车企数据分类分级的实践指南出炉！“数据安全推进计划”发布，奇点云参编

日前，“数据安全推进计划”（DSI）正式发布《智能网联汽车数据分类分级实践指南》（下文简称“指南”），旨在以合规为主要导向，明确智能网联汽车数据分类分级的方法论，为数据全生命周期的安全治理落实提供指导性建议。

指南由吉利汽车研究院牵头，由一汽丰田、阿里云、奇点云（杭州比智科技有限公司）等企业与律师事务所共同参编。

 随着汽车的电动化、网联化、智能化发展，车企的数据量增长已走向乘数级。在探索如何通过数据来满足业务需要、构建智能服务、挖掘价值的同时，数据安全问题更不可小觑——车企应当充分保护个人信息安全和合法权益，减少对数据的无序收集和违规滥用，也需要加强对车企自身数据资产的管理。

指南指出，目前，智能网联汽车数据面临着多重安全风险：

• 重点数据类型的识别与处理

车企须明确区分敏感个人信息、重要数据、车外数据、座舱数据、运行数据、位置轨迹数据等数据类型，并应具备识别技术，并针对性配置安全措施。例如，对于“重要数据”的界定，汽车充电网的运行数据、包含人脸信息等的车外视频及图像数据、涉及个人信息主体超 10 万人的个人信息等，都属于汽车行业的重要数据。

• 未经评估申报的数据出境与共享

调研显示，汽车数据出境是众多汽车品牌的普遍行为，其中有三类合规风险尤值得注意：

其一，重要数据未本地化存储，未做数据出境安全评估申报；其二，境外车联网服务商跨境服务时，境内的通信数据、车联网数据、个人隐私数据等可能被传至境外；其三，合资企业及其外资公司通常采用境内境外多云管理，如果境内外平台间存在数据传输共享，亦是国家数据管理的重点关注内容。

• 数据全生命周期安全合规

汽车数据处理活动包括了数据采集、存储、使用加工、传输提供、公开等环节。

2021 年 12 月，某知名汽车制造商 6 个月内收集 43 万张敏感人脸个人信息，用于门店流量统计等营销行为，被上海市徐汇区市场监督管理局罚款 10 万元；2022 年 10 月，日本某知名车企因数据安全管理不善，致其 29 万余条客户个人信息疑似被泄露。海内外车企的多起反面教材证明，汽车数据处理活动的各个环节均应得到安全管理。

为规避数据安全隐患、构筑数据要素合规利用的保障，近年来国家及行业陆续出台了《汽车数据安全管理若干规定（试行）》《关于加强车联网网络安全和数据安全工作的通知》等各类标准，从合规层面明确智能网联汽车的数据安全要求，包括应进行分级分类处理，对数据进行打标或建立数据目录，区分数据类型，完善安全措施。

这份指南正是在此背景下进行编制，以期帮助企业落实数据安全合规：

基于多家参编单位的调研与实践，指南提供了详细的分级分类方法，明晰了从数据资产盘点、敏感数据规则配置到敏感数据识别及处理的全流程，深度拆解了高敏感级别数据的特殊保护要求，针对性地提供保护建议。此外，知名车企与自动驾驶解决方案服务商的实践案例也极具参考价值。

图：数据分类分级规则参考表节选

图源：《智能网联汽车数据分类分级实践指南》

关于“数据安全推进计划”：

数据安全推进计划（Data Security Initiative, DSI）是 2021 年由中国信通院发起的公益性项目，致力于推动法律法规及监管要求的贯彻落实，促进数据安全技术交流，推广数据安全最佳实践，提升数据安全治理水平。

目前，DSI 成员单位已涵盖金融、汽车、互联网、电信、安全厂商等不同行业。

关于“奇点云”：

StartDT 奇点云是独立第三方数据科技集团，旗下拥有“奇点云”、“GrowingIO”两大品牌，专注为客户构建统一开放、中立安全的数据云和全域全场景、智能易用的分析云，协同客户全场景赋能商业决策，实现降本增效。至今，已服务 1500+客户，覆盖泛零售、制造、金融、政企等领域，陪伴客户成功实践数字化转型，以数据驱动增长。

作为 “数据安全推进计划”（简称“DSI”）成员单位，奇点云始终践行数据安全准则，从数据采集、数据存储计算、数据加工到数据应用，帮助客户完成全链路、全场景、全智能的数据全生命周期安全管控。

奇点云的数据产品曾入选中国信通院发布的《数据安全产品与服务图谱 2.0》数据安全通用类产品、数据安全综合类产品双领域。其中，数据安全引擎 DataBlack 能覆盖 98%以上的企业安全场景，达到接入零信任环境的标准，为企业创造可靠、可信、可控的数据流动空间。