数字化转型网企业出海将关注品牌出海,全球化战略,合规与风控,供应链管理,数据保护与隐私安全,知识产权,税务,海外团队建设,海外运营,人力资源管理,组织管理等企业出海、全球化相关全产业链相关环节。点击图片或扫描图片二维码,加入数字化转型网企业出海研习社:
(一)车联网环境下的个人数据潜在风险
车联网环境下的个人数据潜在风险有以下六点:一,汽车个人信息更具敏感性、动态性、复杂性、隐蔽性;二,个人数据过度收集;三,个人数据的处理没有获得权限;四、同意机制考虑不全面;五,个人数据主体对其个人数据缺乏控制以及信息不对称;六,个人数据的安全风险较高。
案例:丰田服务器中人为导致的云配置错误致使从2012年注册丰田云服务的用户的车辆位置信息等敏感个人信息可未经授权访问。数字化转型网www.szhzxw.cn
某大型跨国汽车公司2021年6月12日披露,未经授权的第三方获取了其北美地区约330万车主及潜在客户的个人信息。这批泄露的数据来自2014年至2019年期间收集到的销售及市场调查信息,包括:车主及潜在客户姓名、地址、电子邮箱、电话号码。还有部分受到影响的数据包括:买卖、租赁或查询车辆信息,如车辆识别号(VIN码)、品牌、型号、年份、颜色和装饰套件等。此外,超过95%遭到泄露的敏感数据均涉及驾照号码,也有极少数涉及出生日期、社保或保险号码、银行账号或贷款号码以及税务识别号。
(二)《车联网个人数据保护指南》介绍
2020年1月28日,欧盟数据保护委员会(European Data Protection Board,EDPB)发布的《在联网车辆和出行相关环境下处理个人数据的指南(公开征求意见稿)》,2021年《车联网个人数据保护指南》正式发布。
(三)车联网环境下的个人数据范围
沿用GDPR一贯的“可识别性”的标准,车联网环境下的个人数据可以定义为与联网车辆交互所产生的大部分数据可以识别到特定的自然人或与识别自然人有关。具体包括:在车内处理的个人数据;车辆和与之相连的设备(例如车主、驾驶员或乘客的智能手机)之间交换的个人数据;在车内收集并为进一步处理而向外部实体(如:汽车制造商、保险公司、汽车维修商等)输出的个人数据。已排除范围包括:车联网应用环境下基于雇佣关系产生的个人数据、车辆内置WiFi相关的个人数据以及协同智能驾驶系统(Cooperative Intelligent Transport Systems,C-ITS)相关的个人数据(受《C-ITS系统授权法案》管辖)。
(四)基本应对建议
1.重点关注三类个人数据数字化转型网www.szhzxw.cn
重点关注的同时须严格遵循目的限制原则及数据最小化原则。
(1)位置数据
①充分评估收集的频率、细节程度等;
②充分告知个人数据主体针对其位置数据进行处理的详细信息;
③若处理位置数据的活动需以个人数据主体的同意作为法律基础,应当征得其有效同意;
④仅当个人数据主体要求启动必需获取车辆地理位置的功能时,方可激活地理位置的收集,不可在车辆启动时以默认和持续的方式启动收集行为,同时应当为个人数据主体提供可随时禁用地理位置的选项;
⑤以图标等明显的方式告知个人数据主体地理位置已被激活合理可能(reasonably likely)标准:综合考虑技术、成本、时间等因素,数据控制者或其他人采用了所有合理可能的方法,仍无法直接或间接识别数据主体。
(2)生物识别数据
参与各方应当为个人数据主体提供不需要收集生物识别的替代方案,且不会向个人数据主体施加额外的约束数字化转型网www.szhzxw.cn
参与各方在收集生物识别数据后,应当通过以下方式充分保障数据的安全:
①仅在本地以加密形式存储和比对生物识别模板,确保生物识别数据不会被外部的读取/对比终端处理;
②确保所使用的生物识别传感器及解决方案具备充分的安全能力;
③避免存储原始数据,对构成生物识别模板和用于用户验证的原始数据进行实时处理。
(3)可揭露犯罪行为或交通违法的数据
参与各方采取本地处理的方式,确保个人数据主体对所涉数据具有完全的控制权,同时保护数据免于非法访问、修改和删除。除某些特殊的例外情形,禁止参与各方对可揭露犯罪行为或交通违法的数据进行外部处理。数字化转型网www.szhzxw.cn
2.实现设计和默认的数据保护(DPbDD)
尽量采取本地处理的方式,避免依赖不必要的外部云能力。如果数据必须传输至车辆以外,应当在传输之前对个人数据进行匿名化处理。
建议参与各方进行个人数据保护影响评估(Data Protection Impact Assessment,DPIA),在推出新技术之前将风险分析的结果纳入设计过程。
3.保障个人数据主体权利
参与各方需要在处理个人数据之前充分告知数据主体关于数据控制者的具体身份、处理目的、数据接收方、数据存储期限以及数据主体所享有的权利等详细信息。数字化转型网www.szhzxw.cn
在间接收集的场景下(例如,车辆制造商可能会依靠经销商来收集数据主体的个人数据以便提供紧急路边援助等服务),上述信息可通过车辆销售合同、服务合同等书面文件或车载显示屏展示的条款告知个人数据主体。
车辆制造商可以考虑在车辆内部安装用户配置文件管理系统作为实现其权利的途径。
4.加强数据安全保障
须确保数据的安全性和保密性。例如:对通信通道进行加密、为每辆车设置独立的加密密钥管理系统、验证数据接收设备。数字化转型网www.szhzxw.cn
5.汽车制造商安全措施要求
①区分车辆的重要功能与完全依靠通信能力的功能(例如娱乐功能);
②实施技术措施确保能够在车辆的整个使用周期内能够迅速修复安全漏洞;
③须设置防止车辆系统遭受网络攻击的预警系统;数字化转型网www.szhzxw.cn
④存储访问车辆信息系统的日志记录等。
声明:本文来自网络,版权归作者所有。文章内容仅代表作者独立观点,不代表数字化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。数字化转型网www.szhzxw.cn
数字化转型网企业出海专题包含哪些内容
数字化转型网企业出海将关注品牌出海,全球化战略,合规与风控,供应链管理,数据保护与隐私安全,知识产权,税务,海外团队建设,海外运营,人力资源管理,组织管理等企业出海、全球化相关全产业链相关环节。数字化转型网www.szhzxw.cn
数字化转型网企业出海专题包含:
1、企业出海、全球化外脑支持:100+企业出海、全球化相关专家、100+企业出海、全球化实践者、1000+相关资料
2、企业出海、全球化研习社:与出海、全球化相关的专家、实践者共同探讨相关问题,推动企业全球化发展! 数字化转型网(www.szhzxw.cn)
3、典型案例参考:与数字化转型网企业出海、全球化研习社社员一起学习典型案例,共探企业全球化发展!
本文由数字化转型网(www.szhzxw.cn)转载而成,来源于FAHFA;编辑/翻译:数字化转型网Jack。
