5月5日,工业与信息化部公开征求《汽车整车信息安全技术要求》《智能网联汽车自动驾驶数据记录系统》《乘用车外部凸出物》《商用车驾驶室外部凸出物》等四项强制性国家标准的意见,征求意见截止日期为2023年7月5日。
其中,《汽车整车信息安全技术要求(征求意见稿)》结合《网络安全法》《GB/T40861-2021信息安全技术汽车信息安全通用技术要求》及联合国世界车辆法规协调论坛(UN WP29)发布的R 155《关于信息安全和信息安全管理体系的汽车型式批准统一规定》制定,规定了汽车信息安全管理体系要求、车辆信息安全一般要求、车辆信息安全技术要求、审核评估及测试验证方法,适用于M类、N类及至少装有1个电子控制单元的O类车辆,其他类型车辆可参考执行。
《汽车整车信息安全技术要求(征求意见稿)》重点明确了如下六点要求。
第一,建立覆盖车辆全生命周期的汽车信息安全管理体系,包括内部管理,识别、评估、分类、处置安全风险,测试车辆信息安全,监测、响应及上报网络攻击、网络威胁和漏洞,管理合作方等必要流程。
第二,符合车辆信息安全一般要求,包括供应商管理,风险识别、评估、处置,密码保护等。
值得注意的是,标准明确车辆数据处理活动中的数据车内处理、默认不收集、精度范围适用、脱敏处理、个人同意及显著告知等要求,应符合推荐性标准《智能网联汽车数据通用要求》中4.2.1、4.2.2的规定,使得前述规定上升为强制性要求。
目前,《智能网联汽车数据通用要求》正式稿尚未出台。2022年10月,汽标委智能网联汽车分标委发曾发布《智能网联汽车数据通用要求(征求意见稿)》,该文件较《GB/T41871-2022信息安全技术汽车数据处理安全要求》内容更加细化,其4.2.1、4.2.2规定,汽车数据处理者处理个人信息及重要数据应符合该标准第五章(个人信息保护要求)、第六章(重要数据保护要求)的要求。




《智能网联汽车数据通用要求(征求意见稿)》第五章、第六章
(左右滑动查看)
第三,保证远程控制系统、第三方应用、外部接口等车辆外部连接安全,包括对含第三方娱乐应用在内的第三方应用的安装运行进行提示,对已安装的非授权的第三方应用进行访问控制,避免此类应用直接访问系统资源、个人信息等,及具备抵御USB接口接入设备中的病毒程序和携带病毒的媒体文件/应用软件的能力。
第四,遵循车辆通信安全要求,包括通信时,验证车辆生产企业云平台的身份真实性,车辆、路侧单元、移动终端等直连通信证书的有效性和合法性,采用完整性保护机制保护外部通信通道,对发送的敏感个人信息实施保密性保护措施,具备识别恶意的V2X数据、恶意的诊断数据、恶意的专有数据等的能力,对关键的通信信息安全事件进行日志记录等。
第五,采取措施保障软件升级安全,包括确保OTA软件具备安全启动的功能,不存在由权威漏洞平台6个月前公布且未经处置的高危及以上的安全漏洞,并采取相应的身份认证、升级包真实性和完整性校验措施等。
第六,保障数据代码安全,包括具备个人信息清除功能及防恢复机制,便于在转售、租借或报废时清除个人信息,同时明确车辆不得直接向境外传输数据。车辆通过国内云平台中转间接向境外传递数据,用户使用浏览器访问境外网站、使用通信软件向境外传递消息、自主安装可能导致数据出境的第三方应用等不属于直接向境外传输数据。
此外,本次一同公开征求意见的《智能网联汽车自动驾驶数据记录系统(征求意见稿)》对智能网联汽车自动驾驶数据记录系统的技术要求和试验方法进行了规定,并明确自动驾驶数据记录系统信息安全的基线要求:保证记录的数据的完整性和真实性,以防止数据的篡改、恶意删除和伪造,当数据完整性和真实性遭到破坏时,应能通过技术手段识别和日志记录。
各车企均应严格遵循强制性国家标准规定,《网络安全法》第十条及《汽车数据安全管理若干规定(试行)》第九条对此亦有明确要求。据与征求意见稿同步发布的标准编制说明,《汽车整车信息安全技术要求》《智能网联汽车自动驾驶数据记录系统》正式发布后或将有12个月过渡期,我们建议企业先行参照目前已公开文本逐步开展整改工作,以应对后续可能的检测认证要求;同时,结合信安标委发布的有关标准立项情况及《智能汽车基础地图标准体系建设指南(2023版)》,我们提示车企及相关企业密切关注《导航电子地图安全处理技术基本要求》《智能网联汽车时空数据安全处理基本要求》《智能网联汽车时空数据传感系统安全检测基本要求》等其他汽车领域强制性标准的出台。
了解详情,请点击文末“阅读原文”。
正文



















《汽车整车信息安全技术要求》等强标征求意见稿发布
作者:中伦数据团队来源:TMT法律论坛

5月5日,工业与信息化部公开征求《汽车整车信息安全技术要求》《智能网联汽车自动驾驶数据记录系统》《乘用车外部凸出物》《商用车驾驶室外部凸出物》等四项强制性国家标准的意见,征求意见截止日期为2023年7