盘点 2023年全球智能网联汽车网络数据安全相关57条法规
随着国际汽车网络安全法规的实施,中国多项有关汽车网络安全与数据安全政策与指南的发布,以及《汽车整车信息安全技术要求
》成为我国车企制定出海战略时必须要考量的一道法规关卡;国内,网信办、工信部、信安标委等部委及地方政府也在“三大上位法”的基础上出台了一系列汽车网络安全相关的标准与指南。
其中两项涉及汽车信息安全监督管理要求的强制性标准《汽车整车信息安全技术要求》
》,已进入审批阶段,这两项强标的发布与实施将助力国家有关政策法规落地,引领中国汽车行业进入汽车信息安全“强监管”的新时代。
为让大家更好地了解2023年汽车网络安全领域的有关政策动态,谈思汽车整理了去年相关的法规政策及标准,以供各位参考。如有缺漏,欢迎各位补充。
据整理统计,2023年,国内外汽车网络安全领域相关的政策法规动态共计57条。其中,国际上,欧盟、英国、美国白宫等国家的政策动态合计7条,监管内容有数据安全、数据跨境流通等;国内层面,国家级共计45条,地方级共计5条,监管方向包括整车信息安全、商用密码安全、车联网标准体系建设、个人敏感信息处理、个人隐私信息出境等细致划分领域的标准指南。
该指令与其他较新的欧盟立法法案一样,都受到GDPR的约束,即所有涉及个人数据的义务都必须以符合GDPR的方式遵守。例如,在涉及数据泄露的议题上,如果根据GDPR对数据泄漏做出了罚款,则不应根据新指令对同一侵犯权利的行为再次加以处罚。而对其他涉及特定行业的网络安全议题,则应由具体的部门条例作为特别法而优先适用。
3月30日,美国白宫科技政策办公室(OSTP)发布《促进数据共享与分析中的隐私保护国家战略》,正式确立了政府的目标,即支持保护隐私数据共享和分析(Privacy-Preserving Data Sharing and Analytics, “PPDSA”)技术。
战略列出了四项基本指导原则,代表了其处理隐私数据的方法:创建保护公民权利的 PPDSA 技术;在公平的同时促进创新;建立具有问责机制的技术;并最好能够降低的风险。
《数据保护和数字信息法案》被视为英国版的《通用数据保护条例》(GDPR)。此次修订后的法案引入了一个简单清晰且对企业友好的框架,在沿用欧盟GDPR优势的基础上为公司可以提供更大的灵活性;确保新制度与欧盟数据容量保持一致;进一步减少合规性文书;不会为企业增加额外成本;明确何时可在未经同意的情况下处理个人数据;确保自动化决策有所保障,来提升公众和企业对人工智能技术的信心。
该决定认可参与《欧盟-美国数据隐私框架》的美国公司能够给大家提供与欧盟相当的数据保护水平。根据新的充分性决定,个人数据可以安全地从欧盟流向获得DPF认证的美国公司,而无需实施额外的数据保护保障措施或进一步授权。
2023年10月28日,欧盟委员会宣布已与日本就跨境数据流动达成一项协议。欧盟委员会解释说,该协议将使双方可以有明显效果地地处理数据,而无需繁琐的行政或存储要求。该协议取消了成本高昂的数据本地化要求,即不要求公司在本地实际存储数据。欧盟委员会确认协议条款一旦获得批准,将纳入《欧日经济伙伴关系协定》(EU-Japan Economic Partnership Agreement)。
《网络弹性法案》对硬件和软件产品的设计、开发、生产和上市提出了适用于全欧盟范围的网络安全要求,以避免欧盟成员国不同立法中的重叠要求。该法规将适用于所有直接或间接连接到别的设备或网络的产品。
欧盟《数据法案》的核心目标是支持数据单一市场的出现,与已经生效的《数据治理法》一起,重点促进个人和企业自愿共享数据,并协调某些公共部门数据的使用条件。根据提案,欧盟《数据法案》确保欧盟内产品或相关服务的用户能及时获取使用该产品或相关服务所产生的数据,并确保这些用户能使用这些数据,包括与他们选择的第三方共享这一些数据。
《指南(2.0)》依据大量行业调研和企业实践,在《指南(1.0)》的基础上优化了数据安全治理总体视图,并针对数据分类分级难落地、管理与技术易脱钩等焦点问题的建设方案进行了初步探索,进一步细化了数据安全治理实践路线、《数据安全产品与服务图谱(2.0)》
图谱2.0将数据安全产品与服务分为数据安全通用类产品、数据安全综合类产品、数据安全服务三大类别,合计收录116家企业的488款数据安全产品及服务信息。
工业与信息化部、国家网信办、发展改革委等十六部门近日印发《关于促进数据安全产业高质量发展的指导意见》,提出到2025年,数据安全产业基础能力和总实力显著地增强。意见为推动数据安全产业高水平质量的发展,提高各行业各领域数据安全保障能力,加速数据要素市场培育和价值释放,夯实数字中国建设和数字化的经济发展基础。
4、《数据安全工程技术人员国家职业标准》、《密码工程技术人员国家职业标准》
标准为适应数字化的经济发展需要,加强数字技术人才教育培训,促进数字化的经济和实体经济深度融合。
中国信息通信研究院在往年《互联网法律白皮书》的基础上,结合全球数字化的经济发展新趋势,阐述进入新时代我们国家的网络立法成就,回顾2022一年国内外重要网络立法活动,形成《网络立法白皮书(2022年)》,供社会各界参考。
6、《网络安全标准实践指南—车外画面局部轮廓化处理效果验证(征求意见稿)》
指南给出了验证车外画面进行人脸、车牌局部轮廓化处理效果的流程、方法及验证标准。
《办法》规定了个人隐私信息出境标准合同的适合使用的范围、订立条件和备案要求,明确了标准合同范本,为向境外提供个人隐私信息提供了具体指引。
指南明确了智能网联汽车数据分类分级的方法论,及对应不一样的等级的数据,给出通用的安全措施。
的信息安全风险处置时,本文件可作为其确定和实施所需控制的参考;本文件还可作为组织在确定和实施普遍接受的信息安全控制时的指导文件。
《建设指南》基于汽车芯片技术结构,从应用场景和标准内容两个维度搭建标准体系架构,明确了今后一段时期汽车芯片标准体系建设的原则、目标和方法,提出了体系框架、整体内容及具体标准项目,确立了各项标准在汽车芯片产业技术体系中的地位和作用。
该标准拟解决的主体问题是支撑《个人隐私信息保护法》38条“建立个人隐私信息保护认证制度”的需要,明确个人隐私信息跨境处理相关安全要求。
本标准从软件产品中开源代码来源、开源代码安全质量、开源代码知识产权和开源代码管理四方面做安全评价,为各单位对于自身软件产品开源代码安全性自评价提供参考,为第三方机构对于软件产品开源代码安全能力进行审核检查和评估时提供相关依据,也可为主管监管部门提供参考。
此协议是一种无需请求证书撤销列表(CRL)即可查询数字证书状态的协议,包括总则、功能要求、具体协议等,适用于公钥基础设施的建设以及应用在线证书状态协议的依赖方等。
《规范》主要内容共包括 6 个章节,包括:测试条件要求、服务平台安全测试要求、通信链路安全测试要求、车载设施安全测试要求、OTA 过程安全测试要求、OTA 升级包安全测试要求,从“测试目的、测试前置条件、测试方法、通过标准”四个维度分别进行研究。一般适用于 M 类、N 类汽车 OTA 升级的信息安全设计开发、验证和生产工作。
4、《网络安全标准实践指南——网络数据安全风险评估实施指引(征求意见稿)》
《指引》提出了网络数据安全风险评估思路、主要工作内容、流程和方法,从数据安全管理、数据处理活动、数据安全技术、个人隐私信息保护等方面评估安全风险。
《要求》规定了汽车信息安全管理体系要求、车辆信息安全一般要求、车辆信息安全技术方面的要求、审核评估及测试验证方法;适用于 M 类、N 类及至少装有 1 个电子控制单元的 O 类车辆,别的类型车辆可参考执行。
该文件规定了智能网联汽车无人驾驶数据记录系统的技术方面的要求和试验方法。适用于配备无人驾驶数据记录系统的M和N类车辆,别的类型的车辆可参照使用。
3、《道路车辆 局域互联网络(LIN) 第1部分:一般信息和使用案例定义》
规定了称为局域互联网络(LIN)的车辆通信网络的使用案例、通信协议和物理层需求。
本指南主要从网络数据安全风险评估的思路、工作流程、评估内容和评估手段方面指导有关监管部门、第三方机构、数据处理者开展数据安全风险评估。
新修订的《商用密码管理条例》完善了国家密码法律体系和管理机制,理顺了与相关法律制度的关系,有助于提升国家商用密码治理能力,改变了商用密码的专控模式,为密码科学技术进步创造了良好的法治环境。
对个人信息出境标准合同备案方式、备案流程、备案材料等具体实际的要求作出了说明。
梳理了人工智能技术与应用发展现状,分析了人工智能面临的新的安全风险,结合国内外人工智能安全政策与标准现状,指出了人工智能安全标准需求,提出了下一步开展人工智能安全标准化工作的建议,为规范引导人工智能安全标准化工作提供参考。
设计了“三横二纵”的技术逻辑架构,主要是针对智能网联汽车通用规范、核心技术与关键产品应用,构建包括智能网联汽车基础、技术、产品、试验标准等在内的智能网联汽车标准体系,充分的发挥标准对智能网联汽车产业关键技术、核心产品和功能应用的基础支撑和引领作用。
本文件给出了网络安全产品相互连通框架,包括相互连通功能和相互连通信息,适用于指导网络安全产品相互连通的设计、开发和应用。
规定了网络运维访问控制、运维审计、安全管理等安全运维系统安全功能要求、自身安全要求、安全保障要求及测试评价方法,适用于安全运维系统的设计、开发、测试与评价。
1、《自然资源部关于加快测绘地理信息事业转变发展方式与经济转型 更好支撑高水平发展的意见》
《意见》从强化测绘地理信息数据要素保障、拓展测绘地理信息赋能应用、构建测绘地理信息新安全格局、优化事业和产业高质量发展环境、加强组织实施保障等方面作出工作部署。
对生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹、不满十四周岁未成年人信息等敏感个人隐私信息进行场景化规定,明确数据处理者对这些敏感个人隐私信息进行收集、存储、使用、加工、传输、提供、公开、删除等处理活动的安全要求,重点突出采集必要性、安全保护、脱敏规则、告知同意等方面的具体要求。
给出了数据安全风险评估的基本概念、要素关系、分析原理、实施流程、评估内容、分析与评价方法等,明确了数据安全风险评估各阶段的实施要点和工作方法。适用于指导数据处理者、第三方评估机构开展数据安全风险评估,也可供有关主管监管部门实施数据安全检查评估时参考。
规范了网络安全信息共享活动要素和根本原则,描述了共享活动的范围和过程。标准的实施将有利于指导网络运营者、关键信息基础设施运营者、网络安全服务机构等开展网络安全信息共享,同时也将带动网络安全信息共享技术产品、工具的研发及相关产业发展。
件规定了人人信息处理者进行自动化决策处理活动时,在数据处理及自动化决策相关典型应用场景下的数据安全和个人隐私信息保护义务、自动化决策的透明度、决策结果公平公正、保障个人合法权益等方面的要求。
强调当实体组织使用人脸识别技术处理人脸信息时,应当取得个人的单独同意或者依法取得书面同意。值得一提的是,当法律、行政法规规定不需取得个人同意的除外。
要求数据处理者向境外提供重要数据和个人隐私信息,应当遵守法律、行政法规的规定,履行数据安全保护义务,保障数据出境安全;发生数据出境安全事件或者发现数据出境安全风险增大的,应当采取补救措施,及时向网信部门报告。
《要求》拟给出重要数据收集、存储、使用、传输、共享、销毁等处理过程中的安全要求,为数据处理者合法、正当,以及安全地处理其掌握的重要数据提供技术支撑。
适用于中华人民共和国境内工业和信息化领域重要数据和核心数据处理者开展的数据安全风险评估活动,一般数据处理者可参照本细则开展数据安全风险评估。
工业互联网安全分类分级管理以工业互联网公司为对象,企业类型最重要的包含三类:(一)应用工业互联网的工业公司;(二)工业网络站点平台企业;(三)工业互联网标识解析企业。
《办法》提出从事商用密码应用安全性评估活动,向社会出具具有证明作用的商用密码应用安全性评估数据、结果的机构,应当经国家密码管理局认定,依法取得商用密码检验测试的机构资质。
《办法》从事商用密码产品检验测试、网络与信息系统商用密码应用安全性评估等商用密码检测活动,向社会出具具有证明作用的数据、结果的机构,应当经国家密码管理局认定,依法取得商用密码检验测试的机构资质。
《通知》主要是针对搭载国家标准3级(L3级)和4级(L4级)无人驾驶功能的智能网联汽车产品开展准入试点工作。通过开展试点工作,引导智能网联汽车生产企业和使用主体加强能力建设,在保障安全的前提下,促进智能网联汽车产品的功能、性能提升和产业生态的迭代优化,推动智能网联汽车产业高质量发展。
标准旨在规定智能网联汽车测试示范区“车-路-云-网-图-第三方”几大要素下车路云一体化的智能网联汽车数据的分类分级,最重要的包含目标和原则、数据分类、数据分级、数据分类分级实施流程等内容。
3、《网络安全标准实践指南—粤港澳大湾区跨境个人隐私信息保护要求(征求意见稿)》
本文件适用于大湾区内个人隐私信息处理者依据备忘录以认证方式开展个人隐私信息跨境处理活动。大湾区内个人信息处理者是指注册于(适用于组织)/位于(适用于个人)粤港澳大湾区内的个人信息处理者。
本《征求意见稿》共有十四条,列明了网络安全事件的报告对象、报告时限、报告内容格式等要求。本文将尝试分析此《征求意见稿》对普通企业的影响,并提供应对措施建议。
指引为促进粤港澳大湾区个人信息跨境安全有序流动,推动粤港澳大湾区高水平质量的发展,同时也是为促进粤港澳大湾区个人隐私信息跨境流动的便利而实施的措施。
在中华人民共和国境内发生的工业和信息化领域数据安全事件应急处置活动,应当遵守相关法律、行政法规和本预案的要求。
针对装备工业中汽车、民用飞机、民用船舶等行业的数据安全特点、场景,提出装备工业各行业数据分类分级、重要数据识别、数据安全防护重点标准。
通过在本市电信和互联网行业试点建立首席数据官(以下简称CDO)制度,将数据战略引入自身的日常管理运营,指导行业全面统筹数据开发、利用和安全,带领企业构建、激活数据管理能力。
本《办法》填补了国内无人驾驶示范区级数据安全管理的空白,内容主要包含三大板块:一是全面厘清了智能网联汽车产业数据安全管理的关键环节;二是详细梳理了重点数据类型的合规风险;三是创新性构建了示范区数据安全能力建设机制。
备案指引根据《个人隐私信息出境标准合同办法》要求,主要为指导和帮助个人隐私信息处理者规范,有序备案个人信息出境标准合同。
细则为车路云一体化数据分类分级提供细化的落地指引,推动形成政府监管、市场自律的数据治理结构,为产业数据安全和数据市场化流通交易奠定基础。
规范省内汽车数据处理活动,保护个人、组织的合法权益,维护国家安全和社会公共利益,促进汽车数据合理开发利用。