点击上方蓝字谈思实验室

获取更多汽车网络安全资讯

随着国际汽车网络安全法规的实施，中国多项有关汽车网络安全与数据安全政策与指南的发布，以及《汽车整车信息安全技术要求》等标准的制定和即将发布实施，汽车网络信息安全的强监管时代正加速到来。

2023年，是汽车网络安全领域法规标准建设持续发展的一年。国际上，欧盟先后发布的《网络弹性法案》、《数据法案》成为我国车企制定出海战略时必须要考量的一道法规关卡；国内，网信办、工信部、信安标委等部委及地方政府也在“三大上位法”的基础上出台了一系列汽车网络安全相关的标准与指南。

其中两项涉及汽车信息安全监管要求的强制性标准《汽车整车信息安全技术要求》和《汽车软件升级通用技术要求》，已进入审批阶段，这两项强标的发布与实施将助力国家相关政策法规落地，引领中国汽车行业进入汽车信息安全“强监管”的新时代。

为让大家更好地了解2023年汽车网络安全领域的相关政策动态，谈思汽车整理了去年相关的法规政策及标准，以供大家参考。如有缺漏，欢迎大家补充。

据整理统计，2023年，国内外汽车网络安全领域相关的政策法规动态共计57条。其中，国际上，欧盟、英国、美国白宫等国家的政策动态合计7条，监管内容包括数据安全、数据跨境流通等；国内层面，国家级共计45条，地方级共计5条，监管方向包括整车信息安全、商用密码安全、车联网标准体系建设、个人敏感信息处理、个人信息出境等细分领域的标准指南。

01

1月

《关于在欧盟全境实现高度统一网络安全措施的指令》

该指令与其他较新的欧盟立法法案一样，都受到GDPR的约束，即所有涉及个人数据的义务都必须以符合GDPR的方式遵守。例如，在涉及数据泄露的议题上，如果根据GDPR对数据泄漏做出了罚款，则不应根据新指令对同一侵权行为再次加以处罚。而对于其他涉及特定行业的网络安全议题，则应由具体的部门条例作为特别法而优先适用。

3月

《推进隐私保护的数据共享和分析的国家战略》

3月30日，美国白宫科技政策办公室（OSTP）发布《促进数据共享与分析中的隐私保护国家战略》，正式确立了政府的目标，即支持保护隐私数据共享和分析（Privacy-Preserving Data Sharing and Analytics, “PPDSA”）技术。

战略列出了四项基本指导原则，代表了其处理隐私数据的方法：创建保护公民权利的 PPDSA 技术；在公平的同时促进创新；建立具有问责机制的技术；并尽量减少弱势群体的风险。

4月

《数据保护和数字信息法案》 修订案

《数据保护和数字信息法案》被视为英国版的《通用数据保护条例》（GDPR）。此次修订后的法案引入了一个简单清晰且对企业友好的框架，在沿用欧盟GDPR优势的基础上为企业提供更大的灵活性；确保新制度与欧盟数据容量保持一致；进一步减少合规性文书；不会为企业增加额外成本；明确何时可在未经同意的情况下处理个人数据；确保自动化决策有所保障，从而提高公众和企业对人工智能技术的信心。

7月

《关于欧盟-美国数据隐私框架的充分性决定》

该决定认可参与《欧盟-美国数据隐私框架》的美国公司可以提供与欧盟相当的数据保护水平。根据新的充分性决定，个人数据可以安全地从欧盟流向获得DPF认证的美国公司，而无需实施额外的数据保护保障措施或进一步授权。

10月

欧盟和日本就数据跨境流动达成协

2023年10月28日，欧盟委员会宣布已与日本就跨境数据流动达成一项协议。欧盟委员会解释说，该协议将使双方能够有效地处理数据，而无需繁琐的行政或存储要求。该协议取消了成本高昂的数据本地化要求，即不要求公司在本地实际存储数据。欧盟委员会确认协议条款一旦获得批准，将纳入《欧日经济伙伴关系协定》（EU-Japan Economic Partnership Agreement）。

11月

1、《网络弹性法案》

《网络弹性法案》对硬件和软件产品的设计、开发、生产和上市提出了适用于全欧盟范围的网络安全要求，以避免欧盟成员国不同立法中的重叠要求。该法规将适用于所有直接或间接连接到其他设备或网络的产品。

2、《数据法案》

欧盟《数据法案》的核心目标是支持数据单一市场的出现，与已经生效的《数据治理法》一起，重点促进个人和企业自愿共享数据，并协调某些公共部门数据的使用条件。根据提案，欧盟《数据法案》"确保欧盟内产品或相关服务的用户能够及时获取使用该产品或相关服务所产生的数据，并确保这些用户能够使用这些数据，包括与他们选择的第三方共享这些数据"。

02

1月

1、《数据安全治理实践指南2.0》

《指南（2.0）》依据大量行业调研和企业实践，在《指南（1.0）》的基础上优化了数据安全治理总体视图，并针对数据分类分级难落地、管理与技术易脱钩等焦点问题的建设方案进行了初步探索，进一步细化了数据安全治理实践路线。

2、《数据安全产品与服务图谱（2.0）》

图谱2.0将数据安全产品与服务分为数据安全通用类产品、数据安全综合类产品、数据安全服务三大类别，合计收录116家企业的488款数据安全产品及服务信息。

3、《关于促进数据安全产业发展的指导意见》

工业和信息化部、国家网信办、发展改革委等十六部门近日印发《关于促进数据安全产业发展的指导意见》，提出到2025年，数据安全产业基础能力和综合实力明显增强。意见为推动数据安全产业高质量发展，提高各行业各领域数据安全保障能力，加速数据要素市场培育和价值释放，夯实数字中国建设和数字经济发展基础。

4、《数据安全工程技术人员国家职业标准》、《密码工程技术人员国家职业标准》

标准为适应数字经济发展需要，加强数字技术人才培养，促进数字经济和实体经济深度融合。

5、《网络立法白皮书（2022年）》

中国信息通信研究院在往年《互联网法律白皮书》的基础上，结合全球数字经济发展新趋势，阐述进入新时代我国的网络立法成就，回顾2022一年国内外重要网络立法活动，形成《网络立法白皮书（2022年）》，供社会各界参考。

6、《网络安全标准实践指南—车外画面局部轮廓化处理效果验证（征求意见稿）》

指南给出了验证车外画面进行人脸、车牌局部轮廓化处理效果的流程、方法及验证标准。

2月

1、《个人信息出境标准合同办法》

《办法》规定了个人信息出境标准合同的适用范围、订立条件和备案要求，明确了标准合同范本，为向境外提供个人信息提供了具体指引。

2、《智能网联汽车数据分类分级实践指南》

指南明确了智能网联汽车数据分类分级的方法论，及对应不同等级的数据，给出通用的安全措施。

3月

1、《信息安全技术 信息安全控制 (征求意见稿)》

组织在实施基于GB/T 22080信息安全管理体系的信息安全风险处置时，本文件可作为其确定和实施所需控制的参考；本文件还可作为组织在确定和实施普遍接受的信息安全控制时的指导文件。

2、《国家汽车芯片标准体系建设指南 (2023版)(征求意见稿)》

《建设指南》基于汽车芯片技术结构，从应用场景和标准内容两个维度搭建标准体系架构，明确了今后一段时期汽车芯片标准体系建设的原则、目标和方法，提出了体系框架、整体内容及具体标准项目，确立了各项标准在汽车芯片产业技术体系中的地位和作用。

3、《信息安全技术 个人信息跨境传输认证要求 (征求意见稿)》

该标准拟解决的主要问题是支撑《个人信息保护法》38条“建立个人信息保护认证制度”的需要，明确个人信息跨境处理相关安全要求。

4月

1、《信息安全技术 软件产品开源代码安全评价方法 (征求意见稿)》

本标准从软件产品中开源代码来源、开源代码安全质量、开源代码知识产权和开源代码管理四方面进行安全评价，为各单位对于自身软件产品开源代码安全性自评价提供参考，为第三方机构对于软件产品开源代码安全能力进行审查和评估时提供依据，也可为主管监管部门提供参考。

2、《信息安全技术 公钥基础设施 在线证书状态协议(征求意见稿)》

此协议是一种无需请求证书撤销列表（CRL）即可查询数字证书状态的协议，包括总则、功能要求、具体协议等，适用于公钥基础设施的建设以及应用在线证书状态协议的依赖方等。

3、《汽车远程升级（OTA）信息安全测试规范（征求意见稿）》

《规范》主要内容共包括 6 个章节，包括：测试条件要求、服务平台安全测试要求、通信链路安全测试要求、车载设备安全测试要求、OTA 过程安全测试要求、OTA 升级包安全测试要求，从“测试目的、测试前置条件、测试方法、通过标准”四个维度分别进行研究。主要适用于 M 类、N 类汽车 OTA 升级的信息安全设计开发、验证和生产工作。

4、《网络安全标准实践指南——网络数据安全风险评估实施指引（征求意见稿）》

《指引》提出了网络数据安全风险评估思路、主要工作内容、流程和方法，从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面评估安全风险。

5月

1、《汽车整车信息安全技术要求（征求意见稿）》

《要求》规定了汽车信息安全管理体系要求、车辆信息安全一般要求、车辆信息安全技术要求、审核评估及测试验证方法；适用于 M 类、N 类及至少装有 1 个电子控制单元的 O 类车辆，其他类型车辆可参考执行。

2、《智能网联汽车 自动驾驶数据记录系统（征求意见稿）》

该文件规定了智能网联汽车自动驾驶数据记录系统的技术要求和试验方法。适用于配备自动驾驶数据记录系统的M和N类车辆，其他类型的车辆可参照使用。

3、《道路车辆 局域互联网络（LIN） 第1部分：一般信息和使用案例定义》

规定了称为局域互联网络(LIN)的车辆通信网络的使用案例、通信协议和物理层需求。

4、《网络安全标准实践指南一网络数据安全风险评估实施指引》

本指南主要从网络数据安全风险评估的思路、工作流程、评估内容和评估手段方面指导有关监管部门、第三方机构、数据处理者开展数据安全风险评估。

5、《商用密码管理条例》

新修订的《商用密码管理条例》完善了国家密码法律体系和管理机制，理顺了与相关法律制度的关系，有助于提升国家商用密码治理能力，改变了商用密码的专控模式，为密码科技进步创造了良好的法治环境。

6、《个人信息出境标准合同备案指南（第一版）》

对个人信息出境标准合同备案方式、备案流程、备案材料等具体要求作出了说明。

6月

《人工智能安全标准化白皮书（2023版）》

梳理了人工智能技术与应用发展现状，分析了人工智能面临的新的安全风险，结合国内外人工智能安全政策与标准现状，指出了人工智能安全标准需求，提出了下一步开展人工智能安全标准化工作的建议，为规范引导人工智能安全标准化工作提供参考。

7月

1、《国家车联网产业标准体系建设指南（智能网联汽车）（2023版）》

设计了“三横二纵”的技术逻辑架构，主要针对智能网联汽车通用规范、核心技术与关键产品应用，构建包括智能网联汽车基础、技术、产品、试验标准等在内的智能网联汽车标准体系，充分发挥标准对智能网联汽车产业关键技术、核心产品和功能应用的基础支撑和引领作用。

2、《信息安全技术 网络安全产品互联互通框架（征求意见稿）》

本文件给出了网络安全产品互联互通框架，包括互联互通功能和互联互通信息，适用于指导网络安全产品互联互通的设计、开发和应用。

3、《信息安全技术 安全运维系统技术规范（征求意见稿）》

规定了网络运维访问控制、运维审计、安全管理等安全运维系统安全功能要求、自身安全要求、安全保障要求及测试评价方法，适用于安全运维系统的设计、开发、测试与评价。

8月

1、《自然资源部关于加快测绘地理信息事业转型升级 更好支撑高质量发展的意见》

《意见》从强化测绘地理信息数据要素保障、拓展测绘地理信息赋能应用、构建测绘地理信息新安全格局、优化事业和产业发展环境、加强组织实施保障等方面作出工作部署。

2、《信息安全技术 敏感个人信息处理安全要求（征求意见稿）》

对生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹、不满十四周岁未成年人信息等敏感个人信息进行场景化规定，明确数据处理者对这些敏感个人信息进行收集、存储、使用、加工、传输、提供、公开、删除等处理活动的安全要求，重点突出采集必要性、安全保护、脱敏规则、告知同意等方面的具体要求。

3、《信息安全技术 数据安全风险评估方法（征求意见稿）》

给出了数据安全风险评估的基本概念、要素关系、分析原理、实施流程、评估内容、分析与评价方法等，明确了数据安全风险评估各阶段的实施要点和工作方法。适用于指导数据处理者、第三方评估机构开展数据安全风险评估，也可供有关主管监管部门实施数据安全检查评估时参考。

4、《信息安全技术 网络安全信息共享指南》

规范了网络安全信息共享活动要素和基本原则，描述了共享活动的范围和过程。标准的实施将有助于指导网络运营者、关键信息基础设施运营者、网络安全服务机构等开展网络安全信息共享，同时也将带动网络安全信息共享技术产品、工具的研发及相关产业发展。

5、《信息安全技术 基于个人信息的自动化决策安全要求（征求意见稿）》

件规定了人人信息处理者进行自动化决策处理活动时,在数据处理及自动化决策相关典型应用场景下的数据安全和个人信息保护义务、自动化决策的透明度、决策结果公平公正、保障个人合法权益等方面的要求。

6、《人脸识别技术应用安全管理规定（试行）（征求意见稿）》

强调当实体组织使用人脸识别技术处理人脸信息时，应当取得个人的单独同意或者依法取得书面同意。值得一提的是，当法律、行政法规规定不需取得个人同意的除外。

9月

1、《规范和促进数据跨境流动规定（征求意见稿）》

要求数据处理者向境外提供重要数据和个人信息，应当遵守法律、行政法规的规定，履行数据安全保护义务，保障数据出境安全；发生数据出境安全事件或者发现数据出境安全风险增大的，应当采取补救措施，及时向网信部门报告。

2、《信息安全技术 重要数据处理安全要求（征求意见稿）》等7项国家标准

《要求》拟给出重要数据收集、存储、使用、传输、共享、销毁等处理过程中的安全要求，为数据处理者合法、正当，以及安全地处理其掌握的重要数据提供技术支撑。

10月

1、《工业和信息化领域数据安全风险评估实施细则（试行）（征求意见稿）》

适用于中华人民共和国境内工业和信息化领域重要数据和核心数据处理者开展的数据安全风险评估活动，一般数据处理者可参照本细则开展数据安全风险评估。

2、《工业互联网安全分类分级管理办法（征求意见稿）》

工业互联网安全分类分级管理以工业互联网企业为对象，企业类型主要包括三类：（一）应用工业互联网的工业企业；（二）工业互联网平台企业；（三）工业互联网标识解析企业。

3、《商用密码应用安全性评估管理办法》

《办法》提出从事商用密码应用安全性评估活动，向社会出具具有证明作用的商用密码应用安全性评估数据、结果的机构，应当经国家密码管理局认定，依法取得商用密码检测机构资质。

4、《商用密码检测机构管理办法》

《办法》从事商用密码产品检测、网络与信息系统商用密码应用安全性评估等商用密码检测活动，向社会出具具有证明作用的数据、结果的机构，应当经国家密码管理局认定，依法取得商用密码检测机构资质。

11月

1、《关于开展智能网联汽车准入和上路通行试点工作的通知》

《通知》主要针对搭载国家标准3级（L3级）和4级（L4级）自动驾驶功能的智能网联汽车产品开展准入试点工作。通过开展试点工作，引导智能网联汽车生产企业和使用主体加强能力建设，在保障安全的前提下，促进智能网联汽车产品的功能、性能提升和产业生态的迭代优化，推动智能网联汽车产业高质量发展。

2、《面向车路云一体化的智能网联汽车数据分类分级指南》

标准旨在规定智能网联汽车测试示范区“车-路-云-网-图-第三方”几大要素下车路云一体化的智能网联汽车数据的分类分级，主要包括目标和原则、数据分类、数据分级、数据分类分级实施流程等内容。

3、《网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求(征求意见稿)》

本文件适用于大湾区内个人信息处理者依据备忘录以认证方式开展个人信息跨境处理活动。大湾区内个人信息处理者是指注册于(适用于组织)/位于(适用于个人)粤港澳大湾区内的个人信息处理者。

12月

1、《网络安全事件报告管理办法（征求意见稿）》

本《征求意见稿》共有十四条，列明了网络安全事件的报告对象、报告时限、报告内容格式等要求。本文将尝试分析此《征求意见稿》对普通企业的影响，并提供应对措施建议。

2、《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》

指引为促进粤港澳大湾区个人信息跨境安全有序流动，推动粤港澳大湾区高质量发展，同时也是为了促进粤港澳大湾区个人信息跨境流动的便利而实施的措施。

3、《工业和信息化领域数据安全事件应急预案（试行）（征求意见稿）》

在中华人民共和国境内发生的工业和信息化领域数据安全事件应急处置活动，应当遵守相关法律、行政法规和本预案的要求。

4、《工业领域数据安全标准体系建设指南（2023版）》

针对装备工业中汽车、民用飞机、民用船舶等行业的数据安全特点、场景，提出装备工业各行业数据分类分级、重要数据识别、数据安全防护重点标准。

03

5月

1、《上海市电信和互联网行业首席数据官制度建设指南（试行）》

通过在本市电信和互联网行业试点建立首席数据官（以下简称CDO）制度，将数据战略引入自身的日常管理运营，指导行业全面统筹数据开发、利用和安全，引导企业构建、激活数据管理能力。

2、《北京市智能网联汽车政策先行区数据安全管理办法 (试行)》

本《办法》填补了国内自动驾驶示范区级数据安全管理的空白，内容主要包含三大板块：一是全面厘清了智能网联汽车产业数据安全管理的关键环节；二是详细梳理了重点数据类型的合规风险；三是创新性构建了示范区数据安全能力建设机制。

6月

《浙江省个人信息出境标准合同备案指引》

备案指引根据《个人信息出境标准合同办法》要求，主要为指导和帮助个人信息处理者规范，有序备案个人信息出境标准合同。

7月

《北京市智能网联汽车政策先行区数据分类分级管理细则（试行）》

细则为车路云一体化数据分类分级提供细化的落地指引，推动形成政府监管、市场自律的数据治理结构，为产业数据安全和数据市场化流通交易奠定基础。

11月

《浙江省汽车数据处理管理规定》

规范省内汽车数据处理活动，保护个人、组织的合法权益，维护国家安全和社会公共利益，促进汽车数据合理开发利用。