Riscos de segurança e recomendações de conformidade para o fluxo transfronteiriço de dados automotivos

Recentemente, o Ministério da Segurança Nacional publicou um aviso de segurança, apontando que algumas empresas estrangeiras, através de recompensas em moeda virtual, têm induzido cidadãos nacionais a coletar ilegalmente dados de informações geográficas sensíveis. Esse comportamento pode comprometer a segurança nacional. Ao mesmo tempo, alguns projetos de mapas baseados em tecnologia de blockchain estão se desenvolvendo rapidamente, como o Hivemapper, que em um curto espaço de tempo mapeou uma grande quantidade de estradas. Embora esses projetos melhorem a precisão dos mapas, também aumentam o risco de vazamento de informações sensíveis.

Este artigo tomará o Hivemapper como exemplo para analisar seu princípio de funcionamento e os potenciais riscos de segurança dos dados, e, em conjunto com as leis e regulamentos existentes em nosso país, apresentará recomendações de conformidade de segurança para a saída de dados para as empresas relevantes.

Mecanismo de funcionamento da Hivemapper

Hivemapper é uma rede de mapas baseada em blockchain. Os usuários coletam imagens de street view instalando câmaras de carro dedicadas e, após fazer o upload dos dados, podem receber recompensas em HONEY tokens. Este modelo é semelhante ao "Drive to Earn", incentivando usuários de todo o mundo a construir um mapa do mundo detalhado em conjunto.

Comparado aos serviços de mapas tradicionais, o Hivemapper possui as seguintes vantagens:

1. Custo mais baixo - Coletar dados de motoristas do dia a dia
2. Atualização mais rápida - Muitos contribuintes, alta frequência de coleta no mesmo local
3. Qualidade superior - Frequência de coleta alta, obtendo mais imagens de qualidade.

Hivemapper incentiva os usuários a participar através do token HONEY. Este token é a única forma de obter dados de mapas, portanto, possui valor real.

Os riscos de segurança de dados envolvidos no projeto Hivemapper

Risco vertical

Os dados que projetos como Hivemapper podem coletar durante a sua operação apresentam riscos de segurança que envolvem múltiplas camadas:

1. Segurança da informação pessoal: pode envolver informações que identifiquem diretamente ou indiretamente uma pessoa, como a identidade do motorista, comportamento de uso do veículo, etc.

2. Nível de desenvolvimento empresarial: A análise de dados é crucial para as empresas compreenderem as necessidades dos clientes e melhorarem a competitividade, muitas vezes envolvendo segredos comerciais.

3. Nível de segurança nacional: os dados de informação geoespacial contêm informações sensíveis, cuja divulgação pode ameaçar a segurança nacional. A coleta ilegal e a transmissão transfronteiriça desses dados podem violar leis relevantes.

Risco horizontal

A circulação de dados transfronteiriços envolve múltiplas etapas, e os principais riscos incluem:

1. Fase de coleta de dados: coleta não autorizada, classificação e categorização confusas, identificação de dados sensíveis pouco clara, etc.

2. Transmissão e armazenamento de dados: riscos de danos, adulteração, vazamento, etc.

3. Fase de Aplicação de Dados: Riscos de abuso de dados, acesso não autorizado e modificações, entre outros.

Sugestões de Conformidade de Segurança para a Exportação de Dados de Automóveis

Elaborar uma tabela de inventário de classificação e categorização de dados

As empresas devem classificar e categorizar os dados automotivos, incluindo:

• Informação pessoal: Informação pessoal comum e informação pessoal sensível
• Dados importantes: dados que podem afetar a segurança nacional e o interesse público.
• Dados centrais do país: implementação de uma gestão mais rigorosa

Definir as condições de saída correspondentes de acordo com o nível de segurança dos dados.

Estabelecer um mecanismo de avaliação de segurança para a saída de dados

As empresas devem:

• Estabelecer um sistema de avaliação da segurança da saída de dados
• Formar um grupo de avaliação
• Criar uma ferramenta interna de autoavaliação
• Fazer um bom planejamento para a saída de dados

Estabelecer um mecanismo dinâmico de monitoramento de riscos

As empresas devem:

• Estabelecer um mecanismo de autoavaliação de risco de saída de dados
• Realizar avaliações de risco periodicamente
• Realizar autoavaliações e correções de conformidade em tempo hábil
• Acompanhar a dinâmica regulatória, reagir a tempo

Além disso, a parte receptora no exterior deve fornecer informações sobre a capacidade de proteção de dados e a situação do ambiente jurídico local, ajudando a concluir o trabalho de avaliação e declaração.