《汽车数据出境安全指引(征)》学习笔记

admin
admin
admin
143972
文章
118
评论
2025年6月14日00:47:26评论18 views字数 2423阅读8分4秒阅读模式

6月13日,又是一个周五,工信部等八部门公开征求对《汽车数据出境安全指引(2025版)》(《指引》)的意见。
不是汽车行业专业人士,就不提意见了,简要分享一下学习体会。
1、提供新的豁免场景,如修补安全漏洞、处置安全事件、消除汽车产品缺陷、实施召回
2、明确重要数据的范围,主要是:研发设计、生产制造、驾驶自动化、软件升级服务、联网运营等场景;
3、提供数据出境实施流程指引,流程性指引,申报主体有亮点;
4、提出安全保护新要求,对汽车行业数据出境提出了管理、防护技术、日志、应急处置的新要求。

  一、总则

(一)适用范围

1、汽车数据

汽车数据是指汽车设计、生产、销售、使用、运维等过程中涉及的个人信息和重要数据。

与《汽车数据安全管理若干规定(试行)》(《规定》)一致。

2、汽车数据处理

汽车数据处理者是指开展汽车数据处理活动的组织,包括汽车制造商、零部件和软件供应商、电信运营企业、自动驾驶服务商、平台运营企业、经销商、维修机构以及出行服务企业等。

较《规定》新增“电信运营企业、自动驾驶服务商、平台运营企业”,移动、电信、小马智行、文远知行、滴滴都适用?

(二)新增豁免场景

其余内容均与《促进和规范数据跨境流动规定》(“322新规”)一致,但通过指引新增了以下三个豁免场景:

因修补安全漏洞需要,汽车数据处理者按照《网络产品安全漏洞管理规定》有关要求,已向工业和信息化部报告的安全漏洞数据。

因处置安全事件需要,汽车数据处理者按照行业网络安全、数据安全事件相关应急预案,已向工业和信息化部及相关行业监管部门报告的汽车产品、车联网平台及相关系统的安全事件数据。

因消除汽车产品缺陷、实施召回需要,汽车数据处理者按照《缺陷汽车产品召回管理条例》已向国家市场监督管理总局备案的OTA 升级软件包对应的源代码。

需注意,以上内容均仅适用于个人信息,重要数据出境仍需安全评估。

一个小探讨,《指引》是否属于《个人信息保护法》第38条所规定的“法律、行政法规或者国家网信部门规定的其他条件”?

《汽车数据出境安全指引(征)》学习笔记

此前,322新规是网信办的部门规章,文号是“国家互联网信息办公室令第16号”。

《汽车数据出境安全指引(征)》学习笔记

《指引》由工信部牵头发布,未来发文的话,大概是规范性文件,而且应该是工信xx号,能算网信办规定吗?还是说网信办在发文单位里就行?

  二、汽车行业重要数据

《指引》明确了六个领域的汽车重要数据,我最大的疑问是《汽车数据安全管理若干规定(试行)》依然有效,其中对重要数据也有定义。

重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益的数据,包括:

(一)军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据;

(二)车辆流量、物流等反映经济运行情况的数据;

(三)汽车充电网的运行数据;

(四)包含人脸信息、车牌信息等的车外视频、图像数据;

(五)涉及个人信息主体超过10万人的个人信息;

(六)国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。

《汽车数据安全管理若干规定(试行)》

《规定》和《指引》,《规定》更久但层级高,《指引》更新但层级低,怎么适用,还需要进一步明晰。

尤其,网数条例明确1000万以上个人信息才要参照适用部分重要数据保护要求时,《规定》中10万以上个人信息属于重要数据的规矩确实有些突兀了。

  三、实施流程

1、汽车数据处理者应通过境内法人主体申报数据出境安全评估

2、境内无法人主体的,应由境内分支机构申报;

3、境内多家子公司如同属一家集团公司(母公司)且数据出境业务场景相似,可由集团公司(母公司)作为申报主体合并申报。

  四、安全保护要求

要求不低,让技术部门评估落实或者提意见吧。

(一)管理要求

1、明确企业内部汽车数据出境管理部门及安全负责人

2、明确网络安全、数据安全、个人信息保护等方面的制度要求,针对性明确汽车数据出境安全管理要求。

3、建立汽车数据出境内部登记审批机制,设定审批权限和审批流程,对审批材料进行整理存档。

(二)防护技术要求

1、数据出境传输安全

汽车数据处理者应当采取以下保护措施:

(1)采用校验技术、密码技术、安全传输通道或者安全传输协议等措施,保证数据出境传输过程中汽车数据的保密性和完整性。

(2)汽车数据出境相关系统应当具备对境外数据接收方进行身份鉴权的能力,确保境外数据接收方身份真实性。

2、数据出境安全监测要求

汽车数据处理者应当对汽车数据出境传输行为进行安全监测,形成安全日志并留存。

3、检查支持要求

汽车数据出境相关系统应当具备数据出境安全检查技术支持能力,对数据出境原始流量进行留存,支持数据防篡改和内容解析。

(1)全量留存。按照起止时间对数据出境流量进行全量留存,留存时间1 周。

(2)抽样留存。支持按照起止时间、IP 地址范围对数据出境流量进行抽样留存,留存时间不少于1 个月。

(三)日志要求

1、日志记录

(1)网络流量日志

汽车数据处理者应当对汽车数据出境的网络通信行为进行记录,包括日期、时间、源IP 地址、目的IP 地址、源端口、目的端口、传输层协议、应用层协议、数据包大小等,形成通信日志并留存。

(2)操作行为日志

汽车数据处理者应当对直接向境外传输汽车数据的主机的操作行为进行记录,包括用户信息、操作时间、操作对象、操作类型、登录IP、设备信息等,形成操作行为日志并留存。

2、日志留存

汽车数据处理者应对网络流量日志、操作行为日志、安全日志进行防篡改留存,留存时间不少于3 年。

3、日志审计

汽车数据处理者应当对网络流量日志、操作行为日志、安全日志进行审计,当发现存在非法操作等安全风险隐患时,及时响应处置。

(四)应急处置要求

汽车数据处理者应当建立汽车数据违规出境的处置能力,发现异常行为时应及时处置,并按有关要求向本地区行业监管部门报告。

原文始发于微信公众号(数据何规):《汽车数据出境安全指引(征)》学习笔记

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月14日00:47:26
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   《汽车数据出境安全指引(征)》学习笔记https://cn-sec.com/archives/4163498.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息