作者 | 北湾南巷
出品 | 汽车电子与软件
在智能驾驶、地图服务、物流导航等领域,数据采集技术扮演着关键角色。通过对道路、地理位置、交通状况等信息的实时采集和分析,企业能够优化导航系统,提高车辆自动驾驶的精度,并为用户提供更加智能化的服务。例如,在智能驾驶中,高精地图的数据支持使车辆能够实现精准的路径规划、环境感知和驾驶决策;而在物流行业,准确的地理信息采集能够帮助优化路线,节省时间和成本。
然而,数据采集不仅仅关乎技术应用,还涉及到国家安全和信息隐私等敏感问题。非法测绘和数据采集可能带来严重的安全风险。首先,地理信息数据中往往包含重要的基础设施、军事设施等敏感区域信息,未经授权的数据采集和传输可能导致这些信息外泄,威胁国家安全。其次,非法测绘行为常常绕过监管和安全审查,使用非合规设备和技术进行数据采集,这不仅违反了法律法规,还可能涉及隐私数据的泄露,对社会秩序和公众利益构成潜在威胁。
近期的非法测绘事件表明,一些境外企业试图通过与国内企业合作的方式,规避监管,以获取我国的地理信息数据。这类行为具有高度隐蔽性,且随着技术的进步,非法采集设备愈加难以被发现。为防范这种潜在的安全风险,企业和相关机构必须严格遵守合规要求,确保数据采集过程的合法性和透明性,以共同维护数据安全和国家利益。
#01
随着智能驾驶、导航服务和智能城市等技术的发展,地理信息数据的采集和应用变得越来越普遍。然而,数据采集合规性不仅仅是技术和业务需求,更是国家安全、用户隐私以及商业道德的核心问题。
1.1 国家安全
国家安全是数据采集合规性的首要关切。地理信息数据往往涉及到敏感区域,如交通枢纽、基础设施、军事设施等,非法采集和传输此类数据可能造成严重的安全隐患。例如,未授权的境外企业通过伪装合作或外包形式获取地理数据,这些数据若被用于不当目的,将直接威胁国家的安全防护能力。因此,各国对地理信息的测绘和使用都有严格的法律法规,确保数据不被非法采集和滥用。
1.2 用户隐私
随着技术的进步,数据采集设备能够记录的内容越来越丰富,不仅仅包括位置信息,还可能涉及到个人隐私数据,如行车轨迹、生活习惯等。这使得数据安全问题变得尤为突出。未经许可的数据收集和分析,不仅会侵犯用户隐私,还可能被恶意使用,带来信息泄露和安全威胁。因此,合规的数据采集策略必须要有严格的隐私保护措施,确保在获得用户许可的情况下合法收集、处理和储存数据。
1.3 商业道德
合法合规的数据采集是商业道德的基本要求。企业在与客户和合作伙伴合作时,必须遵守相关法律法规,维护数据的透明性和安全性。通过合法手段采集和使用数据,不仅能够提升企业的品牌形象和信誉,还能避免潜在的法律纠纷和处罚。非法数据采集不仅可能导致企业面临高额罚款,更可能在声誉上遭受沉重打击,失去市场信任。
1.4 近期非法测绘事件的警示
近期国家安全部通报的非法测绘事件再次凸显了数据采集合规性的重要性。事件中,一家境外企业通过与国内具备测绘资质的B公司合作,试图规避监管,非法采集我国的原始地理信息数据。这种合作表面上合法,实则利用了复杂的外包和技术手段,规避了法律规定。这一案例揭示了当前技术发展带来的合规性挑战,以及一些企业为追求利益无视国家安全法规的行为。事件的曝光促使社会更加关注数据采集过程中的合规管理,也呼吁企业加强自我约束,严格遵守法律法规,避免类似事件的再次发生。
综上所述,数据采集合规性不仅关乎技术发展的合理使用,更是保障国家安全、维护公众隐私和确保商业诚信的基本底线。企业需要在数据采集和应用过程中,坚持合规性原则,积极配合相关部门的监督和管理,以确保数据安全和社会的和谐稳定。
#02
在数据采集领域,国家通过一系列法律法规来规范和管理数据的合法使用,以维护国家安全、用户隐私和公共利益。以下是中国相关法律和法规的核心框架:
2.1《中华人民共和国测绘法》
《中华人民共和国测绘法》是中国专门用于规范地理信息数据采集和使用的法律基础。该法律明确规定了哪些主体有权进行地理信息采集,并要求从事测绘活动的企业必须具备相应的测绘资质。法律主要包括以下几个方面:
测绘资质要求:只有经过审批并取得测绘资质的单位才能合法从事测绘活动,包括基础测绘、工程测绘和航空遥感测绘等。未经批准的企业或个人擅自进行测绘,将被视为违法行为。
公司名称 | 成立时间 | 总部地点 | 主要业务领域 | 备注 |
高德软件有限公司 | 2005年 | 北京 | 地图导航、位置服务 | 中国最大的数字地图服务商之一 |
深圳市凯立德科技股份有限公司 | 2001年 | 深圳 | 导航电子地图、位置服务 | 提供GPS导航和位置服务 |
速度时空信息科技股份有限公司 | 2004年 | 北京 | 导航电子地图、车联网技术 | 在智能交通领域有较强的技术背景 |
丰图科技(深圳)有限公司 | 2015年 | 深圳 | 智能导航、地理信息服务 | 侧重于车载导航和信息服务 |
沈阳美行科技有限公司 | 2004年 | 沈阳 | 导航电子地图、测绘服务 | 主要为智能交通提供解决方案 |
腾讯大地通途(北京)科技有限公司 | 2016年 | 北京 | 地图服务、导航服务 | 隶属于腾讯,提供社交和地图服务 |
北京长地万方科技有限公司 | 2001年 | 北京 | 地理信息系统、地图服务 | 在行业内享有良好声誉 |
航天宏图信息技术股份有限公司 | 2000年 | 北京 | 空间信息、遥感技术 | 专注于遥感和空间数据处理 |
北京华为数字技术有限公司 | 2017年 | 北京 | 数字地图、云计算服务 | 华为的数字化业务延伸 |
北京灵图软件技术有限公司 | 2007年 | 北京 | 地理信息系统、地图服务 | 提供基于GIS的解决方案 |
辽宁宏图创展测绘勘察有限公司 | 2006年 | 辽宁 | 测绘服务、导航电子地图 | 具有较强的地方服务能力 |
浙江省测绘科学技术研究院 | 1956年 | 浙江 | 测绘科技研究、地图服务 | 在测绘行业有深厚的历史底蕴 |
江苏省测绘工程院 | 1978年 | 江苏 | 测绘服务、地理信息服务 | 负责省内测绘工作 |
贵州宽凳智云科技有限公司 | 2016年 | 贵州 | 导航电子地图、数据服务 | 新兴企业,专注于智能出行 |
河北全道科技有限公司 | 2005年 | 河北 | 导航电子地图、位置服务 | 主要为车载导航提供解决方案 |
江苏省基础地理信息中心 | 2008年 | 江苏 | 地理信息服务、地图数据 | 省级地理信息服务机构 |
北京四维图新科技股份有限公司 | 2000年 | 北京 | 地图服务、位置服务 | 提供高精度地图和导航服务 |
北京美大智达科技有限公司 | 2012年 | 北京 | 导航电子地图、地理信息服务 | 专注于位置服务和智能交通 |
湖北亿咖通科技有限公司 | 2015年 | 湖北 | 导航电子地图、智能交通 | 提供智能驾驶相关服务 |
*具有导航电子地图制作甲级测绘资质的19家单位
数据安全和保密义务:企业在采集地理信息数据时,需遵循保密原则,不得泄露国家机密和敏感区域的数据。特别是对于涉及军事设施、政府建筑等敏感区域的数据,法律有严格的管理措施,禁止未经授权的测绘行为。
对外合作的规范:法律对境外企业和组织参与测绘活动有严格规定,禁止未经审批与境外企业或机构共享、传递地理信息数据,防范信息外泄的风险。
2.2《中华人民共和国数据安全法》
数据安全法于2021年正式实施,是中国数据安全领域的重要法规。其目的是保障数据安全,促进数据开发和利用,保护国家利益和公民权益。主要合规要求包括:
数据分类管理:法律规定对数据进行分级分类管理,尤其是涉及国家安全的重要数据和核心数据,必须实行更严格的保护措施,避免外泄和滥用。
关键方面 | 说明 |
法律框架 | 数据安全法要求组织实施数据分类和分级制度,识别数据对国家安全、公共利益和个人隐私的潜在影响。分类级别决定所需的安全措施和控制。 |
数据分类级别 | 1. 一般数据:常规信息,不会产生重大风险。 |
2. 敏感数据:泄露可能导致隐私侵犯或损害。 | |
3. 关键数据:对国家安全或经济稳定至关重要,需最高保护。 | |
实施指南 | 政府发布的指南如《重要数据识别指南》和《网络安全等级保护指南》,指导组织如何进行数据分类和管理。 |
保护措施 | 1. 对敏感和关键数据进行加密。 |
2. 实施严格的访问控制,限制对敏感信息的查看和处理。 | |
3. 定期审计和合规检查。 | |
不合规的后果 | 未能遵守数据分类规定可能导致严重处罚,包括罚款和经营限制。组织应确保其数据管理实践符合相关法律标准。 |
数据风险评估和应急预案:企业在采集和处理数据时,需进行风险评估,制定数据安全策略和应急预案,以应对可能的安全事件和数据泄露风险。
数据跨境传输规定:在数据跨境传输方面,法律要求对跨境传输的数据进行严格审查和监管,特别是核心数据和重要数据的出境,需通过政府部门的安全评估。
2.3《中华人民共和国个人信息保护法》
个人信息保护法进一步完善了数据隐私保护的法律框架,确保个人信息的合法使用和安全处理。对于数据采集,法律明确了以下原则:
合法、正当、必要原则:企业在采集用户个人信息时,必须遵循合法、正当、必要的原则,不得采集与业务无关的个人数据。用户有权知晓、同意数据的采集用途和范围。
数据最小化:应采集尽可能少的个人信息,避免过度收集用户数据,并采取技术措施确保信息的保密性。
用户授权与透明度:企业需获得用户的明确授权,并在采集过程中保持透明,让用户清楚了解数据将被如何使用和处理。此外,用户有权撤回授权,并要求删除其个人信息。
2.4 其他相关法规
《网络安全法》:强化网络环境下的数据安全管理,要求运营者采取技术手段保障数据的安全存储和传输。
《测绘成果管理条例》:进一步细化测绘数据成果的管理,包括数据的存储、传输和共享的规范,确保测绘成果的安全。
合规数据采集必须严格遵循相关法律法规,不仅确保企业的商业行为合法化,还能有效防止国家机密数据的泄露,维护公共安全和用户隐私。通过落实《测绘法》、《数据安全法》、《个人信息保护法》等法规中的要求,企业能够在合法的框架下安全地采集和使用数据,推动行业健康发展。
#03
为了确保数据采集的合法性和合规性,企业需要从多个方面入手,包括资质管理、合作伙伴筛选、数据采集设备与技术控制等。
阶段 | 详细内容 |
商务阶段 | - 合同约定权限:企业需与客户签订合同,明确采集范围、用途及权限,确保采集过程符合相关法规。 |
- 法务/数据安全监督:项目受到法务和数据安全团队的监督,确保流程合规。 | |
准备阶段 | - 车辆改装:根据采集需求,专业改装车辆,安装合规的采集设备(如摄像头、GPS等),并进行备案申请,确保设备符合国家技术标准。 |
- 备案申请:在车辆上路前,需完成备案申请,确保合规性。 | |
- 采集计划制定:数据采集公司与客户共同制定采集计划,明确数据采集的场景和需求。 | |
申请合法测绘资质:企业在开展地理信息采集工作前,必须向相关政府部门申请并获得合法的测绘资质。根据《中华人民共和国测绘法》,只有具备相应资质的单位才能从事测绘工作,因此企业在进入数据采集领域前应确保所有资质合法有效。
避免非法外包:企业不得将数据采集任务外包给不具备资质的第三方。非法外包不仅会导致数据安全问题,还会违反国家法律,企业需要明确外包合作的资质要求,确保所有参与测绘的第三方均具备合法资质。
严格审核合作企业资质:在选择合作伙伴时,企业应详细审查对方的测绘资质和业务背景。确保合作方拥有相关许可证,并在法律允许的范围内进行数据采集。此外,企业应对合作方的数据安全管理体系进行评估,以防止数据外泄或滥用。
签订合规协议:企业与合作伙伴签订合同时,应明确规定数据采集、传输和处理过程中的各项合规要求,包括责任分工、数据权限控制、保密条款等。合规协议有助于双方明确责任,防止数据在合作过程中被非法使用或泄露。
使用符合国家标准的设备:企业应选择符合国家规定和技术标准的采集设备。设备在采购和使用时,应确保其通过了相关的技术认证,不得使用未经批准的改装设备或具有隐蔽功能的采集工具,以避免违规采集数据。
技术参数透明:采集设备的技术参数应符合国家监管标准,尤其是在精度、范围等方面不得超过许可范围。企业需确保采集设备的所有功能公开透明,不存在任何未经披露的隐藏功能,避免因设备违规使用而面临法律处罚。
数据加密与传输安全:在数据采集和传输过程中,企业应采用先进的加密技术,防止数据在传输中被拦截或篡改。所有采集到的数据都应存储在安全的服务器上,并定期进行安全检查。
数据访问权限控制:对内部员工和合作伙伴的数据访问权限应严格控制,确保只有授权人员能够接触敏感数据。通过分级权限管理,可以有效防止数据的滥用和泄露。
定期合规审查:企业应建立定期的合规审查机制,检查自身和合作伙伴的测绘行为是否符合法律要求。通过内部审计和第三方合规评估,及时发现和解决可能存在的合规风险。
员工合规培训:定期对员工进行数据采集合规培训,提高合规意识,确保每个参与者都理解并遵守相关法律法规。尤其对于涉及数据处理和管理的员工,需深入了解数据安全和隐私保护的法律规定。
合规文化建设:企业需要从文化上强调数据合规的重要性,树立合规文化。只有当合规成为企业文化的一部分时,才能在业务运营的各个环节中切实落实合规措施。
#04
加密技术的应用:企业应采用先进的加密技术(如AES、RSA等)对数据进行加密,确保数据在存储和传输过程中都能得到有效的保护。数据加密不仅能防止未经授权的访问,还能在数据泄露的情况下降低风险,因为即使数据被拦截,也无法被直接读取和使用。
数据传输加密与安全协议:在数据传输过程中,采用HTTPS、TLS等安全协议,确保数据在网络中传输时的安全性。此外,数据传输应避免使用公共网络,必要时可以使用专用的虚拟专用网络(VPN)或专线进行数据传输,减少数据被劫持的风险。
定期安全评估和系统维护:企业应定期对数据存储系统进行安全评估,识别潜在的安全漏洞并及时修补。包括对服务器和数据库进行定期的安全更新,确保系统的安全性达到行业标准。此外,还应实施备份策略,将数据备份存储在异地,以应对突发的数据丢失和系统故障。
分级权限管理:企业应实行严格的权限分级管理策略,根据用户的工作角色和职责,授予不同的访问权限。通过最小权限原则(Principle of Least Privilege),确保用户只能访问他们实际需要的数据,防止因权限过宽导致的数据泄露问题。
多因素身份验证(MFA):为了进一步提高访问控制的安全性,可以引入多因素身份验证机制,如密码、指纹、手机验证码等多种认证手段的结合。这样,即使密码被泄露,也可以通过其他验证手段防止未经授权的访问。
定期审查和更新权限:企业需要定期检查和更新用户的访问权限,尤其是在员工角色变动时(如调岗或离职)。确保权限管理系统始终处于最新状态,有效防止因遗留权限导致的数据泄露。同时,应建立完善的权限审核机制,对高敏感数据的访问进行日志记录和异常检测,及时发现和应对潜在的安全威胁。
定期备份与异地存储:为防止数据丢失,企业应制定数据备份策略,定期对重要数据进行备份,并将备份数据存储在物理隔离的异地环境中。异地备份有助于应对自然灾害、人为事故等不可控的事件。
备份数据加密与访问控制:备份的数据也应进行加密处理,同时实施与生产数据相同的访问控制措施,以确保即使备份数据被获取,也无法被直接读取或使用。
灾难恢复与应急预案:建立完善的数据灾难恢复方案,确保在系统出现故障时能够迅速恢复数据,并将数据恢复的时间控制在可接受的范围内。企业应定期进行灾备演练,检验应急预案的有效性和操作的可行性。
定期培训与合规教育:对员工进行数据安全培训,提高其对数据安全和合规的认知,确保他们了解数据处理的合规要求和安全操作标准。员工培训内容应包括如何识别潜在的安全威胁、应对数据泄露等紧急情况,以及常见的安全操作规范。
数据安全文化建设:建立企业内部的数据安全文化,将数据安全作为每个员工的基本职责之一。通过奖励机制和宣传活动,鼓励员工积极报告安全隐患,共同维护企业的数据安全。
#05
定期组织合规培训:企业应制定年度合规培训计划,定期为员工组织合规培训课程,尤其针对从事数据采集、处理和管理的相关人员。这些培训内容应包括国家和行业最新的合规标准、数据采集的合法操作流程、数据安全与隐私保护的基本原则,以及合规操作的实操指南。
场景化培训:通过案例分析和场景模拟,帮助员工理解不合规行为的潜在风险及其对企业的影响。利用真实的非法数据采集事件,模拟可能出现的合规风险场景,帮助员工在实际操作中更好地辨别和应对问题。
专项培训与考试:对于不同部门和岗位,设计有针对性的专项合规培训。例如,对技术人员侧重数据安全技术和合规操作,对管理层侧重合规政策和风险管理。培训结束后进行考核,确保员工真正掌握合规知识并能应用于实际工作中。
建立合规监控机制:设立专门的合规部门或团队,负责持续关注并解读国家最新发布的法律法规及合规政策。企业合规团队应定期跟进国家测绘法、数据安全法、个人信息保护法等相关法规的更新,确保企业的合规策略与国家政策保持一致。
及时调整企业内部合规策略:在法律法规发布更新时,合规部门应及时组织相关培训,向企业全体员工进行传达,并对现有的合规策略和操作流程进行修订和优化。例如,若新法规对数据处理权限作出更严格的要求,企业应迅速调整内部权限控制措施,以避免不合规的风险。
与法律顾问合作:企业可聘请专业的法律顾问,帮助解析最新的法律法规,并协助制定符合国家政策的合规管理方案。法律顾问还可以为企业的合规培训提供专业支持,确保培训内容准确无误且与法规相符。
合规文化的长期培育:将合规要求和企业文化相结合,使合规不仅仅是强制执行的规定,而是成为每个员工的自觉行为。企业可以通过内部宣传活动、合规奖惩机制等手段,鼓励员工积极主动遵守合规要求,共同营造合规的企业文化。
公开透明的合规沟通渠道:建立内部举报和反馈机制,让员工可以匿名报告可能存在的合规问题或风险,促进企业内外部合规文化的透明化管理。这不仅能提升合规管理的全面性,还能让员工参与到企业的合规监督中,提高整体的合规性。
#06
第三方独立审计:企业应定期邀请独立的第三方审计机构,对数据采集和处理流程进行全面的合规性审查。第三方审计机构能够以客观的视角识别企业在数据采集中的潜在合规问题,并提出改进建议。定期审计可以确保企业及时发现和纠正合规风险,降低数据违法采集的可能性。
安永中国(EY China) | |||
内部与外部审计结合:除了外部第三方审计,企业还应建立内部审计机制,定期对数据采集和管理流程进行自查。通过内部审计,企业可以更早发现问题并进行内部整改。而外部审计则能提供一个独立的评估视角,对企业的整体合规性进行验证。
合规审计报告和整改计划:在审计完成后,企业应根据审计机构的报告,制定明确的整改计划,确保合规问题得到及时解决。整改计划应包括具体的改进措施、实施时间表和负责部门,并定期追踪整改进展,直至问题完全解决。
部署实时监控系统:企业可以部署先进的数据监控系统,对数据采集活动进行实时监控和分析。通过监控系统,可以及时检测到异常的数据采集行为,如未授权的数据访问、非合规的设备连接等问题,并实时发出警报。实时监控有助于企业在问题发生时迅速采取行动,减少合规风险。
自动化合规检测:企业应采用自动化的合规检测工具,对数据采集流程中的关键环节进行实时检查。通过预设的合规规则,系统可以自动验证数据采集是否符合国家测绘法、数据安全法、个人信息保护法等规定,从而有效减少人工检查的误差和漏洞。比如,可以对数据访问日志进行实时分析,自动检测异常访问或数据泄露迹象。
定期更新和优化检测规则:数据合规检测系统的规则和算法需要根据最新的法律法规不断更新和优化,以应对新出现的合规挑战。企业应定期评估和调整监控系统,确保其能够覆盖到最新的合规要求,并始终保持对数据采集活动的高效监督。
建立合规风险响应机制:在检测到潜在的合规风险时,企业应具备快速响应的机制,立即展开调查,确认问题的性质和范围,并根据内部的合规管理流程进行处理。包括暂停相关数据采集操作、隔离问题设备或网络节点,以及通知相关部门进行调查和修复。
制定合规应急预案:为了应对可能的合规危机,企业需要制定完善的应急预案,明确合规风险发生时的处理步骤、责任分工和联动机制。预案应涵盖从风险发现到处理的全过程,并定期进行演练,以确保在实际风险发生时能够迅速有效地控制事态发展。
#07
直播回顾|知行科技携手亚马逊,共同探讨自动驾驶数据闭环新挑战!-iMotion-Smart Mobility For Everyone
打造合规数据闭环,加速自动驾驶技术研发 (baidu.com)
数据合规:如何识别车联网数据安全风险源,抵御风险?- 车联网 - 网信安全世界-中国网信安全领域技术交流和知识分享平台 (infosecworld.cn)
- 独家披露!危害国家安全的“神秘设备”,非法采集我国地理信息数据-网络安全与保密宣传-中国国际贸易促进委员会深圳市委员会 (ccpitsz.org.cn)
车联网数据安全监管制度研究报告2022 (kpmg.com)
国内自动驾驶地图绘制的法律准入与挑战- 国浩律师事务所 (grandall.com.cn)
自然资源部规范智能网联汽车测绘地理信息数据采集和管理_手机新浪网 (sina.cn)
军迷非法拍摄,获刑!国安部门提醒→ (thepaper.cn)
国家安全部通报:国内企业沦为“牵线木偶”,为境外企业非法地理测绘-电子工程专辑 (eet-china.com)
独家披露!危害国家安全的“神秘设备”,非法采集我国地理信息数据-网络安全与保密宣传-中国国际贸易促进委员会深圳市委员会 (ccpitsz.org.cn)
国家安全部披露非法测绘案件 群众发现非法测绘活动可这样举报→_新闻频道_央视网(cctv.com)
国安披露测绘泄密案,此前资质审批已收紧,仅19家单位过审 _ 东方财富网 (eastmoney.com)