新法速递 | 《关于开展智能网联汽车准入和上路通行试点工作的通知》
点击关注“数据与电商研究室”
引言
工信部、公安部、住房和城乡建设部、交通运输部等四部门近日联合印发《关于开展智能网联汽车准入和上路通行试点工作的通知》(以下简称《通知》),并以附件的形式发布了《智能网联汽车准入和上路通行试点实施指南(试行)》(以下简称《指南》)和《智能网联汽车准入和上路通行试点申报方案(模板)》(以下简称《模板》),以全面部署开展智能网联汽车准入和上路通行试点工作。
我们注意到,《通知》中的智能网联汽车特指搭载L3级和L4级自动驾驶方案的智能汽车。《通知》的颁布意味着我国汽车自动驾驶技术已经日趋成熟,即将全面铺开,而车企所需应对的网络安全和数据保护合规工作,也进入了快车道。
《指南》网络安全与数据保护要点概括
经梳理《指南》内容,我们认为《指南》中与网络安全、数据保护相关的要点可概括如下:
1.关联法规:包括《关于加强智能网联汽车生产企业及产品准入管理的意见》《网络安全法》《数据安全法》《汽车数据安全管理若干规定(试行)》等;
2.全阶段的规制思路:包括准入、试点使用、上路通行以及试点暂停与退出四个阶段的网络安全与数据安全保护要求;
3.重点规制主体:聚焦智能网络汽车生产企业和试点使用主体两类主体的网络安全与数据安全保障能力;
4.区分规制重点:在网络安全、数据保护相关要求方面,两类主体的区分规制重点如下:
1)针对智能网络汽车生产企业,更关注准入阶段,以产品为保护重点,并特别关注针对供应链管理、车辆网卡实名制、数据本地化等要求;
2)针对试点使用主体,更关注运行(试点使用)阶段,虽参照汽车生产企业要求执行,但会特别关注车辆上路通行期间的汽车数据安全管理要求。
5.违反相关规定的后果严重:试点汽车生产企业、试点使用主体未履行网络安全和数据安全保护义务的,在满足特定条件下,可能面临被暂停试点或被退出试点的严重后果。
《指南》网络安全与数据保护重点内容节选
为便于相关企业了解《指南》中的网络安全、数据保护相关内容,我们对于《指南》中所涉网络安全与数据保护重点内容梳理如下:
第一部分 智能网联汽车准入
第一章 智能网联汽车生产企业
一、设计验证能力
(一)企业应建立专门的智能网联汽车产品设计开发机构,统一负责产品设计和制造过程开发工作,配备与设计开发任务相适应的专业技术人员。专业技术人员至少包括……网络安全和数据安全……团队。
(六)企业应具备与自身研发工作相适应的试验验证能力,至少具备针对智能网联汽车产品的……网络安全和数据安全……等测试验证能力。
二、安全保障能力
(三)网络安全保障能力
1.企业应建立智能网联汽车产品网络安全管理制度,明确网络安全责任部门和负责人,应保障智能网联汽车产品开发流程遵循网络安全管理制度要求,落实网络安全责任,并依法落实备案管理、安全评估、用户真实身份信息核验、日志记录留存等网络安全相关管理要求。
2.企业应建立智能网联汽车产品网络安全风险管控机制,具备网络安全风险识别、分析、评估、处置(例如,测试验证、跟踪等)等风险管控能力,以及及时消除重大网络安全隐患的能力。
3.企业应建立智能网联汽车产品网络安全监测机制,具有监测、记录、分析网络运行状态、网络安全事件等技术措施,具备按照规定留存相关网络日志不少于6个月的能力。
4.企业应建立智能网联汽车产品网络安全漏洞管理和应急响应机制,制定网络安全事件应急预案及应急处置操作规程,具备及时处置安全漏洞、网络攻击等安全风险的能力,具备支持车辆用户和安全员采取相应措施的能力。
5.企业应建立智能网联汽车产品与供应商相关的风险识别和管理能力,明确供方产品和服务的网络安全评价标准、验证规范等,具备管理企业与合同供应商、服务提供商、企业内部组织之间安全依赖关系的能力。
6.企业应建立智能网联汽车产品网络安全管理制度的持续改进机制,在关键流程变更、网络安全事件发生后及时更新完善网络安全管理制度、相关机制等。
7.企业应建立车联网卡实名登记制度,严格落实车联网卡实名登记有关要求。
(四)数据安全保障能力
1.企业应当建立健全智能网联汽车产品数据安全管理制度,依法履行数据安全保护义务,明确责任部门和负责人。
2.企业应建立智能网联汽车产品数据资产管理台账,实施数据分类分级管理,加强个人信息与重要数据保护。
3.企业应采取智能网联汽车产品数据安全保护技术措施,确保数据持续处于有效保护和合法利用的状态,依法依规落实数据安全风险评估、数据安全事件报告等要求。
4.在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当按照有关法律法规规定在境内存储。因业务需要,确需向境外提供的,应当依照法律、行政法规的相关规定执行。
三、安全监测能力
(二)企业应将车辆自动驾驶安全相关的事件监测数据上报省级或市级智能网联汽车产品安全监测平台(简称地方平台)、工业和信息化部试点管理系统(简称试点管理系统)以及企业平台所在地公安机关网安部门(仅涉及车联网网络、数据安全相关),用于支撑智能网联汽车产品安全性能评估、准入许可评估调整等。其中,涉及车联网网络、数据等安全相关数据,同步上报至国家车联网(智能网联汽车)安全监管和公共服务平台。
第二章 智能网联汽车产品
一、产品技术要求
智能网联汽车产品应当符合《道路机动车辆生产企业及产品准入管理办法》《新能源汽车生产企业及产品准入管理规定》等道路机动车辆产品准入要求,应具有明确的自动驾驶功能定义及其设计运行条件,并符合……网络安全、数据安全……等技术要求。
二、过程保障要求
(三)智能网联汽车产品网络安全和数据安全过程保障要求至少包括:
1.应开展网络安全和数据安全风险评估,包括资产识别、威胁场景识别、攻击路径分析、风险等级评估、风险处置措施,应考虑所有与供应商等相关方的风险。
2.在概念设计阶段,应根据网络安全和数据安全风险评估结果,明确网络安全和数据安全的目标和要求,设计安全架构和功能。
3.在产品开发阶段,应适当地处理或管理已识别的风险,实现网络安全和数据安全风险防范应对处置措施,满足整车网络安全和数据安全的目标和要求等,保护车辆免受风险评估中确定的风险。
4.在验证确认阶段,应开展整车网络安全和数据安全测试验证,并提供确认情况说明(包括测试指标、测试方法、测试环境、测试结果等),确保有效处置所有已识别的安全风险,以及有效、合理、完整地实现网络安全目标和要求等。
三、测试验证要求
(四)整车网络安全和数据安全测试要求至少包括:
1.应选择适用的方法,对车辆外部连接安全、通信通道安全、软件升级安全、车辆数据安全、行为安全、物理操控安全进行适当和充分的测试,以验证所实施的安全措施的有效性。
2.应对测试开展过程进行记录,对测试过程中所涉及的测试用例、测试环境、测试人员、测试设备及测试方法的规范性负责,确保测试结果的一致性和准确性。
第二部分 使用主体
一、基本条件
试点使用主体应当具备以下基本条件:
(四)建立健全运行安全保障制度,对智能网联汽车上路通行进行实时监测、应急处置,保障道路交通安全、数据安全、网络安全。
二、运行安全保障能力
(二)运行平台
试点使用主体应当具备智能网联汽车运行安全监测平台(简称运行平台),对车辆运行安全状态进行实时监测。
运行平台应当保障网络安全和数据安全,具备权限管理功能、防篡改功能及高可用机制。
四、网络安全和数据安全保障能力
应当参照汽车生产企业要求执行。
(一)网络安全保障能力
1.应当建立智能网联汽车网络安全管理制度,明确网络安全责任部门和负责人,落实网络安全责任,并依法落实网络安全相关管理要求。
2.应当建立智能网联汽车网络安全风险管控机制,具备网络安全风险识别、分析、评估、处置、跟踪等风险管控能力,及时消除重大网络安全隐患的能力。
3.应当建立智能网联汽车网络安全监测机制,具有监测、记录、分析网络运行状态、网络安全事件等技术措施,具备按照规定留存相关网络日志不少于6个月的能力。
4.应当建立智能网联汽车网络安全应急响应机制,制定网络安全事件应急预案,具备及时处置安全漏洞、网络攻击等安全风险的能力。
5.应当建立智能网联汽车安全漏洞管理机制,具备及时处置安全漏洞、指导和支持车辆用户和安全员采取相应措施的能力。
6.应当建立智能网联汽车网络安全保障机制,明确产品和服务的网络安全评价标准、验证规范等,确定与产品提供方的安全协议,具备协同管控网络安全风险的能力。
7.应当建立智能网联汽车网络安全管理制度的持续改进制度,在关键流程变更、网络安全事件发生后及时更新完善网络安全管理制度、相关机制等。
(二)数据安全保障能力
1.应当建立健全智能网联汽车数据安全管理制度,依法履行数据安全保护义务,明确责任部门和负责人。
2.应当建立智能网联汽车数据资产管理台账,实施数据分类分级管理,加强个人信息与重要数据保护。
3.应当采取智能网联汽车数据安全保护技术措施,确保数据持续处于有效保护和合法利用的状态,依法依规落实数据安全风险评估、数据安全事件报告等要求。
4.车辆上路通行期间,试点使用主体应当遵守以下汽车数据安全管理要求:
(1)车外数据未完成匿名化处理前,不应当向车外提供;
(2)除非安全员自主设定,车辆应当默认设定为不收集车辆数据的状态;
(3)除非取得个人信息主体同意,原则上不应向车外提供车辆数据,符合试点安全监测、交通违法和交通事故处理相关规定要求,法律、行政法规规定等情形除外;
(4)通过车辆处理个人信息应当通过用户手册、车载显示面板、语音、车辆使用相关应用程序等显著方式告知个人信息处理规则;
(5)《汽车数据安全管理若干规定(试行)》等法规、标准规定的其他要求。
第三部分 上路通行
十一、试点使用主体应当安排安全监控人员对车辆安全运行状态进行实时监测。发现下列情形时,安全监控人员应当按照应急预案及时发出预警,提示安全员干预车辆并采取相应措施:
(一)发现车辆存在道路交通安全、网络安全、数据安全隐患可能涉及违法犯罪的;
安全员拒不执行、执行不到位或者无法干预的,应当及时分别报告公安机关交通管理部门和网络安全保卫部门。
二十一、试点使用主体应当对车辆上路通行期间收集的数据加强管理,数据处理应当符合汽车数据安全管理等相关法律法规和技术要求。车辆产生的网络安全和数据安全违法违规责任,由安全员、试点汽车生产企业、试点使用主体、自动驾驶系统开发单位等相关主体依法承担。
第四部分 试点暂停与退出
一、试点暂停
(二)试点汽车生产企业、试点使用主体未履行网络安全和数据安全保护义务的;
涉及前款第(二)项和第(三)项情形的,应当按规定整改,经省级工业和信息化主管部门、公安机关交通管理和网络安全保卫部门、通信管理部门等评估,报工业和信息化部、公安部等相关部门确认后,方可恢复其试点。
二、试点退出
(三)试点使用主体相关条件发生重大变化无法保障试点实施的,隐瞒有关情况或者提供虚假材料的,未按规定落实运行安全管理责任、网络安全和数据安全保护义务,出现违反国家相关法律法规的情况,拒不整改或整改后仍未解决问题的;
点击下方“阅读原文”,可查看《通知》、《指南》和《模板》原文。
本文首发自公众号:数据与电商研究室
如需转发,请注明信息来自数据与电商研究室,如有意见建议或合作,请邮件CPdatalaw@zhonglun.com.
往 期 精 彩
往期文章
本期编辑:王梦迪 唐静思
长按二维码一键关注
期待您的“赞”和“分享”