抄作业 | 知行汽车上市招股书中关于数据合规相关风险的论述
Certifitied Artificial Intelligence Governance Professional
CAIGP聚焦如何根据全球新兴法律和标准开发、集成和部署可信AI系统。课程包括AI技术、全球法律框架、全生命周期风险管理及国际标准、可信审查最佳实践等主题。如果您希望报名培训,或有合作意向?请加微信!
众所周知,招股书的作用是向投资者披露风险的。定期选取上市公司招股书中关于数据合规相关风险的论述进行概述,以飨读者。
企业名称:知行汽车科技(苏州)股份有限公司
上市地点:香港联交所
企业简介:知行科技,成立于2016年12月,总部位于苏州,专注于自动驾驶领域量产解决方案,致力于成为最值得信赖的智能出行合作伙伴。
知行科技持续深耕自动驾驶领域,以先进的自动驾驶算法、卓越的软硬件一体化能力和研发实力来构筑核心技术优势。提供一系列的自动驾驶解决方案及产品。提供多样的自动驾驶域控制器方案来满足客户不同的成本及技术要求,同时也提供iFC智能前视摄像头来实现高性价比的L2功能。
知行科技已与多家知名国内及国际OEM开展合作,已获得吉利、长城、奇瑞、东风、极星等客户的量产定点。
招股书数据合规相关页码:P88-91(风险因素),P153-160(监管概览),P306-310(业务)
招股书下载链接(阅读原文可直接跳转):https://www1.hkexnews.hk/listedco/listconews/sehk/2023/1212/2023121200020_c.pdf
一、风险因素
价值:可以学习甩锅的表述。
(一)未遵守数据保护要求或信息泄露,导致开支增加、影响声誉、导致诉讼
数据泄露等安全事件会导致业务、安全、诉讼成本上升。还可能会导致行政处罚,并影响声誉。数据保护法规变化很快,不同司法辖区的要求不尽相同。合作方违反相关法规亦可能导致我们被诉讼、处罚等。
全球隐私立法、执法及政策活动正在迅速扩展,带来复杂的监管合规环境。由于诸多数据保护法较新,或受最近修订或更新的影响,因此对其解释或最佳合规做法通常不大明确,且缺乏执法范围的先例。遵守数据保护法及实施相关隐私及数据保护措施的成本较高,可能需要我们改变我们的业务惯例及合规方式。任何不合规行为都可能对我们收集、分析及存储数据的能力产生不利影响,使我们面临严重的经济处罚,损害我们的声誉,导致若干国家的网络服务或网站暂停,甚至导致刑事制裁。
这段话把数据合规痛点描述得还是挺精准的,原文摘录一下。
(二)安全漏洞及车载系统终端可能会影响用户安全
我们的自动驾驶产品包含高度复杂的信息技术,用于控制车辆的关键功能如发动机、转向和制动。虽然我们采取了安全措施以防止未授权访问这些系统,但仍存在黑客攻击的风险,他们可能试图控制或更改车辆的功能和性能。
此外,由于我们的产品涉及云技术和远程更新,这增加了面临网络威胁的风险。我们依赖第三方云服务来存储和保护数据,但这些数据可能面临黑客的窃取或破坏。这种网络安全风险可能导致车辆系统故障,甚至可能造成使用者和他人的人身伤害。因此,未经授权的访问或控制可能对车辆安全造成严重影响,带来法律责任和监管风险。
(三)系统、软件、供应商存在数据安全风险,可能影响业务连续性
我们面临的主要风险包括运营系统、设施安全系统、产品技术、集成软件及操作数据的中断、故障和漏洞,这些均涉及我们自身或第三方供应商。这些风险可能导致运营受损、知识产权丢失、数据泄露、设施安全威胁和产品性能影响。网络攻击手段不断变化,使得我们的防御措施需持续更新,且无法保证完全有效。
此外,系统的开发和更新带来的固有风险可能影响我们的业务流程和合规能力。如果这些系统无法按预期运行,可能会导致运营中断、财务报告问题、知识产权泄露和声誉损害,我们可能需要投入大量资源来纠正或替代。
重大网络安全事件可能会影响产能,导致违约或诉讼。我们买了网络安全保险,但可能也无法完全覆盖我们的损失。
总结:甩锅的表述都可以抄,适用于任何行业。
自动驾驶的风险还是挺吓人的,自动驾驶过程中,失去控制,可能人就挂了。
二、监管概览
价值:可以快速学习自动驾驶领域的监管规则体系,之前也没学习过,比较好的梳理和学习资料。
(一)自动驾驶
1、新车评价规程
中国汽车技术研究中心多次的新车评价规程进行升级完善,根据现行规定,OEM(Original Equipment Manufacturer)负责测试,综合考虑了车辆在乘员保护、行人保护和主动安全三个重要方面的性能,以确保车辆的整体安全水平,共有6个等级。
得分率 | 星级 |
92%以上 | 5+星 |
83%以上且不超过92% | 5星 |
74%以上且不超过83% | 4星 |
65%以上且不超过74% | 3星 |
45%以上且不超过65% | 2星 |
低于45% | 1星 |
L1级(部分驾驶辅助):在L0级的基础上,系统能持续控制车辆的横向或纵向运动,并具备相应的部分物体和事件检测与响应能力。
申请测试实体的资质要求:必须是在中国境内注册的独立法人单位,具备汽车及零部件制造、技术研发、试验检测等智能网联汽车相关业务能力。此外,需具备自动驾驶功能测试评价规程,能够对道路测试车辆进行实时远程监控、事件记录、分析和重现,以及网络安全保障能力。
(3)加强自动驾驶功能产品的安全管理:对于具备自动驾驶功能的产品,安全管理尤为关键。
(4)确保可靠的时空信息服务:保证车辆所依赖的定位和时间信息服务的准确性和可靠性。
(二)数据合规
列举了民法典、刑法及其司法解释、网络安全法、数据安全法、网络安全审查办法、网数条例草案、数据出境安全评估办法,比较常规,不展开了。
三、业务-数据隐私与安全
价值:数据安全管理措施可以学习一下表述。第一次看到不需要做网络安全审查和数据出境安全评估是在业务章节说的。
(一)数据隐私
数据收集与处理:我们委托第三方地图制作商在公共道路和停车场收集数据,用于训练自动驾驶算法。这些数据经过脱敏和匿名处理后以图片形式提供给我们,确保我们仅接触到匿名和脱敏数据。
客户数据使用与权限:我们的客户拥有他们的数据,可能将其用于OTA升级或产品维护。我们获得使用这些脱敏和匿名数据的授权,用于自动驾驶解决方案和产品的研发,但不处理驾驶员的个人数据或收集行驶中的数据。
数据存储与安全:我们在中国内地的业务运营收集和产生的数据存储于本地,包括脱敏图像数据存储在上海的云服务器和日常业务数据存储在苏州的服务器机房。数据存储期限根据法律要求和业务策略确定。
数据保护:截至目前,我们没有遇到重大数据泄露或个人信息泄露事件,也未以违反个人权利的方式使用所存储的数据。未来若出现对人权的威胁,我们将采取措施遵守相关法律和行业最佳实践,以保护个人权利。
(二)数据安全
中国法律顾问说,《数据出境安全评估办法》不适用于我们,所以不用做数据出境安全评估。我们也问了中国网络安全审查技术与认证中心,我们不是CIIO且不是赴国外上市且没有被相关机关告知会被发动网络安全审查,故我们也不用做网络安全审查。
我们已经制定了全面的内部政策以保护数据安全,并成立了由首席技术官领导的网络和数据合规委员会。我们的内部控制系统专注于数据安全和保护,包括关于数据安全、数据安全管理和数据分类编目的政策。我们的内部控制协议涵盖了数据处理的整个生命周期,包括数据收集、风险传输、存储安全、备份与恢复、处理与分析、正确使用、销毁和处置。
为保护数据安全,我们采取了以下措施:
全面的数据治理和内部控制:我们实现了数据的完全脱敏和匿名处理,制定了全面的员工保密制度和数据使用审批程序。我们建立了符合数据安全要求的全方位信息系统,确保数据按法律法规收集,并将数据泄漏风险降至最低。我们监控数据访问,实行严格的评估和审批程序,禁止无效或非法使用数据。
严格的数据存储政策和加密措施:我们使用多种软硬件加密技术保护数据传输和存储。我们实施日志记录、监控、数据加密和定期安全审计,确保符合国家数据安全标准。我们应用系统隔离、黑客拦截和堡垒机防止系统攻击,并定期进行数据备份和恢复测试,以降低数据丢失或泄漏的风险。
严格的数据访问和处理政策:我们根据必要性管理个人数据访问,并记录访问情况。数据访问和操作被记录和监控。特定目的的数据处理需要内部审查和访问批准。我们要求员工遵守内部政策,禁止未经授权或不当收集或使用数据,并定期组织数据安全培训。
数据安全管理认证和认可:我们的信息安全管理体系、质量管理体系和信息技术服务管理体系已通过ISO标准认证,如IATF16949(汽车质量管理体系)和ISO 21434(汽车网络安全标准)。
算法监管和管理:我们的算法支持基于语义信息和图像特征融合的行车和泊车功能。我们未从事使用算法推荐提供互联网信息服务,因此不需进行算法监管备案。我们正在建立和实施内部算法监管措施,包括招聘和培训专业人员,实施技术措施,并定期审视、评估和验证算法。
微信扫码关注该文公众号作者