智能网联汽车数据安全合规白皮书-路特斯科技

智能网联汽车数据安全合规白皮书路特斯科技与普华永道联合发布智能网联汽车数据安全合规白皮书2声明•本白皮书由普华永道商务咨询（上海）有限公司和武汉路特斯科技科技有限公司（以下简称“路特斯科技”）分别撰写。普华永道系指普华永道网络及/或普华永道网络中各自独立的成员机构。详情请进入www.pwc.com/structure。普华永道商务咨询（上海）有限公司负责第一章、第二章和第四章内容，该部分内容从智能网联汽车行业角度出发，结合各国法律法规要求，阐述数据安全合规要求及行业展望；路特斯科技负责第三章内容，该部分从路特斯科技自身实践出发，阐述路特斯科技数据安全合规实践。文中所有文字、数据、图片、表格，均受中华人民共和国著作权法和其它法律法规保护。未经普华永道和路特斯科技书面许可，任何机构和个人不得基于任何商业目的使用本文中的信息（包含本文全部或部分内容）。如果任何机构和个人因非商业 、非盈利 、非广告的目的需要引用本文中内容 ，需要注明”转载自普华永道商务咨询 （上海 ）有限公司和武汉路特斯科技有限公司联合发布的《智能网联汽车数据安全合规白皮书》“。•本文的信息来源于本次白皮书撰写所收集的数据及公开的资料，对于信息的完整性、准确性和可靠性不做任何保证，在不同时期可能会得出与本文不一致的观点。•本文仅供一般参考使用，不构成具体事项和咨询意见，普华永道商务咨询（上海）有限公司不对本文内容承担审慎责任，并且未就本白皮书内容做出任何明示或暗示保证。普华永道商务咨询（上海）有限公司不就本文内容向任何人士承担责任或义务，也不向任何人士承担因本白皮书引起的或与白皮书有关的任何责任或义务。读者不应依赖本文内容做出任何投资或其他商业决定。如需具体意见，请咨询专业顾问。•本文中由路特斯科技负责撰写的内容陈述了路特斯科技在发布日期的服务及实践，该部分内容均依据路特斯科技现状提供，不包含任何明示或暗示的保证。该部分信息后续如有变化不会做另行通知，读者对于该部分信息及路特斯科技产品或服务应自己做出独立判断。本部分内容不构成路特斯科技与读者之间的任何协议组成部分，也不构成对任何协议的修改。第一章 概述1.1 智能网联汽车数据安全合规行业背景1.2 各国法律法规和行业规范第二章 智能网联汽车数据安全合规要求及建议2.1 智能网联汽车数据分类分级2.2 智能网联汽车数据生命周期合规要求分析2.3 主要市场的数据跨境合规事项2.4 智能网联汽车数据安全合规实践整体建议第三章 路特斯科技数据安全合规实践3.1 战略与愿景第四章 未来发展趋势展望491738561012141518213.2 数据安全与隐私保护合规实践3.1.1 数据安全与隐私保护战略愿景概述3.1.2 面向用户的隐私保护承诺3.1.3 已获得的第三方认证及说明1819203.2.1 数据安全与隐私保护治理框架3.2.2 数据安全与隐私保护管理体系建设实践3.2.3 数据分类分级实践3.2.4 数据全生命周期安全管理实践3.2.5 隐私保护影响评估实践3.2.6 默认隐私设计（PbD) 3.2.7 用户数据主体权利（DSR）保障实践3.2.8 路特斯科技全球化数据架构实践3.2.9 路特斯科技数据跨境传输合规实践3.2.10 智能网联汽车隐私保护实践3.2.11 其他实践活动2122242628293031323337目录智能网联汽车数据安全合规白皮书4第一章概述本章围绕智能网联汽车的行业背景及监管体系，介绍了中国、欧盟、美国、英国及国际组织近年来发布的智能网联汽车行业相关的数据安全合规要求。随着车联网及人工智能技术的日益成熟及商业化，智能网联汽车（IntelligentConnected Vehicle, 简称“ICV”）应运而生。智能网联汽车兼具智能与联网的特性，通过V2X（Vehicle to Everything）通信技术实现了车辆与车辆、人、道路交通设施、云之间的成熟交互。智能网联汽车不仅能进行数据交互和信息共享，优化驾驶路径并降低交通事故发生的风险，还能实现通过传感设备进行自动驾驶等功能，提供个性化的用户体验，引发对未来驾驶方式的展望。近年来，汽车企业和互联网企业蓬勃发展，加速了车联网、自动驾驶、互联网地图、智能交通技术的升级与革新，世界各国家地区政府对智能网联汽车的大力支持和消费者对出行方式的需求转变，推动了智能网联汽车的研发、生产与普及，商用场景正在不断增加。1.1 智能网联汽车数据安全合规行业背景为提供更好的用户体验，智能网联汽车及其后台支持系统每时每刻都在处理海量数据，包括车辆运行数据、路况信息、位置信息、车载应用操作信息等。对于这些数据信息，如果没有严格的数据安全合规管控措施，处理这些数据极易造成安全合规隐患，对国家、公共安全、企业经营、个人隐私等产生影响。因此，智能网联汽车的数据安全合规在数据生命周期中至关重要，数据安全合规也成为智能网联汽车产业健康发展的重要基础。随着监管与消费者对数据安全和隐私保护关注程度的提升，全球各国家与地区对于数据安全的法律法规相继出台，针对智能网联汽车的行业规范也在逐步完善。智能网联汽车数据安全合规白皮书5第一章 概述1.1 智能网联汽车数据安全合规行业背景1.2 各国法律法规和行业规范中国出台了各项法律法规标准要求，建立数据安全法律保障体系屏障，针对智能网联汽车的数据安全行业规范也在不断完善与深化。2021年10月1日《汽车数据安全管理若干规定（试行）》生效•提出了对智能网联汽车数据应进行分类分级的要求，需要区分个人信息、座舱数据、车外数据、位置轨迹数据等数据类型，并应相应地配置安全保护措施•提出了每年应进行风险评估和数据安全管理情况的常态化报送，形成数据安全保障体系2022年9月1日《数据出境安全评估申报指南（第一版）》生效2020年10月1日YD/T 3746—2020 《车联网信息服务 用户个人信息保护要求》、YD/T 3751-2020《车联网信息服务数据安全技术要求》、YD/T 3752-2020《车联网信息服务平台安全防护技术要求》生效•发挥了国家标准在智能网联汽车产业生态环境构建中的引领作用，完善了行业数据安全标准规范•从数据传输的保密性、数据加密、数据访问规则、动态脱敏、数据销毁等方面，提出层层保护用户数据，保护用户的知情权和选择权，保障智能网联汽车加快创新和安全应用的要求2021年8月24日《智能网联汽车 数据通用要求（征求意见稿）》发布2021年9月1日《数据安全法》生效2021年11月1日《个人信息保护法》生效•确立了“告知-知情-同意”的个人信息处理规则•对处理敏感个人信息进行了要求•强调了掌握海量用户数据后，互联网平台的“守门人”责任2022年9月1日《数据出境安全评估办法》生效•要求企业在开展数据出境活动前申报并通过数据出境安全评估•对数据出境数量的判断情形作了明确的定义2023年5月1日GB/T 41871-2022《信息安全技术汽车数据处理安全要求》生效2017年6月1日《网络安全法》生效图1 - 中国智能网联汽车数据安全相关重点法律法规和行业规范第一章 概述1.2 各国法律法规和行业规范智能网联汽车数据安全合规白皮书62013年（2022年更新）ISO/IEC 27001 信息安全