以車聯網為例,中國大陸相關法令對於資料管理已有綿密且嚴謹的要求,不限於蒐集、處理或利用之規定,更重視在當地蒐集之資料,應依法規之要求落實資料在地化,將資料或資訊存儲在其境內等。在個資保護或資料管理之議題上,中國大陸具體之安全防護、管理措施或機制要項,都值得企業或組織、從業人員或研究者持續關注。
近年來,無論是資通訊系統或工業控制系統之網路安全與相關議題都受到高度關切,以中國大陸為例,其於2021年間陸續通過《數據安全法》、《個人信息保護法》等多部法令。2022年2月15日修正後之《網絡(即網路,以下同)安全審查辦法》也已施行,該辦法更是《國家安全法》與《網絡安全法》等之重要配套措施。
《網絡安全審查辦法》共計23條,不僅取代2020年之版本,施行後無論是對關鍵信息(即資訊,以下同)基礎設施,或網路平臺營運者,涉及國家安全資料(含上市申請文件),須向中國大陸主管機關(如網信辦或工信部)申報;且包含外商投資等,均適用之。 基此,結合先前《國家安全法》、《網絡安全法》及相關法令所建立的管理制度,在中國大陸境內,就數據(即資料,以下同)分級、分類及不同主體權利或義務之事宜(含出境管理)已有綿密且嚴謹的要求。如2021年發生滴滴出行及其他知名企業,遭主管機關裁罰或自大陸以外地區下市等案例,具體機制不容小覷。
車聯網資料也受到管制
不只一般企業或組織之資料管理有嚴格規範,因應無人載具的發展趨勢,2021年中國大陸主管機關特別針對車聯網資料也訂有規範。如當年10月施行之《汽車數據安全管理若干規定(試行)》,共計19條,包含汽車設計、生產、銷售及使用之過程,所涉的個人信息(即個人資訊(料),以下同)與重要資料之管理等內容。該規定就個人資料、敏感個人資料及重要資料均有定義,如第3條之敏感個人資料指一旦洩露或者非法使用,可能導致車主、駕駛人、乘車人、車外人員等受到歧視,或人身、財產安全受到嚴重危害的個人資料,包括車輛行蹤軌跡、音訊、視頻(如直播)、圖像及生物識別特徵等資訊。又,該規定對於車聯網相關企業,例如:生產自動駕駛汽車,或車聯網服務平臺之廠商,也有一定要求,如第10條之風險評估。
至於具體執行之要求,可另參見《關於加強車聯網網路安全和數據安全工作的通知》,共分六大類計17項內容。該通知之重點項目概述如下:
(一)網路安全與數據安全基本要求,共2項(含第1、2項)。如第1項要求生產自動駕駛汽車,或車聯網服務平臺之廠商,建立網路安全與資料安全管理制度,確立負責人員與組織,以落實網路安全與資料安全保護責任。且要求加強網路安全與資料安全之宣傳、教育及培訓等。
(二)加強智能(慧)聯網汽車安全防護,共2項(含第3、4項)。如第3項加強車內系統通信安全保障,強化安全認證、分域隔離、存取控制等措施。
(三)加強車聯網網路安全防護,共5項(含第5至9項)。如第8項要求定期進行應急演練(如事件通報、處理),及時處置安全威脅、網路攻擊、網路侵入等網路安全風險。
(四)加強車聯網服務平臺安全防護,共3項(含第10至12項)。如第11項要求相關廠商應加強線上即時更新服務(Over-the-Air,OTA)安全與漏洞檢測評估;且如車聯網服務平臺營運商被認定屬關鍵資訊基礎設施後,更要自行或委託商用密碼檢測機構,進行商用密碼應用安全性評估(此時應注意中國大陸密碼法相關規定,如第27條之評估;違反者會有罰則,如該法第37條)。
(五)加強數據安全防護,共4項(含第13至16項)。如第13項要求生產自動駕駛汽車,或車聯網服務平臺之廠商定期進行數據安全風險評估,並應向所在省(區、市)通信管理局、工業和資訊化主管部門報備。
(六)健全安全標準體系,共1項(含第17項)。如第17項,加快車聯網網路安全和數據安全標準體系之建立,含車聯網防護分級、服務平臺防護、汽車漏洞分類分級等標準。
相關廠商因應之道:以個資為例
按2021年10月施行之《汽車數據安全管理若干規定(試行)》規範重點之一,即是對於個人資料(大陸法規用語為個人信息,以下簡稱個資)之保護。但該規定對於個資或敏感個人資料之定義,與同年施行之《個人信息保護法(以下簡稱大陸個資法)》近似。
如大陸個資法第4條第1項對一般個資規定為:「個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理後的信息」。至於敏感個人資料,係依該法第28條第1項規定「敏感個人信息是一旦洩漏或者非法使用,容易導致自然人的人格尊嚴受到侵害,或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身分、醫療健康、金融帳戶、行蹤軌跡等信息」。
又參照大陸個資法第3條第1項規定,凡在中國大陸境內處理自然人個資相關活動,適用該法。基此,因《汽車數據安全管理若干規定(試行)》法律位階較大陸個資法低,故涉及個資蒐集、處理或利用,仍以個資法為原則。
車聯網蒐集之資料如非個資,但係透過車載裝置或系統所蒐集之資料,倘有涉及類似自動化決策之活動,在大陸個資法第73條第2款也有定義,其自動化決策指透過計算機程序自動分析、評估個人的行為習慣、興趣愛好,或經濟、健康、信用狀況等,並進行決策的活動。欲進行自動化決策除須符合法定要件,如特定目的,基本原則還包含透明、公平及合理等。
結語
本文以車聯網為例,說明中國大陸相關法令對於資料管理已有綿密且嚴謹的要求,不限於蒐集、處理或利用之規定,更重視在當地蒐集之資料,應依法規之要求落實資料在地化,將資料或資訊存儲在其境內等。有鑑於其上位政策為維護國家安全,無論是企業或個人所生之資料、資訊或個資,皆有完整的管理機制。因此,在個資保護或資料管理之議題上,都值得企業或組織、從業人員或研究者持續關注。
<本文作者:陳宏志目前服務於資策會,專注於資料治理議題,如資安、個資政策或法令及管理實務,並協助零售、物流、智慧財產權等規劃區塊鏈應用。>