汽车数据安全、网络安全等自查要点解析
9月13日,工信部装备中心网站发布了《关于开展汽车数据安全、网络安全等自查工作的通知》(以下简称《自查通知》),《自查通知》规定各整车企业要对汽车数据安全、网络安全、软件在线升级、驾驶辅助功能情况开展自我核查并填写《汽车数据安全、网络安全等情况自查表》这些自查内容可能成为后续网联汽车生产企业及产品准入管理的重要方面。自查的要点主要有:
01、必须遵守的规定
《自查通知》要求必须遵守5个管理文件的规定。这5个管理规定是一个上位法、两个安全法、两个准入要求。上位法是《中华人民共和国道路交通安全法》,安全法是《中华人民共和国网络安全法》和《中华人民共和国数据安全法》。
汽车产品的准入要求是《道路机动车辆生产企业及产品准入管理办法》(第50号令),以及新能源汽车的《新能源汽车生产企业及产品准入管理规定》(第39号令)和《工信部关于修改<新能源汽车生产企业及产品准入管理规定>的决定》(第54号令),而对于智能网联汽车来说,首先要满足作为汽车的各方面准入要求,然后才是智能网联相关的准入要求——《关于加强智能网联汽车生产企业及产品准入管理的意见》(工信部通装〔2021〕103号,以下简称《准入意见》)。本次自查内容与第50号令、《准入意见》的相关要求基本一致,为后续开展智能网联汽车准入管理打下基础。
除了这5个管理规定以外,自查的内容还涉及与汽车数据安全管理、OTA升级、车联网卡实名登记管理等相关管理规定。
02、汽车数据安全的自查内容远小于国家未来对数据安全监管的要求
数据安全自查的内容主要围绕《准入意见》要求的:管理制度、数据资产管理台账、数据分级分类的原则、数据安全保护技术措施、数据安全事件报告机制等方面进行自查。对于外资企业比较关注的个人信息及重要数据的出境问题,自查只需要列示包括的内容、最近一次出境的时间、频次以及开展的安全评估方式等。
从自查表里的内容能看出来,对于数据安全监管,企业自查只是第一步,与国家监管的要求差距还很大。8月21日,国家网信办联合发改委、工信部、公安部、交通运输部 4部委联合发布的《汽车数据安全管理若干规定(试行)》中指出,重要数据需要报送风险评估报告,如果向境外提供还需要通过国家相关部门组织的安全评审和检验抽查,因此对于重要数据尤其是向境外输送的数据还需要准备其他证明文件和资料。虽然本次自查中数据安全相关的内容不算多,但是并不代表国家后续监管的力度会弱,企业对于重要数据以及离境数据需要准备的材料远比自查的内容要多的多。
在接下来的一段时间内,数据安全监管将是一个重要的管理方向。《汽车数据安全管理若干规定(试行)》从征求意见稿到试行只有3个月的时间,行业内普遍反应:给予企业的缓冲期不足,具体细则仍不完善,缺乏数据分级分类的详细说明,对于重要数据出境的界定仍有待商榷。这些问题将在具体管理过程中有望得到进一步解决。
03、汽车网络安全将重点依靠企业自查,短期内无明确监管要求
汽车网络安全情况的自查全部围绕《准入意见》开展,包括网络安全管理制度、远程服务平台安全等级报告、车联网卡实名登记管理、明确的网络安全责任部门和负责人、免受网络威胁的技术措施、网络安全风险监测、网络安全缺陷和漏洞等发现和处置技术条件、网络安全事件报告等。
在6月22日前后分别发布了《关于加强车联网(智能网联汽车)网络安全工作的通知》(征求意见稿)和《车联网(智能网联汽车)网络安全标准体系建设指南》(征求意见稿),其中提及到智能网联汽车网络安全范畴是比较大的,包括了终端与设备安全、网联通信安全、数据安全、应用服务安全等方面。自查报告中将数据安全单独列为一部分,其他自查内容中的车联网卡实名登记属于终端与设备安全;网络威胁属于网联通信安全;远程服务平台属于应用服务安全。
对于车联网卡,6月11日,工信部网安局发布了《关于加强车联网卡实名登记管理的通知》(征求意见稿),截止发稿前,尚未正式发布,因此在自查报告中对于车联网卡的实名登记只填写是或者否。征求意见稿中指出,车联网卡的实名登记只针对前装,实名登记管理平台的建设方式的决定权在整车企业,可外委也可以代建,但是对于车联网卡登记哪些详细内容、如何确保人证一致、运营车辆以及二手车如何登记等内容并未在征求意见稿中有明确规定,还需要进一步关注相关进展。
对于网联通信相关的网络安全,从6-9月在全国评审出61个车联网身份认证和安全信任试点项目,以先行先试的方式推动商用密码应用,完善蜂窝车联网(C-V2X)通信安全。
对于网络安全缺陷和漏洞,7月12日发布的《关于印发网络产品安全漏洞管理规定的通知》以及9月13日发布的《网络产品安全漏洞收集平台备案管理办法(征求意见稿)》均不是专门针对汽车产品的,汽车产品只能算其中的一方面,并不完全适合汽车领域安全漏洞的特点。
由上可看出,目前针对汽车网络安全并没有管理和监管的特定要求和细则,因此短期内汽车网络安全仍较大程度依赖企业自查。
04、OTA升级将是企业自查和申报的重点工作
从表格篇幅来看,对于OTA升级,需要企业自行填写表格的内容有110多行,可见OTA升级是本次企业自查以及后续企业申报的重点方面。
《准入意见》中对于OTA升级只简单提及了2点:强化企业管理能力、保证产品生产一致性。但是自查的内容需要详细填写OTA升级的各项管理要求、OTA升级实施的历次情况等。在管理制度、标准规范、升级对于产品安全和性能的影响、测试验证流程、版本管理、信息记录、过程管理、服务平台、网络安全防护等9大方面都要有相关技术措施和管理流程。涉及到安全、节能、环保、防盗等技术参数变更,由于《准入意见》中规定需要提前报备工信部,因此还需要专门的自我评估报告及证明材料,这些也是自查的附带材料。除了准备升级的内容要自查以外,对于以往OTA升级的内容也要在表格中进行自查,以保障产品的一致性。
对于OTA升级,市场监管总局在2021年6月发布了《关于汽车远程升级(OTA)技术召回备案的补充通知》,规定生产者备案采用OTA方式的技术服务活动或召回时,需提交《汽车远程升级(OTA)安全技术评估信息表》。这就意味着,当企业要实施OTA升级时,需要分别向工信部和市场监督总局同时备案,工信部偏重保障产品一致性,而市场监督总监偏重技术服务和召回管理,因此,对于企业来说,需要填写2份格式不同、内容有差异的表格,在一定程度上增加企业的工作量。
05、驾驶辅助方面自查重点是L2及以下功能
对于L1(驾驶辅助)功能的产品,重点是履行告知义务,这也是《准入意见》里产品管理中放在首条的内容。向消费者告知的内容项基本与《准入意见》的要求一致,即车辆功能及性能限制、驾驶员职责、人机交互设备指示信息、功能激活及退出方法和条件。
对于L2(组合驾驶辅助)偏重的是宣传方式和脱手检测等技术保障措施方面的自查,对于《准入意见》中规定的一些L3及以上高级别自动驾驶应该具备的技术要求并未放在企业自查的范围内。