地址:北京市东城区建国门内大街26号新闻大厦7-8层
电话:86 10 8800 4488, 6609 0088
传真:86 10 6609 0016
邮编:100005
国枫视角
【汽车数据合规系列】智能网联汽车网络数据安全事件应对
根据思略特《2023年数字化汽车报告》[1]的调查显示,安全仍然是汽车互联网服务功能中消费者最关注的内容之一。网络数据安全也已经成为智能网联汽车厂商最关注的问题之一,而网络数据安全事件应对则是其中不可或缺的环节。
本文旨在分析法律法规、标准对网络数据安全事件应对的要求,并为智能网联汽车厂商提出应对此类事件的参考建议。
一、智能网联汽车网络数据安全事件分类
(一)按照事件类型分类
《网络安全法》第25条列举了几类典型的可造成网络安全事件的风险,包括“系统漏洞、计算机病毒、网络攻击、网络侵入等”,但并未明文定义网络安全事件。《公共互联网网络安全突发事件应急预案》第1.3条规定“本预案所称网络安全突发事件,是指突然发生的,由网络攻击、网络入侵、恶意程序等导致的,造成或可能造成严重社会危害或影响,需要电信主管部门组织采取应急处置措施予以应对的网络中断(拥塞)、系统瘫痪(异常)、数据泄露(丢失)、病毒传播等事件。”
《数据安全法》及《工业和信息化领域数据安全管理办法(试行)》均没有对数据安全事件的定义,《数据安全法》仅在第23条及第29条提及“数据安全事件”。
《个人信息保护法》及《儿童个人信息网络保护规定》也均没有对个人信息安全事件的定义,但《个人信息保护法》第51条规定“个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失”。据此,可以总结出个人信息安全事件主要指:未经授权的访问以及个人信息泄露、篡改、丢失等安全事件。
(二)按照攻击者常用的攻击载体分类
近日,研究机构Upstream发布了《2023年全球汽车行业网络安全报告》[2],在过去5年中,近70%的汽车安全威胁都是由远距离的网络攻击行为引发。随着智能网联汽车变得更加智能化和数字化,智能网联汽车厂商拓展出了越来越多的商业模式,给了网络攻击者更多的攻击载体。主要的8项攻击载体及占比如下:
二、智能网联汽车网络数据安全事件应急预案
(一)应急预案的制定依据
《汽车数据安全管理若干规定(试行)》对汽车数据安全事件以及应急预案均未做规定,但这并不代表智能网联汽车厂商没有义务制定与汽车数据安全事件相关的应急预案。智能网联汽车厂商应根据《网络安全法》《数据安全法》《个人信息保护法》等法律法规的规定制定/完善其网络数据安全事件应急预案。
然而《网络安全法》《数据安全法》《个人信息保护法》均没有直接规定相关安全事件应急预案的具体内容,《数据安全法》更未规定数据处理者应制定数据安全事件应急预案(《数据安全法》第23条关于建立应急处置机制和启动应急预案的义务主体为国家有关部门,并未指向数据处理者)。因此,我们需要从相关法律法规中或其他类似规章制度、标准文件中,寻找出蛛丝马迹,确定应急预案应包括的内容及章节构成。
我们认为,智能网联汽车厂商可参考《公共互联网网络安全突发事件应急预案》、《上海网络安全突发事件应急预案》及《信息安全技术个人信息安全规范(GB/T 35273-2020)》的内容,结合《网络安全法》、《数据安全法》、《个人信息保护法》的规定要求,制定符合厂商自身实际情况的应急预案。
(二)应急预案的结构
工业和信息化部印发的《公共互联网网络安全突发事件应急预案》,虽主要面对于公共互联网网络安全突发事件,但考虑到智能网联汽车厂商的用户规模、数据量级等,亦可以参照该应急预案。而《上海网络安全突发事件应急预案》是进一步结合地方实际情况进行的细化,两者在体例上基本相似。
《信息安全技术个人信息安全规范(GB/T 35273-2020)》所规定的应急响应及处置则与《公共互联网网络安全突发事件应急预案》的体例大致相似,其主要从4点描述了发生个人信息安全事件后的处置要求:
(1)记录事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的个人信息及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门。
(2)评估事件可能造成的影响,并采取必要措施控制事态,消除隐患。
(3)按照《国家网络安全事件应急预案》等有关规定及时上报,报告内容包括但不限于:涉及个人信息主体的类型、数量、内容、性质等总体情况,事件可能造成的影响,已采取或将要采取的处置措施,事件处置相关人员的联系方式。
(4)个人信息泄露事件可能会给个人信息主体的合法权益造成严重危害的,如个人敏感信息的泄露,按照10.2条的要求实施安全事件的告知。
(三)典型事件
笔者也汇总了较为典型的汽车网络数据安全事件及其处置、其他行业网络数据安全事件及其处置,供各位理清不同地区、不同企业对于网络数据安全事件的应急处置情况。
三、智能网联汽车网络数据安全事件应急演练
智能网联汽车厂商作为数据处理者,不仅应制定网络数据安全事件应急预案,还应根据应急预案要求开展应急演练。应急演练可以测试应急预案流程的合理性、检验应急预案的有效性、培养企业应急意识及队伍。
不过,大多数智能网联汽车厂商可能从未开展过应急演练,甚至应急预案及相关人员均未配置。智能网联汽车厂商可参考《信息安全技术 网络安全事件应急演练指南(GB/T 38645-2020)》的流程及方式,通过桌面推演、模拟演练、实操演练等不同方式开展应急演练。
四、智能网联汽车网络数据安全事件的应对建议
综上,我们认为智能网联汽车厂商对于网络数据安全事件,有以下事前、事中、事后的应对建议:
[1]《2023年数字化汽车报告》:http://www.199it.com/archives/1593600.html
[2]《2023年全球汽车行业网络安全报告》:https://mp.weixin.qq.com/s/-Ew7_hcIYy4tacURTjbJ2g
[3]信息来源:https://global.toyota/jp/newsroom/corporate/39174380.html
[4]信息来源:https://app.nio.com/app/community_content_h5/module_10050/share_comment?id=2284166&type=essay&is_nav_show=false&wv=lg
[5]信息来源:https://mp.weixin.qq.com/s/V-mwffAf9eCkhUsPN33Mgg