文 《法人》特约撰稿 赋十七

　　近日，广东省通信管理局发布消息称，将对广州小鹏汽车科技有限公司、广汽丰田汽车有限公司开展为期一周的“双随机、一公开”网络安全检查。本次检查包括两个方面：一是车联网服务平台安全，二是车联网数据安全。那么，当前车联网存在的数据安全风险主要有哪些?监管部门关注的车联网数据安全主要包含哪些方面?企业应如何满足监管部门数据合规要求实现数据安全?

　　数据安全不容忽视

　　车联网是新一代网络通信技术与汽车、电子、道路交通运输等领域深度融合的新兴产业形态。

　　不夸张地说，当下行驶在路上的汽车就是一个快速移动的数据库。据公开统计，当今一辆汽车搭载150多个车载控制器和约1.5亿行代码，它们支撑着自动驾驶、智能网联、人机交互等新兴功能实现。

　　车联网产生的数据，包括个人隐私数据，如姓名、身份证号码、联系方式、家庭住址、银行账号等;也包括车辆隐私数据，如车牌号、车辆型号、发动机型号、行驶轨迹、行驶时间等;还包括尤为重要的关键基础设施信息，如道路信息、涉及军事和政治的地理坐标信息等，一旦发生重大风险事件，后果可想而知。

　　如此，就不难理解有关部门要对小鹏、丰田等车企展开网络安全与数据安全检查。

　　车联网成重灾区

　　由于高度复杂的电子电器系统、通信网络和软件配件，使得数据安全成为车联网安全的重要内容之一。事实上，针对车联网数据引发的攻击和泄露事件屡见不鲜。截至2021年10月，工信部已输入车联网安全漏洞信息超过2000条，2021年上半年针对车联网平台恶意网络攻击行为超过100万次，较2020年同期增长超过80%。

　　初步分析，数据过渡采集和滥用会给车联网数据造成安全风险。为了适应不同的场景、路况以提供便利、安全的服务，整车厂商、智能汽车制造商、服务提供商等会对各类数据进行采集和使用。在数据采集类型、范围，以及数据使用、共享等管理要求和标准规范不够明确的情况下，很容易造成车联网相关数据被过度采集和滥用，带来个人信息和重要数据泄露的安全风险。

　　另外，数据被窃取和篡改也会造成安全风险。车联网数据在汽车系统正常运行时，需要在不同区域间进行流转，在普遍未做好身份认证访问、数据加密等安全防护措施的情况下，容易出现数据被窃取和篡改的安全问题，继而给汽车的安全行驶和车主个人安全带来风险。

　　合规管理化解数据安全风险

　　依据网络安全法、数据安全法、个人信息保护法，及它们的下位法，针对车联网存在的数据安全隐患，相关企业首先应该从组织体系、制度体系、运营体系和保障体系四个维度构建车联网数据合规管理。

　　组织方面，要设置专门的合规部门或合规岗位，负责对内监测数据动态，对外对接相关的监管部门，内外联动，确保数据安全无漏洞;制度方面，要建立和完善数据安全合规管理制度，从最高负责人到各级执行层，都要成为数据合规管理的一部分;运营方面，立足于执行层面，策划、实施和控制满足合规义务和战略层面规划的措施相关流程，以确保组织运行合规管理体系;保障体系，从公司战略、管理、技术方面为数据合规管理提供保障，明确合规是公司长治久安的战略举措。

　　其次，车联网企业要重视“三大重点合规领域”建设。

　　第一个重点领域指数据业务处置合规，按照“谁主管、谁负责，谁运营、谁负责”的原则，企业要建立数据管理台账，实施数据分类分级管理，必须确保数据全生命周期的合规，防范数据泄露、毁损、丢失、篡改、误用、滥用等风险。定期开展数据安全风险评估，强化隐患排查整改，并向所在省(区、市)通信管理局、工业和信息化主管部门报备。所在省(区、市)通信管理局、工业和信息化主管部门要对企业履行数据安全保护义务进行监督检查。

　　第二个重点领域指数据安全管理合规方面车联网企业要合理开发利用数据资源，强化数据安全监测预警和应急处置能力建设，提升异常流动分析、违规跨境传输监测、安全事件追踪溯源等水平，及时处置数据安全事件。防范在使用自动化决策技术处理数据时，侵犯用户隐私权和知情权。明确数据共享和开发利用的安全管理和责任要求，对数据合作方数据安全保护能力进行审核评估，对数据共享使用情况进行监督管理。

　　第三重点领域指数据技术措施合规。车联网数据合规管理，是根据汽车数据的分类分级，借助实施必要的技术和管理措施，对汽车数据从采集、传输、存储、使用、共享、销毁及备份与恢复等活动进行管理;同时还应保护用户的知情权和选择权，保护用户个人信息的机密性和完整性，确保用户个人信息访问控制安全，建立用户个人信息安全管理规范。

　　最后，涉及关键信息基础设施的数据，务必遵循相关法律法规，确保国家安全利益不受侵犯。其中特别要注意的是，车联网运营者应当优先采购安全可信的网络产品和服务，并按照国家网络安全规定通过安全审查。而且应当按照国家有关规定与网络产品和服务提供方签订安全保密协议，明确提供者的技术支持和安全保密义务与责任，并对义务与责任履行情况进行监督;如果网络产品和服务提供方发生合并、分立、解散等情况，应当及时报告保护工作部门，并按照保护工作部门的要求对关键信息基础设施进行处置，确保安全。

　　如果涉及数据出境的情况，还需依法依规进行数据出境安全评估并向主管部门报备，相关主管部门做好数据出境备案、安全评估等工作。

　　(特别声明：本文仅代表作者观点，法人杂志仅提供信息发布平台)

责编：白馗 编审：崔晓林

校对：张波、张雪慧