智能网联汽车数据合规体系构建解析及建议(系列三)—从数据分类分级视角
作者:杨军 2023-01-11引言
2021年9月1日起正式施行的《数据安全法》是我国第一部有关数据安全的专门法律。虽然《数据安全法》提出了“核心数据”、“重要数据”等概念,但是整体上看,《数据安全法》的规定还停留在原则意义上,缺乏具体指引方法。《汽车数据安全管理若干规定(试行)》对汽车行业的数据分类进行了尝试,该规定主要将汽车数据分为“个人信息”和“重要数据”两大类,并对“重要数据”做了进一步的明确,但该规定并未规定如何对汽车数据进行分级。另一方面,随着汽车智能化、网联化程度日益提高,收集及处理的数据体量增大,数据安全隐患也日益突出。汽车数据的分级分类保护是保障汽车数据安全的基础和前提,只有首先对汽车数据进行分类分级,才能针对不同的汽车数据的重要性、敏感程度采取不同的保护措施,有条不紊并有针对性地展开汽车数据保护工作。 本文意在解析与智能网联汽车企业(“车企”)数据合规体系相关的法律法规、标准对车企数据分类分级的相关规定,分析该等法律法规、标准对车企数据分类分级的要求,并从完善车企数据分类分级的角度为车企建立完整的数据合规体系提出初步建议,供业内同行参考。
一、《数据安全法》对数据分类分级的规制
(一)数据分类 根据《数据安全法》,由国家建立覆盖全国和各行各业的数据分类保护制度,统筹协调有关部门制定重要数据目录,加强对重要数据的保护。重要数据目录由虚拟机构(国家数据安全工作协调机制)制定,各地区、各部门按照上述数据分类分级制度确立本地区、本部门以及相关领域的重要数据具体目录。[1]工信行业的具体目录由工信部制定。 (二)数据分级 关于数据的分级,《数据安全法》根据数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,将数据从低到高分成一般数据、重要数据、核心数据共三个级别。 (三)评析 不难看出,《数据安全法》关于数据分类和分级的规定和标准太过简略,缺乏可操作性和系统性,许多细节问题,尚需进一步细化和明确。
二、《工业和信息化领域数据安全管理办法(试行)》对数据分类分级的规制
由工业和信息化部(“工信部”)发布并于2023年1月1日生效的《工业和信息化领域数据安全管理办法(试行)》(“试行办法”)划定了监管部门和企业在工业数据分类分级的不同角色定位,工信部负责组织制定工业和信息化领域数据分类分级、重要数据和核心数据识别认定、数据分级防护等标准规范,指导开展数据分类分级管理工作,制定行业重要数据和核心数据具体目录。地方行业监管部门分别组织开展本地区工业和信息化领域数据分类分级管理及重要数据和核心数据识别工作,确定本地区重要数据和核心数据具体目录并上报工信部。作为工业和信息化领域数据处理者的车企应当定期梳理数据,按照相关标准规范识别重要数据和核心数据并形成车企的具体目录。[2] (一)数据分类 根据行业要求、特点、业务需求、数据来源和用途等因素,试行办法将工业和信息化领域数据分类为研发数据、生产运行数据、管理数据、运维数据、业务服务数据等。[3]虽然本处的分类未提到个人信息数据,但考虑到业务服务会涉及到收集并处理客户数据,企业也会为了提供售后服务处理客户个人信息,因此在对企业进行上述五个类别的数据归类时可同时识别是否包含个人信息数据,从而保证企业的数据分类的完整性。 (二)数据分级 根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度,试行办法将工业和信息化领域数据分为三个级别:一般数据、重要数据和核心数据,[4]定义如下: 危害程度符合下列条件之一的数据为一般数据:(1)对公共利益或者个人、组织合法权益造成较小影响,社会负面影响小;(2)受影响的用户和企业数量较少、生产生活区域范围较小、持续时间较短,对企业经营、行业发展、技术进步和产业生态等影响较小;(3)其他未纳入重要数据、核心数据目录的数据。[5] 危害程度符合下列条件之一的数据为重要数据:(1)对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成威胁,影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域;(2)对工业和信息化领域发展、生产、运行和经济利益等造成严重影响;(3)造成重大数据安全事件或生产安全事故,对公共利益或者个人、组织合法权益造成严重影响,社会负面影响大;(4)引发的级联效应明显,影响范围涉及多个行业、区域或者行业内多个企业,或者影响持续时间长,对行业发展、技术进步和产业生态等造成严重影响;(5)经工业和信息化部评估确定的其他重要数据。[6] 危害程度符合下列条件之一的数据为核心数据:(1)对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成严重威胁,严重影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域;(2)对工业和信息化领域及其重要骨干企业、关键信息基础设施、重要资源等造成重大影响;(3)对工业生产运营、电信网络和互联网运行服务、无线电业务开展等造成重大损害,导致大范围停工停产、大面积无线电业务中断、大规模网络与服务瘫痪、大量业务处理能力丧失等;(4)经工业和信息化部评估确定的其他核心数据。[7] (三)评析 试行办法所规定的分类分级是一个基本的框架,企业仍可在此基础上细分数据的类别和级别。车企应定期梳理数据,按照工信部做出的分类分级、重要数据和核心数据识别认定、数据分级防护等标准规范识别企业自身的重要数据和核心数据后形成本单位的具体目录,并应当将本单位重要数据和核心数据目录向本地区行业监管部门备案。备案内容包括但不限于数据来源、类别、级别、规模、载体、处理目的和方式、使用范围、责任主体、对外共享、跨境传输、安全保护措施等基本情况,不包括数据内容本身。[8] 另外,试行办法对数据的分类分级着眼于工业数据,即使其数据分类中可能涉及个人信息数据,建议的数据分类分级也未提及个人信息数据,车企在参照试行办法制定其自身的数据分类分级规则时应注意这个问题,且应补齐这方面的规定。
三、《工业数据分类分级指南(试行)》对数据分类分级的规制
(一)数据分类 根据《工业数据分类分级指南(试行)》(“分类分级指南”) 第六条,工业企业工业数据分类维度包括但不限于研发数据域(研发设计数据、开发测试数据等)、生产数据域(控制信息、工况状态、工艺参数、系统日志等)、运维数据域(物流数据、产品售后服务数据等)、管理数据域(系统设备资产信息、客户与产品信息、产品供应链数据、业务统计数据等)、外部数据域(与其他主体共享的数据等)。简而言之,从工业数据分类维度,车企数据可以分为研发数据、生产数据、运维数据、管理数据和外部数据共五个类别,但是分类分级指南的分类未提及个人信息数据。 (二)数据分级 分类分级指南根据不同类别工业数据遭篡改、破坏、泄露或非法利用后,可能对工业生产、经济效益等带来的潜在影响,将工业数据分为一级、二级、三级共3个级别,分别如下: 三级数据:(1)易引发特别重大生产安全事故或突发环境事件,或造成直接经济损失特别巨大;或(2)对国民经济、行业发展、公众利益、社会秩序乃至国家安全造成严重影响。[9] 二级数据:(1)易引发较大或重大生产安全事故或突发环境事件,给企业造成较大负面影响,或直接经济损失较大;或(2)引发的级联效应明显,影响范围涉及多个行业、区域或者行业内多个企业,或影响持续时间长,或可导致大量供应商、客户资源被非法获取或大量个人信息泄露;或(3)恢复工业数据或消除负面影响所需付出的代价较大。[10] 一级数据:(1)对工业控制系统及设备、工业互联网平台等的正常生产运行影响较小;或(2)给企业造成负面影响较小,或直接经济损失较小;或(3)受影响的用户和企业数量较少、生产生活区域范围较小、持续时间较短;或(4)恢复工业数据或消除负面影响所需付出的代价较小。[11] 虽然叫法不同,但不难看出本分类分级指南一级数据、二级数据和三级数据分别对应《数据安全法》和试行办法规定的一般数据、重要数据和核心数据。 (三)评析 分类分级指南的分类未提到个人信息数据,但考虑到业务服务会涉及到收集并处理客户数据,企业也会为了提供售后服务等原因处理客户个人信息(运维数据),因此在对企业进行上述五个类别的数据归类时可同时识别是否包含个人信息数据,从而保证企业的数据分类的完整性。企业并应在此基础上对涉及到的个人信息的等级进行识别。 还需注意的是,分类分级指南要求工业企业承担工业数据管理的主体责任,企业应按规定建立健全相关管理制度,实施工业数据分类分级管理并开展年度复查,并应在企业系统、业务等发生重大变更时及时更新分类分级结果。[12]
四、《汽车数据安全管理若干规定(试行)》对数据分类分级的规制
(一)数据分类 根据《汽车数据安全管理若干规定(试行)》(“若干规定”)第三条第一款,汽车数据包括汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据,即本款采用了两个数据分类维度:(1)公民个人维度,按照数据是否可识别自然人或与自然人关联,将数据分为个人信息、非个人信息;(2)业务流程维度,以汽车设计、生产、销售、使用、运维共五个阶段作为汽车数据分类的纬度,由此汽车数据包括设计、生产、销售、使用和运维五类重要数据。简而言之,汽车数据包括五个阶段的两种数据(个人信息数据和重要数据)。 (二)数据分级 该条第二款对个人信息进行了定义,即个人信息是指以电子或者其他方式记录的与已识别或者可识别的车主、驾驶人、乘车人、车外人员等有关的各种信息,不包括匿名化处理后的信息。第三款对敏感个人信息专门做了定义,是指一旦泄露或者非法使用,可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的个人信息,包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。从这两个定义可以推导出若干规定将与汽车相关的个人信息数据分为一般个人信息和敏感个人信息两个等级。 若干规定对个人信息数据以外的数据并未进行明确的分类,仅对重要数据进行了定义,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益的数据,包括:(1)军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据;(2)车辆流量、物流等反映经济运行情况的数据;(3)汽车充电网的运行数据;(4)包含人脸信息、车牌信息等的车外视频、图像数据;(5)涉及个人信息主体超过10万人的个人信息;(6)国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。根据若干规定的文义解读,汽车数据仅包括个人信息和重要数据,其他数据包括一般数据不属于汽车数据的范畴,也就没有对个人信息数据以外的数据进行分级。 (三)问题及解决思路 1.从第三条第一款的文义解读,汽车数据只包括个人信息(结合上下文,第一款所提到个人信息应包括敏感个人信息)和重要数据,似乎不包括一般数据,但汽车数据应是涵括个人信息、一般数据、重要数据甚至核心数据的一个完整闭环,也只有包括汽车所有的数据,数据分类分级及相应的保护机制设定才会完整。我们无法猜度国家网信办、国家发改委、工信部、公安部、交通运输部在联合发布若干规定时对汽车数据的范围设定的本意,在没有对本条的定义的补充和/或修订规定出台的情况下,对车企比较安全和可行的做法是在对其数据进行分类分级时将一般数据纳入通盘考虑,以确保其数据合规体系的完整性,也符合工信部发布的试行办法设定的数据分类分级标准。 2.若干规定只提到汽车数据,但这对于车企建立完整的数据合规体系是不够的。除汽车数据外,与车企相关的公司运营、财务、人事、供应商、经销商等非汽车数据亦应作为车企建立完整的数据合规体系考虑的重要因素,因此在对车企相关的数据进行分类分级时应覆盖汽车数据和非汽车数据,以确保车企数据合规体系的完整性。
五、行业标准对智能网联汽车数据分类分级的规制
关于数据的分类分级,工业和信息化部发布了2项行业标准,分别为《车联网信息服务 数据安全技术要求》(YD/T 3751—2020)(“3751标准”)和《车联网信息服务 用户个人信息保护要求》(YD/T 3746—2020) (“3746标准”)。另外,全国信息安全标准化技术委员会秘书处2021年12月发布的《网络安全标准实践指南—网络数据分类分级指引》(TC260-PG-20212A)(“实践指南”)对数据分类分级提供了指引。下面简要介绍上述两个标准建议的车联网信息服务数据和用户个人信息的分类分级规则和实践指南提供的网络数据分类分级指南。 (一) 3751标准 3751标准是工信部发布的关于车联网信息服务数据安全保护的标准。 1.数据分类 根据3751标准,车联网信息服务相关的数据基于其属性或特性,按照数据主题进行分类,分为六大类:基础属性数据、车辆工控数据、环境感知数据、车控类数据、应用服务类数据和用户个人信息。[13] 2. 数据分级 3751标准依据车联网信息服务数据的安全目标、重要性以及在发生安全事件时可能造成的影响范围与严重程度不同,将车联网信息服务相关的数据划分为不同的敏感度等级,并按照等级不同实施相应的安全保护措施。3751标准将车联网信息服务数据敏感性划分为一般数据、重要数据和敏感数据。 一般数据是指在车联网信息服务运行过程中,车联网各主体间进行信息交互时的一般性、能公开获取或能在一定范围内公开的数据。 重要数据是指在车联网信息服务运行过程中,车联网各主体间进行信息交互时的数据,通过这些数据能一定程度标识或识别到特定的车联网信息服务的主体、对象或其重要特征,且这些数据一旦泄漏,会对与车联网信息服务相关的汽车厂商、零部件供应商、4S店、维修车、第三方供应商、车联网服务提供商、用户造成较大影响,在一定范围内影响经济效益或造成财产损失,或会对人身和财产安全造成较大影响。 敏感数据是指在车联网信息服务运行过程中,车联网各主体间进行信息交互时的数据,通过这些数据能唯一标识或识别到特定的车联网信息服务主体、对象或其敏感特征,且这些数据与汽车厂商、零部件供应商、4S店、维修车、第三方供应商、车联网服务提供商等企业利益密切相关,或直接关系到用户的个人隐私,这些数据一旦未经授权泄露、丢失、滥用、篡改或销毁,会造成严重后果。 除了关系到个人隐私、公共安全等相关的数据必须划分为重要数据或敏感数据外,车联网服务相关企业可以根据自身业务情况划分数据敏感性等级。[14] (二) 3746标准 3746标准是工信部发布的关于车联网用户个人信息保护的标准。 1.数据分类 根据3746标准,用户个人信息是指车联网信息服务如数据采集传输和使用销毁等过程中与用户密切相关的数据信息,这些数据信息能够一定程度上识别车联网用户个人身份或反映出用户个人活动情况。3746标准项下车联网信息服务用户个人信息细分为用户身份证明类信息、车联网信息服务用户数据和服务内容信息、用户服务相关信息三大类。[15] 2. 数据分级 3746标准综合考虑下述因素进行数据分级:车联网信息服务中用户个人信息的敏感程度和在发生用户个人信息泄露或滥用等事件后对用户人身和财产等方面的危害程度。在此基础上,3746标准将车联网信息服务用户个人信息划分为个人敏感信息、个人重要信息和个人一般信息。 个人敏感信息:是指在车联网信息服务过程中相关的用户个人信息,一旦泄露、被非法提供或被滥用后会给用户人身和财产带来严重危害,极易导致个人名誉、身心健康受到损害或歧视性待遇等个人信息。 个人重要信息:是指在车联网信息服务过程中相关的个人信息,在被泄露、被非法提供或被滥用后会给用户人身和财产带来较大危害,甚至一定程度上影响个人名誉和身心健康。 个人一般信息:是指在车联网信息服务过程中相关的个人信息,在被泄露、被非法提供或被滥用后会给用户带来一定危害,但相对影响范围和程度有限,不会对财产和人身安全构成危害。[16] (三)实践指南 1.数据分类 根据实践指南,数据处理者进行数据分类时,应优先遵循国家、行业的数据分类要求,如果所在行业没有行业数据分类规则,也可从组织经营维度进行数据分类。实践指南采用面分类法,从国家、行业、组织等视角给出了多个维度的数据分类参考框架,其描述的常见数据分类维度,包括但不限于公民个人维度、公共管理维度、信息传播维度、行业领域维度、组织经营维度,数据处理者进行数据分类时,可在遵循国家和行业数据分类要求的基础上,采用面分类法从多个维度进行分类,对不同维度的数据类别进行标识,每个维度的数据分类也可采用线分类法进行细分。[17] 2. 数据分级 实践指南按照《数据安全法》要求,根据数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,将数据从低到高分成一般数据、重要数据、核心数据共三个级别。[18]实践指南按照个人信息一旦泄露或者非法使用,对个人合法权益造成的危害程度,将个人信息分为一般个人信息和敏感个人信息。一般个人信息是指一旦泄露或者非法使用,对自然人个人信息权益造成轻微或一般影响,不易导致自然人的人格尊严、人身安全、财产安全受到侵害。敏感个人信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。[19]在上述分级的基础上,实践指南还建议了一般数据的分级规则:按照数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对个人、组织合法权益造成的危害程度,将一般数据从低到高分为 1 级、2 级、3 级、4 级共四个级别。 (四)评析 3746标准与3751标准的思路基本一致,规定了车联网信息服务中用户个人信息保护的信息内容分类、敏感性分级和分级保护要求,适用于汽车厂商、零部件和元器件供应商、软件提供商、数据内容提供商和服务提供商等在提供服务过程中的个人信息保护。但是,3751标准的六大类数据并不包括汽车数据以外的车企运营相关数据,对车企建立完整的覆盖汽车运营的所有数据的合规体系是一个缺陷。 实践指南指出了数据分类的基本原则:数据处理者进行数据分类时,应优先遵循国家、行业的数据分类要求,如果所在行业没有行业数据分类规则,也可从组织经营维度进行数据分类。对于车企而言,可参照上述基本原则并结合企业实际确定自己的数据分类原则。至于数据分级原则,实践指南的指向比较清楚,车企可参考适用。另外,实践指南建议的将一般数据进一步分级为1 级、2 级、3 级、4 级共四个级别的分级规则实践中不多见,但不失为完善和细化数据分级管理的一个可行选项。
六、构建和完善车企数据分类分级的建议
(一)确定车企数据分类分级原则 车企应首先根据与车企数据合规相关法律法规的规定,确定其数据分类分级原则,建议参考实践指南的数据分类分级原则,设定企业的数据分类分级原则如下: 1.合法合规原则:数据分类分级应遵循有关法律法规及部门(车企的行业主管部门为工业和信息化部门)规定(如“试行办法”、“若干规定”)的要求,优先对国家或工业和信息化部门管理要求的数据进行识别和管理,满足相应的数据安全监管要求。 2.分类多维原则:数据分类具有多种视角和维度,可从便于车企数据管理和使用角度,考虑国家、行业、组织等多个视角的数据分类,在此基础上选定一到两个适合车企的数据分类纬度,如以业务流程结合个人信息与非个人信息的方式的分类。 3.综合考虑原则:数据分类不仅应考虑汽车数据,而且应覆盖汽车数据以外的与汽车企业运营相关的其他数据;在对数据进行定级时,不仅要考虑重要数据,也应覆盖一般数据,避免出现若干规定只规制个人信息数据和重要数据的情况。 4.分级明确原则:数据分级的目的是为了保护数据安全,数据分级的各级别应界限明确,不同级别的数据应采取不同的保护措施。 5.就高从严原则:当数据的级别界限难以区分时,宜采用就高不就低的原则进行定级,例如数据集包含多个级别的数据项,按照数据项的最高级别对数据集进行定级。 6.动态调整原则:数据的类别级别可能因时间变化、政策变化、安全事件发生、不同业务场景的敏感性变化或相关行业规则不同而发生改变,因此需要对数据分类分级进行定期审核并及时调整。[20] (二)车企数据分类 1.分类方法概述 数据分类具有多种视角和维度,常见的数据分类维度,包括但不限于: a)公民个人维度:按照数据是否可识别自然人或与自然人关联, 将数据分为个人信息、非个人信息。 b)公共管理维度:为便于国家机关管理数据、促进数据共享开放,将数据分为公共数据、社会数据。 c)信息传播维度:按照数据是否具有公共传播属性,将数据分为公共传播信息、非公共传播信息。 d)行业领域维度:按照数据处理涉及的行业领域,将数据分为工业数据、电信数据、金融数据、交通数据、自然资源数据、卫生健康数据、教育数据、科技数据等。 e)组织经营维度:分为用户数据、业务数据、经营管理数据、系统运行和安 全数据。[21] 2.法律法规规定的分类方法 根据《数据安全法》,各地区、各部门按照数据分类分级制度确立本地区、本部门以及相关领域的重要数据具体目录,即应由汽车行业主管部门工信部门确立汽车领域的重要数据具体目录,但目前工信部门尚未确立和发布汽车领域的重要数据具体目录。根据试行办法的规定,工业和信息化部门会制定行业重要数据和核心数据具体目录,作为工业和信息化领域数据处理者的车企应当按照工业和信息化部门制定的行业重要数据和核心数据目录识别重要数据和核心数据并形成车企的具体目录。目前工业和信息化部门尚未发布行业重要数据和核心数据目录。若干规定项下的数据仅指汽车数据,包括汽车设计、生产、销售、使用、运维等过程中的涉及的个人信息数据和重要数据,其采用公民个人和业务流程两个维度相结合的方法对汽车数据进行分类。 3.行业标准建议的分类方法 3751标准按照数据主题进行分类,分为六大类:基础属性数据、车辆工控数据、环境感知数据、车控类数据、应用服务类数据和用户个人信息,而用户个人信息按照3746标准细分为用户身份证明类信息、车联网信息服务用户数据和服务内容信息、用户服务相关信息三大类。 4.建议的分类方法 鉴于工业和信息化部门以及其他管理部门尚未发布汽车行业重要数据和核心数据目录,在遵守《数据安全法》、试行办法和若干规定的前提下,车企可参照若干规定的分类方法,即从公民个人维度和组织经营维度相结合的方式对汽车数据进行分类,并参考3751标准和3746标准的分类分级方法,但应注意补齐与车企运营有关的非汽车数据,在此基础上形成车企自己的数据目录。 (三)汽车企业数据分级 1.法律法规规定的分级方法 如前所述,《数据安全法》将数据从低到高分成一般数据、重要数据、核心数据共三个级别,但未提及个人信息数据的分级。试行办法根据危害程度,将工业和信息化领域数据分为三个级别:一般数据、重要数据和核心数据,但未提及个人信息数据的分级。根据若干规定的文义解读,汽车数据仅包括个人信息和重要数据,其他数据包括一般数据不属于汽车数据的范畴,因此若干规定没有对个人信息数据以外的数据进行分级。 2. 行业标准建议的分级方法 3741标准将车联网信息划分为一般数据、重要数据和敏感数据。3746标准将车联网信息服务用户个人信息划分为个人敏感信息、个人重要信息和个人一般信息。分类分级指南根据不同类别工业数据遭篡改、破坏、泄露或非法利用后,可能对工业生产、经济效益等带来的潜在影响,将工业数据分为一级、二级、三级等3个级别,对应上述一般数据、重要数据和核心数据。 3.建议的分级方法 建议将车企的数据按风险等级从低到高分成一般数据、重要数据、核心数据共三个级别,并将涉及的个人信息按风险等级从低到高区分为一般个人信息、个人重要信息和敏感个人信息。 上述三个级别是从数据安全角度给出的数据分级基本框架。由于一般数据涵盖数据范围较广,采用同一安全级别保护可能无法满足车企不同数据的安全需求。有鉴于此,建议车企优先按照基本框架进行定级,在基本框架定级的基础上也可结合汽车行业数据分类分级规则或组织生产经营需求,对一般数据进行细化分级,具体细化分级可参考《网络安全标准实践指南—网络数据分类分级指引》(TC260-PG-20212A)之6.3条项下的一般数据分级参考规则。 (四)车企数据分类分级示例 结合《数据安全法》、试行办法、分类分级指南、若干规定的相关规定,并参考行业标准的体例,本文建议将汽车数据分为七个大类,前五大大类参考了若干规定的体例。由于前五大类数据主要为与汽车相关的数据,不包括与车企运营相关的非汽车数据,为建立完整的覆盖汽车和非汽车的车企数据合规体系,我们在若干规定设定的五大类数据的基础上增加了综合管理数据和外部数据(其他数据处理者共享给车企的数据),这种分类与分类分级指南建议的数据分类一致。在上述分类的基础上,本文采用了两个维度的数据分级,将车企的数据的基本级别从低到高分成一般数据、重要数据、核心数据共三个等级,并将涉及的个人信息区分为一般个人信息、重要个人信息和敏感个人信息三个等级。鉴于下表中的大部分数据类型还要进行进一步的分类,其分级需待进一步的分类才可确认,因此下表的分类仅显示到二级,且未做分级,具体如下:
(五)补充说明 1.上述《车企数据分类分级示例》仅为我们建议的数据分类分级基本框架,且所列的数据类型可能并不完整。车企数据浩如烟海,其分类分级是一个系统工程,且各家企业的情况及不同地区的主管部门对数据分类分级的要求不尽相同,没有绝对统一的标准,上述《车企数据分类分级示例》仅可作为参考之用,且并不必然适合于所有车企。 2. 根据《数据安全法》的规定,国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录。鉴于工业和信息化部门以及其他管理部门尚未发布汽车行业重要数据和核心数据目录,车企制定自己的数据目录可能存在一定的难度和不确定性。由于工信部先后发布了分类分级指南和试用办法,为工业和信息化数据分类分级规定了基本原则,网信办、工信部等五部门联合发布了若干规定,为车企制定汽车数据分类分级提供了基本原则(虽然不完整),车企可在遵照上述法律法规确定的数据分类分级基本原则的基础上,参照行业标准、指南制定车企自己的数据分类分级原则并制定自己的数据目录。如有问题,可以寻求工信部门专家和外部数据合规顾问的支持。 3. 由于汽车行业特别是有关智能网联汽车相关的技术仍在不断演进,与之相关的立法也会相应更新和调整,车企应结合自身实际和最新的法律法规规定和监管部门的最新要求实时调整数据分类分级规则并形成其新的数据目录,以确保其包括数据分类分级在内的数据合规体系符合法律法规的规定和监管要求。
注释 [1] 《数据安全法》第二十一条。 [2] 《工业和信息化领域数据安全管理办法(试行)》第七条。 [3] 《工业和信息化领域数据安全管理办法(试行)》 第八条 根据行业要求、特点、业务需求、数据来源和用途等因素,工业和信息化领域数据分类类别包括但不限于研发数据、生产运行数据、管理数据、运维数据、业务服务数据等。 [4] 《工业和信息化领域数据安全管理办法(试行)》 第八条 根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度,工业和信息化领域数据分为一般数据、重要数据和核心数据三级。 [5] 《工业和信息化领域数据安全管理办法(试行)》第九条。 [6] 《工业和信息化领域数据安全管理办法(试行)》第十条。 [7] 《工业和信息化领域数据安全管理办法(试行)》第十一条。 [8] 《工业和信息化领域数据安全管理办法(试行)》第十二条。 [9]《工业数据分类分级指南(试行)》第九条。 [10]《工业数据分类分级指南(试行)》第十条。 [11]《工业数据分类分级指南(试行)》第十一条。 [12]《工业数据分类分级指南(试行)》第十三条。 [13] 《车联网信息服务数据安全技术要求》(YD/T 3751—2020),5. 车联网信息服务数据分类。 [14] 《车联网信息服务数据安全技术要求》(YD/T 3751—2020),6. 车联网信息服务数据分级。 [15] 《车联网信息服务用户个人信息保护要求》(YD/T 3746—2020),6. 用户个人信息分类要求。 [16] 《车联网信息服务用户个人信息保护要求》(YD/T 3746—2020),7. 用户个人信息敏感性分级要求。 [17] 《网络安全标准实践指南—网络数据分类分级指引》(TC260-PG-20212A),4.1 数据分类框架。 [18] 《网络安全标准实践指南—网络数据分类分级指引》(TC260-PG-20212A),4.2 数据分级框架。 [19] 《网络安全标准实践指南—网络数据分类分级指引》(TC260-PG-20212A),6.4.2 个人信息定级。 [20] 此处的“数据分类分级原则”的1、2、4、5和6参考了“实践指南”的分类分级原则并有所调整。 [21] 《网络安全标准实践指南—网络数据分类分级指引》(TC260-PG-20212A),4.1 数据分类框架。