上海市网信办推荐案例 | 汽车数据分级管理与应用如何做？

上海市新能源汽车公共数据采集与监测研究中心（以下简称“数据中心”）在上海市经济和信息化委员会的业务指导下，建立并运营上海市新能源汽车公共数据平台。平台数据主要来源于车企平台的实时数据转发，数据采集标准依据GB/T 32960-2016《电动汽车远程服务与管理系统技术规范》。

2022年，数据中心在试点工作组的指导下，对国家和行业数据分类分级相关标准进行了学习与研究，开展了数据分类分级试点工作。本次工作实施内容主要有：国家标准和行业规范学习、数据资产盘点、设计适用自身业务的分类分级方案、基于数据应用场景设计不同等级数据管理方案、设计组织管理制度。

本次试点形成了相关具有可操作性的工作流程与规范，重点工作成果如下：

1、工作思路与工作成果

1）数据分类分级操作规则

由于业务中汽车数据主要以不同数据集的形式进行使用，本次实践将数据分级的对象主要选定为数据集。数据集分级涉及两个步骤：首先根据数据场景和数据分级要素等判定影响对象和影响程度（见表1），然后依据分级规则表，判定数据等级（见表2）。

汽车数据的数据场景，依据数据的应用领域，可分为个人、车辆企业、汽车行业、充电网和交通路网五类。数据的影响对象，在国标的基础上有所调整，分为个人及组织权益、行业发展、公共利益、社会稳定、经济运行和国家安全。影响程度，按照国标划分为特别严重危害、严重危害、一般危害和无危害四类。数据集危害程度的定量规则，重点参考了行业规范中对于重要数据的定义，并在此基础上加入群体规模、数据时效性、时间精度等指标维度。

表1 数据集影响程度判定标准表

表2 数据集分级规则表

2）数据共享应用体系

在数据集的数据等级确定后，进一步明确其对应的数据安全等级，不同安全等级对应差异化的数据管控策略。数据集的安全等级越低，理论上需要的管控成本越少、开放程度越高、流通效率越好。本次试点过程中，数据中心的数据等级一共分为核心、重要、一般（4级）六个级别，数据安全等级分为DL1-DL5五个等级，对应的共享应用方式有无条件开放、有条件开放和不开放三种形式，具体数据分级规则与开放形式如表3所示。

3）管理工作的开展方式

数据分类分级工作是数据管理工作的重要内容之一，也是一项持续性的工作，同时涉及多个部门和每一个数据使用者。考虑到汽车数据在保险、交通、车辆安全等不同业务领域都有深入应用，为了更准确持续把握数据在不同场景的危害特征，中心在每个部门都设置了数据管理专员的角色。

数据中心现阶段的管理模式中主要有五个角色：分别是标准制定与修订小组、持续管理小组、工作审计小组、数据使用者和数据交付者。具体工作职责如表4所示。

表4小组职责安排

2、工作经验分享

在国家各类相关法规、标准、制度的指导下，数据中心本着“开拓创新、合理区隔、服务应用”的原则，立足实际业务，在数据资产梳理、分类分级规则建立、数据管理体系建立和数据共享应用等环节做了积极的探索，希望相关实践经验与体会可以为同行后续的实践创新提供参考。

1）数据分类分级的执行标准

数据中心以《信息安全技术 网络数据分类分级要求（征求意见稿）》等国家标准作为工作指导文件，并结合本行业规范文件《汽车数据安全管理若干规定（试行）》，进一步识别不同场景数据集重要度，设定实际的量化标准。依据国标和行业规范，再结合自身对行业的理解，有助于同时解决分类分级工作中定性和定量的问题。

2）数据分类分级的具体规则

数据中心重点参考国家标准进行分类分级规则的制定，但实践中也进行了适当调整，以更好的适应汽车数据的分级。基于对于业务的理解，数据中心认为部分汽车数据可能会对“经济运行”造成危害，但国标中相关数据只有核心数据、重要数据和无危害数据三个等级，缺乏对部分低危害数据的定义。实践中，数据中心新增了“行业发展”这一影响对象，作为对“经济运行”有较低危害的类型补充，扩展了相关数据的分级梯度。

3）相关工作的内部管理模式

考虑到每个部门都有一定规模的独有数据业务，每个部门对自己的数据使用场景更为熟悉，同时每个数据使用者都是数据安全的第一责任人，我们在不同部门单独设立数据管理专员进行数据管理，并通过组建跨部门数据管理小组的方式，实现信息和标准的统一。

以上是数据中心在本次数据分类分级试点工作中的主要成果和经验，它只是相关工作的一个开始，数据中心后续将推动数据持续管理、自动化分类分级和全生命周期安全管理等内容，以保障数据分类分级工作的有效落地，实现数据的安全高效应用。