新兴产业面临数据安全风险挑战。我国十四五规划指出,要聚焦新一代信息技术、新能源汽车等战略性新兴产业,加快关键核心技术创新应用,增强要素保障能力,培育壮大产业发展新动能。智能网联汽车作为新能源汽车产业发展的战略方向,正处于技术快速演进、产业加速布局的商业化前期阶段。但智能网联汽车作为实现车与人、路、后台等智能信息交换共享的重要载体,其内安装了大量的传感器,行驶过程中会不断地采集环境感知的信息,包括道路信息,车辆工况的信息,还有驾驶人员以及乘客的个人信息,并利用这些信息来更好地提供自动驾驶,以及千人千面的个性化的服务,这中间会涉及大量敏感个人信息和重要数据,带来巨大安全风险挑战。
一、法律法规
(一)国家法律
《保守国家秘密法》
发布单位:全国人民代表大会常务委员会
概述/要求:为了保守国家秘密,维护国家安全和利益,保障改革开放和社会主义现代化建设事业的顺利进行,根据宪法,制定本法。
《个人信息保护法》
概述/要求:2021年8月20日,第十三届全国人大常委会第三十次会议表决通过《个人信息保护法》,该法涵盖总则、个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门、法律责任等方面,旨在保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,标志着我国个人信息保护立法体系进入新的阶段。
《未成年人保护法》
概述/要求:2020年10月17日,第十三届全国人民代表大会常务委员会第二十二次会议第二次修订《未成年人保护法》,该法规定信息处理者通过网络处理未成年人个人信息的,应当遵循合法、正当和必要的原则。处理不满十四周岁未成年人个人信息的,应当征得未成年人的父母或者其他监护人同意,但法律、行政法规另有规定的除外。网络服务提供者发现未成年人通过网络发布私密信息的,应当及时提示,并采取必要的保护措施。
《民法典》
概述/要求:2020年5月28日,第十三届全国人民代表大会第三次会议通过《民法典》,规定自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失。
《密码法》
概述/要求:2019年10月26日,第十三届全国人民代表大会常务委员会第十四次会议通过《密码法》旨在规范密码应用和管理,促进密码事业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。该法规定,公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。
《网络安全法》
概述/要求:2016年11月7日,第十二届全国人民代表大会常务委员会第二十四次会议通过《网络安全法》,旨在保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展。该法规定,国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展。
《国家安全法》
概述/要求:2015年7月1日,第十二届全国人民代表大会常务委员会第十五次会议通过《国家安全法》,规定国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控。
《测绘法》
概述/要求:为了加强测绘管理,促进测绘事业发展,保障测绘事业为国家经济建设、国防建设和社会发展服务,制定本法。
(二)行政法规
《未成年人网络保护条例》
发布单位:国务院
概述/要求:为了营造有利于未成年人身心健康的网络环境,保障未成年人合法权益,根据《中华人民共和国未成年人保护法》、《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》等法律,制定本条例。
《商用密码管理条例》
概述/要求:为了规范商用密码应用和管理,鼓励和促进商用密码产业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国密码法》等法律,制定本条例。
《网络数据安全管理条例(征)》
发布单位:国家互联网信息办公室
概述/要求:为了规范网络数据处理活动,保障数据安全,保护个人、组织在网络空间的合法权益,维护国家安全、公共利益,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律,制定本条例。
《关键信息基础设施安全保护条例》
概述/要求:2021年4月27日,国务院第133次常务会议通过《关键信息基础设施安全保护条例》,指出专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作,履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度。
《网络安全等级保护条例(征)》
发布单位:公安部
概述/要求:为加强网络安全等级保护工作,提高网络安全防范能力和水平,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,依据《中华人民共和国网络安全法》、《中华人民共和国保守国家秘密法》等法律,制定本条例。
《地图管理条例》
概述/要求:为了加强地图管理,维护国家主权、安全和利益,促进地理信息产业健康发展,为经济建设、社会发展和人民生活服务,根据《中华人民共和国测绘法》,制定本条例。
二、部门规章
(一)通用
《汽车数据安全管理若干规定(试行)》
发布单位:国家互联网信息办公室、国家发展和改革委员会、工信部、公安部、交通运输部
概述/要求:规定指出:“利用互联网等信息网络开展汽车数据处理活动,应当落实网络安全等级保护等制度,加强汽车数据保护,依法履行数据安全义务。”
《新能源汽车产业发展规划(2021—2035年)》
发布单位:国务院办公厅
概述/要求:发展新能源汽车是我国从汽车大国迈向汽车强国的必由之路,是应对气候变化、推动绿色发展的战略举措。2012年国务院发布《节能与新能源汽车产业发展规划(2012—2020年)》以来,我国坚持纯电驱动战略取向,新能源汽车产业发展取得了巨大成就,成为世界汽车产业发展转型的重要力量之一。与此同时,我国新能源汽车发展也面临核心技术创新能力不强、质量保障体系有待完善、基础设施建设仍显滞后、产业生态尚不健全、市场竞争日益加剧等问题。为推动新能源汽车产业高质量发展,加快建设汽车强国,制定该规划。
《智能汽车创新发展战略》
发布单位:国家发展和改革委员会、中央网络安全和信息化委员会办公室、科学技术部、工业和信息化部、公安部、财政部、自然资源部、住房和城乡建设部、交通运输部、商务部、国家市场监督管理总局
(二)工业和信息化
《关于开展智能网联汽车准入和上路通行试点工作的通知》
发布单位:工业和信息化部、公安部、住房和城乡建设部、交通运输部
概述/要求:为落实《关于加强智能网联汽车生产企业及产品准入管理的意见》,促进智能网联汽车推广应用,提升智能网联汽车产品性能和安全运行水平,根据《中华人民共和国道路交通安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国安全生产法》《中华人民共和国道路运输条例》《道路机动车辆生产企业及产品准入管理办法》《汽车数据安全管理若干规定(试行)》等有关规定,工业和信息化部、公安部、住房和城乡建设部、交通运输部决定开展智能网联汽车准入和上路通行试点工作。
《智能网联汽车准入和上路通行试点实施指南(试行)》
概述/要求:
针对智能网联汽车准入和上路通行试点工作,工业和信息化部、公安部、住房和城乡建设部、交通运输部研究制定了《智能网联汽车准入和上路通行试点实施指南(试行)》(以下简称《指南》),指导汽车生产企业和使用主体在车辆运行所在城市限定区域内有序开展试点工作。《指南》包括智能网联汽车准入、使用主体、上路通行、试点暂停与退出四个部分。
《关于进一步加强新能源汽车企业安全体系建设的指导意见》
发布单位:工信部、公安部、交通运输部、应急管理部、市场监管总局
概述/要求:《意见》要求健全网络安全保障体系,加强网络安全防护,强化数据安全保护,落实个人信息安全防护。
《车联网网络安全和数据安全标准体系建设指南》
发布单位:工业和信息化部
概述/要求:《指南》提出到2023年底,初步构建起车联网网络安全和数据安全标准体系。重点研究基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等标准,完成50项以上急需标准的研制。到2025年,形成较为完善的车联网网络安全和数据安全标准体系。完成100项以上标准的研制,提升标准对细分领域的覆盖程度,加强标准服务能力,提高标准应用水平,支撑车联网产业安全健康发展。
《关于加强车联网网络安全和数据安全工作的通知》
《关于开展汽车数据安全、网络安全等自查工作的通知》
发布单位:工业和信息化部装备工业发展中心
概述/要求:为落实《关于加强智能网联汽车生产企业及产品准入管理的意见》(工信部通装〔2021〕103号,以下简称《意见》)有关要求,受工业和信息化部装备工业一司委托,组织开展汽车数据安全、网络安全、软件在线升级(又称OTA升级)和驾驶辅助功能情况自查工作。
《关于加强智能网联汽车生产企业及产品准入管理的意见》
概述/要求:为加强智能网联汽车生产企业及产品准入管理,维护公民生命、财产安全和公共安全,促进智能网联汽车产业健康可持续发展,根据《中华人民共和国道路交通安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《道路机动车辆生产企业及产品准入管理办法》等规定,提出该意见。
《智能网联汽车生产企业及产品准入管理指南(试行)(征)》
概述/要求:指南指出:“企业应建立完善数据安全管理制度,实施数据分类分级管理,制定重要数据目录,强化数据访问权限管理和安全审计;采取有效技术措施,强化数据采集、传输、存储、使用等安全保护,及时处置数据泄露、滥用等安全事件。”
《车联网(智能网联汽车)产业发展行动计划》
概述/要求:车联网(智能网联汽车)产业是汽车、电子、信息通信、道路交通运输等行业深度融合的新型产业形态。发展车联网产业,有利于提升汽车网联化、智能化水平,实现自动驾驶,发展智能交通,促进信息消费,对我国推进供给侧结构性改革、推动制造强国和网络强国建设、实现高质量发展具有重要意义。当前,我国车联网产业进入快车道,技术创新日益活跃,新型应用蓬勃发展,产业规模不断扩大,但也存在关键核心技术有待突破、产业生态亟待完善以及政策法规需要健全等问题。为进一步促进产业持续健康发展,制定了该行动计划。
(三)交通运输
《自动驾驶汽车运输安全服务指南(试行)(征)》
发布单位:交通运输部
《关于加强网络预约出租汽车行业事前事中事后全链条联合监管有关工作的通知》
发布单位:交通运输部办公厅、工业和信息化部办公厅公安部办公厅、人力资源社会保障部办公厅人民银行办公厅、税务总局办公厅市场监管总局办公厅、网信办秘书局
概述/要求:为深入贯彻落实党中央、国务院关于推动平台经济规范健康持续发展的决策部署和《国务院办公厅关于深化改革推进出租汽车行业健康发展的指导意见》(国办发〔2016〕58号),加强网络预约出租汽车(以下简称网约车)行业事前事中事后全链条联合监管,维护市场公平竞争秩序,保障乘客和驾驶员合法权益,促进网约车行业规范健康持续发展,更好满足人民群众出行需求,依据《中华人民共和国民法典》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国电信条例》《互联网信息服务管理办法》《计算机信息网络国际联网安全保护管理办法》等法律法规,以及《网络预约出租汽车经营服务管理暂行办法》等有关规定,现就加强联合监管提出有关工作通知。
《网络预约出租汽车经营服务管理暂行办法》
发布单位:交通运输部、工业和信息化部、公安部、商务部、国家市场监督管理总局、国家互联网信息办公室
(四)自然资源
《自然资源部关于加强智能网联汽车有关测绘地理信息安全管理的通知》
发布单位:自然资源部
概述/要求:为维护测绘地理信息安全,促进智能网联汽车发展,依据《中华人民共和国测绘法》《中华人民共和国保守国家秘密法》《中华人民共和国数据安全法》《地图管理条例》等法律法规,作了该通知。
三、技术标准
1通用要求
《信息安全技术汽车数据处理安全要求》
标准号:GB/T41871-2022
实施日期:2023/5/1
概述/要求:本文件规定了汽车数据处理者对汽车数据进行收集、传输等处理活动的通用安全要求、车外数据安全要求、座舱数据安全要求和管理安全要求。
《汽车信息安全通用技术要求》
标准号:GB/T40861-2021
实施日期:2022/5/1
概述/要求:本文件规定了汽车信息安全的保护对象和技术要求,适用于M类、N类汽车整车及其电子电气系统和组件。
《信息安全技术汽车采集数据的安全要求》
计划号:20214342-T-469
项目状态:正在征求意见
概述/要求:本文件规定了对汽车采集数据进行传输、存储和出境等处理活动。
《汽车软件升级通用技术要求》
计划号:20214423-Q-339
项目状态:暂缓
概述/要求:本标准规定了汽车软件升级的功能要求和信息安全要求。
《智能网联汽车数据通用要求》
计划号:20213606-T-339
概述/要求:本文件规定了智能网联汽车数据的一般要求、个人信息保护要求、重要数据保护要求、审核评估要求等。
《导航电子地图安全处理技术基本要求(修订中:计划号20241012-Q-466)》
标准号:GB20263-2006
实施日期:2006/10/1
概述/要求:本标准规定了公开出版、销售、传播,展示和使用的导航电子地图在数据采集,制作和表达过程中空间位置技术处理的要求,以及不得采集和表达的内容。
《智能网联汽车数据安全共享参考架构》
标准编号:T/TIAA020-2021
实施日期:2021/6/4
概述/要求:本标准提出了智能网联汽车的数据安全共享参考架构,明确了智能网联汽车数据共享架构的参与方(数据提供方、使用方、共享运营方),定义了数据服务接口、数据共享交换流程以及具体业务流程中涉及的安全要素,如密码算法的应用、身份管理、审计控制等。标准以数据不出库为基本原则,提出了应对数据提供方的源数据进行预处理、针对共享架构设计安全机制等多项要求,以保障数据共享交换的安全合规及数据权益,实现数据资产的有序管理和流通。
《智能网联汽车数据安全共享模型与规范》
发布日期:2021/1/19
概述/要求:本标准规定了智能网联汽车数据安全共享模型与规范,主要包括汽车数据源分类,数据级别划分,数据安全处理等内容,并基于这些要求,给出了共享模型数据的存储结构。
2分类分级
《车联网信息服务数据安全技术要求》
标准编号:YD/T3751-2020
实施日期:2020/10/1
3数据出境安全
《数据安全技术个人信息跨境处理活动安全认证要求》
计划号:20230255-T-469
计划下达日期:2023/3/21
4个人信息保护
《数据安全技术个人信息转移技术要求》
计划号:20242027-T-469
计划下达日期:2024/6/28
《数据安全技术个人信息保护合规审计要求》
计划号:20240896-T-469
计划下达日期:2024/4/25
概述/要求:本文件提出了个人信息保护合规审计原则,规定了个人信息保护合规审计的实施要求。
《信息安全技术人脸识别数据安全要求》
标准编号:GB/T41819-2022
概述/要求:本文件规定了人脸识别数据的安全通用要求以及收集、存储、使用、传输、提供、公开、删除等具体处理活动的安全要求。
《信息安全技术声纹识别数据安全要求》
标准编号:GB/T41807-2022
概述/要求:本文件规定了声纹识别数据的收集、存储、使用、传输、提供、公开、删除等活动中,对数据处理者的安全要求。
《信息安全技术生物特征识别信息保护基本要求》
标准编号:GB/T40660-2021
概述/要求:本文件规定了各类生物特征识别信息控制者开展收集、存储、使用、委托处理共享、转让、公开披露、删除等生物特征识别信息处理活动应遵循的基本原则和安全要求。
《车联网信息服务用户个人信息保护要求》
标准编号:YD/T3746-2020
概述/要求:本标准规定了车联网信息服务用户个人信息保护的信息内容分类、敏感性分级和分级保护要求。
《信息安全技术个人信息安全规范》
标准编号:GB/T35273-2020
概述/要求:本标准规定了开展收集、存储、使用、共享、转让、公开披露、删除等个人信息处理活动的原则和安全要求。
《基于移动互联网的汽车用户数据应用与保护技术要求》
计划号:2018-0182T-YD
概述/要求:本标准旨在对互联网汽车服务商提出基本的用户数据安全保护能力要求,规范互联网汽车服务提供商保障客户个人信息数据安全方面的基本能力。
5应用数据安全
《智能网联汽车时空数据安全处理基本要求》
计划号:20230949-Q-334
计划下达日期:2023/8/22
概述/要求:本文件规定了智能网联汽车对时空数据进行保密处理,以及存储、传输等环节进行地理信息安全处理的基本要求。
《智能网联汽车时空数据传感系统安全基本要求》
计划号:20230947-Q-334
概述/要求:本文件规定了智能网联汽车安装、集成涉及时空数据感知与处理等功能的安全要求、检测要求、同一型式判定条件以及实施过渡期。
《信息安全技术网络预约汽车服务数据安全要求》
标准编号:GB/T42017-2022
概述/要求:本文件规定了网络预约汽车服务的收集、存储、使用、加工、提供、公开、出境等数据处理活动的安全要求。
《电动汽车远程服务与管理系统信息安全技术要求及试验方法》
标准编号:GB/T40855-2021
概述/要求:本文件规定了电动汽车远程服务与管理系统的信息安全要求及试验方法。
《信息安全技术网络预约汽车服务数据安全指南》
计划号:20205164-T-469
概述/要求:本文件给出了网络预约汽车服务运营者开展服务时数据收集、存储、使用、共享、公开披露、删除的数据类型、范围、方式和条件,以及数据安全管理要求。
《网络预约出租汽车服务平台数据安全防护要求》
计划号:2017-0938T-YD
项目状态:报批中
概述/要求:本文件规定了网络预约出租汽车服务平台的安全防护要求,具体包括移动应用客户端安全、业务及应用安全、基础设施及平台安全、管理安全。
(二)应用服务安全
《车联网网络安全防护定级备案实施指南》
标准编号:T/CCSA339-2021
实施日期:2021/12/28
《车联网信息服务平台安全防护技术要求》
标准编号:YD/T3752-2020
概述/要求:本标准针对车联网信息服务平台对于安全防护方面的需求,规定了车联网信息服务平台的安全防护的总体技术要求,主要包括基础设施安全、平台安全和应用服务安全等。
(三)终端与设施网络安全
1车载设备网络安全
《汽车网关信息安全技术要求及试验方法》
标准编号:GB/T40857-2021
概述/要求:本文件规定了汽车网关产品硬件、通信、固件、数据的信息安全技术要求及试验方法。
《车载信息交互系统信息安全技术要求及试验方法》
标准编号:GB/T40856-2021
概述/要求:本文件规定了车载信息交互系统硬件、通信协议与接口、操作系统、应用软件,数据的信息安全技术要求与试验方法。
2车载网络安全
《信息安全技术汽车电子系统网络安全指南》
标准编号:GB/T38628-2020
概述/要求:本标准给出了汽车电子系统网络安全活动框架,以及在此框架下的汽车电子系统网络安全活动、组织管理和支撑保障等方面的建议。
《电动汽车充电系统信息安全技术要求及试验方法》
标准编号:GB/T41578-2022
概述/要求:本文件规定了电动汽车充电系统信息安全技术要求和试验方法。
《汽车整车信息安全技术要求》
计划号:20214422-Q-339
项目状态:正在批准
概述/要求:本文件规定了汽车信息安全管理体系要求、车辆信息安全一般要求、车辆信息安全技术要求、审核评估及测试验证方法。
(四)网联通信安全
1
通信安全
《车联网无线通信安全技术指南》
标准编号:YD/T3750-2020
概述/要求:本标准给出了车联网通信应用场景下无线通信(如车内通信、车一车通信、车一路通信、车一人通信和车一平台通信)应用中各通信对象之间进行无线通信的安全指南,规定了车联网无线通信的安全框架、安全威胁、安全要求等内容。
《基于公众电信网的联网汽车信息安全技术要求》
标准编号:YD/T3737-2020
概述/要求:本标准规定了基于公众电信网的联网汽车的安全技术要求,包括TSP安全、APP安全、通信安全终端安全、CAN总线安全。
《基于LTE的车联网通信安全技术要求》
标准编号:YD/T3594-2019
概述/要求:本标准规定了基于LTE的车联网通信安全的总体技术要求、接口安全要求和安全过程。
2身份认证
《交通运输数字证书格式》
标准编号:GB/T37376-2019
概述/要求:本标准规定了交通运输信息系统中数字证书分类和数字证书格式。
《智能网联汽车数字身份及认证通用规范》
计划号:20221429-T-312
概述/要求:本文件规定了智能网联汽车的数字身份编码和载体及身份认证的要求。
《基于LTE的车联网无线通信技术安全证书管理系统技术要求》
计划号:20213189-T-339
《基于LTE的车联网无线通信技术安全认证测试方法》
标准编号:YD/T4973—2024
概述/要求:本文件规定了基于LTE的车联网无线通信技术的安全认证测试方法,包括LTE车联网无线通信技术安全测试环境、V2X设备安全协议一致性测试、V2X安全隐私保护测试、安全通信性能测试、基于V2X证书机制的单播业务安全测试。
(五)安全保障与支撑
《汽车信息安全应急响应管理规范》
计划号:20213611-T-339
概述/要求:本文件规定了汽车信息安全应急响应的管理流程和管理方法。
《车联网安全态势感知平台技术要求》
计划号:YD/T6012-2024
项目状态:正在报批
概述/要求:本文件规定了车联网安全态势感知平台技术要求,包括车联网安全态势感知平台数据采集、数据预处理、威胁风险分析、监测管理协同、可视化展示和安全等方面的要求。