2022年3月7日，《车联网网络安全和数据安全标准体系建设指南》（以下简称《指南》）正式发布，用于指导相关标准研制，并明确了建设目标。本期专题简要梳理《指南》内容，分析车联网行业的监管态势，同时为企业合规工作提出相关建议。

• 浅析车联网与网络数据安全合规　[潘永建、朱晓阳、沙莎，通力律师事务所]

1. 数据分类分级

同征求意见稿相比，《指南》除将《网络安全法》作为上位法依据外，还强调《数据安全法》在车联网网络数据安全体系建设中的重要作用。数据安全具体包括通用要求、分类分级、出境安全、个人信息保护以及应用数据安全等五类标准，对解决车联网数据安全建设中的突出问题予以指导，而数据分类分级则是其中的重中之重。

车联网数据分类分级是划分数据安全保护要求、整合车联网企业数据安全管理资源的重要依据。工信部于2020年发布的通信行业标准《车联网信息服务 数据安全技术要求》（YD/T 3751-2020）是《指南》要求的车辆网数据分类分级标准之一，YD/T 3751-2020对车联网信息服务相关数据实施六类三级管理，即将数据分为基础属性数据、车辆工况数据、环境感知数据、车控类数据、应用服务类数据与用户个人信息六类； 并将各类数据按照数据敏感性进一步分为一般数据、重要数据和敏感数据：　

YD/T 3751-2020规范除个人信息外的所有车联网信息服务过程中的数据，车联网服务过程中的个人信息保护要求则由《车联网信息服务 用户个人信息保护要求》（YD/T 3746-2020）规制，该标准与YD/T 3751-2020同时颁布，也是《指南》要求的个人信息保护标准之一。YD/T 3746-2020将个人信息分为个人一般信息、个人重要信息和个人敏感信息，其中个人重要信息类型的占比最大。YD/T 3746-2020对不同类别个人信息保护标准提出要求，包括访问控制权限、安全管理措施等，同时保证了个人信息的可用性和安全性。个人信息分类示例如下所示：　

有效的数据分类分级也是实现汽车数据跨境流通安全的基础，在日常管理过程中，数据跨境传输是车联网企业，特别是跨国车联网企业无法回避的问题，尤其是重要数据和敏感数据还面临更加严格的监管要求。2021年底，我国北京、上海、天津、河北、广东等多地车企已经按照《汽车数据安全管理若干规定（试行）》的要求向网信部门提交重要数据处理年度报告，对处理重要数据的基本情况进行说明，其中向境外传输重要数据的企业，还需要进一步报告数据的种类、数量、保存情况、客诉处理、境外接收方信息等。为落实数据出境合规要求，企业必须进行车联网数据分类分级，并以此为基础开展高效的数据治理活动。

2. 识别风险源并正确抵御风险

根据中国信通院2021年12月发布的《车联网白皮书》，车企视角下的网络安全风险主要来自车机自身网络安全、汽车通信安全、车联网服务平台安全三方面，企业应当正确识别风险源，并结合《指南》要求及时采取有效防御措施。结合《指南》规定的标准体系，我们整理了车企视角下的风险类别、风险描述以及抵御措施：　

• 从《车联网网络安全和数据安全标准体系建设指南》看车联网合规重点　[吴丹君，北京观韬中茂（上海）律师事务所]

（一）数据安全管理

《数据安全法》提出开展数据处理活动应当建立健全全流程数据安全管理制度，结合《汽车数据安全管理若干规定（试行）》《关于加强车联网网络安全和数据安全工作的通知》《关于开展汽车数据安全、网络安全等自查工作的通知》及《数据安全技术要求》，车联网相关企业开展数据安全管理工作可从如下角度着手，企业亦可使用如下表格对自身数据安全管理现状进行评估：　

（二）数据分类分级保护

在《数据安全法》提出建立数据分类分级保护制度的基础上，2021年9月工信部发布的《关于加强车联网网络安全和数据安全工作的通知》要求智能网联汽车生产企业、车联网服务平台运营企业要按照“谁主管、谁负责，谁运营、谁负责”的原则建立数据管理台账，实施数据分类分级管理，加强个人信息与重要数据保护。2021年10月正式生效的《汽车数据安全管理若干规定（试行）》进一步细化在车联网领域中汽车数据处理者对重要数据和敏感个人信息应当采取的特殊保护措施，并明确车联网领域中重要数据的内涵：　

除了以上法律要求外，《车联网信息服务 用户个人信息保护要求》（YD/T 3746-2020）和《数据安全技术要求》分别从个人信息和非个人信息角度为企业提供可落地的数据分类分级保护指引。以非个人信息为例，《数据安全技术要求》将涵盖车联网信息服务过程中除了用户个人信息以外的所有数据囊括在内，包括但不限于来自车辆、移动智能终端、路边设施和车联网服务平台等载体相关的数据。该标准将前述数据分为基础属性类、车辆工况类、环境感知类、车控类和应用服务类等五个类型，并根据车联网信息服务数据的安全目标、重要性以及在发生安全事件时可能造成的影响范围与严重程度，将数据划分为一般数据、重要数据和敏感数据三个级别，车联网相关企业可予以参考。

（三）数据安全管理情况报送

《汽车数据安全管理若干规定（试行）》中提出“车内处理”“默认不收集”“精度范围适用”“脱敏处理”等数据处理原则，这将成为制定《指南》项下数据安全相关标准的基准。同时，《汽车数据安全管理若干规定（试行）》明确了开展重要数据处理活动的汽车数据处理者应当履行的报送义务：　

• 车联网网络和数据安全体系指南：监管趋势与监管焦点　[赵德铭、许鑫鑫，环球律师事务所]

一、监管趋势

1. 车联网数据安全成为监管重点

《指南》提出，至2023年底，初步构建起车联网网络安全和数据安全标准体系；到2025年，形成较为完善的车联网网络安全和数据安全标准体系。

与工业和信息化部于2021年6月发布的《车联网（智能网联汽车）网络安全标准体系建设指南》（征求意见稿）》（下称“《指南（征求意见稿）》”）相比，此次《指南》与之相比的最大变化，在于在《指南（征求意见稿）》中仅作为三级标题项下内容的“数据安全”，在《指南（征求意见稿）》中提升至与网络安全同等重要的地位。此外，《指南（征求意见稿）》正文中“数据安全”一词出现16次，而《指南》除在标题中增加“数据安全”外，正文中也出现达31次。

2. 车联网数据安全监管逻辑渐趋明朗

此前出台的法律及政策文件，限于“车内处理”、“默认不收集”、“精度范围适用”、“脱敏处理”等数据处理原则，以及汽车数据处理者应当履行个人信息保护责任等内容，并未明示监管逻辑脉络。

《指南》则提出了车联网数据安全监管的逻辑框架，内含智能网联汽车、车联网平台、车载应用服务等数据安全和个人信息保护要求，包括通用要求、分类分级、出境安全、个人信息保护、应用数据安全等5类共18项具体监管脉络，详见以下车联网网络安全和数据安全监管逻辑脉络框架图：　

车联网网络安全和数据安全监管逻辑脉络图

以个人信息保护为例，《个人信息保护法》确定了匿名化、去标识化、脱敏处理等个人信息处理原则，《指南》则进一步指出，作为监管要求，个人信息保护标准要厘清用户敏感数据和个人信息保护的场景、规则、技术方法，包括匿名化、去标识化、数据脱敏、异常行为识别等具体标准。根据《指南》，与个人信息保护标准相关的两个标准子目，即《基于移动互联网的汽车用户数据应用与保护技术要求》和《基于移动互联网的汽车用户数据应用与保护评估方法》，均已在制定过程中。这意味着车联网数据安全保护的规定的监管逻辑脉络已经渐趋明朗。

二、监管焦点

1. 限制过度采集和滥用数据

为有效确保智能网联汽车能够适应不同的场景、路况以提供便利、安全的服务，整车厂商、智能汽车制造商、服务提供商等在向用户提供信息服务类和智慧交通类应用时，需要对车主身份信息（如姓名、身份证号码、联系方式、人脸特征等）、车辆身份信息（如车牌号、车辆型号、发动机型号等）、汽车运行数据（如行驶轨迹、行驶时间等）以及车内声音、图像、道路信息等予以采集，并相应进行智能分析和决策。

如前所述，此前出台的法规虽已规定了“车内处理”、“默认不收集”、“精度范围适用”、“脱敏处理”等汽车数据的收集和使用规则，但由于车联网属于新兴行业，车联网数据保护尚缺乏成熟的行业做法，对于哪些数据可被采集、数据如何利用、是否可以分享给第三方等关键问题上，数据处理者如何“自我约束”，界限不明。

而在实践中，因汽车数据过度采集或滥用所导致的外部纠纷或者行政处罚，却屡见不鲜。2021年7月，某出行APP因存在严重违法、违规收集使用个人信息问题，被国家互联网信息办公室通知下架。

典型案例 　

针对汽车数据过度采集和滥用问题，《指南》规划了数据全流程监管方案，其中包括：　

除了规划数据安全标准，《指南》还就应用服务安全明确了监管标准的三个建设方向，即平台安全、应用程序安全以及服务安全，将以此强化车联网服务平台、汽车企业以及第三方服务商等主体在各类数据应用场景及活动中的数据安全处理责任，防止数据过度采集和滥用。

2. 强化个人信息（用户隐私）保护

典型案例 　

《指南》将个人信息保护作为数据安全标准的重点，并以以下四项标准子项加以强化：《车联网信息服务 用户个人信息保护要求》（YD/T 3746-2020，已发布）、《基于移动互联网的汽车用户数据应用与保护技术要求》、《基于移动互联网的汽车用户数据应用与保护评估方法》及《车联网用户个人合规检测要求》。同时，《指南》还针对个人信息保护规划了身份认证、密码应用、分类分级、数据脱敏、实名登记与人像对比规范等多种监管要求，力图实现对个人信息的全方位保护。

3. 约束、规范网约车行业

《指南》针对网约车行业的数据应用安全问题，明确车联网相关应用所开展的数据采集、使用和其他处理的规范，并将制定关于车联网平台、网约车、车载应用程序等数据安全监管标准。

目前，《信息安全技术网络预约汽车服务数据安全指南》和《网络预约出租汽车服务平台数据安全防护要求》两项标准已经在制定中，预计将为网约车行业数据保护提供更加完善的规范和详细的指引。

• 车联网网络安全和数据安全标准体系建设指南发布 行业标准体系建设步伐加快　[薛颖、王玉璇，己任律师事务所]

1.车联网安全管理制度更加完善

近年我国不断出台车联网相关的政策、法规与标准，车联网安全管理制度逐步完善，可以预期未来对于车联网行业的网络安全与数据安全监管逐步细化、具体化。从2022年2月，工信部再次公开征求对《工业和信息化领域数据安全管理办法（试行）》的意见，在车联网数据安全范畴内，未来将会进一步加快数据出境安全评估、车联网数据安全指引等政策规范的出台，着力推进数据安全评估认证等相关标准，以进一步指导企业完善网络安全与数据安全管理工作。相关企业应当将网络安全与数据安全作为企业发展的基石，高度重视并根据规定落实此类安全合规工作。

2.车联网安全监测和漏洞管理更加细化

为加强网络安全威胁的预警，2018年工信部发布了《公共互联网网络安全威胁监测与处置办法》的通知，为对车联网安全威胁进行监测、通报，支撑网络安全和数据保护工作，2019年12月，我国正式发布国家工业互联网安全态势感知与风险预警平台，此外，2021年7月，工信部、网信办和公安部联合印发《网络产品安全漏洞管理规定》，以对企业进行指导，防范网络安全和数据安全风险。在当前《指南》对安全监测与应急管理标准制度做出规划基础上，未来我国将会进一步完善车联网安全监测技术平台，扩展服务范围，提高网络安全与数据安全的监测能力。对于发生的网络安全和数据安全的通报处理机制将更加健全，通过警示通报促进行业内安全意识的提高。车联网行业内相关企业应动态关注此类安全威胁与风险预警的通知，防范网络安全与数据安全风险。

3.车联网监管维度更加多元

除了传统的车联网在网络安全、数据安全方面的保护义务之外，近年来我国也不断完善监管的维度。在电信业务经营许可方面，《工业和信息化部关于加强车联网网络安全和数据安全工作的通知》中明确了“车联网平台要落实电信业务经营许可的要求，涉及在线数据处理与交易处理、信息服务业务等电信业务的，应依法取得电信业务经营许可”；对于被认定为关键信息基础设施的车联网平台，则需要落实《关键信息基础设施安全保护条例》有关规定；如果车联网平台涉及到商用密码的，监管部门也会关注是否开展商用密码应用安全性评估等问题；智能网联汽车涉及自动驾驶地图的，还可能涉及对测绘资质的监管；另外，掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查……车联网融合了汽车、电子、信息通信、交通等多个领域，未来车联网领域的监管方向更加多元，各监管部门之间的协调联动更加密切，车联网行业内相关企业应当注意全方位的合规，在网络安全、数据安全之外，加强电信资质、测绘资质、商用密码等维度的合规自查，确保合法合规经营。

4.更加重视车联网安全产业发展

《指南》不仅会对汽车行业产生影响，也会对车联网产业链相关的软硬件企业的投资与发展趋势产生影响，比如激光雷达、高精度地图、计算平台、芯片等感知系统和通信系统等上游产业，智能驾驶座舱等中游产业，以及出行服务、数据增值服务等下游产业。2021年7月，工信部发布《网络安全产业高质量发展三年行动计划（2021-2023年）（征求意见稿）》，要求释放需求，鼓励重点行业企业加大网络安全投入，单独列支网络安全预算，提出重点行业网络安全投入占信息化投入比例达10%。未来安全产业发展提速，相关企业可以顺应趋势，加强网络安全与数据安全的防护水平，参与车联网身份认证和安全信任体系建设。此外，也可以关注国家车联网领域内的网络安全保险试点工程，通过网络安全保险服务控制企业的风险敞口，构建并完善自身网络安全风险管理体系，强化网络安全风险应对能力。

5.关注国际标准制定的参与能力

2019年2月，工业和信息化部装备司选派的中国代表当选联合国世界车辆法规协调论坛（以下简称UN/WP.29）自动驾驶车辆工作组（GRVA）的副主席，该工作组负责加快推进功能要求、测试方法、信息安全等相关法规的制定与协调。2021年6月，WP.29发布了3项关于智能网联汽车的重要法规R155/R156/R157，即信息安全（Cybersecurity）/软件升级（Software updates）/自动车道保持系统（ALKS）；该系列法规适用于1958协议下成员国，虽然中国不在1958协议国中，但是生产的汽车只要销售到欧盟等1958协议成员国国家中就必须通过相关认证。我国汽车行业发展势头迅猛，欧洲市场作为一个重要市场，车辆的信息安全也应从遵守标准向关注WP.29法规发展，出口到1958协议成员国国家的汽车都应遵守R155法规的要求，通过R155合规认证（网络安全管理体系认证（CSMS）和车辆网络安全型式认证（VTA））。《指南》提出加强与国际标准化组织的交流与合作，积极参与国际标准化活动。相关企业也应从自身实际出发，联合产业链上下游企业，积极参与各类国家标准、乃至国际标准的制定过程中去，从源头上发声，为行业与自身发展建言献策。