2023年10月12日,第二届中国未来交通产业发展峰会暨汽车数据合规论坛于深圳国际会展中心成功举办。峰会的下半场,由FAHFA与iLaw及北京德和衡律师事务所、德和衡研究院联袂承办“汽车产业数据合规论坛”,为汽车行业数据合规从业伙伴们精心策划了一场实务交流盛宴,着重探讨数据时代汽车行业中数据安全、数据分类分级、自动驾驶算法治理、数据出境等实务问题,助力汽车产业在信息保护数据安全等政策法规日趋严格的今天充分明晰合规要点,积极响应监管要求,实现健康高速发展。
北京德和衡(广州)律师事务所联席合伙人、数字经济与人工智能业务中心总监陈阳以《汽车数据分类分级——汽车数据合规的有力抓手》为主题进行了分享。他围绕数据分类分级概要、汽车数据分类分级、行业实践三个部分分享了自己的心得体会。他首先指出分类分级是数据治理的重要抓手,简单介绍了数据分级的一般原则、规则和流程。接着,他根据汽车分级分类的思路:要素识别、影响分析、确定级别,指出汽车数据的分类分级表并分析对应的安全措施。最后,他结合百度自动驾驶、小马智行等的行业分类分级实例,为数据分类分级提供了宝贵的参考意见。
一、数据分类分级概要
(一)数据分类分级之意义
数据分类分级为数据治理搭建坚实的基础,是数据治理的重要抓手。
1.分类分级是数据治理的前提条件
数据分类分级通过明确不同类别、不同级别数据采取不同的保护措施,有助于平衡数据安全与发展。数据分类分级还对不同级别数据遭到泄露、纂改后的惩罚机制作出详细规定,为数据要素有效管控夯实了基础。
2.分类分级助力数据规范有序流通
作为数据要素市场充分流通的先决条件,分类分级结合场景和用途、流通范围、影响程度和潜在风险等对数据进行安全定级,有助于明确各环节各主体对数据的使用范围和使用边界,消除各主体对数据的开放共享顾虑,进而提高数据要素市场供给。
3.分类分级促进数据产权制度有效落实
数据分类分级有助于从法理上对数据产权进行明晰,明确不同数据主体之间的权责利,促进数据产权进一步细化与动态调整,推动结构分置运行的数据产权制度有效落实。
(二)数据分类分级原则
1.合法合规原则
即在进行数据分类分级时,必须遵守国家的相关法律法规和政策,确保数据的合法性和合规性。
2.分类多维原则
数据分类应采用多维度的分类方式,将“点分法”和“面分法”相结合,以便更好地管理和使用数据。
3.分级明确原则
数据分级应明确、清晰,根据数据的敏感性和重要性,将数据划分为不同的级别,并对不同级别的数据进行不同的保护和管理。
4.就高从严原则
在确定数据分级时,应采取就高不就低的原则。当多个因素可能影响数据分级时,应以可能造成最高影响对象和影响程度为准确定数据级别。
5.动态调整原则
数据的分类分级不是一成不变的,应根据实际情况和需要定期进行动态调整。
(三)数据分类分级实施流程
1.数据资产梳理
首先,对结构化数据资产和非结构化数据资产梳理,并识别资产基本信息和相关方,继而形成数据资产清单。
2.数据分类
现有的维度可分成5个维度:公民个人维度数据分类、公共管理维度数据分类、信息传播维度数据分类、行业领域维度数据分类、组织经营维度数据分类。应当根据行业和公司的具体情况进行分类。
对于企业,主要从组织经营维度进行划分。主要分为:用户数据、业务数据、经营管理数据、系统运行和安全数据。
3.数据定级
流程上,首先识别是否为国家核心数据,若是,则判定为为核心数据级别。若否,则识别是否为重要数据,若是,则判定为重要数据级别,若否,则判定为一般数据级别,按照一般数据分级规则或行业数据分级规则定级,一般分为:1级数据、2级数据、3级数据、4级数据。
数据定级的判定标准可参考下图:
对于个人信息的定级流程,若属于遭到泄露或者非法使用后可能直接侵害个人信息主体的人格尊严、或可能由于社会偏见、歧视性待遇而间接侵害个人信息主体的人格尊严、或可能直接或间接危害个人信息主体的人身、财产安全的敏感个人信息,则定为4级,若否,则定为一般个人信息,按一般数据分级规则分级。其中,一般个人信息不低于2级,组织内部员工个人信息不低于2级,有条件开放/共享的公共数据级别不低于2级,敏感个人信息不低于4级,禁止开放/共享的公共数据不低于4级。
此外,还有与原始数据相对的衍生数据。衍生数据分为:脱敏数据、标签数据、统计数据、融合数据。脱敏数据即对数据(如个人信息)按照脱敏规则进行数据变形处理后的新数据,如去标识化的手机号码等,个人信息去标识化、匿名化处理后的数据。标签数据即对用户个人敏感属性等数据进行区间化、分级化、统计分析后形成的非精确的模糊化标签数据,如偏好标签、关系标签等。统计数据即群体性综合性数据,是由多个用户个人或实体对象的数据进行统计或分析后形成的数据,如群体用户位置轨迹统计信息、群体统计指数、交易统计数据、统计分析报表、分析报告方案等。融合数据即对不同业务目的或地域的数据汇聚,进行挖掘或聚合,如多个业务、多个地市的数据整合、汇聚等。
衍生数据级别原则上依据就高从严原则,对照加工的原始数据集级别进行定级,同时按照数据加工程度也可进行升级或降级调整。其中,去标识化的个人信息不低于2级,个人标签信息不低于2级,匿名化个人信息不低于1级。
4.审核标识管理
审核标识管理涉及到组织内部或外部的数据分类和分级评审,以确保数据的合规性和安全性。在审核过程中,需要对数据进行细致分析和认定、以确定数据的分类和分级。同时,还需要根据组织的需求和法律法规的要求,制定相应的数据分类分级标识,并经过审批后发布实施。对于数据分类分级标识的管理,需要确保其准确性和及时性。标识的更新和维护管理是保证数据治理持续有效的关键。此外,组织还需要建立数据资产分类分级清单,以方便对数据进行分类管理和控制。
5.数据分类分级保护
数据分类分级保护涉及到数据分类分级保护策略,即核心数据严格管理、重要数据重点保护、个人信息安全合规、一般数据全流程分级保护。
数据分类分级保护策略是指根据数据的价值、敏感性和重要程度,采取不同的保护措施和监管手段,以确保数据的安全和合规性。应考虑到数据的多样性、复杂性和动态性,同时还需要考虑不同的业务场景和监管要求。
核心数据一旦泄露或遭到破坏,会对国家安全或公共利益造成重大危害或影响。因此,对于核心数据,需要采取多重安全措施,以确保安全合规。对于重要数据,需要采取相对较为严格的保护措施,包括访问控制、加密、备份和恢复等,以确保其可用性和完整性。个人信息安全合规是指企业或组织需要遵守相关的法律法规和标准,确保个人信息的安全和隐私。对于一般数据,则应全流程分级保护。
二、汽车数据分类分级
(一)涉及领域
汽车数据分级涉及“精确的图”、“聪明的车”、“智慧的路”、“实时的云”、“可靠的网”。需要高精地图生产制作地图数据,需要数字化、智能化、网联化的车,需要车路协同、智慧交管的路,需要云端跨域融合、分层解耦、分级共享、应用支撑,需要无线与有线组网技术融合的网。
(二)总体思路
1.要素识别
考虑领域、精度、覆盖度、群体、规模、重要性、区域、深度、安全风险等因素。
2.影响分析
(1)影响对象
分为个人权益、组织权益、公共利益、社会稳定、经济运行、国家安全。
(2)影响程度
分为无危害、一般危害、严重危害、特别严重危害。
3.确定级别
根据影响对象和影响程度的不同,确定数据分级级别。
对于汽车的数据分类分级可参考下图:
(三)分类分级安全措施
1.1级数据
对于1级数据,采取一级保护措施。
数据采集上,采取最小化采集原则,对数据源身份进行鉴别,给予数据唯一标识,并需要获得信息主体同意;数据存储与传输和数据使用上,无特殊要求;数据分享上,可共享、公开;数据销毁上,需要按主体要求,备案销毁,需要低级格式化或填充;数据出境上,原则上不出境,须评估申请出境。
2.2级数据
对于2级数据,采取二级保护措施。
数据采集上,不低于一级保护措施,按国家标准执行;数据存储与传输上,须存储加密,传输加密;数据使用上,应控制基本访问权限,构建专人审批机制;数据分享上,审批后共享;数据销毁和数据出境上,不低于一级保护措施,按国家标准执行。
3.3级数据
对于3级数据,采取三级保护措施。
数据采集上,不低于二级保护措施,按国家标准执行;数据存储与传输上,须存储、传输加密,并对日志进行管理;数据使用上,应控制基本访问权限和可访人员范围,构建专人审批机制;数据分享上,是有条件的共享,在共享前应做好充分的评估,并对数据做尽可能脱敏处理;数据销毁和数据出境上,不低于二级保护措施,按国家标准执行。
4.4级及以上数据
对于4级数据,采取四级保护措施。
数据采集上,不低于三级保护措施,按国家标准执行;数据存储与传输上,须存储、传输加密;通过防火墙等安全保护措施构建逻辑隔离或物理隔离,并对之加以审计;数据使用上,应严格控制基本访问权限和可访人员范围,构建专人审批机制,并对操作记录进行留档;数据分享上,原则上不共享,如须共享,则共享前应充分评估,做好严格的数据脱敏处理,并严格控制共享范围;数据销毁和数据出境上,不低于三级保护措施,按国家标准执行。
三、行业实践
百度自动驾驶和小马智行的数据分级表可以为企业构建数据分级提供宝贵的经验和参照。可以通过观察和学习这些龙头企业的数据分级定级方法,来提高自身的数据管理和利用水平,以保障企业的数据安全和隐私,更好地发挥数据的价值,推动企业的发展。
(一)百度自动驾驶
(二)小马智行
作者简介
陈阳
北京德和衡(广州)律师事务所联席合伙人
陈阳律师,中、美法律硕士,北京德和衡(广州)律师事务所联席合伙人、数字经济与人工智能业务中心总监,前文远知行总法律顾问。主要执业领域为知识产权、数据合规、公司法业务。毕业于四川大学、美国乔治梅森大学,具有专利代理师资格。曾先后在中兴通讯、腾讯、文远知行等企业工作,有14年法务和8年法总经验。担任广东知识产权保护协会专家库专家、广州开发区知识产权协会专家库专家,四二六学院高级专家顾问。荣获“IPRDaily 2020中国40位40岁以下知识产权精英”称号。