《北京市高级别自动驾驶示范区数据安全治理白皮书 2024.docx》由会员分享,可在线阅读,更多相关《北京市高级别自动驾驶示范区数据安全治理白皮书 2024.docx(36页珍藏版)》请在优知文库上搜索。
1、一.编制背景(一)数据安全意义日益凸显(二)数据安全形势复杂多变()安全治理基础不断夯实(四)安全治理实践亟待推进01二、研究概况(一)数据安全治理研究基础1.雌安全治理概念内涵2、数据安全治理体系框架3、数据安全治理关键技术(二)面向车路云一体化的数据安全治理1、车路云一体化数据安全治理概念2、车路云一体化数据安全关键挑战3、车路云一体化数据安全治理总体视图06=工作实践(一)示范区1+3+N数据安全治理全景图(二)示范区数据安全治理目标/14()示范区:安全治理体系1.班安全治理组织体系2、数据安全治理制度体系3、数据安全治理技术体系(四)示范区:安全治理专项工作1.率先开展分类分级,奠定
2、安全治理基2、配套部署监测系统,感知实时安全态势进行风险评估,规避安全风险隐患创新技术,提升监管治理能力(五)示范区常态化运营飒131四、未来展望(一)趋势总结1.法规标准愈趋完善健全2、预防型、自主型安全治理成为主流3、多技术融合创新应用成为必然趋势4、企业安全治理与应用能力成为关键(二)工作建议1.完善监管体系,强化数据安全治理闭环管理2、加快标准构建,指导数据安全治理创新发展3、提升技术水平,推动数据安全治理落地实践4、推进生态建设,促进数据安全治理价值释放5、加强人才培养,支撑数据安全治理队伍建设cSj北京市KlRVlaiaws随着汽车、交通、通信等产业的融合发展,车路云一体化进入产业
3、发展新阶段。车路云一体化发展汇聚了大量车端、路侧、云端和多端交互数据,实现数据的安全保护是国家层面的战略要求,也是产业高质量发展的迫切需要。本白皮书通过聚焦当前车路云一体化数据安全治理态势,重点突出数据安全重要意义,探讨:安全治理发展形势与现实基础,分析实践面临问题,力求清晰描绘数据安全治理开展的全局背景。(一)数据安全意义日益凸显软件定义汽车、数据驱动进化,成为当下汽车行业发展重要趋势,智能网联汽车成为新的数字信息终端。数据作为未来最重要的战略资产之一,其安全保护治理问题成为国家和行业关注的焦点。在安全战略方面,车路云一体化产业各环节集成了大量数据,其中部分重要敏感信息关乎国家安全、经济发展
4、、社会安定和公众利益。在大国博弈持续加剧的今天,车路云一体化数据安全是国家安全的重要防线。在支撑数字化转型方面,作为数字经济时代的关键生产要素,数据是推动经济社会高质量发展的重要引擎。车路云一体化产业是数实融合的代表之一,也是数字产业化的载体,数据安全是行业转型升级的重要保障。在维护市场竞争方面,数据安全是车企行稳致远的关键,尤其是对个人隐私的保护成为影响消费者车辆选择与购置的重要因素,因此强化数据安全保护是各车企赢得消费者信赖的重要手段。(二)数据安全形势复杂多变产业快速发展,数据安全风险伴生。车路云一体化产业具有复杂交错的特性,伴随着智能网联汽车道路测试和示范运营活动的开展,业务产生和涉及
5、的数据量爆发式增长,数据种类丰富,场景种类持续拓展,由此催生了一定的数据安全风险。车路云一体化数据安全风险识别难度逐步加大,对于风险的管控复杂度亦不断增加,因此加强数据安全治理高效落实,是产业高质量发展的必然要求。数据流通发展对数据安全治理提出更高要求。单一运营主体采集拥有的数据难以满足智能网联汽车研发与测试的需要,数据价值的充分释放依赖于数据要素的有效流通。车路云一体化数据的流转涉及自动驾驶科技企业、整车企业、车队运营企业、数据平台运营企业、交通监管部门等多个主体,数据要素动态流通的需求打破了传统数据安全强调的静态安全状态,流转过程中涉及数据权属与安全保障责任主体界定等问题,大大加剧了数据安
6、全治理的工作难度。现实发展呼唤数据安全技术变革迭代。随着车路云一体化产业的发展演进,海量数据梳理及分类分级实施的难度增大,数据安全治理亟需向智能化、自动化方向发展演进。同时,数据流通需求对数据安全治理技术体系提出挑战,传统安全防护手段无法满足产业发展现状,亟待综合运用管理和技术措施全方位保障数据安全。数据安全治理过程中,安全防护技术、安全监控技术等新技术与新措施亟需齐头赶上,安全技术的迭代创新成为治理实践的关键。(三)安全治理基础不断夯实法律政策逐步细化,数据安全政策环境不断完善。在国家层面,我国已出台中华人民共和国网络安全法中华人民共和国数据安全法中华人民共和国个人信息保护法等重要法律,渐趋
7、系统的法律体系为汽车行业数据安全建设提供明确引领。在行业层面,2021年7月,工业和信息化部发布了工业和信息化部关于加强智能网联汽车生产企业及产品准入管理的意见,该意见坚守安全底线,明确汽车数据安全、网络安全、在线升级等管理要求,指导企业加强能力建设。2021年8月,国家网信办、发改委、工业和信息化部、公安部、交通运输部联合发布了汽车数据安全管理若干规定(试行),提出了更加规范的原则和方法。2021年9月,工业和信息化部发布了关于加强车联网网络安全和数据安全工作的通知,明确指出要落实智能网联汽车的安全主体责任和安全漏洞管理责任,加强对车联网网络安全、服务平台安全和数据安全的防护,对智能网联汽车
8、行业数据安全治理工作作出进一步指导。监管机制逐渐成型,数据安全保障不断提升。国家监管体系的建立为数据安全管理落地提供有力支撑。2023年10月25日,国家数据局正式揭牌,负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用等,将加强对数据安全与保护的监管,建立健全数据安全防护体系,防范数据泄露、滥用等风险,保障国家数据安全,维护公民个人信息权益。中央国家安全领导机构、地区及各部门在数据安全处理、监管、保密中的职责划分明确,国家安全数据及数据处理活动的安全性得到有效保证。随着车路云一体化产业的发展,汽车数据安全监管体系的搭建已初步完成,基本明确了数据安全管理主体、职责、协调机制、法律责任
9、等。汽车数据安全监管涵盖智能网联汽车、路侧基础设施和云控平台多领域,为确保监管的全面性,汽车数据安全由国家多部门按职责开展监管工作,详见表1所示。表1有关部门关于数据安全的监管工作监管部门数据安全相关管理职责国家网信办统筹协调汽车数据安全监管工业和信息化部保障数据安全管理,汽车领域数据分类分级、重要数据和核心数据识别认定、数据分级防护等标准规范,指导开展数据分类分级管理工作,制定行业重要数据和核心数据具体目录并实施动态管理等交通运输部道路交通数据、道路基本信息、路侧基础设施产生的交通数据、网约车和货运车信息平台数据等管理自然资源部保护地理信息安全,包括地理信息数据管理,测绘资质管理、地图审核等
10、住建部建设新型基础设施采集数据公安部关键基础设施的数据安全、网络安全等级保护;防范数据安全隐患、打击数据安全犯罪全国人大建立健全数据安全法律法规数据局统筹数据资源开发利用和安全治理市场监管局数据安全管理认证、数据处理要求保密局涉密信息系统国家密码管理局商用密码技术产品快速发展,数据安全治理持续赋能。5G、物联网、云计算等数字技术的发展推动了车路云一体化产业的进步,数据形式多样化的同时,数据安全防护技术也应运而生。AI赋能数据安全、数据风睑管理、数据安全基础设施管理平台等多项数据安全技术的持续变革将重塑数据安全市场,为车路云一体化产业的数据安全治理提供保障。基于AI的数据识别和防护技术,在数据分
11、类和识别上能够自动化数据的分类和识别,在数据监测上能够通过实时监测和分析数据流量来检测异常行为,在数据加密上,能够设计更复杂和安全的加密模型,有效地保护数据免受未经授权的访问。作为一种革命性的方法,人工智能技术推动数据安全治理产品的迭代升级,能够有效提升数据安全治理的效率和准确性。(四)安全治理实践亟待推进顶层设计有待完善。数据安全治理实践需要符合法律法规的要求,满足复杂业务开展需要,适应底层技术部署,维持常态防控状态。虽然已有相关的法律法规、行业标准为开展数据安全治理提供了明确的实践方向,但在工作实施方面仍存在边界覆盖不全,细则不够具化,操作性不强等问题,导致数据安全治理工作难以有效推进。在
12、实践开展中,应保障数据安全治理策略与时俱进,在国家数据安全顶层战略与政策基础上,明确车路云一体化数据全生命周期安全治理的发展前景与实施现状,将运营、协同、监督的建设思路贯穿在数据全生命周期的治理实践中,根据场景和数据量的增加不断创新迭代。安全治理机制有待创新。数据安全治理是一项系统工程,一方面,综合考虑业务发展需要,组织体系的设计应有效落实与匹配数据安全治理工作任务,通过科学的评价方法和依据评估数据安全治理工作的执行效果。另一方面,数据的动态性要求制度体系的动态性,组织应及时跟进最新相关政策法规,滚动修订数据安全的制度、流程、标准,保障数据安全的规划、实施、运行、监督的全程管控,持续提升数据安
13、全能力。安全治理技术保障有待加强。一方面,车路云一体化产业的复杂场景衍生出了丰富的数据,海量数据在全生命周期的循环变得更加复杂和困难,传统的数据扫描、表格处理、表格可视化的工具不足以支撑大量数据的使用和流转。另一方面,车路云一体化场景多样,数据多源交互,敏感数据散布在各个业务系统及存储载体中,呈现多来源、多协议、异构化、多模态的特点,数据安全治理由汽车的单系统领域转向车路云一体化的跨系统全领域,对数据全生命周期各个环节的安全治理技术保障提出更高的要求。本白皮书从行业共性视角入手,对数据安全治理的概念进行辨析,对国内外数据安全治理体系框架进行回顾总结,从基础通用类、生命周期类和平台类几大方面对数
14、据安全治理关键技术进行归类展现。在数据安全治理行业共性认识的基础上,面向车路云一体化实际场景,具究提出面向车路云一体化的数据安全治理总体视图,从治理目标、治理维度和治理要点方面指导数据安全治理工作有序开展。化数据安全治理基本概念,分柝安全关键挑战,在此基础上,(一)数据安全治理研究基础1 .数据安全治理概念内涵数据安全治理是针对安全方向的数据治理,通过对数据进行全面的风险分析评估,建立健全数据安全体系。根据数据安全法的定义,数据安全是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。数据安全的持续性体现为在数据全生命周期中,既要在法律规范下充分利用有价值
15、数据,又要根据数据应用场景的不同采取数据防护措施来保障数据安全。根据国家标准信息技术大数据术语(GB/T35295-2017)的定义,数据治理是对数据进行处置、格式化和规范化的过程。由此,数据安全治理在数据治理的基础上更加聚焦于数据安全,在数据治理流程和制度的规范下,采取必要的措施保障数据安全的持续性.根据数据安全治理实践指南(3.0)中给出的定义,狭义上的数据安全治理是指在组织数据安全战略的指导下,为确保数据处于有效保护和合法利用的状态,多个部门协作实施的一系列活动集合;广义上的数据安全治理是指在国家数据安全战略的指导下,为形成全社会共同维护数据安全、促进开发利用和产业发展的良好环境,国家有关部门、行业组织、科研机构、企业、个人共同参与和协作实施的一系列活动集合。具体而言,数据治理和数据安全治理各有侧重。在治理目标方面,数据治理是通过有效的资源管控手段,实现数据看得见、找得到、管得住、用的好,提升数据质量和价值,既包括安全治理,还涉及数据质量治理、数据架构管理等;而数据安全治理聚焦数据在全生命周期的流转安全,以满足合规要求、治理数据安全风险并促进数据开发利用。在治理重点方面,数据治理重点关注在数据支撑业务发展中如何更好地保证数据质量、规范和流程等;数