Hi,歡迎來到東北汽車配件網

汽車數據安全、網絡安全等自查要點解析

   日期:2021-09-15     瀏覽:9    評論:0    
核心提示:9月13日,工信部裝備中心網站發布了《關于開展汽車數據安全、網絡安全等自查工作的通知》(以下簡稱《自查通知》),《自查通知

9月13日,工信部裝備中心網站發布了《關于開展汽車數據安全、網絡安全等自查工作的通知》(以下簡稱《自查通知》),《自查通知》規定各整車企業要對汽車數據安全、網絡安全、軟件在線升級、駕駛輔助功能情況開展自我核查并填寫《汽車數據安全、網絡安全等情況自查表》這些自查內容可能成為后續網聯汽車生產企業及產品準入管理的重要方面。自查的要點主要有:

01、必須遵守的規定

《自查通知》要求必須遵守5個管理文件的規定。這5個管理規定是一個上位法、兩個安全法、兩個準入要求。上位法是《中華人民共和國道路交通安全法》,安全法是《中華人民共和國網絡安全法》和《中華人民共和國數據安全法》。

汽車產品的準入要求是《道路機動車輛生產企業及產品準入管理辦法》(第50號令),以及新能源汽車的《新能源汽車生產企業及產品準入管理規定》(第39號令)和《工信部關于修改<新能源汽車生產企業及產品準入管理規定>的決定》(第54號令),而對于智能網聯汽車來說,首先要滿足作為汽車的各方面準入要求,然后才是智能網聯相關的準入要求——《關于加強智能網聯汽車生產企業及產品準入管理的意見》(工信部通裝〔2021〕103號,以下簡稱《準入意見》)。本次自查內容與第50號令、《準入意見》的相關要求基本一致,為后續開展智能網聯汽車準入管理打下基礎。

除了這5個管理規定以外,自查的內容還涉及與汽車數據安全管理、OTA升級、車聯網卡實名登記管理等相關管理規定。

02、汽車數據安全的自查內容遠小于國家未來對數據安全監管的要求

數據安全自查的內容主要圍繞《準入意見》要求的:管理制度、數據資產管理臺賬、數據分級分類的原則、數據安全保護技術措施、數據安全事件報告機制等方面進行自查。對于外資企業比較關注的個人信息及重要數據的出境問題,自查只需要列示包括的內容、最近一次出境的時間、頻次以及開展的安全評估方式等。

從自查表里的內容能看出來,對于數據安全監管,企業自查只是第一步,與國家監管的要求差距還很大。8月21日,國家網信辦聯合發改委、工信部、公安部、交通運輸部 4部委聯合發布的《汽車數據安全管理若干規定(試行)》中指出,重要數據需要報送風險評估報告,如果向境外提供還需要通過國家相關部門組織的安全評審和檢驗抽查,因此對于重要數據尤其是向境外輸送的數據還需要準備其他證明文件和資料。雖然本次自查中數據安全相關的內容不算多,但是并不代表國家后續監管的力度會弱,企業對于重要數據以及離境數據需要準備的材料遠比自查的內容要多的多。

在接下來的一段時間內,數據安全監管將是一個重要的管理方向?!镀嚁祿踩芾砣舾梢幎ǎㄔ囆校窂恼髑笠庖姼宓皆囆兄挥?個月的時間,行業內普遍反應:給予企業的緩沖期不足,具體細則仍不完善,缺乏數據分級分類的詳細說明,對于重要數據出境的界定仍有待商榷。這些問題將在具體管理過程中有望得到進一步解決。

03、汽車網絡安全將重點依靠企業自查,短期內無明確監管要求

汽車網絡安全情況的自查全部圍繞《準入意見》開展,包括網絡安全管理制度、遠程服務平臺安全等級報告、車聯網卡實名登記管理、明確的網絡安全責任部門和負責人、免受網絡威脅的技術措施、網絡安全風險監測、網絡安全缺陷和漏洞等發現和處置技術條件、網絡安全事件報告等。

在6月22日前后分別發布了《關于加強車聯網(智能網聯汽車)網絡安全工作的通知》(征求意見稿)和《車聯網(智能網聯汽車)網絡安全標準體系建設指南》(征求意見稿),其中提及到智能網聯汽車網絡安全范疇是比較大的,包括了終端與設備安全、網聯通信安全、數據安全、應用服務安全等方面。自查報告中將數據安全單獨列為一部分,其他自查內容中的車聯網卡實名登記屬于終端與設備安全;網絡威脅屬于網聯通信安全;遠程服務平臺屬于應用服務安全。

對于車聯網卡,6月11日,工信部網安局發布了《關于加強車聯網卡實名登記管理的通知》(征求意見稿),截止發稿前,尚未正式發布,因此在自查報告中對于車聯網卡的實名登記只填寫是或者否。征求意見稿中指出,車聯網卡的實名登記只針對前裝,實名登記管理平臺的建設方式的決定權在整車企業,可外委也可以代建,但是對于車聯網卡登記哪些詳細內容、如何確保人證一致、運營車輛以及二手車如何登記等內容并未在征求意見稿中有明確規定,還需要進一步關注相關進展。

對于網聯通信相關的網絡安全,從6-9月在全國評審出61個車聯網身份認證和安全信任試點項目,以先行先試的方式推動商用密碼應用,完善蜂窩車聯網(C-V2X)通信安全。

對于網絡安全缺陷和漏洞,7月12日發布的《關于印發網絡產品安全漏洞管理規定的通知》以及9月13日發布的《網絡產品安全漏洞收集平臺備案管理辦法(征求意見稿)》均不是專門針對汽車產品的,汽車產品只能算其中的一方面,并不完全適合汽車領域安全漏洞的特點。

由上可看出,目前針對汽車網絡安全并沒有管理和監管的特定要求和細則,因此短期內汽車網絡安全仍較大程度依賴企業自查。

04、OTA升級將是企業自查和申報的重點工作

從表格篇幅來看,對于OTA升級,需要企業自行填寫表格的內容有110多行,可見OTA升級是本次企業自查以及后續企業申報的重點方面。

《準入意見》中對于OTA升級只簡單提及了2點:強化企業管理能力、保證產品生產一致性。但是自查的內容需要詳細填寫OTA升級的各項管理要求、OTA升級實施的歷次情況等。在管理制度、標準規范、升級對于產品安全和性能的影響、測試驗證流程、版本管理、信息記錄、過程管理、服務平臺、網絡安全防護等9大方面都要有相關技術措施和管理流程。涉及到安全、節能、環保、防盜等技術參數變更,由于《準入意見》中規定需要提前報備工信部,因此還需要專門的自我評估報告及證明材料,這些也是自查的附帶材料。除了準備升級的內容要自查以外,對于以往OTA升級的內容也要在表格中進行自查,以保障產品的一致性。

對于OTA升級,市場監管總局在2021年6月發布了《關于汽車遠程升級(OTA)技術召回備案的補充通知》,規定生產者備案采用OTA方式的技術服務活動或召回時,需提交《汽車遠程升級(OTA)安全技術評估信息表》。這就意味著,當企業要實施OTA升級時,需要分別向工信部和市場監督總局同時備案,工信部偏重保障產品一致性,而市場監督總監偏重技術服務和召回管理,因此,對于企業來說,需要填寫2份格式不同、內容有差異的表格,在一定程度上增加企業的工作量。

05、駕駛輔助方面自查重點是L2及以下功能

對于L1(駕駛輔助)功能的產品,重點是履行告知義務,這也是《準入意見》里產品管理中放在首條的內容。向消費者告知的內容項基本與《準入意見》的要求一致,即車輛功能及性能限制、駕駛員職責、人機交互設備指示信息、功能激活及退出方法和條件。

對于L2(組合駕駛輔助)偏重的是宣傳方式和脫手檢測等技術保障措施方面的自查,對于《準入意見》中規定的一些L3及以上高級別自動駕駛應該具備的技術要求并未放在企業自查的范圍內。


 
打賞
 
更多>同類資訊
0相關評論

  • 鄭州閩弘有限公司
  • 圖與機電科技(上海)有限公司
  •  徐州祥頌機械制造有限公司
  • 北京城景園林苗木有限公司
  • 深圳市德平國瀚汽車電子科技有限公司
  • 南京超旭節能科技有限公司
  • 泰安市歐美瑞進出口貿易有限公司
  • 霸州市鐵奇電氣技術有限公司
  • 福建興瑞陽機電科技有限公司
  • 泰州市瑞騰幕墻配件有限公司
  • 河南省中翔物資貿易有限公司
  • 開平市龍勝鎮江豐橡膠廠