3.3 2020—2021年重要标准解读

1.国际重要标准解读

（1）《信息安全与信息安全管理系统》法规

“信息安全”是指道路车辆及其功能受到保护，使其电子电气元件免受网络威胁；“信息安全管理系统（CSMS）”是一种基于风险的系统方法，定义了组织过程、职责和治理方法，以处理与车辆网络威胁相关的风险并保护其免受网络攻击。法规包括信息安全相关的一般要求、CSMS合格证书、管理审批等内容，并提出了详细的信息安全威胁、漏洞、攻击方法，以及对应的缓解措施，为汽车行业实施必要的流程提供了一个框架，如图3-1所示。

“合规认证”主要分为两部分（图3-2），一是网络安全管理体系认证（CSMS），主要审查车辆制造商是否在车辆完整生命周期的各个阶段均制定了网络安全管理流程，以确保汽车全生命周期中都有对应的流程措施。各流程实施于开发、生产、量产运维各个阶段，保证信息安全设计、实施及响应均有流程体系指导。二是车辆网络安全型式认证（VTA），针对信息安全开发中具体的工作项进行审查，保证实施于车辆的信息安全防护技术在进行审查认证时足够完备。

智能网联汽车信息安全成为全社会共同关注的焦点。2021年1月22日，《信息安全与信息安全管理系统》法规正式生效，开放申请CSMS证书、VTA证书，在网络安全方面基本涵盖了乘用车和商用车的适用范围，适用于M类车型、N类车型、至少装备了一个ECU的O类车型、具备L3级及以上自动驾驶功能的L6和L7类车型。此法规规定了车辆制造商需要满足的信息安全强制要求，要求在2022年7月起适用于新车型，2024年7月起适用于所有车型。2022—2024年的现有架构新车型上市，若无法按照CSMS开发，则VTA必须证明在开发阶段已充分考虑网络安全。到2025年1月过渡期结束，要求所有架构所有车型通过认证（CSMS+VTA）。

（2）《软件升级与软件升级管理系统》法规

“软件升级”是指用软件包将软件升级或更新到新的版本（包括更改配置参数）；“软件升级管理系统（SUMS）”是一种通过定义组织过程和程序，以符合本法规软件升级要求的系统方法。本法规适用于允许软件升级（更新）的M类、N类、O类、R类、S类和T类车辆。此法规为汽车行业实施必要的流程提供了一个框架，如图3-3所示。

软件升级后的功能增加为用户来带更好的体验。软件在线升级技术的应用日益广泛，2021年6月，欧盟汽车专家组提交了Regulation（EU）2018/858和Regulation（EU）2019/2144关于软件更新的修订法规草案，将R156法规融入其中，预计相关内容将于2022年正式实施。另外，国际标准化组织道路车辆委员会软件升级工作组对ISO 24089《道路车辆软件升级工程》进行立项，旨在为道路车辆软件升级提供一个标准架构，目前该标准处于草案编写阶段，预计将于2024年发布。

（3）《自动车道保持系统》法规

联合国《自动车道保持系统》法规是针对“3级”驾驶自动化功能的第一个具有约束力的国际法规。该法规规定ALKS在具备物理隔离且无行人及两轮车的道路上行驶，运行速度不应高于60km/h。该法规以联合国《自动驾驶框架文件》为指导，从5个方面对自动车道保持系统提出严格要求。一是“系统安全”，要求系统在激活后可以执行全部动态驾驶任务；二是“故障安全响应”，要求系统具备驾驶权转换、碰撞应急策略和最小风险策略；三是“人机界面”，规定系统的激活和退出条件，并明确系统的应提示信息及形式；四是“自动驾驶车辆数据存储系统”，要求应记录系统的驾驶状态；五是“信息安全和软件升级”，要求系统应满足“信息安全法规”和“软件升级法规”。

该法规对于安全定义、技术要求更高。该法规要求汽车制造商引入驾驶员可用性识别系统，还需为车辆配备“黑匣子”，即所谓的自动驾驶车辆数据存储系统（DSSAD），并明确基于性能的要求。汽车制造商在授权该法规的国家销售配备ALKS的车辆之前必须满足该法规的所有要求，其中包括管理型式认证、技术要求、审计和报告以及测试的规定，而且ALKS功能还必须符合两项新的联合国条例中规定的网络安全和软件更新要求。目前，英国已经允许装载自动车道保持系统的汽车上路，但是要求这些车辆在高速公路上以不超过60km/h的速度自动行驶。不过在技术完全成熟之前，绝大多数国家地区的选择是，有限度地放开自动驾驶汽车测试，并不允许自动驾驶汽车直接上路行驶。

2.国内重要标准解读

（1）《国家车联网产业标准体系建设指南（车辆智能管理）》

车辆智能管理标准体系建设架构如图3-4所示，主要包括基础类标准、智能网联汽车登记管理类标准、身份认证与安全类标准、智能网联汽车运行管理类标准、车路协同管控与服务类标准等5部分，共列标准66项。

1）基础类标准：为其他各部分标准的制修订提供支撑，主要包括术语和定义、分类和编码、符号等方面的标准。

2）智能网联汽车登记管理类标准：主要支撑智能网联汽车运行安全测试、公安交通管理部门开展智能网联汽车登记、在用车定期安全技术检验等安全管理工作，包括运行安全要求、运行安全测试要求等方面的标准。开展登记管理是智能网联汽车运行安全测试和上路行驶的基本前提。

3）身份认证与安全类标准：主要支撑智能网联汽车和道路交通管理系统、设施之间的身份互认，主要包括智能网联汽车身份与安全、道路交通管理设施身份与安全、身份认证平台及电子证件等方面的标准。在车联网环境中，车辆及其驾驶员、道路交通管理设施具有数字身份，对其进行验证是确保信息交互及安全的关键环节。

4）智能网联汽车运行管理类标准：主要支撑公安交通管理部门依法对上路行驶的智能网联汽车进行管理，主要包括交通秩序管理、交通事故处理和实时运行管理等方面的标准。针对智能网联汽车开展道路通行秩序管理、道路交通事故处理等道路运行管理工作，是车辆智能管理的核心所在。

5）车路协同管控与服务类标准：主要支撑车联网环境下道路交通管理设施信息交互及基于道路交通管理相关信息系统提供信息服务。车路协同管控与服务工作是支撑车联网技术在道路交通管理领域应用的根本保障。

（2）《汽车数据安全管理若干规定（试行）》

2021年8月16日，国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合发布《汽车数据安全管理若干规定（试行）》（以下简称《规定》）。随着新一代信息技术与汽车产业加速融合，以及智能汽车产业、车联网技术的快速发展，以自动辅助驾驶为代表的人工智能技术日益普及，汽车数据处理能力日益增强，暴露出的汽车数据安全问题和风险隐患日益突出。此《规定》总共有19条有针对性的规章制度，明确汽车数据处理者的责任和义务，规范汽车数据处理活动。以下为该《规定》总结出的9大要点。

1）概念更迭、适用对象覆盖全行业、全链条。相较于国家互联网信息办公室于2021年5月12日发布的《规定（征求意见稿）》（以下简称《征求意见稿》），正式施行的《规定》中将原有的“运营者”概念转换为“汽车数据处理者”，“运营者”概念可能是派生自《网络安全法》中的“网络运营者”，而转换为“汽车数据处理者”则更贴近汽车行业实务中对数据的处理模式。汽车数据处理包括汽车数据的收集、存储、使用、加工、传输、提供、公开等；汽车数据处理者是指开展汽车数据处理活动的组织，包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等。

2）受保护的信息范围呈现汽车行业特征。本《规定》以列举的方式更加有针对性地明确了汽车行业中的重要数据，对汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等均提供了重要指引。其中，该《规定》删除了《征求意见稿》中的“高于国家公开发布地图精度的测绘数据”，新增了“车辆流量、物流等反映经济运行情况的数据”。将汽车充电网的运行数据、人脸、车牌等定义为重要数据，对智能网联汽车相关企业在数据的收集与管理过程中的合规工作具有重要影响。对于重要数据处理活动，汽车数据处理者应当按照规定开展风险评估，并向省、自治区、直辖市网信部门和有关部门报送风险评估报告。

3）新增“车内”“车外”的区域概念，契合汽车特有场景。作为高速发展的智能化产物，汽车在车内可以收集车主、驾驶员及乘客的隐私信息，车外可以收集行人、沿途道路及城市的数据信息，确需加以区域划分。就个人信息及重要数据的跨区域提供问题，《网络安全法》《数据安全法》等均主要着力于境内向境外提供这一数据出境的场景，而该《规定》在前述规定的基础上新增了“车内”“车外”的区域概念，契合了汽车行业特有的场景，对汽车数据处理者做出了更明确具体的要求。汽车数据处理者在处理个人信息和重要数据时，首先应坚持车内处理的原则，除非确有必要，不向车外提供；确有必要向车外提供的，应尽可能地进行匿名化。其次，汽车数据处理者处理敏感个人信息时，还应当取得个人单独同意、在保证行车安全的前提下以适当方式提示收集状态，为个人终止收集提供便利。这些也将促使汽车数据处理者进一步提高自身的车内处理技术。

4）明确汽车数据处理者处理个人信息和重要数据的原则。该《规定》明确了汽车数据处理者在开展汽车数据处理活动的原则，删除了此前《征求意见稿》中的“最小保存期限原则”及“驾驶员的同意授权只对本次驾驶有效”的规定，并将“匿名化处理原则”改为“脱敏处理原则”。这是对汽车行业以及车联网产品现实情况的回应，但不意味着监管部门对汽车数据处理监管态度的放宽。智能网联汽车产业对数据需求量巨大，其采集的数据包括车辆数据、用户数据、地图数据、位置数据、视觉数据、路况数据、业务数据和第三方数据等。该《规定》倡导个人信息和重要数据的车载端本地化存储及本地化处理，确有必要向车外提供的，应本着脱敏处理原则，尽可能地进行匿名化和脱敏处理，这对车载芯片计算能力及车辆本地存储能力提出了更高的要求。

5）细化个人敏感信息的处理要求。该《规定》明确汽车数据处理者处理敏感个人信息时，应当符合要求或者符合法律、行政法规和强制性国家标准等其他要求。相比于《征求意见稿》，该《规定》对于敏感个人信息相关规定进行了较大修改，删除了《征求意见稿》中提到的“默认不收集、每次都应当征得驾驶人同意授权，驾驶结束（驾驶人离开驾驶席）后本次授权自动失效”的规定，增加了“取得个人单独同意，个人可以自主设定同意期限”的要求。较《征求意见稿》而言更为灵活，将同意期限的决定权交给个人，代替每次都须取得同意的要求。此外，关于保存时间，《网络安全法》及《信息安全技术 个人信息安全规范》对个人信息的删除期限没有明确规定。然而该《规定》要求，当个人要求汽车数据处理者删除个人信息时，汽车数据处理者应当在十个工作日内删除。

6）明确了个人信息与重要数据跨境传输的相关要求。该《规定》要求重要数据应当在境内存储，因业务需要确需向境外提供的，应当通过国家网信部门会同国务院有关部门组织的安全评估。该《规定》删除了《征求意见稿》中要求个人信息原则上应当在境内存储的要求，仅对重要数据的境内存储义务进行了规定。对于未列入重要数据的涉及个人信息数据的出境安全管理，适用法律、行政法规的有关规定。我国缔结或者参加的国际条约、协定有不同规定的，适用该国际条约、协定，但我国声明保留的条款除外。关于个人信息的存储问题，根据《个人信息保护法》，“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。”实践中，由于车企往往会收集处理大量个人信息，不排除被认定为关键信息基础设施运营者的可能性，此时，汽车数据处理者仍将承担将个人信息存储在境内的义务。该《规定》针对汽车数据处理者向境外提供重要数据还提出了相关要求，汽车数据处理者向境外提供重要数据，不得超出出境安全评估时明确的目的、范围、方式、数据种类和规模等。

7）明确了用户同意的特殊规定。无论是在《民法典》《网络安全法》《个人信息保护法》还是本次发布的《规定》中，收集、使用个人信息应当取得被收集人同意是共通的基本规定。但在该《规定》发布之前，汽车行业确实面临实际操作中无法完全符合“取得用户同意”之规定的困境。如在自动驾驶技术中，需要集成大量的摄像头、雷达、测速仪、导航仪等各类传感器，通过实时获取路况、环境、车辆及用户数据等数据来完成，在此过程中，无法避免地会收集行人的个人信息，而要取得行人的明示同意在实践操作中是难以完成的。

8）数据安全年报制度。该《规定》要求汽车数据处理者开展重要数据处理活动，应当在每年12月15日前向省、自治区、直辖市网信部门和有关部门报送年度汽车数据安全管理情况。该《规定》删除了《征求意见稿》对于“涉及个人信息主体超过10万人”这一范围的限定，将数据安全年报报送义务主体扩大至所有汽车数据处理者。

9）加强数据安全管理的平台建设、建立投诉举报通道。关于汽车数据安全监督管理和保障，该《规定》新增了明确国家加强智能（网联）汽车网络平台建设，开展智能（网联）汽车入网运行和安全保障服务等，协同汽车数据处理者加强智能（网联）汽车网络和汽车数据安全防护。国家互联网信息办公室有关负责人也指出，汽车数据安全管理需要政府、汽车数据处理者、个人等多方主体共同参与，各有关部门在汽车数据安全管理过程中，将加强协调和数据共享，形成工作合力。并且，该《规定》也对汽车数据处理者开展汽车数据处理活动提出了新的要求，即应当建立投诉举报渠道，设置便捷的投诉举报入口，及时处理用户投诉举报。整体来看，该《规定》从汽车行业的各项场景实际出发，针对其复杂、繁多的数据主体，以汽车数据处理者及监管者为侧重，有的放矢地提出了各方面数据安全监管要求及措施，对于汽车领域的标准化、规范化数据安全发展来说，具有非常重要的意义。

（3）《汽车驾驶自动划分级》

GB/T 40429—2021《汽车驾驶自动化分级》是中国智能网联汽车标准体系的基础类标准之一，由工业和信息化部提出、全国汽车标准化技术委员会归口。其中包括了对驾驶自动化的定义、驾驶自动化分级原则、驾驶自动化等级划分要素、驾驶自动化各等级定义、驾驶自动化等级划分流程及判定方法、驾驶自动化各等级技术要求等。

《汽车驾驶自动化分级》将未来汽车自动驾驶按6个要素进行划分，分别是：驾驶自动化系统是否持续执行动态驾驶任务中的车辆横向或纵向运动控制；驾驶自动化系统是否持续执行动态驾驶任务中的目标和事件探测与响应；驾驶自动化系统是否同时持续执行动态驾驶任务中的车辆横向和纵向运动控制；驾驶自动化系统是否持续执行全部动态驾驶任务；驾驶自动化系统是否自动执行最小风险策略；驾驶自动化系统是否存在设计运行范围限制。基于这6个要素，国家标准再将驾驶自动化系统划分为0级（应急辅助）、1级（部分驾驶辅助）、2级（组合驾驶辅助）、3级（有条件自动驾驶）、4级（高度自动驾驶）、5级（完全自动驾驶）共6个等级，详见表3-5。不同等级的自动驾驶系统，在用户角色和驾驶自动化系统角色这两大方面存在着明显的要求和差异，详见表3-6和表3-7。