『壹』 工信部:加強智能網聯汽車生產准入管理 保證用車安全性
簡單來說,制定《意見》的主要目的,有兩方面用意,首次是制定行業標准,讓中國智能網聯汽車產業高質量高水平的蓬勃發展,依託高技術在國際市場具備足夠強的競爭力。其次是制定符合當下製造和消費者應用趨勢的安全管理規定,保障公民和公共安全。
制定《意見》的背景,主要是為了推動智能網聯汽車產業發展,加快推進政策法規研究、技術標准體系建立。結合國際政策法規實踐經驗,盡快制定《意見》,明確原則要求,逐步探索開展准入管理,加快產品推廣應用,是推動汽車產業創新發展的需要。
同時,針對網路攻擊、網路侵入等網路安全問題,駕駛自動化系統隨機故障、功能不足等引發的道路交通安全問題,以及在線升級(又稱OTA升級)改變車輛功能、性能可能引入的安全風險。
因此,迫切需要制定《意見》,加強智能網聯汽車生產企業及產品准入管理,明確汽車數據安全、網路安全、在線升級等管理要求,指導企業加強能力建設,嚴把產品質量安全關,切實維護公民生命、財產安全和公共安全。
以下是《意見》原文:
關於加強智能網聯汽車生產企業及產品准入管理的意見
工信部通裝〔2021〕103號
各省、自治區、直轄市及新疆生產建設兵團工業和信息化主管部門,各省、自治區、直轄市通信管理局,有關汽車生產企業:
為加強智能網聯汽車生產企業及產品准入管理,維護公民生命、財產安全和公共安全,促進智能網聯汽車產業健康可持續發展,根據《中華人民共和國道路交通安全法》《中華人民共和國網路安全法》《中華人民共和國數據安全法》《道路機動車輛生產企業及產品准入管理辦法》等規定,提出以下意見。
一、總體要求
堅持以習近平新時代中國特色社會主義思想為指導,深入貫徹黨的十九大和十九屆二中、三中、四中、五中全會精神,落實立足新發展階段、貫徹新發展理念、構建新發展格局、推動高質量發展的要求,壓實企業主體責任,加強汽車數據安全、網路安全、軟體升級、功能安全和預期功能安全管理,保證產品質量和生產一致性,推動智能網聯汽車產業高質量發展。
二、加強數據和網路安全管理
(一)強化數據安全管理能力。企業應當建立健全汽車數據安全管理制度,依法履行數據安全保護義務,明確責任部門和負責人。建立數據資產管理台賬,實施數據分類分級管理,加強個人信息與重要數據保護。建設數據安全保護技術措施,確保數據持續處於有效保護和合法利用的狀態,依法依規落實數據安全風險評估、數據安全事件報告等要求。在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當按照有關法律法規規定在境內存儲。需要向境外提供數據的,應當通過數據出境安全評估。
(二)加強網路安全保障能力。企業應當建立汽車網路安全管理制度,依法落實網路安全等級保護制度和車聯網卡實名登記管理要求,明確網路安全責任部門和負責人。具備保障汽車電子電氣系統、組件和功能免受網路威脅的技術措施,具備汽車網路安全風險監測、網路安全缺陷和漏洞等發現和處置技術條件,確保車輛及其功能處於被保護的狀態,保障車輛安全運行。依法依規落實網路安全事件報告和處置要求。
三、規范軟體在線升級
(三)強化企業管理能力。企業生產具有在線升級(又稱OTA升級)功能的汽車產品的,應當建立與汽車產品及升級活動相適應的管理能力,具有在線升級安全影響評估、測試驗證、實施過程保障、信息記錄等能力,確保車輛進行在線升級時處於安全狀態,並向車輛用戶告知在線升級的目的、內容、所需時長、注意事項、升級結果等信息。
(四)保證產品生產一致性。企業實施在線升級活動前,應當確保汽車產品符合國家法律法規、技術標准及技術規范等相關要求並向工業和信息化部備案,涉及安全、節能、環保、防盜等技術參數變更的應提前向工業和信息化部申報,保證汽車產品生產一致性。未經審批,不得通過在線等軟體升級方式新增或更新汽車自動駕駛功能。
四、加強產品管理
(五)嚴格履行告知義務。企業生產具有駕駛輔助和自動駕駛功能的汽車產品的,應當明確告知車輛功能及性能限制、駕駛員職責、人機交互設備指示信息、功能激活及退出方法和條件等信息。
(六)加強組合駕駛輔助功能產品安全管理。企業生產具有組合駕駛輔助功能的汽車產品的,應採取脫手檢測等技術措施,保障駕駛員始終在執行相應的動態駕駛任務。組合駕駛輔助功能是指駕駛自動化系統在其設計運行條件下,持續地執行車輛橫向和縱向運動控制,並具備相應的目標和事件探測與響應能力。
(七)加強自動駕駛功能產品安全管理。企業生產具有自動駕駛功能的汽車產品的,應當確保汽車產品至少滿足以下要求:
1.應能自動識別自動駕駛系統失效以及是否持續滿足設計運行條件,並能採取風險減緩措施以達到最小風險狀態。
2.應具備人機交互功能,顯示自動駕駛系統運行狀態。在特定條件下需要駕駛員執行動態駕駛任務的,應具備識別駕駛員執行動態駕駛任務能力的功能。車輛應能夠依法依規合理使用燈光信號、聲音等方式與其他道路使用者進行交互。
3.應具有事件數據記錄系統和自動駕駛數據記錄系統,滿足相關功能、性能和安全性要求,用於事故重建、責任判定及原因分析等。其中,自動駕駛數據記錄系統記錄的數據應包括車輛及系統基本信息、車輛狀態及動態信息、自動駕駛系統運行信息、行車環境信息、駕乘人員操作及狀態信息、故障信息等。
4.應滿足功能安全、預期功能安全、網路安全等過程保障要求,以及模擬模擬、封閉場地、實際道路、網路安全、軟體升級、數據記錄等測試要求,避免車輛在設計運行條件內發生可預見且可預防的安全事故。
(八)確保可靠的時空信息服務。企業應當確保汽車產品具有安全、可靠的衛星定位及授時功能,可有效提供位置、速度、時間等信息,並應滿足相關要求,鼓勵支持接受北斗衛星導航系統信號。
五、保障措施
(九)建立自查機制。企業應當加強自查,發現生產、銷售的汽車產品存在數據安全、網路安全、在線升級安全、駕駛輔助和自動駕駛安全等嚴重問題的,應當依法依規立即停止相關產品的生產、銷售,採取措施進行整改,並及時向工業和信息化部及所在地工業和信息化、電信主管部門報告。
(十)加強監督實施。工業和信息化部指導有關機構做好智能網聯汽車生產企業及產品准入技術審查等工作。各地工業和信息化、電信主管部門要與相關部門協同配合,按照《道路機動車輛生產企業及產品准入管理辦法》有關要求,做好對本意見落實情況的監督檢查。
(十一)夯實基礎能力。工業和信息化部會同各地相關部門、有關企業進一步完善智能網聯汽車標准體系建設,加快推動汽車數據安全、網路安全、在線升級、駕駛輔助、自動駕駛等標准規范制修訂。鼓勵第三方服務機構和企業加強相關測試驗證和檢驗檢測能力建設,不斷提升智能網聯汽車相關技術和網路安全、數據安全水平。
『貳』 工信部:各車企要加強汽車數據安全、網路安全等安全管理
日前,裝備工業一司、網路安全管理局以視頻會議方式組織召開了《關於加強智能網聯汽車生產企業及產品准入管理的意見》(以下簡稱《意見》)宣貫會。會上,裝備工業一司、網路安全管理局、裝備工業發展中心相關負責同志全面介紹了《意見》的編制背景和原則要求,詳細解讀了《意見》的主要內容,回答了各方關心的熱點問題,並對下一步《意見》貫徹落實進行了部署。
會議指出,《意見》進一步完善了智能網聯汽車生產管理體系,對規范生產企業行為,保障智能網聯汽車產業健康可持續發展具有重要意義。各汽車生產企業要充分把握智能網聯汽車發展新趨勢、抓住新機遇,全面加強汽車數據安全、網路安全、軟體升級、功能安全和預期功能安全管理,切實保證產品質量和生產一致性。地方主管部門要和汽車生產企業、檢測機構、行業組織加強協同、形成合力,共同做好《意見》落實工作,推動智能網聯汽車產業高質量發展。
各省、自治區、直轄市工業和信息化主管部門、通信管理局,以及有關汽車生產企業、行業組織、檢測機構共115家單位通過視頻方式參加了會議。
『叄』 工信部:車聯網網路安全和數據安全標准體系建設指南發布
易車訊 近日,工業和信息化部印發《車聯網網路安全和數據安全標准體系建設指南》,目標到2023年底,初步構建起車聯網網路安全和數據安全標准體系。重點研究基礎共性、終端與設施網路安全、網聯通信安全、數據安全、應用服務安全、安全保障與支撐等標准,完成50項以上急需標準的研製。到2025年,形成較為完善的車聯網網路安全和數據安全標准體系。完成100項以上標準的研製,提升標准對細分領域的覆蓋程度,加強標准服務能力,提高標准應用水平,支撐車聯網產業安全健康發展。
標准體系框架包括總體與基礎共性、終端與設施網路安全、網聯通信安全、數據安全、應用服務安全、安全保障與支撐等6個部分。在重點領域及方向,提出以下內容:
1、總體與基礎共性標准
總體與基礎共性標準是車聯網網路安全和數據安全的總體性、通用性和指導性標准,包括術語和定義、總體架構、密碼應用等3類標准。
術語和定義標准主要規范車聯網網路安全和數據安全主要概念,為相關標准中的術語和定義提供依據支撐。
總體架構標准主要規范車聯網網路安全總體架構要求,明確和界定防護對象、防護方法、防護機制,指導企業體系化開展網路安全防護工作。
密碼應用標准主要規范車聯網密碼應用通用要求,明確數字證書格式、數字證書應用、設備密碼應用等要求。
2、終端與設施網路安全標准終端與設施網路安全標准
主要規范車聯網終端和基礎設施等相關網路安全要求,包括車載設備網路安全、車端網路安全、路側通信設備網路安全、網路設施與系統安全等4類標准。
車載設備網路安全標准主要規范智能網聯汽車關鍵智能設備和組件的安全防護與檢測要求,包括汽車網關、電子控制單元、車用安全晶元、車載計算平台等安全標准。
車端網路安全標准主要規范整車電子電氣架構、匯流排架構、系統架構等安全防護與檢測要求。
路側通信設備網路安全標准主要規范聯網路側設備的安全防護與檢測要求。網路設施與系統安全標准主要規范車聯網網路設施與系統的安全防護與檢測要求。
3、網聯通信安全標准
網聯通信安全標准主要規范車聯網通信網路安全、身份認證等相關安全要求,包括通信安全、身份認證等2類標准。信安全標准主要規范蜂窩車聯網(C-V2X),以及應用於車聯網的蜂窩移動通信(4G/5G)、衛星通信、無線射頻識別、車內無線區域網、藍牙低能耗(BLE)紫蜂(Zigbee)、超寬頻(UWB)等安全防護與檢測要求。身份認證標准主要規范車聯網數字身份認證相關的證書應用介面、證書管理系統、安全認證技術及測試方法、關鍵部件輕量級認證等技術要求。
4、數據安全標准
數據安全標准主要規范智能網聯汽車、車聯網平台、車載應用服務等數據安全和個人信息保護要求,句括通用要求、分類分級、出境安全、個人信息保護、應用數據安全等5類標准。通用要求標准主要規范車聯網可採集和處理的數據類型、范圍、質量、顆粒度等,包括數據最小化採集、數據安全存儲、數據加密傳輸、數據安全共享等標准。分類分級標准主要規范車聯網數據分類分級保護要求,制定數據分類分級的維度、方法、示例等標准,明確重要數據類型和安全保護要求。數據出境安全標准主要規范車聯網行業依法依規落實數據出境安全要求,句括數據出境安全評估要點、評估方法等標准。個人信息保護標准主要規范車聯網用戶個人信息保護機制及相關技術要求,明確用戶敏感數據和個人信息保護的場景、規則、技術方法,包括匿名化、去標識化、數據脫敏、異常行為識別等標准。應用數據安全標准主要規范車聯網相關應用所開展的數據採集和處理使用等活動,包括車聯網平台、網約車、車載應用程序等數據安全標准。
5、應用服務安全標准
應用服務安全標准主要規范車聯網服務平台和應用程序的安全要求,以及典型業務應用服務場景下的安全要求,包括平台安全、應用程序安全和服務安全等3類標准。平台安全標准主要規范車聯網信息服務平台、遠程升級(OTA)服務平台、邊緣計算平台、電動汽車遠程信息服務與管理等安全防護與檢測要求。應用程序安全標准主要規范車聯網應用程序等安全防護與檢測要求。服務安全標准主要規范車聯網典型業務服務場景下的安全要求,包括汽車遠程診斷、高級輔助駕駛、車路協同等服務安全要求。
6、安全保障與支撐標准
安全保障與支撐標准主要規范車聯網網路安全管理與支撐相關的安全要求,包括風險評估、安全監測與應急管理和安全能力評估等3類標准。風險評估標准主要規范車聯網網路安全風險分類與安全等級劃分要求,明確安全風險評估流程和方法,提出車聯網服務平台、整車網路安全風險評估規范等相關要求。安全監測與應急管理標准主要規范車聯網網路安全監測、數據安全監測、應急管理、網路安全漏洞分類分級、安全事件追蹤溯源等相關要求,以及安全管理介面、車聯網卡實名登記、車聯網業務遞交網關(HI)介面等相關規范。安全能力評估標准主要規范車聯網服務平台運營企業、智能網聯汽車生產企業、基礎電信企業等安全防護措施部署安全服務實施,提出網路安全成熟度模型、數據安全成熟度模型、安全能力成熟度評價准則、評估實施方法、機構能力認定、道路車輛信息安全工程等相關要求。
『肆』 工信部:加強車聯網網路安全和數據安全工作
加強智能網聯汽車安全防護,進一步落實保障車輛網路安全和安全漏洞管理責任。加強車聯網網路安全防護,保障車聯網通信安全並開展車聯網安全監測預警。同時,做好車聯網安全應急處置以及車聯網網路安全防護定級備案。
在加強車聯網服務平台安全防護方面,首先要加強平台網路安全管理,並且做好在線升級服務(OTA)安全和漏洞檢測評估,並強化應用程序安全管理。加強數據安全保護層面,一要加強數據分類分級管理,其次需提升數據安全技術保障能力。與此同時,車企需要規范數據開發利用和共享使用,並強化數據出境安全管理。
為建設健全安全的標准體系,需加快編制車聯網網路安全和數據安全標准體系建設指南。各相關企業、社會團體應制定高於國家標准或行業標准相關技術要求的企業標准、團體標准。
『伍』 國家網信辦:需加強重要數據保護,規范汽車數據處理活動
《汽車數據安全管理若干規定(徵求意見稿)》提出,運營者收集個人信息應當取得被收集人同意,法律法規規定不需取得個人同意的除外。個人信息或者重要數據應當依法在境內存儲,確需向境外提供的,應當通過國家網信部門組織的數據出境安全評估。運營者不得超出出境安全評估時明確的目的、范圍、方式和數據類型、規模等,向境外提供個人信息或重要數據。
《汽車數據安全管理若干規定(徵求意見稿)》具體如下:
第一條 為了加強個人信息和重要數據保護,規范汽車數據處理活動,維護國家安全和公共利益,根據《中華人民共和國網路安全法》等法律法規,制定本規定。
第二條 運營者在中華人民共和國境內設計、生產、銷售、運維、管理汽車過程中,收集、分析、存儲、傳輸、查詢、利用、刪除以及向境外提供(以下統稱處理)個人信息或重要數據,應當遵守相關法律法規和本規定的要求。
第三條 本規定所稱運營者指汽車設計、製造、服務企業或者機構,包括汽車製造商、部件和軟體提供者、經銷商、維修機構、網約車企業、保險公司等。
本規定所稱個人信息包括車主、駕駛人、乘車人、行人等的個人信息,以及能夠推斷個人身份、描述個人行為等的各種信息。
本規定所稱重要數據包括:
(一)軍事管理區、國防科工等涉及國家秘密的單位、縣級以上黨政機關等重要敏感區域的人流車流數據;
(二)高於國家公開發布地圖精度的測繪數據;
(三)汽車充電網的運行數據;
(四)道路上車輛類型、車輛流量等數據;
(五)包含人臉、聲音、車牌等的車外音視頻數據;
(六)國家網信部門和國務院有關部門明確的其他可能影響國家安全、公共利益的數據。
第四條 運營者處理個人信息或重要數據的目的應當合法、具體、明確,與汽車的設計、製造、服務直接相關。
第五條 運營者應當落實網路安全等級保護制度,加強個人信息和重要數據保護,依法履行網路安全義務。
第六條 倡導運營者處理個人信息和重要數據過程中堅持:
(一)車內處理原則,除非確有必要不向車外提供;
(二)匿名化處理原則,確有必要向車外提供的,盡可能地進行匿名化和脫敏處理;
(三)最小保存期限原則,根據所提供功能服務分類型確定數據保存期限;
(四)精度范圍適用原則,根據所提供功能服務對數據精度的要求確定攝像頭、雷達等的覆蓋范圍、解析度;
(五)默認不收集原則,除非確有必要,每次駕駛時默認為不收集狀態,駕駛人的同意授權只對本次駕駛有效。
第七條 運營者處理個人信息應當通過用戶手冊、車載顯示面板或其他適當方式,告知負責處理用戶權益責任人的有效聯系方式,以及收集數據的類型,包括車輛位置、生物特徵、駕駛習慣、音視頻等,並提供以下信息:
(一)收集每種類型數據的觸發條件以及停止收集的方法;
(二)收集各類型數據的目的、用途;
(三)數據保存地點、期限,或者確定保存地點、期限的規則;
(四)刪除車內、請求刪除已經提供給車外的個人信息的方法步驟。
第八條 運營者收集和向車外提供敏感個人信息,包括車輛位置、駕駛人或乘車人音視頻等,以及可以用於判斷違法違規駕駛的數據等,應當符合以下要求:
(一)以直接服務於駕駛人或者乘車人為目的,包括增強行車安全、輔助駕駛、導航、娛樂等;
(二)默認為不收集,每次都應當徵得駕駛人同意授權,駕駛結束(駕駛人離開駕駛席)後本次授權自動失效;
(三)通過車內顯示面板或語音等方式告知駕駛人和乘車人正在收集敏感個人信息;
(四)駕駛人能夠隨時、方便地終止收集;
(五)允許車主方便查看、結構化查詢被收集的敏感個人信息;
(六)駕駛人要求運營者刪除時,運營者應當在2周內刪除。
第九條 運營者收集個人信息應當取得被收集人同意,法律法規規定不需取得個人同意的除外。實踐上難以實現的(如通過攝像頭收集車外音視頻信息),且確需提供的,應當進行匿名化或脫敏處理,包括刪除含有能夠識別自然人的畫面,或對這些畫面中的人臉等進行局部輪廓化處理等。
第十條 僅當為了方便用戶使用、增加車輛電子和信息系統安全性等目的,方可收集駕駛人指紋、聲紋、人臉、心律等生物特徵數據,同時應當提供生物特徵的替代方式。
第十一條 運營者處理重要數據,應當提前向省級網信部門和有關部門報告數據類型、規模、范圍、保存地點與時限、使用方式,以及是否向第三方提供等。
第十二條 個人信息或者重要數據應當依法在境內存儲,確需向境外提供的,應當通過國家網信部門組織的數據出境安全評估。
我國參與的或者與其他國家和地區、國際組織締結的條約、協議等對向境外提供個人信息有明確規定的,適用其規定,我國聲明保留的條款除外。
第十三條 運營者向境外提供個人信息或者重要數據的,應當採取有效措施明確和監督接收者按照雙方約定的目的、范圍、方式使用數據,保證數據安全。
第十四條 運營者向境外提供個人信息或者重要數據的,應當接受和處理所涉及的用戶投訴;造成用戶合法權益或公共利益受到損害的,應當依法承擔相應責任。
第十五條 運營者不得超出出境安全評估時明確的目的、范圍、方式和數據類型、規模等,向境外提供個人信息或重要數據。
國家網信部門會同國務院有關部門以抽查方式核驗向境外提供個人信息或重要數據的類型、范圍等,運營者應當以明文、可讀方式予以展示。
第十六條 科研和商業合作夥伴需要查詢利用境內存儲的個人信息和重要數據的,運營者應當採取有效措施保證數據安全,防止流失;嚴格限制對重要數據以及車輛位置、生物特徵、駕駛人或者乘車人音視頻,以及可以用於判斷違法違規駕駛的數據等敏感數據的查詢利用。
第十七條 處理個人信息涉及個人信息主體超過10萬人、或者處理重要數據的運營者,應當在每年十二月十五日前將年度數據安全管理情況報省級網信部門和有關部門,內容包括:
(一)數據安全負責人以及負責處理用戶權益相關事務責任人的姓名和聯系方式;
(二)處理數據的類型、規模、目的及必要性;
(三)數據的安全防護和管理措施,包括保存地點、期限等;
(四)與境內第三方共享數據情況;
(五)數據安全事故及處理情況;
(六)與個人信息和數據相關的用戶投訴及處理情況;
(七)國家網信部門明確的其他數據安全情況。
第十八條 如果存在向境外提供數據的情況,運營者應當在本規定第十七條基礎上,報告以下情況:
(一)接收者的名稱和聯系方式;
(二)出境數據的類型、數量及目的;
(三)數據在境外的存放地點、使用范圍和方式;
(四)涉及向境外提供數據的用戶投訴及處理情況;
(五)國家網信部門明確的向境外提供數據需要報告的其他情況。
第十九條 國家網信部門會同國務院有關部門根據處理數據情況對運營者進行數據安全評估,運營者應當予以配合。
參與安全評估的機構和人員不得披露評估中獲悉的運營者商業秘密、未公開信息,不得將評估中獲悉的信息用於評估以外目的。
第二十條 運營者違反本規定的,由省級以上網信部門和有關部門依照《中華人民共和國網路安全法》等法律法規的有關規定進行處罰。構成犯罪的,依法追究刑事責任。
第二十一條 本規定自2021年 月 日起施行。
『陸』 關於汽車網路安全的靈魂二十問
如果政府意識到某一不安全因素,那麼這個風險要到什麼程度才會被判定需要召回?
有些黑客入侵可能本質上與安全無關(如解鎖車門、升降車窗),但會增加被盜和駕駛員分心的概率。在這里,我們把這兩者稱為安全影響和延展影響。歷史表明,前者可能會在48小時內被判定召回,而後者則有五年的滯後期。
美國政府扮演的角色是什麼?
根據BlackDuck和其他監督組織的說法,美國國家標准與技術研究所(NIST)等漏洞資料庫中列出的75%的bug,在黑客攻擊發生後一年多的時間里,曾在公網或"暗網"上曝光過。讓美國民眾不禁懷疑政府對黑客的態度。
黑客被抓到的概率有多少?
很少有政府能抓到獨立的黑客。可能有人會想到大名鼎鼎的凱文·米特尼克(KevinMitnick)曾經受過五年的牢獄之災。但世界上能有幾個凱文。為什麼大多數黑客的形象被描繪成裹著黑布、穿著帽衫的幽靈,是因為他們通常隱蔽的很好,很難被發現。
隱私法的制定是不是能夠很好的提升汽車網路安全?
安全和隱私是兩碼事。有些地方如加州在保護隱私方面就做的很好,取得了很大的進步,但網路安全法規仍然落後於歐盟。有些地方如遠東地區幾乎沒有隱私,網路安全黑客猖獗。
政府該怎麼做來執行網路安全設計?
審計和規格化都非常艱難。技術每時每刻都在變,勒索軟體有超過6000個在線犯罪市場,每秒鍾有75條記錄被盜。成千上萬審計人員的下游成本對任何監管部門來說都很難實現。所以應該從上游入手:規范工作方式,比如新的UNECE法規的制定。
遠程更新絕對安全嗎?
首先,遠程更新還沒有做到完全普及,即使可以遠程刷新,但蜂窩連接也不是在每個國家都能實現,那麼長期脫網的車輛如何更新?不直接影響安全性的更新是很難實現的。
如果黑客想入侵,成功的概率有多高?
無論製造商如何努力,對於黑客攻擊總是防不勝防。2017年,馬里蘭大學量化了對聯網計算機的攻擊率,現在描述對象變為互聯汽車,為每39秒一次。以這種頻率,汽車製造商不一定要比黑客快,他們只需要比競爭對手快。就像這句古話所說的,「你不必跑得比熊快,你只需要跑得過其他的獵人。」
那麼在這方面,何時汽車製造商之間會停止競爭?
一位汽車業高管曾表示,一旦遭受車隊網路攻擊,可能會直接導致品牌破產,沒有人願意成為第一個中招的。所以,戰斗必須持續下去。
汽車製造商最起碼應該做什麼?
多個國家都要求在功能安全方面採用「最先進」的工程設計。對於網路安全來說,「哪種安全可以在立法層面體現」,這個問題的答案總是在變,尤其是對於十年前製造的車輛來說。良好的工程實踐應該是進行可預測的、最小成本的、無處不在且定期的審計,並成為新的常態。
作為個人,我很容易受到攻擊嗎?
對於互聯車輛,最可能受到的攻擊是「拒絕服務」(Dos)攻擊,即車輛或相關服務無法運行,直到繳納「贖金」。這些攻擊經常指向較大的供應商,在汽車領域可能是車隊運營商、遠程信息處理供應商或汽車製造商。但現實中,無論哪種方式,最終客戶本身還是要付出代價。
汽車製造商更有錢,為何在與黑客的斗爭中無法佔據上風?
網路犯罪比毒品交易利潤更大,前者為6000億美元,而後者為4000億美元。汽車製造商有固定的發布日期,不會輕易與競爭對手或政府分享技術,而黑客沒有時間限制,他們彼此之間還會分享最佳實踐。
如果汽車品牌或網路安全公司倒閉了會怎樣?
如果是汽車的一級供應商破產,汽車製造商會接管注塑或沖壓工具,但接管網路安全軟體和運營是一個更棘手的問題,因為汽車製造商一般缺乏熟悉情況的專業人員等。
為什麼要生產一個難以保證安全數字化產品,還可能會連累整個公司?
歐盟的汽車網路安全法規可能導致的連鎖反應有,一些汽車製造商在2022年為北美市場生產的汽車,由於網路安全工程不足,無法在歐盟銷售。而如果他們不承擔這個風險,選擇放棄互聯汽車,他們就會把這一部分銷量輸給競爭對手。反之,汽車網路安全風險也會連累整個公司。所以在這一方面,汽車製造商根本沒得選。
迄今為止,發生了多少起黑客事件?
這個幾乎很難統計。目前所知的是幾起賓士、特斯拉和Jeep被盜事件,視頻顯示整個過程只用了30秒,這只是冰山一角,看不見的部分可能是巨大的。
有多大比例的產品進行過完整的威脅分析,並經過第三方的審核?
這個比例幾乎低到驚人,一些品牌要求供應商在交付前進行網路安全評估,但這種零敲碎打的要求經常執行不力。
我的車輛在生命周期內能否等來網路安全?
每天都有新的黑客產生,每周都有老舊電腦被淘汰,很少有汽車品牌會吹噓或宣傳持續的防火牆解決方案,因為這一準會招致黑客的挑戰。汽車可能在購買時不安全,也可能在幾十年後完全安全,而公眾卻沒有辦法預測。
汽車如何快速修復?
如上所述,沒有任何一個修復的過程是100%可靠的。此外,很少有製造商能夠擁有可靠的、不斷更新的、24小時不間斷的監控系統,為整個車隊提供每一個可構建的組合來管理運營、風險和更新。
車輛能保護自己嗎?
目前,汽車網路安全方面沒有類似於五星碰撞評級的明確評級體系,因為,這將再次給品牌施加了一個目標。而且很可能汽車網路安全永遠不會提供升級服務,因為客戶期望網路安全也能夠免費自動更新。
如果我乾脆避開自動駕駛汽車呢?
黑客也可以控制非自動駕駛汽車,因此,將自動駕駛級別與易感性掛鉤是完全錯誤的。自動駕駛級別的增加的確意味著更多的攻擊面(從而增加了DoS攻擊的可擴展性),但我們需要面對的一個簡單明了且殘酷的事實是:威脅已經存在。
如果我不是最薄弱的環節呢?
如果鄰居的車在車道上被偷了,那麼周圍所有人的車險額肯定會提升。如果鄰居的車在高速路上被黑了,那麼它的失控會讓周圍的車都很難倖免於難。無論你是不是最弱的一環,在黑客入侵時,都是在劫難逃。
本文來源於汽車之家車家號作者,不代表汽車之家的觀點立場。
『柒』 汽車數據安全如何保障
監管亟待加強。國信證券分析師認為,當前政策層面對於網路安全的重視程度空前,數據已成為核心生產要素。
當下,在智能汽車發展的同時安全問題依舊是第一位的,智能汽車的數據安全性是車聯網發展道路上的重中之重。
規定
7月12日工信部等三部門印發了《網路產品安全漏洞管理規定》,《規定》提出,網路產品提供者應當確保其產品安全漏洞得到及時修補和合理發布;工信部網路安全威脅和漏洞信息共享平台同步向國家網路與信息安全信息通報中心、國家計算機網路應急技術處理協調中心通報相關漏洞信息。
『捌』 《汽車數據安全管理若干規定(試行)》發布 10月1日起實施
易車訊 近日,國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、公安部、交通運輸部聯合發布《汽車數據安全管理若干規定(試行)》(以下簡稱《規定》),自2021年10月1日起施行。國家互聯網信息辦公室有關負責人表示,出台《規定》旨在規范汽車數據處理活動,保護個人、組織的合法權益,維護國家安全和社會公共利益,促進汽車數據合理開發利用。
隨著新一代信息技術與汽車產業加速融合,智能汽車產業、車聯網技術的快速發展,以自動輔助駕駛為代表的人工智慧技術日益普及,汽車數據處理能力日益增強,暴露出的汽車數據安全問題和風險隱患日益突出。在汽車數據安全管理領域出台有針對性的規章制度,明確汽車數據處理者的責任和義務,規范汽車數據處理活動,是防範化解汽車數據安全風險、保障汽車數據依法合理有效利用的需要,也是維護國家安全利益、保護個人合法權益的需要。
《規定》倡導,汽車數據處理者在開展汽車數據處理活動中堅持「車內處理」、「默認不收集」、「精度范圍適用」、「脫敏處理」等數據處理原則,減少對汽車數據的無序收集和違規濫用。
《規定》明確,汽車數據處理者應當履行個人信息保護責任,充分保護個人信息安全和合法權益。開展個人信息處理活動,汽車數據處理者應當通過顯著方式告知個人相關信息,取得個人同意或者符合法律、行政法規規定的其他情形。處理敏感個人信息,汽車數據處理者還應當取得個人單獨同意,滿足限定處理目的、提示收集狀態、終止收集等具體要求或者符合法律、行政法規和強制性國家標准等其他要求。汽車數據處理者具有增強行車安全的目的和充分的必要性,方可收集指紋、聲紋、人臉、心律等生物識別特徵信息。
《規定》強調,汽車數據處理者開展重要數據處理活動,應當遵守依法在境內存儲的規定,加強重要數據安全保護;落實風險評估報告制度要求,積極防範數據安全風險;落實年度報告制度要求,按時主動報送年度汽車數據安全管理情況。因業務需要確需向境外提供重要數據的,汽車數據處理者應當落實數據出境安全評估制度要求,不得超出出境安全評估結論違規向境外提供重要數據,並在年度報告中補充報告相關情況。
《規定》提出,國家有關部門依據各自職責做好汽車數據安全管理和保障工作,包括開展數據安全評估、數據出境事項抽查核驗、智能(網聯)汽車網路平台建設等工作。對於違反本規定的汽車數據處理者,有關部門將依照《中華人民共和國網路安全法》、《中華人民共和國數據安全法》等法律、行政法規的規定進行處罰。(信息來源:「網信中國」微信公眾號,圖片來源網路)
『玖』 網約車發展存在哪些問題,政府應如何監管
你好,2016網約車新政具體內容有:
7月28日下午,《關於深化改革推進出租汽車行業健康發展的指導意見》(以下簡稱《指導意見》)、《網路預約出租汽車經營管理暫行辦法》(以下簡稱《暫行辦法》)揭開面紗,網約車新政將於11月1日起實施。下面一起來看看此次網約車新政新規全文吧!
網路預約出租汽車經營服務管理暫行辦法
第一章總則
第一條
為更好地滿足社會公眾多樣化出行需求,促進出租汽車行業和互聯網融合發展,規范網路預約出租汽車經營服務行為,保障運營安全和乘客合法權益,根據國家有關法律、行政法規,制定本辦法。
第二條 從事網路預約出租汽車(以下簡稱網約車)經營服務,應當遵守本辦法。
本辦法所稱網約車經營服務,是指以互聯網技術為依託構建服務平台,整合供需信息,使用符合條件的車輛和駕駛員,提供非巡遊的預約出租汽車服務的經營活動。
本辦法所稱網路預約出租汽車經營者(以下稱網約車平台公司),是指構建網路服務平台,從事網約車經營服務的企業法人。
第三條 堅持優先發展城市公共交通、適度發展出租汽車,按照高品質服務、差異化經營的原則,有序發展網約車。
網約車運價實行市場調節價,城市人民政府認為有必要實行政府指導價的除外。
第四條 國務院交通運輸主管部門負責指導全國網約車管理工作。
各省、自治區人民政府交通運輸主管部門在本級人民政府領導下,負責指導本行政區域內網約車管理工作。
直轄市、設區的市級或者縣級交通運輸主管部門或人民政府指定的其他出租汽車行政主管部門(以下稱出租汽車行政主管部門)在本級人民政府領導下,負責具體實施網約車管理。
其他有關部門依據法定職責,對網約車實施相關監督管理。
第二章網約車平台公司
第五條 申請從事網約車經營的,應當具備線上線下服務能力,符合下列條件:
(一)具有企業法人資格;
(二)具備開展網約車經營的互聯網平台和與擬開展業務相適應的信息數據交互及處理能力,具備供交通、通信、公安、稅務、網信等相關監管部門依法調取查詢相關網路數據信息的條件,網路服務平台資料庫接入出租汽車行政主管部門監管平台,伺服器設置在中國內地,有符合規定的網路安全管理制度和安全保護技術措施;
(三)使用電子支付的,應當與銀行、非銀行支付機構簽訂提供支付結算服務的協議;
(四)有健全的經營管理制度、安全生產管理制度和服務質量保障制度;
(五)在服務所在地有相應服務機構及服務能力;
(六)法律法規規定的其他條件。
外商投資網約車經營的,除符合上述條件外,還應當符合外商投資相關法律法規的規定。
第六條 申請從事網約車經營的,應當根據經營區域向相應的出租汽車行政主管部門提出申請,並提交以下材料:
(一)網路預約出租汽車經營申請表(見附件);
(二)投資人、負責人身份、資信證明及其復印件,經辦人的身份證明及其復印件和委託書;
(三)企業法人營業執照,屬於分支機構的還應當提交營業執照,外商投資企業還應當提供外商投資企業批准證書;
(四)服務所在地辦公場所、負責人員和管理人員等信息;
(五)具備互聯網平台和信息數據交互及處理能力的證明材料,具備供交通、通信、公安、稅務、網信等相關監管部門依法調取查詢相關網路數據信息條件的證明材料,資料庫接入情況說明,伺服器設置在中國內地的情況說明,依法建立並落實網路安全管理制度和安全保護技術措施的證明材料;
(六)使用電子支付的,應當提供與銀行、非銀行支付機構簽訂的支付結算服務協議;
(七)經營管理制度、安全生產管理制度和服務質量保障制度文本;
(八)法律法規要求提供的其他材料。
首次從事網約車經營的,應當向企業注冊地相應出租汽車行政主管部門提出申請,前款第(五)、第(六)項有關線上服務能力材料由網約車平台公司注冊地省級交通運輸主管部門商同級通信、公安、稅務、網信、人民銀行等部門審核認定,並提供相應認定結果,認定結果全國有效。網約車平台公司在注冊地以外申請從事網約車經營的,應當提交前款第(五)、第(六)項有關線上服務能力認定結果。
其他線下服務能力材料,由受理申請的出租汽車行政主管部門進行審核。
第七條
出租汽車行政主管部門應當自受理之日起20日內作出許可或者不予許可的決定。20日內不能作出決定的,經實施機關負責人批准,可以延長10日,並應當將延長期限的理由告知申請人。
第八條
出租汽車行政主管部門對於網約車經營申請作出行政許可決定的,應當明確經營范圍、經營區域、經營期限等,並發放《網路預約出租汽車經營許可證》。
第九條 出租汽車行政主管部門對不符合規定條件的申請作出不予行政許可決定的,應當向申請人出具《不予行政許可決定書》。
第十條
網約車平台公司應當在取得相應《網路預約出租汽車經營許可證》並向企業注冊地省級通信主管部門申請互聯網信息服務備案後,方可開展相關業務。備案內容包括經營者真實身份信息、接入信息、出租汽車行政主管部門核發的《網路預約出租汽車經營許可證》等。涉及經營電信業務的,還應當符合電信管理的相關規定。
網約車平台公司應當自網路正式聯通之日起30日內,到網約車平台公司管理運營機構所在地的省級人民政府公安機關指定的受理機關辦理備案手續。
第十一條
網約車平台公司暫停或者終止運營的,應當提前30日向服務所在地出租汽車行政主管部門書面報告,說明有關情況,通告提供服務的車輛所有人和駕駛員,並向社會公告。終止經營的,應當將相應《網路預約出租汽車經營許可證》交回原許可機關。
第三章網約車車輛和駕駛員
第十二條 擬從事網約車經營的車輛,應當符合以下條件:
(一)7座及以下乘用車;
(二)安裝具有行駛記錄功能的車輛衛星定位裝置、應急報警裝置;
(三)車輛技術性能符合運營安全相關標准要求。
車輛的具體標准和營運要求,由相應的出租汽車行政主管部門,按照高品質服務、差異化經營的發展原則,結合本地實際情況確定。
第十三條
服務所在地出租汽車行政主管部門依車輛所有人或者網約車平台公司申請,按第十二條規定的條件審核後,對符合條件並登記為預約出租客運的車輛,發放《網路預約出租汽車運輸證》。
城市人民政府對網約車發放《網路預約出租汽車運輸證》另有規定的,從其規定。
第十四條 從事網約車服務的駕駛員,應當符合以下條件:
(一)取得相應准駕車型機動車駕駛證並具有3年以上駕駛經歷;
(二)無交通肇事犯罪、危險駕駛犯罪記錄,無吸毒記錄,無飲酒後駕駛記錄,最近連續3個記分周期內沒有記滿12分記錄;
(三)無暴力犯罪記錄;
(四)城市人民政府規定的其他條件。
第十五條
服務所在地設區的市級出租汽車行政主管部門依駕駛員或者網約車平台公司申請,按第十四條規定的條件核查並按規定考核後,為符合條件且考核合格的駕駛員,發放《網路預約出租汽車駕駛員證》。
第四章網約車經營行為
第十六條 網約車平台公司承擔承運人責任,應當保證運營安全,保障乘客合法權益。
第十七條
網約車平台公司應當保證提供服務車輛具備合法營運資質,技術狀況良好,安全性能可靠,具有營運車輛相關保險,保證線上提供服務的車輛與線下實際提供服務的車輛一致,並將車輛相關信息向服務所在地出租汽車行政主管部門報備。
第十八條
網約車平台公司應當保證提供服務的駕駛員具有合法從業資格,按照有關法律法規規定,根據工作時長、服務頻次等特點,與駕駛員簽訂多種形式的勞動合同或者協議,明確雙方的權利和義務。網約車平台公司應當維護和保障駕駛員合法權益,開展有關法律法規、職業道德、服務規范、安全運營等方面的崗前培訓和日常教育,保證線上提供服務的駕駛員與線下實際提供服務的駕駛員一致,並將駕駛員相關信息向服務所在地出租汽車行政主管部門報備。
網約車平台公司應當記錄駕駛員、約車人在其服務平台發布的信息內容、用戶注冊信息、身份認證信息、訂單日誌、上網日誌、網上交易日誌、行駛軌跡日誌等數據並備份。
第十九條
網約車平台公司應當公布確定符合國家有關規定的計程計價方式,明確服務項目和質量承諾,建立服務評價體系和乘客投訴處理制度,如實採集與記錄駕駛員服務信息。在提供網約車服務時,提供駕駛員姓名、照片、手機號碼和服務評價結果,以及車輛牌照等信息。
第二十條 網約車平台公司應當合理確定網約車運價,實行明碼標價,並向乘客提供相應的出租汽車發票。
第二十一條 網約車平台公司不得妨礙市場公平競爭,不得侵害乘客合法權益和社會公共利益。
網約車平台公司不得有為排擠競爭對手或者獨占市場,以低於成本的價格運營擾亂正常市場秩序,損害國家利益或者其他經營者合法權益等不正當價格行為,不得有價格違法行為。
第二十二條 網約車應當在許可的經營區域內從事經營活動,超出許可的經營區域的,起訖點一端應當在許可的經營區域內。
第二十三條 網約車平台公司應當依法納稅,為乘客購買承運人責任險等相關保險,充分保障乘客權益。
第二十四條
網約車平台公司應當加強安全管理,落實運營、網路等安全防範措施,嚴格數據安全保護和管理,提高安全防範和抗風險能力,支持配合有關部門開展相關工作。
第二十五條
網約車平台公司和駕駛員提供經營服務應當符合國家有關運營服務標准,不得途中甩客或者故意繞道行駛,不得違規收費,不得對舉報、投訴其服務質量或者對其服務作出不滿意評價的乘客實施報復行為。
第二十六條
網約車平台公司應當通過其服務平台以顯著方式將駕駛員、約車人和乘客等個人信息的採集和使用的目的、方式和范圍進行告知。未經信息主體明示同意,網約車平台公司不得使用前述個人信息用於開展其他業務。
網約車平台公司採集駕駛員、約車人和乘客的個人信息,不得超越提供網約車業務所必需的范圍。
除配合國家機關依法行使監督檢查權或者刑事偵查權外,網約車平台公司不得向任何第三方提供駕駛員、約車人和乘客的姓名、聯系方式、家庭住址、銀行賬戶或者支付賬戶、地理位置、出行線路等個人信息,不得泄露地理坐標、地理標志物等涉及國家安全的敏感信息。發生信息泄露後,網約車平台公司應當及時向相關主管部門報告,並採取及時有效的補救措施。
第二十七條
網約車平台公司應當遵守國家網路和信息安全有關規定,所採集的個人信息和生成的業務數據,應當在中國內地存儲和使用,保存期限不少於2年,除法律法規另有規定外,上述信息和數據不得外流。
網約車平台公司不得利用其服務平台發布法律法規禁止傳播的信息,不得為企業、個人及其他團體、組織發布有害信息提供便利,並採取有效措施過濾阻斷有害信息傳播。發現他人利用其網路服務平台傳播有害信息的,應當立即停止傳輸,保存有關記錄,並向國家有關機關報告。
網約車平台公司應當依照法律規定,為公安機關依法開展國家安全工作,防範、調查違法犯罪活動提供必要的技術支持與協助。
第二十八條 任何企業和個人不得向未取得合法資質的車輛、駕駛員提供信息對接開展網約車經營服務。不得以私人小客車合乘名義提供網約車經營服務。
網約車車輛和駕駛員不得通過未取得經營許可的網路服務平台提供運營服務。
第五章監督檢查
第二十九條
出租汽車行政主管部門應當建設和完善政府監管平台,實現與網約車平台信息共享。共享信息應當包括車輛和駕駛員基本信息、服務質量以及乘客評價信息等。
出租汽車行政主管部門應當加強對網約車市場監管,加強對網約車平台公司、車輛和駕駛員的資質審查與證件核發管理。
出租汽車行政主管部門應當定期組織開展網約車服務質量測評,並及時向社會公布本地區網約車平台公司基本信息、服務質量測評結果、乘客投訴處理情況等信息。