“汽车数据安全、互联网安全等自查重点解析”

9月13日，工业和信息化部装备中心媒体发布了《关于开展汽车数据安全、网络安全等自主检测工作的通知》(以下简称《自主检测通知》)。 《自查通知》规定各整车公司自行核查汽车数据安全、互联网安全、软件在线升级、驾驶辅助功能的情况，填写《汽车数据安全、互联网安全等情况自查表》的自查复印件，详见下文

01、必须遵守的规定

《自愿检测通知》应当遵守五个管理文件的规定。 这五个管理规定是一个上位法、两个安全法、两个准入要求。 上位法是《中华人民共和国道路交通安全法》，安全法是《中华人民共和国网络安全法》和《中华人民共和国数据安全法》。

汽车产品准入要求包括《道路汽车生产公司及产品准入管理办法》(第50号令)以及新能源汽车的《新能源汽车生产公司及产品准入管理规定》(第39号令)和《关于工业和信息化部的编撰》lt； 受新能源汽车生产公司及产品准入管理规定>的决定”(第54号令)，对ICV来说，首先要满足各方面的汽车准入要求，然后是智能网络相关准入要求——《关于加强ICV生产公司及产品准入管理的意见》(工信部通装， 此次自查复印件与第50号令、《准入意见》的相关要求基本一致，为后续ICV准入管理奠定基础。

除了这五条管理规定外，自查复印件还包括汽车数据安全管理、ota升级、电信卡实名登记管理等相关管理规定。

02、汽车数据安全自愿检测复印件远小于国家对未来数据安全管理的要求

数据安全自愿检查复印件主要围绕《准入意见》要求、管理制度、数据资产管理登记簿、数据等级分类大体情况、数据安全保护技术措施、数据安全事件报告机制等方面进行自愿检查。 对外资企业关注的个人新闻和重要数据出境问题，在自行调查中，只需列举所含复印件、最近出境时间、频率、安全判断方法等。

检查表的副本可以发现，在数据安全管理方面，公司的自我检查只是第一步，与国家管理的要求差距还很大。 8月21日，国家网信办公室联合发改委、工信部、公安部、交通运输部4部委联合发布的《汽车数据安全管理若干规定(试行)》中规定，提供重要数据需要提交风险判断报告，提供给国外需要国家相关部门组织安全审查和检查 这是因为对于重要的数据，特别是发送到国外的数据，需要准备其他的说明书和资料。 虽然此次自查涉及数据安全的内容不多，但并不意味着国家后续监管力度减弱，公司需要就重要数据和出境数据准备的资料远远多于自查复印件。

在未来一段时间内，数据安全管理将是一个重要的管理方向。 《汽车数据安全管理若干规定(试行)》从征求意见稿到试行只有三个月，但领域内一般对公司的宽限期不够，具体细则还不完善，数据等级分类的详细证明不足，关键数据出境的定义还有待商榷 这些问题有望在具体的管理过程中得到进一步处理。

03、汽车互联网安全依赖公司自行调查要点，短期内未确定监管要求

汽车安全状况的自我调查均以《准入意见》为中心进行，包括互联网安全管理制度、远程服务平台安全等级报告、电信卡实名登记管理、确定的互联网安全责任部门和负责人、保护互联网免受威胁的技术措施、互联网

6月22日前后发表了《关于加强远程信息技术( ICV )互联网安全工作的通知》(征求意见稿)和《远程信息技术( ICV )互联网安全标准体系建设指南》(征求意见稿)，其中ICV 他提到了包括网络通信的安全性、数据安全性、APP服务的安全性等。 自我审查报告将数据安全单独列为一部分，其他自我审查副本中的电话卡实名注册属于终端和设备安全； 互联网的威胁是互联网通信的安全性远程服务平台是APP服务的安全性

关于电信卡，6月11日，工信部网络安全局发布了《关于加强电信卡实名注册管理的通知》(征求意见稿)。 在发出消息之前，没有正式发表。 这是因为在自我调查报告中对电话卡的实名注册只填写了“是”或“否”。 征求意见稿指出，电话卡实名注册只比较前置，实名注册管理平台建设方法的决定权在整车公司，外部委也可以代办，但如何确保电话卡详细复印件的注册、车辆运营和二手车的

关于网络通信相关的网络安全，6-9月全国共审查了61个电信认证和安全信任试验项目，以前面尝试的方法推进商用密码应用，确保了完全蜂窝电信( c-v2x )通信的安全

关于互联网安全的缺陷和漏洞，7月12日发布的《关于发布互联网产品安全漏洞管理规定的通知》和9月13日发布的《互联网产品安全漏洞收集平台备案管理办法(征求意见稿)》均为汽车产品

综上所述，目前比较汽车互联网的安全性没有管理和监管的特定要求和细则。 因为在这个短期内汽车网络的安全性仍然很大程度上依赖于公司的自我调查。

04、ota的升级是公司自我调查和申报的要点

从纸面上可以看出，关于ota升级，公司需要自行填写表格的复印件有110行以上，ota升级是此次公司自我调查和后续公司申报的要点。

《准入意见》中，关于ota升级，简要提到了加强公司管理能力、保证产品生产一致性这两点。 但是，自我调查的复印件中需要详细填写ota升级的各项管理要求、ota升级实施的历史战况等。 需要涉及管理制度、标准规范、升级对产品安全和性能的影响、测试验证流程、版本控制、新闻记录、流程管理、服务平台、互联网安全防护等9个方面的技术措施和管理流程。 因为涉及到安全、节能、环保、防盗等技术参数的变更，《准入意见》中规定必须事先向工信部报告，所以它需要特别的自行判断报告和说明资料，这些也是自行调查的附属资料。 准备升级的副本除了自己检查外，还必须在表格中检查传统ota升级的副本，以确保产品的完整性。

关于ota升级，市场监管总局于2021年6月发布了《关于汽车远程升级( ota )技术召回备案的补充通知》，生产者使用ota方法进行技术服务活动和召回备案的，为“汽车远程升级”安全技术判断报刊。 这意味着公司实施ota升级时，必须分别向工信部和市场监督总局备案。 工信部侧重于保障产品的一致性，市场监管负责人侧重于技术服务和召回管理。 因此，对公司来说，需要填写格式不同、复印件不同的两个表格，在一定程度上增加公司的员工人数。

05、驾驶辅助的自我检查点为l2及以下功能

关于l1 )驾驶辅助)功能的产品，履行告知义务是重点，这也是《准入意见》中最初放置在产品管理中的复印件。 告知顾客的复印件项目基本上与“准入意见”的要求一致。 即车辆功能和性能的限制、驾驶员职责、人机交互设备的指示新闻、功能激活和退出的做法和条件。

l2 )组合驾驶辅助)，重点是宣传方法和脱手检测等技术保障措施的自主检查，《准入意见》中规定的一点l3以上的高级别的自动驾驶所需的技术要件不在公司的自主检查范围内。