汽车行业2022年数据合规关注方向及重点内容（上篇

车联网涉及信息通信、交通运输、车辆管理等多个领域。为进一步加强协同配合，2017年9月，国务院设立国家制造强国建设领导小组车联网产业发展专项委员会，由工信部、发展改革委、科技部等20个部门组成，主要负责国家车联网发展顶层设计和统筹规划。其中，将健全车联网安全管理制度和标准体系、加强检测评估和安全保障作为重点工作任务推进，引导行业从源头上提升产品和服务安全水平，促进产业健康持续发展。

2018年12月，工信部印发《车联网（智能网联汽车）产业发展行动计划》，以智能网联汽车系统运行安全、数据安全和网络安全为重点，完善安全管理体系与防护机制，构建智能网联汽车、车联网数据和网络的全要素安全检测评估体系，重点突破核心技术，着力提升隐患排查、风险发现、应急处置水平。

2020年2月，国家发改委、中央网信办和工信部等11部委联合印发《智能汽车创新发展战略》。该文件明确指出要加强数据安全监督管理，建立起覆盖智能汽车数据全生命周期的安全管理机制，明确相关主体的数据安全保护责任和具体要求。实行重要数据分类分级管理，确保用户信息、车辆信息、测绘地理信息等数据安全可控。完善数据安全管理制度，加强监督检查，开展数据风险、数据出境安全等评估。

2020年11月，国务院办公厅印发的《新能源汽车产业发展规划（2021—2035年）》。该计划提出构建统一的汽车身份认证和安全信任体系，强化数据分类分级和合规应用管理，促进新能源汽车与信息通信融合发展，保障“车端—传输管网—云端”各环节信息安全。

近年来，国家先后出台《全国人民代表大会常务委员会关于加强网络信息保护的决定》《网络安全法》《数据安全法》《个人信息保护法》，明确网络安全、数据安全、个人信息保护的基本原则和要求，为强化数据安全和个人信息保护提供了法律保障。

2021年7月，国家互联网信息办公室审议通过《汽车数据安全管理若干规定（试行）》（以下简称“《规定》”），自2021年10月1日起施行。

该规定的出台一方面希望防范化解汽车数据安全风险，另一方面希望保障汽车数据依法合理有效利用。该规定明确了汽车数据处理者的责任和义务，几乎将整个汽车行业全链条上所有的经营者都纳入了《规定》的适用范围，包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等。该规定针对汽车行业的特点对上位法做了细化规定，例如详细具体地规定了汽车行业“重要数据”的范围。

同时，《规定》还建立了数据风险评估年报制度，对于重要数据处理活动，要求汽车数据处理者应当按照规定开展风险评估，并向有关部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量、范围、保存地点与期限、使用方式，开展数据处理活动情况以及是否向第三方提供，面临的数据安全风险及其应对措施等。

另外，针对汽车行业特有的场景，《规定》新增了“车内”、“车外”的区域概念，明确了四项数据处理原则：（1）车内处理原则，除非确有必要不向车外提供；（2）默认不收集原则，除非驾驶人自主设定，每次驾驶时默认设定为不收集状态；（3）精度范围适用原则，根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率；（4）脱敏处理原则，尽可能进行匿名化、去标识化等处理。

自《规定》施行后，中国对于汽车产业的数据安全管理更为完善和严格。

2021年7月，工信部发布《关于加强智能网联汽车生产企业及产品准入管理的意见》。该意见指出智能网联汽车生产企业应依法收集、使用和保护个人信息，实施数据分类分级管理，制定重要数据目录，不得泄露涉及国家安全的敏感信息。在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当按照有关规定在境内存储。因业务需要，确需向境外提供的，应向行业主管部门报备。该文件从最根本环节切入，一旦车企不能满足要求，将无法申请准入产品公告、上牌并销售。

2021年9月，工信部发布《关于加强车联网网络安全和数据安全工作的通知》。该通知对智能网联汽车软件安全、数据安全提出了明确要求：在软件安全方面，督促企业建立软件包安全验证机制，采用安全可信的软件；开展在线升级软件包网络安全检测，及时发现产品安全漏洞；加强在线升级安全校验和监测应急能力，定期评估网络安全状况，防范软件被伪造、篡改、损毁、泄露和病毒感染等风险；建立车联网应用程序开发、上线、使用、升级等安全管理制度，加强应用程序安全检测，防范恶意应用程序攻击和传播。在数据安全方面，强化企业内部监督管理，加大资源保障力度；按照车联网网络安全和数据安全相关标准要求，加强汽车、网络、平台、数据等安全保护；落实《网络产品安全漏洞管理规定》有关要求，明确漏洞发现、验证、分析、修补、报告等工作程序；严格落实网络安全分级防护要求，强化资产管理、访问控制、边界防护及安全危害行为防范等措施；自行或委托检测机构定期开展网络安全符合性评测和风险评估；企业应当建立车联网身份认证和安全信任机制；建立网络安全监测预警机制和技术手段；建立网络安全应急响应机制；做好车联网网络安全防护定级备案；加强平台网络安全管理；加强在线升级服务（OTA）安全和漏洞检测评估；建立车联网应用程序安全管理制度，加强车联网应用程序安全检测；加强数据分级分类管理，提升数据安全技术保障管理；规范数据开发利用和共享使用；强化数据出境安全管理。

工信部高度重视标准的引导作用，正在积极推动车联网安全标准化工作。

一是国家加强了产业标准体系的统筹规划。

工信部与国家标准委等部门先后印发《国家车联网产业标准体系建设指南（智能网联汽车）》（工信部联科〔2017〕332号）、《国家车联网产业标准体系建设指南（车辆智能管理）》（工信部联科〔2020〕61号）、《国家车联网产业标准体系建设指南（智能交通相关）》（工信部联科〔2021〕23号）等文件，引导相关单位和企业科学、系统地制定车联网相关标准。

2021年8月25日，工信部表示将加快发布《车联网网络安全标准体系建设指南》。智能网联汽车的标准在过去以碎片化的形式，零散地对T-BOX、网关、车机、充电桩等作出规定，而《车联网网络安全标准体系建设指南》将已有的和未来的标准分为基础设施、通信、数据、终端等门类归纳入一个标准体系中，树立了整体目标。

二是国家关注车联网安全标准的研制。

《信息安全技术 汽车电子系统网络安全指南》、《汽车网关信息安全技术要求及试验方法》（2022-3-1实施）、《车载信息交互系统信息安全技术要求及试验方法》（2022-5-1实施）、《电动汽车远程服务与管理系统信息安全技术要求及试验方法》（2022-5-1实施）、《汽车信息安全通用技术要求》（2022-5-1实施）等推荐性国家标准将陆续开展实施。

今后，《汽车整车信息安全技术要求》《汽车软件升级通用技术要求》等强制性国家标准还会推出。除上述国家标准之外，汽车行业需要关注《车联网信息服务 用户个人信息保护要求》《车联网信息服务 数据安全技术要求》等行业标准，这些行标详细具体地规定了车联网用户个人信息和数据分级分类方法，针对收集、保存、使用、共享及转让等关键处理行为，提出了分级保护的规范要求。

而其他专业领域还需关注《基于公众电信网的联网汽车安全技术要求》（报批稿）《基于车路协同的高等级自动驾驶数据交互内容》（报批稿）《基于LTE的车联网无线通信技术 安全证书管理系统技术要求》（报批稿）《汽车维修管理信息系统技术规范》（2022-2-1实施）等行业标准。

工信部将会同相关部门进一步健全完善车联网安全监管工作体系和工作机制，促进产业高质量发展。

一是国家将进一步完善车联网安全管理制度。

据了解，工信部和相关部门正在研究制定《数据出境安全评估办法》《工业和信息化领域数据安全管理办法》《车联网数据安全指引》等政策规范，在2021年8月25日，工信部表示将加快发布《车联网网络安全标准体系建设指南》和数据安全评估认证等相关标准，指导企业完善管理制度和技术措施、开展数据分类分级等工作。

二是国家将强化车联网安全监测和漏洞管理。

国家将完善车联网安全监测技术平台，扩大监测服务范围，不断提升网络安全、数据安全监测能力；完善车联网安全威胁和漏洞通报处置机制并加强对智能网联汽车、车载联网关键设备等的安全漏洞进行监测预警和通报处置。

三是国家将加强车联网安全监管。

国家会督促车联网平台落实电信业务经营许可管理要求，加强网络安全防护和监督检查；督促企业落实网络安全、数据安全保护义务。

四是国家将促进车联网安全产业发展。

据悉，工信部将印发《网络安全产业高质量发展三年行动计划（2021-2023年）》，该计划指导电信等重点行业网络安全投入占信息化投入比例达到10%，鼓励有关企业和机构加大网络安全服务力度，创新服务模式，不断提升网络安全和数据安全保障能力；支持车联网安全技术创新和解决方案研究与推广应用，培养一批面向车联网、工业互联网等新赛道的“专精特新”中小企业。