智能网联汽车数据安全合规白皮书.pdf

《智能网联汽车数据安全合规白皮书.pdf》由会员分享，可在线阅读，更多相关《智能网联汽车数据安全合规白皮书.pdf（42页珍藏版）》请在咨信网上搜索。

智能网联汽车数据安全合规白皮书路特斯科技与普华永道联合发布智能网联汽车数据安全合规白皮书2声明本白皮书由普华永道商务咨询（上海）有限公司和武汉路特斯科技科技有限公司（以下简称“路特斯科技”）分别撰写。普华永道系指普华永道网络及/或普华永道网络中各自独立的成员机构。详情请进入 概述1.1 智能网联汽车数据安全合规行业背景1.2 各国法律法规和行业规范第二章 智能网联汽车数据安全合规要求及建议2.1 智能网联汽车数据分类分级2.2 智能网联汽车数据生命周期合规要求分析2.3 主要市场的数据跨境合规事项2.4 智能网联汽车数据安全合规实践整体建议第三章 路特斯科技数据安全合规实践3.1 战略与愿景第四章 未来发展趋势展望491738561012141518213.2 数据安全与隐私保护合规实践3.1.1 数据安全与隐私保护战略愿景概述3.1.2 面向用户的隐私保护承诺3.1.3 已获得的第三方认证及说明1819203.2.1 数据安全与隐私保护治理框架3.2.2 数据安全与隐私保护管理体系建设实践3.2.3 数据分类分级实践3.2.4 数据全生命周期安全管理实践3.2.5 隐私保护影响评估实践3.2.6 默认隐私设计（PbD)3.2.7 用户数据主体权利（DSR）保障实践3.2.8 路特斯科技全球化数据架构实践3.2.9 路特斯科技数据跨境传输合规实践3.2.10 智能网联汽车隐私保护实践3.2.11 其他实践活动2122242628293031323337目录智能网联汽车数据安全合规白皮书4第一章概述本章围绕智能网联汽车的行业背景及监管体系，介绍了中国、欧盟、美国、英国及国际组织近年来发布的智能网联汽车行业相关的数据安全合规要求。随着车联网及人工智能技术的日益成熟及商业化，智能网联汽车（IntelligentConnected Vehicle,简称“ICV”）应运而生。智能网联汽车兼具智能与联网的特性，通过V2X（Vehicle to Everything）通信技术实现了车辆与车辆、人、道路交通设施、云之间的成熟交互。智能网联汽车不仅能进行数据交互和信息共享，优化驾驶路径并降低交通事故发生的风险，还能实现通过传感设备进行自动驾驶等功能，提供个性化的用户体验，引发对未来驾驶方式的展望。近年来，汽车企业和互联网企业蓬勃发展，加速了车联网、自动驾驶、互联网地图、智能交通技术的升级与革新，世界各国家地区政府对智能网联汽车的大力支持和消费者对出行方式的需求转变，推动了智能网联汽车的研发、生产与普及，商用场景正在不断增加。1.1 智能网联汽车数据安全合规行业背景为提供更好的用户体验，智能网联汽车及其后台支持系统每时每刻都在处理海量数据，包括车辆运行数据、路况信息、位置信息、车载应用操作信息等。对于这些数据信息，如果没有严格的数据安全合规管控措施，处理这些数据极易造成安全合规隐患，对国家、公共安全、企业经营、个人隐私等产生影响。因此，智能网联汽车的数据安全合规在数据生命周期中至关重要，数据安全合规也成为智能网联汽车产业健康发展的重要基础。随着监管与消费者对数据安全和隐私保护关注程度的提升，全球各国家与地区对于数据安全的法律法规相继出台，针对智能网联汽车的行业规范也在逐步完善。智能网联汽车数据安全合规白皮书5第一章 概述1.1 智能网联汽车数据安全合规行业背景1.2 各国法律法规和行业规范中国出台了各项法律法规标准要求，建立数据安全法律保障体系屏障，针对智能网联汽车的数据安全行业规范也在不断完善与深化。2021年10月1日汽车数据安全管理若干规定（试行）生效提出了对智能网联汽车数据应进行分类分级的要求，需要区分个人信息、座舱数据、车外数据、位置轨迹数据等数据类型，并应相应地配置安全保护措施提出了每年应进行风险评估和数据安全管理情况的常态化报送，形成数据安全保障体系2022年9月1日数据出境安全评估申报指南（第一版）生效2020年10月1日YD/T 37462020 车联网信息服务 用户个人信息保护要求、YD/T 3751-2020车联网信息服务数据安全技术要求、YD/T 3752-2020车联网信息服务平台安全防护技术要求生效发挥了国家标准在智能网联汽车产业生态环境构建中的引领作用，完善了行业数据安全标准规范从数据传输的保密性、数据加密、数据访问规则、动态脱敏、数据销毁等方面，提出层层保护用户数据，保护用户的知情权和选择权，保障智能网联汽车加快创新和安全应用的要求2021年8月24日智能网联汽车数据通用要求（征求意见稿）发布2021年9月1日数据安全法生效2021年11月1日个人信息保护法生效确立了“告知-知情-同意”的个人信息处理规则对处理敏感个人信息进行了要求强调了掌握海量用户数据后，互联网平台的“守门人”责任2022年9月1日数据出境安全评估办法生效要求企业在开展数据出境活动前申报并通过数据出境安全评估对数据出境数量的判断情形作了明确的定义2023年5月1日GB/T 41871-2022信息安全技术汽车数据处理安全要求生效2017年6月1日网络安全法生效图1-中国智能网联汽车数据安全相关重点法律法规和行业规范第一章 概述1.2 各国法律法规和行业规范智能网联汽车数据安全合规白皮书62013年（2022年更新）ISO/IEC 27001 信息安全管理体系 发布2017年8月6日联网和自动驾驶车辆网络安全重要原则发布提出保障数据存储和传输安全可控等在内的八大原则强调数据安全问题应纳入汽车生命周期2018年5月23日2018数据保护法案颁布采用了大量GDPR的核心理念提出故意或过失识别出已去识别化的个人数据会构成新的刑事犯罪2020年1月1日加州消费者隐私法案（CCPA）生效强调加州消费者提供各种与个人信息相关的权利，包括访问权、删除权等2021年3月9日车联网个人数据保护指南v2.0生效将GDPR应用于联网车辆中涉及处理个人数据的场景设定了针对网联汽车数据的基本性保护规则对数据出境进行了规定2019年8月ISO/IEC 27701 隐私信息管理体系 发布2022年6月21日美国数据隐私和保护法案发布在隐私政策中要求披露收集的数据类型、处理目的、与第三方共享数据的情况2021年6月28日网络安全法案生效规定个人信息保护要求2023年1月1日加利福尼亚隐私权法案（CPRA,CCPA修正版）生效2014年（2019年更新）ISO/IEC 27018 公有云个人可识别信息保护认证 发布2018年5月25日通用数据保护条例(GDPR)生效定义了个人数据和特殊类别的个人数据提出了个人数据处理需遵循的透明性、数据最小化、完整性与保密性等原则2017年9月7日H.R.3388 自动驾驶法案提出自动驾驶车辆厂商制定网络安全政策要求车辆厂商建立监控、测试和保护关键控制系统的安全机制2021年8月31日ISO/SAE 21434:2021 道路车辆-信息安全工程发布2021年4月13日自动与电动汽车法案生效明确了充电点相关的数据传输等规则2021年1月12日现代车辆安全性的网络安全最佳实践发布从整个汽车行业的角度给出了45个重要的原则对网络安全问题提供了解决方案和实践指南2022年7月6日网络安全管理系统(UN R155)软件更新管理系统(UN R156)生效由联合国世界车辆法律协调论坛（WP.29）发布的全球第一个汽车信息安全强制性法规R155要求汽车制造商在车辆生命周期的各阶段制定网络安全管理流程R156是关于软件更新和软件升级管理体系车辆审批的统一规定在欧盟汽车组提交的修订案中，UN R155和UN R156共同成为防护车辆网络攻击的技术法规第一章 概述1.2 各国法律法规和行业规范智能网联汽车数据安全合规白皮书7放眼全球，为强化智能网联汽车数据安全，保障数据安全和用户隐私，世界各国家与地区也同时在不断强化数据安全合规管理相应的法律法规和行业规范要求。图2-海外各国家与地区智能网联汽车数据安全相关重点法律法规和行业规范世界各地对智能网联汽车数据安全合规领域均提出了采取适当的技术和组织措施来保护数据的机密性、完整性和可用性，保护个人信息，以及在适当的情况下获得消费者同意的要求。但在不同的国家和地区，具体的要求内容存在差异：第一章 概述1.2 各国法律法规和行业规范智能网联汽车数据安全合规白皮书8个人信息分类：欧盟强调个人数据的特殊类别，在GDPR中有明确的定义，而美国对敏感个人信息的定义因法律法规不同而有差异。智能网联汽车生态伙伴需在满足行业通用标准的基础上，在各地区经营时，遵守当地相关法律法规和行业规范。汽车数据安全：中国出台行业规范，英美提出原则和最佳实践，欧盟重点关注该场景下的个人信息保护，后续可能在联合国世界车辆法规协调论坛（WP.29）对不同系统继续发布安全合规要求。智能网联汽车数据安全合规白皮书9第二章智能网联汽车数据安全合规要求及建议本章依据行业规范及要求，梳理了智能网联汽车数据分类分级、数据生命周期的安全合规要求，并对智能网联汽车数据安全合规实践提出建议。智能网联汽车数据安全合规白皮书图3-智能网联汽车数据分类示例*在智能网联车话题下，依据智能网联汽车数据通用要求（征求意见稿）和车联网信息服务数据安全技术要求（YD/T 3751-2020)还包括道路交通、智能网联出租车、社会车辆与行人等相关数据信息。本白皮书受篇幅限制不会对此类数据安全合规要求展开分析。102.1 智能网联汽车数据分类分级数据是驱动智能网联汽车发展的重要资产，合理的数据分类分级是妥善管理数据的基础，也是海量数据处理的基础。为实现智能网联汽车数据在数据生命周期的安全治理，应根据科学合理、客观明确的原则对相关数据进行分类分级。本白皮书将依据已发布的行业规范要求，从个人信息和车辆数据角度对智能网联车数据的安全合规要求展开分析。个人基本信息 个人生物识别信息 个人虚拟身份和鉴权信息 个人位置信息 交通出行信息 车载应用浏览记录 车载应用联系人信息 个人常用设备信息 订购注册注销信息 个人终端、云存储资料数据 车辆基本标识信息 车辆基础属性数据 车辆网服务平台基础属性数据 车辆静态工况类数据 车辆运行工况类数据 车联网移动终端应用软件基础属性数据个人信息车辆数据 驾驶员操作数据 远程监测、操作数据 系统决策数据 预测规划数据 车辆外部环境感知数据 其他数据*重要数据在个人信息与车辆数据中，依据中国法律法规，需要特别关注重要数据分类。重要敏感区域相关数据 汽车充电网运行数据 基础设施数据 其他重要数据 反映经济运行情况的数据 人脸、车牌视频图像数据 出口管制数据网络安全法、数据安全法、汽车数据安全管理若干规定（试行）等相关法律法规定义下的智能网联汽车行业重要数据包括但不限于：“第二章 智能网联汽车数据安全合规实践2.1 智能网联汽车数据分类分级11一般级指在被泄露、篡改、破坏或非法获取、非法利用、非法共享后，会对用户或企业合法权益造成一般危害的数据敏感级指在被泄露、篡改、破坏或非法获取、非法利用、非法共享后，会对用户或企业合法权益造成较大危害的数据重要级指在被泄露、篡改、破坏或非法获取、非法利用、非法共享后，会对用户或企业合法权益造成严重危害的数据核心级指在被泄露、篡改、破坏或非法获取、非法利用、非法共享后，会对公共利益造成严重危害、对国家安全造成一般危害的数据尤其包括图3列示的重要数据图4-智能网联汽车数据分级示例在数据分类的基础上，根据数据发生安全问题时的影响对象和影响程度，可进一步将不同数据分为一般级、敏感级、重要级和核心级（见图4）。第二章 智能网联汽车数据安全合规实践2.1 智能网联汽车数据分类分级同一数据由于数据量的累积或使用场景的变化会造成数据级别上升；不同种类数据的组合、汇聚、分析可能会造成数据级别上升。因此数据分级可结合实际情况进行划分与调整。智能网联汽车数据安全合规白皮书12智能网联汽车数据生命周期典型安全合规要求2.2 智能网联汽车数据生命周期合规要求分析为确保数据生命周期内的数据安全合规，企业需要在数据分类分级的基础上，不断完善自身管理手段和技术措施。在此过程中，保证数据的机密性、完整性及可用性，满足安全合规要求的同时，还应特别关注其中涉及不同类别、不同级别数据处理的特殊要求，如重要数据、个人隐私数据等。第二章 智能网联汽车数据安全合规实践2.2 智能网联汽车数据生命周期合规要求分析数据生命周期数据采集数据传输数据共享车内传输：基于车内处理原则，原则上数据应仅在车内传输车外传输：仅在法定要求或履行合同所必须的情况下进行车外传输，并需要：获得用户单独同意确保传输后数据仅用于必要的功能在传输前进行必要的脱敏、加密等处理对传输信道进行技术保护严格执行数据权限管控车内本地存储：应满足事故风险排查及事故数据还原要求车外存储：仅存储必要数据本地与车外数据存储均应保证：采用合理技术手段加密或脱敏存储数据，配置安全控制以防数据被篡改或恶意删除正确配置存储周期，符合监管对存储期限要求在合法收集的基础上，遵循正当、合理、最小化原则严格遵守已制定的数据安全合规分类分级要求对采集后数据进行处理在明示同意、仅采集必要精度数据、进行适当的风险评估与管理的基础上采集个人信息正确展示产品或服务所具备的收集信息的功能智能网联汽车数据安全合规白皮书13第二章 智能网联汽车数据安全合规实践2.2 智能网联汽车数据生命周期合规要求分析数据生命周期数据采集数据传输数据共享不能影响车辆正常驾驶和行驶安全依据数据分类分级标准对数据的使用进行授权和验证重要数据、个人隐私数据及其他敏感信息的使用需进行脱敏，如使用去标识、匿名化、加密处理等方式对数据使用行为进行审计数据共享：基于充分有效的评估进行数据共享，包括可行性评估、风险评估、网络安全能力评估制定数据共享风险控制措施，以保证数据共享的安全数据接收方同样需要履行数据保护的义务关于数据出境：严格判断车外数据、座舱数据、位置数据等相关数据的出境状态重要数据原则上应当存储在境内，确需向境外提供的，须通过有关部门组织的安全评估，所提供的数据不得超过出境安全评估所定的目的、范围、方式、种类等建立数据销毁策略和数据审批机制，明确销毁对象及销毁流程，保障数据在销毁过程中的安全性及合理性确保所有应销毁数据相关的副本、文件目录、数据库记录等资源所在的存储空间被释放或在重新分配给其他用户之前得到完全消除应采用技术手段禁止被销毁数据的恢复智能网联汽车数据安全合规白皮书智能网联汽车数据生命周期典型安全合规要求（续）14中国中国重视数据出境安全，不断立法进行强调保护原则。企业需对出境数据进行安全自评估，并根据评估结果，选择采取以下几种措施：英国根据脱欧后制定的英国通用数据保护准则中提出了跨境传输的标准合同要求。标准数据保护条款（UK SCC）涉及两份文件，要求企业选择其一进行签署：国际数据传输协议（IDTA）欧盟委员会标准合同条款国际数据传输附件（IDTA to the EU Commission SCC）在对方国家提供与欧盟同等水平保护措施的前提下，欧洲允许数据跨境流动。通常企业需要采取如下一种保障措施：美国美国主张全球数据自由流动，同时也对企业敏感数据的跨境进行严格的管理，包括：若企业涉及敏感个人数据交易，则需要进行外国投资安全审查评估应用程序风险，确保外国无法访问敏感的个人数据或机密的政府信息、商业信息网络服务提供商应默认向美国政府披露其控制的通信内容等数据2.3 主要市场的数据跨境合规事项第二章 智能网联汽车数据安全合规实践2.3 主要市场的数据出境合规事项*除上述中国、欧盟、美国、英国外，其他国家地区市场的数据跨境活动也应符合当地相关法律法规要求。向网信部门申请出境数据安全评估采用个人信息出境标准合同规定实施个人信息保护认证申请约束性公司规则（BCR）签署标准合同条款（SCC）作出行为准则（CoC）承诺，并向欧盟委员会申请批准向成员国监管机构申请数据保护认证（Certification）智能网联汽车数据安全合规白皮书欧盟英国151明确数据安全与隐私保护合规战略数据安全与隐私保护合规战略不仅应包括本主题下公司的愿景、使命及目标，还应包括企业对于数据安全合规的承诺，为企业合规框架的建立及后续执行确立方向。2建设数据安全合规管理体系，完善合规组织机构建设法律法规、行业规范与企业要求共同构成了数据生命周期内企业应遵循的规范。建立一套全面、体系化、符合行业业务特性、可落地的安全合规管理体系，有助于推动数据安全在全公司及其关联公司内普及和执行。同时，设计配套的管理制度及组织机构，对于实现有效地管理必不可少。3使用默认隐私设计（Privacy by Design)默认隐私设计（Privacy by Design)的理念可以帮助企业将隐私合规要求与控制融入业务设计、流程制定、产品开发、测试验证及执行监控等全业务流程，为企业提供了开展和执行业务流程相关的隐私合规的方法论。默认隐私设计是一种隐私保护的方法论，以解决公众对隐私的担忧。默认隐私设计主张将隐私保护前置，即将隐私保护作为系统运行的默认规则，在系统设计的最初阶段纳入隐私和数据保护的需求。根据安卡沃基发布的默认隐私设计：七项基本原则，默认隐私设计应遵循七大原则：积极预防，而非被动救济隐私默认保护将隐私嵌入设计之中功能完整：正和而非零和全生命周期的保护可见性和透明性尊重用户隐私：确保以用户为中心2.4 智能网联汽车数据安全合规实践整体建议数据安全合规建设，特别是个人隐私保护的合规建设，已成为行业内的重点议题。由于掌握了海量的个人与车辆数据，智能网联汽车企业需要特别关注数据安全与隐私保护风险。基于已有的法律法规及行业规范的梳理与分析，我们提示以下数据安全合规实践方式，为行业内企业提供参考。第二章 智能网联汽车数据安全合规实践2.4 智能网联汽车数据安全合规实践整体建议智能网联汽车数据安全合规白皮书164落实数据生命周期中的安全合规控制在生命周期的每一个环节，企业都应当建立并尽可能系统化实施适当的合规流程控制，将合规作为“背景工作”：既提供足够的重视，而又尽可能减少其对业务效率的影响。5有效的披露与展示在完成数据安全合规的建设、推广与落地之外，我们同样提倡企业就面向社会、面向消费者最关心的数据安全与隐私保护问题进行有效的披露与展示。第二章 智能网联汽车数据安全合规实践2.4 智能网联汽车数据安全合规实践整体建议智能网联汽车数据安全合规白皮书智能网联汽车数据安全合规白皮书17第三章路特斯科技数据安全合规实践本章介绍了路特斯科技在智能网联汽车领域的数据安全合规实践经验，包括路特斯科技数据安全合规战略愿景及数据安全合规实践展示。智能网联汽车数据安全合规白皮书智能网联汽车数据安全合规白皮书3.1 战略与愿景3.1.1 数据安全与隐私保护战略愿景概述为实现数据安全，保护用户隐私，为产品、服务的持续运行提供所需的信息安全保障，路特斯科技制定了”分级保护、风险管控、持续改进、安全高效、行业领先、用户信赖”的总体信息安全和数据安全策略。并在此基础上，为更好地保护用户数据，提出以下隐私保护的愿景与方针：18隐私保护愿景“塑造信任，做智能汽车时代最让公众放心的隐私保护践行者。”注重主动预防嵌入隐私设计培养隐私文化落实运行机制战略愿景“从F1赛道驶向电气化未来，在路特斯品牌夺冠信念的引领下，为客户提供安全可靠的数据安全与隐私保护体验。”第三章 路特斯科技数据安全合规实践3.1 战略与愿景19第三章 路特斯科技数据安全合规实践3.1 战略与愿景3.1.2 面向用户的隐私保护承诺路特斯科技重视并致力于保护用户隐私，面向用户承诺：智能网联汽车数据安全合规白皮书路特斯科技仅在合法、正当、必要的原则下收集用户的信息，并仅在实现数据处理目的必要的期限内存储路特斯科技尊重用户依法享有的对自身信息处理的权利路特斯科技通过严格的数据保护措施保护用户的个人信息路特斯科技仅在用户明确同意或法律规定的前提下向第三方提供用户的信息，并持续向用户披露共享信息清单路特斯科技只会将用户的个人信息用于用户预先同意或者法律法规规定的合法目的如果发生数据泄露或其他安全事件，路特斯科技会及时通知用户，并采取适当措施来减轻损害智能网联汽车数据安全合规白皮书20第三章 路特斯科技数据安全合规实践3.1 战略与愿景3.1.3 已获得的第三方认证及说明ISO/IEC 27001是目前为国际上最为认可的信息安全管理体系标准之一。路特斯科技通过建立ISO/IEC 27001体系和ISO/IEC 27701体系能够从企业内部的管理程序（尤其是信息安全管理和个人信息隐私保护）获得巨大的改善，提升企业在信息安全和隐私保护领域的可靠性，降低企业信息泄露的风险，从而更好地保护企业数据。ISO/IEC 27001网络安全管理体系（CSMS）认证是联合国世界车辆法律协调论坛（WP.29）通过的R155法规的合规认证。通过CSMS认证说明了汽车制造商在车辆完整生命周期的各个阶段均制定了网络安全管理流程，能识别潜在风险，持续监控和检测网络攻击及漏洞，及时响应网络安全事件。软件更新管理体系（SUMS）认证是联合国世界车辆法律协调论坛（WP.29）通过的R156法规的合规认证。SUMS认证标志着企业构建的软件开发和运营管理体系符合国际车辆软件升级法规要求，表明了汽车制造商在车辆全生命周期内具备确保软件升级过程安全、可靠、合规的工程能力。我国实行网络安全等级保护制度（MLPS 2.0），对网络运营者针对不同安全保护等级网络的安全保护义务提出了明确、细化的要求。等级越高，说明信息系统重要性越高。获得网络安全等级保护测评标志着企业在技术服务能力、信息安全管理能力和信息应急保障能力等方面达到了国家信息安全标准，用户的信息安全需求能够得到充分保障。CSMSSUMSMLPS 2.021图5-数据安全与隐私保护治理框架3.2 数据安全与隐私保护合规实践3.2.1 数据安全与隐私保护治理框架第三章 路特斯科技数据安全合规实践3.2 数据安全与隐私保护合规实践为深化企业数据安全与隐私保护战略，路特斯科技基于ISO/IEC管理体系标准，建立了信息安全管理体系（ISMS），并基于数据生命周期展开隐私保护管理体系（PIMS）、网络安全管理体系（CSMS）和软件更新管理体系（SUMS）的建设和完善，形成了路特斯科技独特的数据安全与隐私保护治理框架。智能网联汽车数据安全合规白皮书ISMSDSMS/CSMSSUMS核心流程PIMS加强图例：智能网联汽车数据安全合规白皮书22图6-路特斯科技数据安全与隐私保护管理体系组织架构决策层合规工作组制定公司数据安全与隐私保护战略、愿景与目标负责审批和决策公司数据安全与隐私保护制度为数据安全与隐私保护体系建设提供必要的资源决策和协调数据安全与隐私保护工作的其他重大事项管理层数据安全与隐私保护部门结合合规监管要求和业务发展需求，建立数据安全与隐私保护制度及实施指南开展数据安全与隐私保护管理体系建设工作，并推动实施落地监督执行层执行情况，通过运营实时监控数据安全与隐私保护风险，并推动风险控制措施实施执行层各业务部门根据管理规范建立业务的数据安全与隐私保护管理流程，确保数据安全与隐私保护措施落地协助管理体系工作的推进、执行内外审计要求及时发现数据安全与隐私保护风险并上报管理层监督层内控审计部门对公司资产、数据安全与隐私保护风险进行审计，并向决策层汇报发现的问题及整改建议对数据安全与隐私保护制度落地情况进行监督第三章 路特斯科技数据安全合规实践3.2 数据安全与隐私保护合规实践3.2.2 数据安全与隐私保护管理体系建设实践为贯彻执行数据安全与隐私保护管理体系，路特斯科技在已有的信息安全组织架构的基础上，建立了数据安全与隐私保护管理体系组织架构（如图6）。该组织架构包括决策层，管理层，执行层和监督层。路特斯科技数据安全与隐私保护管理体系组织架构贯彻路特斯科技整体信息安全管理方针、目标，构建了规范高效的数据安全与隐私保护管控体系，提升了数据安全与隐私保护技术能力，实现了数据安全与隐私保护管理体系的有效运行、持续改进。路特斯科技遵循数据安全与隐私保护管理体系和组织架构，采取以下措施保障数据安全与隐私保护在数据全生命周期过程中的充分性和有效性。图7-路特斯科技数据安全与隐私保护合规实践智能网联汽车数据安全合规白皮书23第三章 路特斯科技数据安全合规实践3.2 数据安全与隐私保护合规实践路特斯科技数据安全与隐私保护管理风险评估制度与流程宣贯与培训监督考核数据分类分级数据全生命周期安全管理隐私保护影响评估默认隐私设计用户数据主体权利保障全球化数据架构数据跨境传输合规路特斯科技数据安全与隐私保护合规实践示例智能网联汽车隐私保护实践智能网联汽车数据安全合规白皮书24图8-路特斯科技数据分类图9-路特斯科技数据分类分级示例第三章 路特斯科技数据安全合规实践3.2 数据安全与隐私保护合规实践3.2.3 数据分类分级实践3.2.3.1 数据分类分级标准在数据安全与隐私保护治理框架的基础上，路特斯科技制定了相关数据分类分级管理制度，规范企业数据分类分级，并在遵循国家和行业数据分类要求的基础上，从对不同维度的数据类别进行识别，从影响对象、影响程度两个方面综合考虑，将数据分为一般、敏感、重要、核心四个级别。分类分级父类一层子类二层子类一般敏感重要核心经营管理数据战略规划数据人力需求规划信息品牌战略规划信息招聘数据招聘岗位信息应聘人员信息业务数据营销数据门店信息订单信息运营数据运营分析信息意见反馈信息充电网运营数据客户数据个人数据个人生物识别信息个人身份信息个人财产信息车辆数据车辆标识信息车辆配置信息所有数据经营管理数据业务数据客户数据智能网联汽车数据安全合规白皮书25图10-路特斯科技敏感数据发现系统流程及示例第三章 路特斯科技数据安全合规实践3.2 数据安全与隐私保护合规实践3.2.3.2 敏感数据发现系统根据公司业务涉及的数据特征和分类分级规范，路特斯科技建立了敏感数据发现系统。该系统可通过敏感数据识别技术，全面、快速、准确发现和定位敏感数据，对公司数据进行标识，协助构建完善的企业数据安全管理平台。01数据资产发现02数据分类分级数据分类分级示例类别示例分级订单数据订单编号订单状态订单数量购车方式敏感数据成本数据零部件成本价车辆成本价格核心数据03敏感数据发现04敏感数据发现示例数据特征是否脱敏是否加密纳税人识别号否否字段路径信息相似度大数据平台纳税人识别号100%敏感数据目录敏感数据目录示例字段名数据分类数据类型cardid个人财产信息账号trace_time个人财产信息交易时间charge个人财产信息刷卡手续费card_type个人财产信息购买人证件类型id_card个人身份信息身份证号安全风险评估05智能网联汽车数据安全合规白皮书26图11-路特斯科技数据全生命周期安全控制示例第三章 路特斯科技数据安全合规实践3.2 数据安全与隐私保护合规实践3.2.4 数据全生命周期安全管理实践3.2.4.1 数据全生命周期安全策略在数据分类分级的基础上，为提升数据资产价值，实现企业数字战略，路特斯科技在数据生命周期各环节均采取了相应的安全控制措施，以确保全生命周期数据安全合规。数据采集数据传输数据存储数据使用数据共享数据销毁数据采集对采集数据进行分类分级对重要数据制定等级保护措施数据存储线上存储：公司内部产品或服务设置了严格控制访问权限，制定了数据备份及恢复测试策略，并对绝密数据进行加密存储线下存储：采用相应的终端安全管控及物理安全管控措施，并对到期的涉及重要数据的纸质文档采用安全的销毁方式进行销毁数据使用遵循“业务必要、最小权限、审批授权、安全合规”原则进行分级审批授权，经过审批授权方可使用对涉及用户隐私数据在线展示进行脱敏处理数据传输根据网络域安全策略对网络域进行分级在不同等级的网络域边界设置监控机制和访问控制通过邮件发送重要数据进行加密，并通过其他方式（如短信）发送解密密钥公司应用层对访问控制设置防篡改、签名机制数据共享明确共享的范围和管控措施以及双方职责对SDK、外部组件、源码实施安全评估等敏感信息原则上脱敏后提供第三方，且保证无法逆向破解数据销毁数据介质报废、闲置或转移使用人时，对应负责部门或数据介质所属部门应确保数据得到完全消除；数据所属部门或数据管理部门定期开展数据可用性评估，不再使用或较长时间不使用的数据及时予以销毁010305020406智能网联汽车数据安全合规白皮书27第三章 路特斯科技数据安全合规实践3.2 数据安全与隐私保护合规实践3.2.4.2 数据全生命周期安全技术架构实践路特斯科技从数据安全生命周期角度出发，根据管理要求通过技术手段进行全面、系统的数据安全管理管控，实现数据安全目标。在部署通用技术工具的基础上，针对数据安全生命周期的各个阶段，采取相应的安全技术保障。图12-路特斯科技数据全生命周期安全技术架构实践示例磁盘消磁设备存储介质物理销毁加密技术脱敏技术权限管控数据安全网关加密技术脱敏技术1.数据采集数据分类分级工具脱敏技术2.数据传输数据接口安全加密技术脱敏技术3.数据存储加密技术密钥管理系统备份/恢复6.数据销毁5.数据共享4.数据使用基础通用技术工具统一账号管理平台流程审批管理系统数据资产管理系统监控/审计工具日志管理数据防泄漏入侵检测WAF28第三章 路特斯科技数据安全合规实践3.2 数据安全与隐私保护合规实践1.预评估2.启动准备3.处理活动分析5.风险应对措施6.风险识别与定级7.报告编制与签署8.风险整改项9.整改结果审核与监控4.风险应对措施评审预评估PIPIA触发标准示例：是否涉及处理个人信息或个人敏感信息是否涉及公共区域的监测是否涉及对个人进行分析、监控、评估等是否涉及自动化决策是否会阻止个人信息主体行使权利、使用服务或履行合同是否大规模处理个人信息是否向境外提供个人信息数据处理活动分析动作示例：明确个人信息处理活动的基本信息明确个人信息收集的方式针对个人信息收集采取的控制措施明确个人信息保留期限、个人信息删除/去标识化等信息明确针对个人信息采取的安全措施明确个人信息主体可享有的权利及对应的响应时间、响应流程风险应对措施执行示例：采用隐私政策、授权条款等方式告知个人信息处理方式向用户明确告知需要披露的信息在隐私政策中向个人信息主体告知处理者的名称和联系方式提供用户撤回授权渠道及时更新隐私政策,并重新取得用户同意确保收集的是为实现业务目的所必须的最少的个人信息采用表单和后端的验证机制检验个人的真实性和准确性3.2.5 隐私保护影响评估实践隐私保护影响评估是路特斯科技隐私合规实践的核心。路特斯科技设计并实践了如下的个人信息收集与处理控制影响评估流程，来开展全面的个人信息保护影响评估活动（PIPIA）。智能网联汽车数据安全合规白皮书智能网联汽车数据安全合规白皮书29第三章 路特斯科技数据安全合规实践3.2 数据安全与隐私保护合规实践3.2.6 默认隐私设计（PbD)路特斯科技在隐私保护设计中，参照默认隐私设计（PbD）的理念及行业最佳实践，将数据安全与隐私保护融入到产品生命周期的各个环节，以求主动识别产品的隐私设计缺陷，预防隐私漏洞，并在负面影响发生之前进行主动、全面的修正。2.安全隐私设计安全隐私开发安全隐私测试发布评审1.需求评审需求评审安全隐私设计在产品需求设计阶段，由业务需求方主导，数据安全与隐私保护管理部门共同参与，对产品进行安全隐私需求分析和风险评估。需求评审进入设计阶段，数据安全与隐私保护管理部门对需要缓解的风险进行隐私保护设计，这一需求将和产品安全需求整合，形成最终产品安全隐私设计文档。安全隐私设计开发团队进行组件单元开发（软件，硬件等），以实现安全隐私需求。安全隐私开发由业务主导的产品发布评审，审核设计结果能否满足前期制定的安全隐私需求目标（即降低安全合规风险）。发布评审根据测试验证结果，由数据安全与隐私保护管理部门确认产品开发满足设计阶段制定的安全隐私需求。安全隐私测试智能网联汽车数据安全合规白皮书30第三章 路特斯科技数据安全合规实践3.2 数据安全与隐私保护合规实践3.2.7 用户数据主体权利（DSR）保障实践图13-用户数据主体权利（DSR）保障实践示例隐私保护影响评估是路特斯科技隐私合规实践的核心。路特斯科技设计并实践了如下的个人信息收集与处理控制影响评估流程，来开展全面的个人信息保护影响评估活动（PIPIA）。用户数据主体权利修改或撤回同意拒绝与限制处理查阅权补充权可携带权删除权更正权复制权用户路特斯科技2.请求受理与评估1.发起主体权利请求3.处置方案制定与审核4.处置方案执行5.处理结果确认6.得到反馈并确认7.请求归档第三章 路特斯科技数据安全合规实践3.2 数据安全与隐私保护合规实践3.2.8 路特斯科技全球化数据架构实践基于路特斯科技全球化战略，路特斯科技的产品在保证全球市场产品一致性的同时，也为满足各地区和国家数据跨境及数据本地化存储的合规要求，路特斯科技建立了全球数据中心架构布局。路特斯科技在全球已建立或规划五个数据中心，分别位于中国、德国、美国、新加坡和阿联酋。31智能网联汽车数据安全合规白皮书图14-路特斯科技全球化数据中心架构布局新加坡数据中心中国数据中心美国数据中心阿联酋数据中心德国数据中心已建立规划中智能网联汽车数据安全合规白皮书32第三章 路特斯科技数据安全合规实践3.2 数据安全与隐私保护合规实践3.2.9 路特斯科技数据跨境传输合规实践1.数据跨境传输需求提出2.数据跨境自评估3.数据跨境风险评估4.数据出境工具5.制定并执行跨境计划6.合规检查与考核跨境数据的具体类型，包括个人信息、重要数据；数据跨境的合法性基础；是否满足当地法律法规要求；是否属于需要进行数据保护影响评估(DPIA）的情形数据跨境传输的目的、涉及的数据类型、数据量、数据跨境的方向图15-路特斯科技数据跨境传输合规实践示意针对数据跨境场景，路特斯制定了明确的数据跨境传输流程，以保障企业数据跨境活动符合全球不同司法辖区的基本要求。智能网联汽车数据安全合规白皮书33第三章 路特斯科技数据安全合规实践3.2 数据安全与隐私保护合规实践图16-路特斯科技个人信息收集与使用清单页面图17-路特斯科技隐私与权限设置页面3.2.10 智能网联汽车隐私保护实践显著告知/用户同意单独同意/持续披露智能网联汽车数据安全合规白皮书34图18-路特斯科技图像匿名化处理展示第三章 路特斯科技数据安全合规实践3.2 数据安全与隐私保护合规实践量产车车端已集成脱敏软件，所有数据上传云端前已进行脱敏处理处理方法为针对人脸与车牌进行不可复原的色块遮盖车内数据-采集及本地脱敏处理1.获取图像及视频信息原始图像及视频2.分析图像并识别敏感数据原始图像及视频的敏感数据3.判定敏感数据所在图像区域敏感数据区域脱敏处理标记4.回传脱敏后的图像及视频信息完成脱敏处理后的回传数据车外数据-通过安全信道回传云端5.云端仅存储脱敏后的数据匿名化处理流程匿名化处理各阶段输出脱敏处理后的回传数据视频、图像匿名化处理智能网联汽车数据安全合规白皮书35第三章 路特斯科技数据安全合规实践3.2 数据安全与隐私保护合规实践图19-路特斯科技隐私文案交互页面敏感信息单独同意针对语音和人脸的信息收集，单独向用户进行授权请求，并选择授权期限（单次有效/12个月有效）针对地理位置的信息收集，单独向用户进行授权请求，并可以选择授权期限（单次有效/12个月有效）座舱数据默认车内处理语音助手只识别开关信息，执行相应指令，原音频文件14天自动销毁座椅、方向盘等用户偏好数据不会上传至云端行车记录仪采集的车外视频信息不会上传至云端仅在业务必须，且获得用户授权同意后，可向车外传输，并在功能实现后删除原始数据及处理结果智能网联汽车数据安全合规白皮书36第三章 路特斯科技数据安全合规实践3.2 数据安全与隐私保护合规实践为更好地保护用户个人隐私，尽可能防止数据泄漏，路特斯科技在手机App端对用户数据进行脱敏后展示，若用户需要查看完整信息，需要通过手机验证码验证方可查看。用户数据主体享有对其个人数据的查阅权。考虑到用户权利，为了方便用户了解已填写的个人信息，路特斯科技从实用性角度出发，设计了个人信息下载功能。用户可将自己的账户信息导出至邮箱。个人主体权利界面信息脱敏智能网联汽车数据