数据安全管理若干规定（试行）》第三条规定的“一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益或者个人、组织合法权益的数据”，包括：

1)军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据；2)车辆流量、物流等反映经济运行情况的数据；3)汽车充电网的运行数据；4)包含人脸信息、车牌信息等的车外视频、图像数据；5)涉及个人信息主体超过10万人的个人信息；6)国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。

3.1重要数据的收集

1)应遵循默认不收集原则，除非驾驶人自主设定，每次驾驶时默认设定为不收集状态。

2)应以最小程度收集重要数据。

在收集前，应当事先规划，主动避免收集军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据。

3.2重要数据的存储

1)严格限制重要数据（核心级）的存储期限，不得超期存储。

2)应当采取安全存储措施，实施容灾备份管理。

3)在中国境内收集和产生的重要数据（核心级），原则上应在境内存储。

3.3重要数据的使用、加工

1)应征得用户主体的单独同意，并明确使用目的、范围和期限。2)使用、加工重要数据（核心级）时，应当加强访问控制，建立登记、审批机制并留存记录。

3)使用自动化决策技术处理大量个人信息时，应保障自动化决策过程的透明度和结果，并取得用户的明确同意。

3.4重要数据的公开

重要数据原则上不得公开，确需公开的，应在公开前进行安全评估。

3.5重要数据的出境

根据《数据出境安全评估办法》第四条、《汽车数据安全管理若干规定（试行）》第十一条规定，涉及汽车行业重要数据出境的，应申报数据出境安全评估。依据本指南的分级方法，重要数据（核心级）即主要指汽车行业的重要数据，只能通过数据出境安全评估路径出境。安全评估的主要要求如下：

1)因业务需要确需向境外提供的，应当通过国家网信部门组织的安全评估。

2)重要数据（核心级）出境时，不得超出出境安全评估时明确的目的、范围、方式和数据种类、规模等。

3)根据业务需求必要性，制定可出境的重要数据（核心级）的范围，并定期更新。4)重要数据（核心级）出境前三个月内，应开展数据出境安全自评估，根据自评估结果进行整改（如需）。自评估的要点如下：

3.6重要数据的安全审计

对记录重要数据（核心级）的处理情况、权限管理安排、人员操作日志等信息，至少每半年进行一次审计。

本文摘编自数据安全推进计划发布的《智能网联汽车数据分类分级实践指南》，全文下载：

数字有我，数智有你，快城旗下数治网（快城数治）为“数字中国”、“美丽中国”建设服务，以产研共同体激发数字技术，赋能数字应用，拓展数字合作，助推数字经济。