工信部:加强智能联网汽车数据和网络安全管理规范软件在

2021-08-16 17:42

8月12日，工信部发布《关于加强智能联网汽车生产企业和产品准入管理的意见》，提出加强数据安全管理能力。企业应当建立健全汽车数据安全管理制度，依法履行数据安全保护义务，明确责任部门和责任人。加强网络安全能力。企业应建立汽车网络安全管理制度，依法落实网络安全等级保护制度和车联网卡实名登记管理要求，明确网络安全责任部门和责任人。

意见提出，明确企业应当建立健全汽车数据安全管理制度，依法履行数据安全保护义务，实行数据分类分级管理，加强对个人信息和重要数据的保护；构建数据安全保护技术措施，确保数据持续处于有效保护和合法使用状态，并依据法律法规落实数据安全风险评估、数据安全事件报告等要求；在中华人民共和国境内收集和生成的个人信息和重要数据，应当按照有关法律法规的规定在境内存储。需要向境外提供数据的，应当通过数据出口安全评估。

附《关于加强智能网联汽车生产企业及产品准入管理的意见》解读：

资料来源：装备工业一司

近日，工信部发布了《关于加强智能网联汽车生产企业及产品准入管理的意见》(以下简称《意见》)，现将《意见》的相关内容解释如下：

一、制定《意见》的背景是什么？

制定《意见》是促进产业发展的需要。智能网联汽车是汽车产业发展的战略方向，随着技术的快速演进和产业布局的加速，处于商业化的早期阶段。智能网联汽车在产品结构和功能实现上与传统汽车有很大不同。与车辆安全相关的基本特性和技术参数仍在变化。相关国家也在加快政策法规的研究和技术标准体系的建立。结合国际政策法规实践经验，需要尽快制定《意见》，明确原则要求，逐步探索开展准入管理，加快产品推广应用，推动汽车产业创新发展。

做《意见》是坚守安全底线的要求。智能化、网络化车辆的发展在带来便利的同时，也会带来个人信息和重要数据未经授权收集利用等数据安全问题，网络攻击、网络入侵等网络安全问题，驾驶自动化系统随机故障、功能不足导致的道路交通安全问题，以及在线升级(也称OTA升级)改变车辆功能和性能可能带来的安全隐患。因此，迫切需要制定《意见》，加强智能联网汽车生产企业和产品的准入管理，明确汽车数据安全、网络安全和在线升级的管理要求，引导企业加强能力建设，严把产品质量安全关，切实维护公民生命财产安全和公共安全。

二、制定《意见》的过程中主要开展了哪些工作？

2020年以来，我部组织行业力量，开展专题调研，启动起草智能联网汽车生产企业及产品准入管理相关政策文件。

一是深入调查研究。我部组织调研了国内外汽车生产企业、科研机构及相关电子信息通信企业，全面分析了智能联网汽车的发展阶段、技术水平和应用需求，准确把握了产业发展态势和监管需求。同时，部门内部

三是《智能网联汽车生产企业及产品准入管理指南（征求意见稿）》进行了修改。根据各方面反馈，结合我国最新法律法规和加强国际法律标准协调的需要，对《指南》的内容进行了修订完善，加强了汽车数据安全、网络安全、在线升级等管理要求。结合当前行业实际和监管需要，在《意见》相关通用要求的基础上，对《指南》进行了修订形成。未来将针对具有自动驾驶功能的智能联网汽车产品制定相关技术规范。

三、《意见》的主要内容包括哪些方面？

《指南》分为“总体要求、加强数据和网络安全管理、规范软件在线升级、加强产品管理和保障措施”5部分11项，具体总结如下：

一是明确管理范围，强化企业主体责任。《意见》将管理范围定义为智能联网汽车制造商及其产品。智能联网车辆搭载先进的车载传感器、控制器、执行器等设备，融合现代通信、网络、人工智能等技术，实现车辆与X(车、路、人、云等)之间的智能信息交换和共享。).它具有复杂环境感知、智能决策、协同控制等功能。可实现“安全、高效、舒适、节能”驾驶，最终实现以人代人操作的新一代《意见》明确企业要落实主体责任，加强对汽车数据安全、网络安全、软件升级、功能安全、预期功能安全的管理，确保产品质量和生产一致性。

二是强化数据和网络安全管理能力。在加强数据安全管理能力方面，《意见》明确企业应建立健全汽车数据安全管理制度，依法履行数据安全保护义务，实行数据分类分级管理，加强个人信息和重要数据保护；构建数据安全保护技术措施，确保数据持续处于有效保护和合法使用状态，并依据法律法规落实数据安全风险评估、数据安全事件报告等要求；在中华人民共和国境内收集和生成的个人信息和重要数据，应当按照有关法律法规的规定在境内存储。需要向境外提供数据的，应当通过数据出口安全评估。在加强网络安全能力方面，企业应建立汽车网络安全管理体系；有保护汽车电子电气系统、部件和功能免受网络威胁的技术措施，有汽车风险监控和网络安全缺失

陷和漏洞等发现和处置技术条件，确保车辆及其功能处于被保护的状态，保障车辆安全运行；依法依规落实网络安全事件报告和处置要求。

三是规范软件在线升级。《意见》明确企业生产具有在线升级功能的汽车产品的，应当建立与汽车产品及升级活动相适应的管理能力。企业实施在线升级活动前，应当确保汽车产品符合法律法规、技术标准及技术规范等相关要求，并向工业和信息化部备案。升级涉及技术参数变更的，要求企业应提前按照《道路机动车辆生产企业及产品准入管理办法》（以下简称《管理办法》）办理变更手续。要求在线升级活动保证产品生产一致性。明确未经审批，不得通过在线等软件升级方式新增或更新汽车自动驾驶功能。

四是加强产品管理。《意见》提出企业生产具有驾驶辅助和自动驾驶功能的汽车产品的，应当明确告知车辆功能及性能限制、驾驶员职责、人机交互设备指示信息、功能激活及退出方法和条件等信息。企业生产具有组合驾驶辅助功能的汽车产品的，还应采取脱手检测等技术措施，保障驾驶员始终在执行相应的动态驾驶任务。企业生产具有自动驾驶功能的汽车产品的，应当确保汽车产品至少满足系统失效识别与安全响应、人机交互、数据记录、过程保障和模拟仿真等测试验证的要求。应当确保汽车产品具有安全、可靠的时空信息服务，鼓励支持接受北斗卫星导航系统信号。

五是完善保障措施。《意见》明确企业应当建立自查机制，发现产品存在数据安全、网络安全、在线升级安全、驾驶辅助和自动驾驶安全等严重问题的，应当依法依规立即停止相关产品的生产、销售，采取措施进行整改，并及时报告。工业和信息化部指导有关机构做好智能网联汽车生产企业及产品准入技术审查等工作，各地主管部门要与相关部门协同配合，按照《管理办法》有关要求，做好对《意见》落实情况的监督检查。工业和信息化部将加快推动汽车数据安全、网络安全、在线升级、驾驶辅助、自动驾驶等标准规范制修订，并鼓励第三方服务机构和企业加强相关测试验证和检验检测能力建设，不断提升智能网联汽车相关技术和网络安全、数据安全水平。

四、如何推动《意见》落实？

下一步，围绕《意见》落实，重点从以下四方面开展工作。一是组织宣贯。联合有关部门面向地方相关部门及汽车生产企业，详细解读和宣贯《意见》内容。二是进行自查。通过组织企业参照《意见》开展汽车数据安全、网络安全和在线升级自查，加快《意见》落实。三是细化要求。根据《意见》，进一步细化准入要求，加快关键标准制定，逐步探索准入管理。四是建立机制。与各部门、各地方做好衔接，推动形成横向协同、纵向联动的工作机制，着力推动工作落实。

一图读懂《关于加强智能网联汽车生产企业及产品准入管理的意见》：