隨著汽車智能化、網聯化的發展，在給消費者帶來更智能、更便捷的用戶體驗的同時，也引發了一系列的行業痛點，特別是汽車數據安全問題。由于汽車產業組成、技術結構、數據來源復雜多樣，汽車數據安全工作面臨著全新的多層次風險挑戰，因此迫切需要政策法規和標準規范予以有效回應。

　　近來我國不斷完善數據安全法規標準體系建設、加強數據保護力度，涉及智能網聯汽車數據安全的法規政策標準密集出臺，其中包括《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《關于加強智能網聯汽車生產企業及產品準入管理的意見》《汽車數據安全管理若干規定（試行）》《關于加強車聯網（智能網聯汽車）網絡安全工作的通知（征求意見稿）》等，通過政策文件加強對數據全生命周期的管控，強調數據分類分級工作，并為產業和技術發展指明了渠道和方向。

　　10月8日，全國信息安全標準化技術委員會（以下簡稱“信安標委”，TC260）發布了《汽車采集數據處理安全指南》（以下簡稱“指南”），其中規定了汽車制造商對汽車采集數據的傳輸、存儲和出境等處理活動的安全要求，為汽車制造商開展汽車的設計、生產、銷售、使用、運維提供數據保護實施規范，同時也為主管監管部門、第三方評估機構等對汽車采集數據處理活動進行監督、管理和評估提供依據。

　　一、編制《汽車采集數據處理安全指南》文件背景

　　在智能網聯汽車發展過程中如何使用數據，如何確保數據安全，兼顧國家、公民和行業利益是未來發展的重要課題。汽車數據主要來源于對車輛終端和用戶的信息采集。駕駛人的身份信息、車輛信息、駕駛行為信息、位置定位信息以及其他個人參數數據可能會被車輛的攝像頭等傳感器采集并上傳至云端。由于缺乏控制和信息不對稱，車輛可能會在個人沒有知悉的情況下進行數據采集，并對采集獲得的個人數據進行處理，造成個人信息的泄漏。并且汽車采集的數據通常涉及敏感程度較高的基礎設施數據、地理信息數據、交通數據以及大量車主的身份和行為數據，其數據安全問題可能會直接關乎國家安全和公共利益。在《數據安全法》《個人信息保護法》等上位法的大框架下，《汽車采集數據處理安全指南》旨在從行業發展實際出發，切中數據安全弊病，提出科學、合理、有效的解決措施，發揮基礎性、規范性、引領性作用。

　　二、《汽車采集數據處理安全指南》重點內容解讀

　?。ㄒ唬┢嚥杉瘮祿膬热?/p>

　　一方面，汽車屬于私人物品，必然會采集處理大量的個人隱私數據；另一方面，基于安全駕駛的需要，汽車也會采集大量的環境、路況、位置和地理信息，其中可能會涉及敏感數據。如果這些數據只是在車內由行車電腦進行處理，并不對外交互，可以認為不涉及數據安全和個人隱私保護問題?！吨改稀分袑⑵嚥杉瘮祿膬热輨澐譃檐囃鈹祿?、座艙數據、運行數據以及位置軌跡數據四類，并明確了各類數據的范圍以及可能涉及的個人信息、敏感個人信息和重要數據。針對不同類別的汽車采集數據，《指南》中制定針對性的傳輸、存儲、出境的相關要求，確保各類數據受到恰當的保護，使相關數據處理活動處于安全可控的狀態。

　?。ǘ?全方位保護汽車數據安全

　　目前，行車電腦的性能已能滿足相關數據安全處理的要求。關鍵的一部分內容是車路協同所需的車外交互數據的處理，包括車車互聯、人車互聯、車輛與路側基礎設施以及云服務平臺的交互數據的處理。這需要區分不同的情況來將車外交互數據進行安全處理，以防止產生數據泄露和隱私侵犯等安全風險。《指南》中明確規定了傳輸要求、存儲要求以及數據出境要求，要求中具體到數據內容以及例外情形，避免了一刀切的安排，為企業實施數據保護措施提供明確參照。 對于汽車制造商較為關注的汽車數據出境問題，《指南》中明確要求“車外數據、座艙數據、位置軌跡數據不應出境；運行數據如需出境，應當通過國家網信部門組織開展的數據出境安全評估”。由此認為三類數據原則上不應出境，這便是建議所有在國內有銷售的汽車品牌，其車企應該在國內建立云服務平臺，數據在國內存儲、分析和利用。