‘壹’ 工信部:加强智能网联汽车生产准入管理 保证用车安全性
简单来说,制定《意见》的主要目的,有两方面用意,首次是制定行业标准,让中国智能网联汽车产业高质量高水平的蓬勃发展,依托高技术在国际市场具备足够强的竞争力。其次是制定符合当下制造和消费者应用趋势的安全管理规定,保障公民和公共安全。
制定《意见》的背景,主要是为了推动智能网联汽车产业发展,加快推进政策法规研究、技术标准体系建立。结合国际政策法规实践经验,尽快制定《意见》,明确原则要求,逐步探索开展准入管理,加快产品推广应用,是推动汽车产业创新发展的需要。
同时,针对网络攻击、网络侵入等网络安全问题,驾驶自动化系统随机故障、功能不足等引发的道路交通安全问题,以及在线升级(又称OTA升级)改变车辆功能、性能可能引入的安全风险。
因此,迫切需要制定《意见》,加强智能网联汽车生产企业及产品准入管理,明确汽车数据安全、网络安全、在线升级等管理要求,指导企业加强能力建设,严把产品质量安全关,切实维护公民生命、财产安全和公共安全。
以下是《意见》原文:
关于加强智能网联汽车生产企业及产品准入管理的意见
工信部通装〔2021〕103号
各省、自治区、直辖市及新疆生产建设兵团工业和信息化主管部门,各省、自治区、直辖市通信管理局,有关汽车生产企业:
为加强智能网联汽车生产企业及产品准入管理,维护公民生命、财产安全和公共安全,促进智能网联汽车产业健康可持续发展,根据《中华人民共和国道路交通安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《道路机动车辆生产企业及产品准入管理办法》等规定,提出以下意见。
一、总体要求
坚持以习近平新时代中国特色社会主义思想为指导,深入贯彻党的十九大和十九届二中、三中、四中、五中全会精神,落实立足新发展阶段、贯彻新发展理念、构建新发展格局、推动高质量发展的要求,压实企业主体责任,加强汽车数据安全、网络安全、软件升级、功能安全和预期功能安全管理,保证产品质量和生产一致性,推动智能网联汽车产业高质量发展。
二、加强数据和网络安全管理
(一)强化数据安全管理能力。企业应当建立健全汽车数据安全管理制度,依法履行数据安全保护义务,明确责任部门和负责人。建立数据资产管理台账,实施数据分类分级管理,加强个人信息与重要数据保护。建设数据安全保护技术措施,确保数据持续处于有效保护和合法利用的状态,依法依规落实数据安全风险评估、数据安全事件报告等要求。在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当按照有关法律法规规定在境内存储。需要向境外提供数据的,应当通过数据出境安全评估。
(二)加强网络安全保障能力。企业应当建立汽车网络安全管理制度,依法落实网络安全等级保护制度和车联网卡实名登记管理要求,明确网络安全责任部门和负责人。具备保障汽车电子电气系统、组件和功能免受网络威胁的技术措施,具备汽车网络安全风险监测、网络安全缺陷和漏洞等发现和处置技术条件,确保车辆及其功能处于被保护的状态,保障车辆安全运行。依法依规落实网络安全事件报告和处置要求。
三、规范软件在线升级
(三)强化企业管理能力。企业生产具有在线升级(又称OTA升级)功能的汽车产品的,应当建立与汽车产品及升级活动相适应的管理能力,具有在线升级安全影响评估、测试验证、实施过程保障、信息记录等能力,确保车辆进行在线升级时处于安全状态,并向车辆用户告知在线升级的目的、内容、所需时长、注意事项、升级结果等信息。
(四)保证产品生产一致性。企业实施在线升级活动前,应当确保汽车产品符合国家法律法规、技术标准及技术规范等相关要求并向工业和信息化部备案,涉及安全、节能、环保、防盗等技术参数变更的应提前向工业和信息化部申报,保证汽车产品生产一致性。未经审批,不得通过在线等软件升级方式新增或更新汽车自动驾驶功能。
四、加强产品管理
(五)严格履行告知义务。企业生产具有驾驶辅助和自动驾驶功能的汽车产品的,应当明确告知车辆功能及性能限制、驾驶员职责、人机交互设备指示信息、功能激活及退出方法和条件等信息。
(六)加强组合驾驶辅助功能产品安全管理。企业生产具有组合驾驶辅助功能的汽车产品的,应采取脱手检测等技术措施,保障驾驶员始终在执行相应的动态驾驶任务。组合驾驶辅助功能是指驾驶自动化系统在其设计运行条件下,持续地执行车辆横向和纵向运动控制,并具备相应的目标和事件探测与响应能力。
(七)加强自动驾驶功能产品安全管理。企业生产具有自动驾驶功能的汽车产品的,应当确保汽车产品至少满足以下要求:
1.应能自动识别自动驾驶系统失效以及是否持续满足设计运行条件,并能采取风险减缓措施以达到最小风险状态。
2.应具备人机交互功能,显示自动驾驶系统运行状态。在特定条件下需要驾驶员执行动态驾驶任务的,应具备识别驾驶员执行动态驾驶任务能力的功能。车辆应能够依法依规合理使用灯光信号、声音等方式与其他道路使用者进行交互。
3.应具有事件数据记录系统和自动驾驶数据记录系统,满足相关功能、性能和安全性要求,用于事故重建、责任判定及原因分析等。其中,自动驾驶数据记录系统记录的数据应包括车辆及系统基本信息、车辆状态及动态信息、自动驾驶系统运行信息、行车环境信息、驾乘人员操作及状态信息、故障信息等。
4.应满足功能安全、预期功能安全、网络安全等过程保障要求,以及模拟仿真、封闭场地、实际道路、网络安全、软件升级、数据记录等测试要求,避免车辆在设计运行条件内发生可预见且可预防的安全事故。
(八)确保可靠的时空信息服务。企业应当确保汽车产品具有安全、可靠的卫星定位及授时功能,可有效提供位置、速度、时间等信息,并应满足相关要求,鼓励支持接受北斗卫星导航系统信号。
五、保障措施
(九)建立自查机制。企业应当加强自查,发现生产、销售的汽车产品存在数据安全、网络安全、在线升级安全、驾驶辅助和自动驾驶安全等严重问题的,应当依法依规立即停止相关产品的生产、销售,采取措施进行整改,并及时向工业和信息化部及所在地工业和信息化、电信主管部门报告。
(十)加强监督实施。工业和信息化部指导有关机构做好智能网联汽车生产企业及产品准入技术审查等工作。各地工业和信息化、电信主管部门要与相关部门协同配合,按照《道路机动车辆生产企业及产品准入管理办法》有关要求,做好对本意见落实情况的监督检查。
(十一)夯实基础能力。工业和信息化部会同各地相关部门、有关企业进一步完善智能网联汽车标准体系建设,加快推动汽车数据安全、网络安全、在线升级、驾驶辅助、自动驾驶等标准规范制修订。鼓励第三方服务机构和企业加强相关测试验证和检验检测能力建设,不断提升智能网联汽车相关技术和网络安全、数据安全水平。
‘贰’ 工信部:各车企要加强汽车数据安全、网络安全等安全管理
日前,装备工业一司、网络安全管理局以视频会议方式组织召开了《关于加强智能网联汽车生产企业及产品准入管理的意见》(以下简称《意见》)宣贯会。会上,装备工业一司、网络安全管理局、装备工业发展中心相关负责同志全面介绍了《意见》的编制背景和原则要求,详细解读了《意见》的主要内容,回答了各方关心的热点问题,并对下一步《意见》贯彻落实进行了部署。
会议指出,《意见》进一步完善了智能网联汽车生产管理体系,对规范生产企业行为,保障智能网联汽车产业健康可持续发展具有重要意义。各汽车生产企业要充分把握智能网联汽车发展新趋势、抓住新机遇,全面加强汽车数据安全、网络安全、软件升级、功能安全和预期功能安全管理,切实保证产品质量和生产一致性。地方主管部门要和汽车生产企业、检测机构、行业组织加强协同、形成合力,共同做好《意见》落实工作,推动智能网联汽车产业高质量发展。
各省、自治区、直辖市工业和信息化主管部门、通信管理局,以及有关汽车生产企业、行业组织、检测机构共115家单位通过视频方式参加了会议。
‘叁’ 工信部:车联网网络安全和数据安全标准体系建设指南发布
易车讯 近日,工业和信息化部印发《车联网网络安全和数据安全标准体系建设指南》,目标到2023年底,初步构建起车联网网络安全和数据安全标准体系。重点研究基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等标准,完成50项以上急需标准的研制。到2025年,形成较为完善的车联网网络安全和数据安全标准体系。完成100项以上标准的研制,提升标准对细分领域的覆盖程度,加强标准服务能力,提高标准应用水平,支撑车联网产业安全健康发展。
标准体系框架包括总体与基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等6个部分。在重点领域及方向,提出以下内容:
1、总体与基础共性标准
总体与基础共性标准是车联网网络安全和数据安全的总体性、通用性和指导性标准,包括术语和定义、总体架构、密码应用等3类标准。
术语和定义标准主要规范车联网网络安全和数据安全主要概念,为相关标准中的术语和定义提供依据支撑。
总体架构标准主要规范车联网网络安全总体架构要求,明确和界定防护对象、防护方法、防护机制,指导企业体系化开展网络安全防护工作。
密码应用标准主要规范车联网密码应用通用要求,明确数字证书格式、数字证书应用、设备密码应用等要求。
2、终端与设施网络安全标准终端与设施网络安全标准
主要规范车联网终端和基础设施等相关网络安全要求,包括车载设备网络安全、车端网络安全、路侧通信设备网络安全、网络设施与系统安全等4类标准。
车载设备网络安全标准主要规范智能网联汽车关键智能设备和组件的安全防护与检测要求,包括汽车网关、电子控制单元、车用安全芯片、车载计算平台等安全标准。
车端网络安全标准主要规范整车电子电气架构、总线架构、系统架构等安全防护与检测要求。
路侧通信设备网络安全标准主要规范联网路侧设备的安全防护与检测要求。网络设施与系统安全标准主要规范车联网网络设施与系统的安全防护与检测要求。
3、网联通信安全标准
网联通信安全标准主要规范车联网通信网络安全、身份认证等相关安全要求,包括通信安全、身份认证等2类标准。信安全标准主要规范蜂窝车联网(C-V2X),以及应用于车联网的蜂窝移动通信(4G/5G)、卫星通信、无线射频识别、车内无线局域网、蓝牙低能耗(BLE)紫蜂(Zigbee)、超宽带(UWB)等安全防护与检测要求。身份认证标准主要规范车联网数字身份认证相关的证书应用接口、证书管理系统、安全认证技术及测试方法、关键部件轻量级认证等技术要求。
4、数据安全标准
数据安全标准主要规范智能网联汽车、车联网平台、车载应用服务等数据安全和个人信息保护要求,句括通用要求、分类分级、出境安全、个人信息保护、应用数据安全等5类标准。通用要求标准主要规范车联网可采集和处理的数据类型、范围、质量、颗粒度等,包括数据最小化采集、数据安全存储、数据加密传输、数据安全共享等标准。分类分级标准主要规范车联网数据分类分级保护要求,制定数据分类分级的维度、方法、示例等标准,明确重要数据类型和安全保护要求。数据出境安全标准主要规范车联网行业依法依规落实数据出境安全要求,句括数据出境安全评估要点、评估方法等标准。个人信息保护标准主要规范车联网用户个人信息保护机制及相关技术要求,明确用户敏感数据和个人信息保护的场景、规则、技术方法,包括匿名化、去标识化、数据脱敏、异常行为识别等标准。应用数据安全标准主要规范车联网相关应用所开展的数据采集和处理使用等活动,包括车联网平台、网约车、车载应用程序等数据安全标准。
5、应用服务安全标准
应用服务安全标准主要规范车联网服务平台和应用程序的安全要求,以及典型业务应用服务场景下的安全要求,包括平台安全、应用程序安全和服务安全等3类标准。平台安全标准主要规范车联网信息服务平台、远程升级(OTA)服务平台、边缘计算平台、电动汽车远程信息服务与管理等安全防护与检测要求。应用程序安全标准主要规范车联网应用程序等安全防护与检测要求。服务安全标准主要规范车联网典型业务服务场景下的安全要求,包括汽车远程诊断、高级辅助驾驶、车路协同等服务安全要求。
6、安全保障与支撑标准
安全保障与支撑标准主要规范车联网网络安全管理与支撑相关的安全要求,包括风险评估、安全监测与应急管理和安全能力评估等3类标准。风险评估标准主要规范车联网网络安全风险分类与安全等级划分要求,明确安全风险评估流程和方法,提出车联网服务平台、整车网络安全风险评估规范等相关要求。安全监测与应急管理标准主要规范车联网网络安全监测、数据安全监测、应急管理、网络安全漏洞分类分级、安全事件追踪溯源等相关要求,以及安全管理接口、车联网卡实名登记、车联网业务递交网关(HI)接口等相关规范。安全能力评估标准主要规范车联网服务平台运营企业、智能网联汽车生产企业、基础电信企业等安全防护措施部署安全服务实施,提出网络安全成熟度模型、数据安全成熟度模型、安全能力成熟度评价准则、评估实施方法、机构能力认定、道路车辆信息安全工程等相关要求。
‘肆’ 工信部:加强车联网网络安全和数据安全工作
加强智能网联汽车安全防护,进一步落实保障车辆网络安全和安全漏洞管理责任。加强车联网网络安全防护,保障车联网通信安全并开展车联网安全监测预警。同时,做好车联网安全应急处置以及车联网网络安全防护定级备案。
在加强车联网服务平台安全防护方面,首先要加强平台网络安全管理,并且做好在线升级服务(OTA)安全和漏洞检测评估,并强化应用程序安全管理。加强数据安全保护层面,一要加强数据分类分级管理,其次需提升数据安全技术保障能力。与此同时,车企需要规范数据开发利用和共享使用,并强化数据出境安全管理。
为建设健全安全的标准体系,需加快编制车联网网络安全和数据安全标准体系建设指南。各相关企业、社会团体应制定高于国家标准或行业标准相关技术要求的企业标准、团体标准。
‘伍’ 国家网信办:需加强重要数据保护,规范汽车数据处理活动
《汽车数据安全管理若干规定(征求意见稿)》提出,运营者收集个人信息应当取得被收集人同意,法律法规规定不需取得个人同意的除外。个人信息或者重要数据应当依法在境内存储,确需向境外提供的,应当通过国家网信部门组织的数据出境安全评估。运营者不得超出出境安全评估时明确的目的、范围、方式和数据类型、规模等,向境外提供个人信息或重要数据。
《汽车数据安全管理若干规定(征求意见稿)》具体如下:
第一条 为了加强个人信息和重要数据保护,规范汽车数据处理活动,维护国家安全和公共利益,根据《中华人民共和国网络安全法》等法律法规,制定本规定。
第二条 运营者在中华人民共和国境内设计、生产、销售、运维、管理汽车过程中,收集、分析、存储、传输、查询、利用、删除以及向境外提供(以下统称处理)个人信息或重要数据,应当遵守相关法律法规和本规定的要求。
第三条 本规定所称运营者指汽车设计、制造、服务企业或者机构,包括汽车制造商、部件和软件提供者、经销商、维修机构、网约车企业、保险公司等。
本规定所称个人信息包括车主、驾驶人、乘车人、行人等的个人信息,以及能够推断个人身份、描述个人行为等的各种信息。
本规定所称重要数据包括:
(一)军事管理区、国防科工等涉及国家秘密的单位、县级以上党政机关等重要敏感区域的人流车流数据;
(二)高于国家公开发布地图精度的测绘数据;
(三)汽车充电网的运行数据;
(四)道路上车辆类型、车辆流量等数据;
(五)包含人脸、声音、车牌等的车外音视频数据;
(六)国家网信部门和国务院有关部门明确的其他可能影响国家安全、公共利益的数据。
第四条 运营者处理个人信息或重要数据的目的应当合法、具体、明确,与汽车的设计、制造、服务直接相关。
第五条 运营者应当落实网络安全等级保护制度,加强个人信息和重要数据保护,依法履行网络安全义务。
第六条 倡导运营者处理个人信息和重要数据过程中坚持:
(一)车内处理原则,除非确有必要不向车外提供;
(二)匿名化处理原则,确有必要向车外提供的,尽可能地进行匿名化和脱敏处理;
(三)最小保存期限原则,根据所提供功能服务分类型确定数据保存期限;
(四)精度范围适用原则,根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率;
(五)默认不收集原则,除非确有必要,每次驾驶时默认为不收集状态,驾驶人的同意授权只对本次驾驶有效。
第七条 运营者处理个人信息应当通过用户手册、车载显示面板或其他适当方式,告知负责处理用户权益责任人的有效联系方式,以及收集数据的类型,包括车辆位置、生物特征、驾驶习惯、音视频等,并提供以下信息:
(一)收集每种类型数据的触发条件以及停止收集的方法;
(二)收集各类型数据的目的、用途;
(三)数据保存地点、期限,或者确定保存地点、期限的规则;
(四)删除车内、请求删除已经提供给车外的个人信息的方法步骤。
第八条 运营者收集和向车外提供敏感个人信息,包括车辆位置、驾驶人或乘车人音视频等,以及可以用于判断违法违规驾驶的数据等,应当符合以下要求:
(一)以直接服务于驾驶人或者乘车人为目的,包括增强行车安全、辅助驾驶、导航、娱乐等;
(二)默认为不收集,每次都应当征得驾驶人同意授权,驾驶结束(驾驶人离开驾驶席)后本次授权自动失效;
(三)通过车内显示面板或语音等方式告知驾驶人和乘车人正在收集敏感个人信息;
(四)驾驶人能够随时、方便地终止收集;
(五)允许车主方便查看、结构化查询被收集的敏感个人信息;
(六)驾驶人要求运营者删除时,运营者应当在2周内删除。
第九条 运营者收集个人信息应当取得被收集人同意,法律法规规定不需取得个人同意的除外。实践上难以实现的(如通过摄像头收集车外音视频信息),且确需提供的,应当进行匿名化或脱敏处理,包括删除含有能够识别自然人的画面,或对这些画面中的人脸等进行局部轮廓化处理等。
第十条 仅当为了方便用户使用、增加车辆电子和信息系统安全性等目的,方可收集驾驶人指纹、声纹、人脸、心律等生物特征数据,同时应当提供生物特征的替代方式。
第十一条 运营者处理重要数据,应当提前向省级网信部门和有关部门报告数据类型、规模、范围、保存地点与时限、使用方式,以及是否向第三方提供等。
第十二条 个人信息或者重要数据应当依法在境内存储,确需向境外提供的,应当通过国家网信部门组织的数据出境安全评估。
我国参与的或者与其他国家和地区、国际组织缔结的条约、协议等对向境外提供个人信息有明确规定的,适用其规定,我国声明保留的条款除外。
第十三条 运营者向境外提供个人信息或者重要数据的,应当采取有效措施明确和监督接收者按照双方约定的目的、范围、方式使用数据,保证数据安全。
第十四条 运营者向境外提供个人信息或者重要数据的,应当接受和处理所涉及的用户投诉;造成用户合法权益或公共利益受到损害的,应当依法承担相应责任。
第十五条 运营者不得超出出境安全评估时明确的目的、范围、方式和数据类型、规模等,向境外提供个人信息或重要数据。
国家网信部门会同国务院有关部门以抽查方式核验向境外提供个人信息或重要数据的类型、范围等,运营者应当以明文、可读方式予以展示。
第十六条 科研和商业合作伙伴需要查询利用境内存储的个人信息和重要数据的,运营者应当采取有效措施保证数据安全,防止流失;严格限制对重要数据以及车辆位置、生物特征、驾驶人或者乘车人音视频,以及可以用于判断违法违规驾驶的数据等敏感数据的查询利用。
第十七条 处理个人信息涉及个人信息主体超过10万人、或者处理重要数据的运营者,应当在每年十二月十五日前将年度数据安全管理情况报省级网信部门和有关部门,内容包括:
(一)数据安全负责人以及负责处理用户权益相关事务责任人的姓名和联系方式;
(二)处理数据的类型、规模、目的及必要性;
(三)数据的安全防护和管理措施,包括保存地点、期限等;
(四)与境内第三方共享数据情况;
(五)数据安全事故及处理情况;
(六)与个人信息和数据相关的用户投诉及处理情况;
(七)国家网信部门明确的其他数据安全情况。
第十八条 如果存在向境外提供数据的情况,运营者应当在本规定第十七条基础上,报告以下情况:
(一)接收者的名称和联系方式;
(二)出境数据的类型、数量及目的;
(三)数据在境外的存放地点、使用范围和方式;
(四)涉及向境外提供数据的用户投诉及处理情况;
(五)国家网信部门明确的向境外提供数据需要报告的其他情况。
第十九条 国家网信部门会同国务院有关部门根据处理数据情况对运营者进行数据安全评估,运营者应当予以配合。
参与安全评估的机构和人员不得披露评估中获悉的运营者商业秘密、未公开信息,不得将评估中获悉的信息用于评估以外目的。
第二十条 运营者违反本规定的,由省级以上网信部门和有关部门依照《中华人民共和国网络安全法》等法律法规的有关规定进行处罚。构成犯罪的,依法追究刑事责任。
第二十一条 本规定自2021年 月 日起施行。
‘陆’ 关于汽车网络安全的灵魂二十问
如果政府意识到某一不安全因素,那么这个风险要到什么程度才会被判定需要召回?
有些黑客入侵可能本质上与安全无关(如解锁车门、升降车窗),但会增加被盗和驾驶员分心的概率。在这里,我们把这两者称为安全影响和延展影响。历史表明,前者可能会在48小时内被判定召回,而后者则有五年的滞后期。
美国政府扮演的角色是什么?
根据BlackDuck和其他监督组织的说法,美国国家标准与技术研究所(NIST)等漏洞数据库中列出的75%的bug,在黑客攻击发生后一年多的时间里,曾在公网或"暗网"上曝光过。让美国民众不禁怀疑政府对黑客的态度。
黑客被抓到的概率有多少?
很少有政府能抓到独立的黑客。可能有人会想到大名鼎鼎的凯文·米特尼克(KevinMitnick)曾经受过五年的牢狱之灾。但世界上能有几个凯文。为什么大多数黑客的形象被描绘成裹着黑布、穿着帽衫的幽灵,是因为他们通常隐蔽的很好,很难被发现。
隐私法的制定是不是能够很好的提升汽车网络安全?
安全和隐私是两码事。有些地方如加州在保护隐私方面就做的很好,取得了很大的进步,但网络安全法规仍然落后于欧盟。有些地方如远东地区几乎没有隐私,网络安全黑客猖獗。
政府该怎么做来执行网络安全设计?
审计和规格化都非常艰难。技术每时每刻都在变,勒索软件有超过6000个在线犯罪市场,每秒钟有75条记录被盗。成千上万审计人员的下游成本对任何监管部门来说都很难实现。所以应该从上游入手:规范工作方式,比如新的UNECE法规的制定。
远程更新绝对安全吗?
首先,远程更新还没有做到完全普及,即使可以远程刷新,但蜂窝连接也不是在每个国家都能实现,那么长期脱网的车辆如何更新?不直接影响安全性的更新是很难实现的。
如果黑客想入侵,成功的概率有多高?
无论制造商如何努力,对于黑客攻击总是防不胜防。2017年,马里兰大学量化了对联网计算机的攻击率,现在描述对象变为互联汽车,为每39秒一次。以这种频率,汽车制造商不一定要比黑客快,他们只需要比竞争对手快。就像这句古话所说的,“你不必跑得比熊快,你只需要跑得过其他的猎人。”
那么在这方面,何时汽车制造商之间会停止竞争?
一位汽车业高管曾表示,一旦遭受车队网络攻击,可能会直接导致品牌破产,没有人愿意成为第一个中招的。所以,战斗必须持续下去。
汽车制造商最起码应该做什么?
多个国家都要求在功能安全方面采用“最先进”的工程设计。对于网络安全来说,“哪种安全可以在立法层面体现”,这个问题的答案总是在变,尤其是对于十年前制造的车辆来说。良好的工程实践应该是进行可预测的、最小成本的、无处不在且定期的审计,并成为新的常态。
作为个人,我很容易受到攻击吗?
对于互联车辆,最可能受到的攻击是“拒绝服务”(Dos)攻击,即车辆或相关服务无法运行,直到缴纳“赎金”。这些攻击经常指向较大的供应商,在汽车领域可能是车队运营商、远程信息处理供应商或汽车制造商。但现实中,无论哪种方式,最终客户本身还是要付出代价。
汽车制造商更有钱,为何在与黑客的斗争中无法占据上风?
网络犯罪比毒品交易利润更大,前者为6000亿美元,而后者为4000亿美元。汽车制造商有固定的发布日期,不会轻易与竞争对手或政府分享技术,而黑客没有时间限制,他们彼此之间还会分享最佳实践。
如果汽车品牌或网络安全公司倒闭了会怎样?
如果是汽车的一级供应商破产,汽车制造商会接管注塑或冲压工具,但接管网络安全软件和运营是一个更棘手的问题,因为汽车制造商一般缺乏熟悉情况的专业人员等。
为什么要生产一个难以保证安全数字化产品,还可能会连累整个公司?
欧盟的汽车网络安全法规可能导致的连锁反应有,一些汽车制造商在2022年为北美市场生产的汽车,由于网络安全工程不足,无法在欧盟销售。而如果他们不承担这个风险,选择放弃互联汽车,他们就会把这一部分销量输给竞争对手。反之,汽车网络安全风险也会连累整个公司。所以在这一方面,汽车制造商根本没得选。
迄今为止,发生了多少起黑客事件?
这个几乎很难统计。目前所知的是几起奔驰、特斯拉和Jeep被盗事件,视频显示整个过程只用了30秒,这只是冰山一角,看不见的部分可能是巨大的。
有多大比例的产品进行过完整的威胁分析,并经过第三方的审核?
这个比例几乎低到惊人,一些品牌要求供应商在交付前进行网络安全评估,但这种零敲碎打的要求经常执行不力。
我的车辆在生命周期内能否等来网络安全?
每天都有新的黑客产生,每周都有老旧电脑被淘汰,很少有汽车品牌会吹嘘或宣传持续的防火墙解决方案,因为这一准会招致黑客的挑战。汽车可能在购买时不安全,也可能在几十年后完全安全,而公众却没有办法预测。
汽车如何快速修复?
如上所述,没有任何一个修复的过程是100%可靠的。此外,很少有制造商能够拥有可靠的、不断更新的、24小时不间断的监控系统,为整个车队提供每一个可构建的组合来管理运营、风险和更新。
车辆能保护自己吗?
目前,汽车网络安全方面没有类似于五星碰撞评级的明确评级体系,因为,这将再次给品牌施加了一个目标。而且很可能汽车网络安全永远不会提供升级服务,因为客户期望网络安全也能够免费自动更新。
如果我干脆避开自动驾驶汽车呢?
黑客也可以控制非自动驾驶汽车,因此,将自动驾驶级别与易感性挂钩是完全错误的。自动驾驶级别的增加的确意味着更多的攻击面(从而增加了DoS攻击的可扩展性),但我们需要面对的一个简单明了且残酷的事实是:威胁已经存在。
如果我不是最薄弱的环节呢?
如果邻居的车在车道上被偷了,那么周围所有人的车险额肯定会提升。如果邻居的车在高速路上被黑了,那么它的失控会让周围的车都很难幸免于难。无论你是不是最弱的一环,在黑客入侵时,都是在劫难逃。
本文来源于汽车之家车家号作者,不代表汽车之家的观点立场。
‘柒’ 汽车数据安全如何保障
监管亟待加强。国信证券分析师认为,当前政策层面对于网络安全的重视程度空前,数据已成为核心生产要素。
当下,在智能汽车发展的同时安全问题依旧是第一位的,智能汽车的数据安全性是车联网发展道路上的重中之重。
规定
7月12日工信部等三部门印发了《网络产品安全漏洞管理规定》,《规定》提出,网络产品提供者应当确保其产品安全漏洞得到及时修补和合理发布;工信部网络安全威胁和漏洞信息共享平台同步向国家网络与信息安全信息通报中心、国家计算机网络应急技术处理协调中心通报相关漏洞信息。
‘捌’ 《汽车数据安全管理若干规定(试行)》发布 10月1日起实施
易车讯 近日,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合发布《汽车数据安全管理若干规定(试行)》(以下简称《规定》),自2021年10月1日起施行。国家互联网信息办公室有关负责人表示,出台《规定》旨在规范汽车数据处理活动,保护个人、组织的合法权益,维护国家安全和社会公共利益,促进汽车数据合理开发利用。
随着新一代信息技术与汽车产业加速融合,智能汽车产业、车联网技术的快速发展,以自动辅助驾驶为代表的人工智能技术日益普及,汽车数据处理能力日益增强,暴露出的汽车数据安全问题和风险隐患日益突出。在汽车数据安全管理领域出台有针对性的规章制度,明确汽车数据处理者的责任和义务,规范汽车数据处理活动,是防范化解汽车数据安全风险、保障汽车数据依法合理有效利用的需要,也是维护国家安全利益、保护个人合法权益的需要。
《规定》倡导,汽车数据处理者在开展汽车数据处理活动中坚持“车内处理”、“默认不收集”、“精度范围适用”、“脱敏处理”等数据处理原则,减少对汽车数据的无序收集和违规滥用。
《规定》明确,汽车数据处理者应当履行个人信息保护责任,充分保护个人信息安全和合法权益。开展个人信息处理活动,汽车数据处理者应当通过显着方式告知个人相关信息,取得个人同意或者符合法律、行政法规规定的其他情形。处理敏感个人信息,汽车数据处理者还应当取得个人单独同意,满足限定处理目的、提示收集状态、终止收集等具体要求或者符合法律、行政法规和强制性国家标准等其他要求。汽车数据处理者具有增强行车安全的目的和充分的必要性,方可收集指纹、声纹、人脸、心律等生物识别特征信息。
《规定》强调,汽车数据处理者开展重要数据处理活动,应当遵守依法在境内存储的规定,加强重要数据安全保护;落实风险评估报告制度要求,积极防范数据安全风险;落实年度报告制度要求,按时主动报送年度汽车数据安全管理情况。因业务需要确需向境外提供重要数据的,汽车数据处理者应当落实数据出境安全评估制度要求,不得超出出境安全评估结论违规向境外提供重要数据,并在年度报告中补充报告相关情况。
《规定》提出,国家有关部门依据各自职责做好汽车数据安全管理和保障工作,包括开展数据安全评估、数据出境事项抽查核验、智能(网联)汽车网络平台建设等工作。对于违反本规定的汽车数据处理者,有关部门将依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等法律、行政法规的规定进行处罚。(信息来源:“网信中国”微信公众号,图片来源网络)
‘玖’ 网约车发展存在哪些问题,政府应如何监管
你好,2016网约车新政具体内容有:
7月28日下午,《关于深化改革推进出租汽车行业健康发展的指导意见》(以下简称《指导意见》)、《网络预约出租汽车经营管理暂行办法》(以下简称《暂行办法》)揭开面纱,网约车新政将于11月1日起实施。下面一起来看看此次网约车新政新规全文吧!
网络预约出租汽车经营服务管理暂行办法
第一章总则
第一条
为更好地满足社会公众多样化出行需求,促进出租汽车行业和互联网融合发展,规范网络预约出租汽车经营服务行为,保障运营安全和乘客合法权益,根据国家有关法律、行政法规,制定本办法。
第二条 从事网络预约出租汽车(以下简称网约车)经营服务,应当遵守本办法。
本办法所称网约车经营服务,是指以互联网技术为依托构建服务平台,整合供需信息,使用符合条件的车辆和驾驶员,提供非巡游的预约出租汽车服务的经营活动。
本办法所称网络预约出租汽车经营者(以下称网约车平台公司),是指构建网络服务平台,从事网约车经营服务的企业法人。
第三条 坚持优先发展城市公共交通、适度发展出租汽车,按照高品质服务、差异化经营的原则,有序发展网约车。
网约车运价实行市场调节价,城市人民政府认为有必要实行政府指导价的除外。
第四条 国务院交通运输主管部门负责指导全国网约车管理工作。
各省、自治区人民政府交通运输主管部门在本级人民政府领导下,负责指导本行政区域内网约车管理工作。
直辖市、设区的市级或者县级交通运输主管部门或人民政府指定的其他出租汽车行政主管部门(以下称出租汽车行政主管部门)在本级人民政府领导下,负责具体实施网约车管理。
其他有关部门依据法定职责,对网约车实施相关监督管理。
第二章网约车平台公司
第五条 申请从事网约车经营的,应当具备线上线下服务能力,符合下列条件:
(一)具有企业法人资格;
(二)具备开展网约车经营的互联网平台和与拟开展业务相适应的信息数据交互及处理能力,具备供交通、通信、公安、税务、网信等相关监管部门依法调取查询相关网络数据信息的条件,网络服务平台数据库接入出租汽车行政主管部门监管平台,服务器设置在中国内地,有符合规定的网络安全管理制度和安全保护技术措施;
(三)使用电子支付的,应当与银行、非银行支付机构签订提供支付结算服务的协议;
(四)有健全的经营管理制度、安全生产管理制度和服务质量保障制度;
(五)在服务所在地有相应服务机构及服务能力;
(六)法律法规规定的其他条件。
外商投资网约车经营的,除符合上述条件外,还应当符合外商投资相关法律法规的规定。
第六条 申请从事网约车经营的,应当根据经营区域向相应的出租汽车行政主管部门提出申请,并提交以下材料:
(一)网络预约出租汽车经营申请表(见附件);
(二)投资人、负责人身份、资信证明及其复印件,经办人的身份证明及其复印件和委托书;
(三)企业法人营业执照,属于分支机构的还应当提交营业执照,外商投资企业还应当提供外商投资企业批准证书;
(四)服务所在地办公场所、负责人员和管理人员等信息;
(五)具备互联网平台和信息数据交互及处理能力的证明材料,具备供交通、通信、公安、税务、网信等相关监管部门依法调取查询相关网络数据信息条件的证明材料,数据库接入情况说明,服务器设置在中国内地的情况说明,依法建立并落实网络安全管理制度和安全保护技术措施的证明材料;
(六)使用电子支付的,应当提供与银行、非银行支付机构签订的支付结算服务协议;
(七)经营管理制度、安全生产管理制度和服务质量保障制度文本;
(八)法律法规要求提供的其他材料。
首次从事网约车经营的,应当向企业注册地相应出租汽车行政主管部门提出申请,前款第(五)、第(六)项有关线上服务能力材料由网约车平台公司注册地省级交通运输主管部门商同级通信、公安、税务、网信、人民银行等部门审核认定,并提供相应认定结果,认定结果全国有效。网约车平台公司在注册地以外申请从事网约车经营的,应当提交前款第(五)、第(六)项有关线上服务能力认定结果。
其他线下服务能力材料,由受理申请的出租汽车行政主管部门进行审核。
第七条
出租汽车行政主管部门应当自受理之日起20日内作出许可或者不予许可的决定。20日内不能作出决定的,经实施机关负责人批准,可以延长10日,并应当将延长期限的理由告知申请人。
第八条
出租汽车行政主管部门对于网约车经营申请作出行政许可决定的,应当明确经营范围、经营区域、经营期限等,并发放《网络预约出租汽车经营许可证》。
第九条 出租汽车行政主管部门对不符合规定条件的申请作出不予行政许可决定的,应当向申请人出具《不予行政许可决定书》。
第十条
网约车平台公司应当在取得相应《网络预约出租汽车经营许可证》并向企业注册地省级通信主管部门申请互联网信息服务备案后,方可开展相关业务。备案内容包括经营者真实身份信息、接入信息、出租汽车行政主管部门核发的《网络预约出租汽车经营许可证》等。涉及经营电信业务的,还应当符合电信管理的相关规定。
网约车平台公司应当自网络正式联通之日起30日内,到网约车平台公司管理运营机构所在地的省级人民政府公安机关指定的受理机关办理备案手续。
第十一条
网约车平台公司暂停或者终止运营的,应当提前30日向服务所在地出租汽车行政主管部门书面报告,说明有关情况,通告提供服务的车辆所有人和驾驶员,并向社会公告。终止经营的,应当将相应《网络预约出租汽车经营许可证》交回原许可机关。
第三章网约车车辆和驾驶员
第十二条 拟从事网约车经营的车辆,应当符合以下条件:
(一)7座及以下乘用车;
(二)安装具有行驶记录功能的车辆卫星定位装置、应急报警装置;
(三)车辆技术性能符合运营安全相关标准要求。
车辆的具体标准和营运要求,由相应的出租汽车行政主管部门,按照高品质服务、差异化经营的发展原则,结合本地实际情况确定。
第十三条
服务所在地出租汽车行政主管部门依车辆所有人或者网约车平台公司申请,按第十二条规定的条件审核后,对符合条件并登记为预约出租客运的车辆,发放《网络预约出租汽车运输证》。
城市人民政府对网约车发放《网络预约出租汽车运输证》另有规定的,从其规定。
第十四条 从事网约车服务的驾驶员,应当符合以下条件:
(一)取得相应准驾车型机动车驾驶证并具有3年以上驾驶经历;
(二)无交通肇事犯罪、危险驾驶犯罪记录,无吸毒记录,无饮酒后驾驶记录,最近连续3个记分周期内没有记满12分记录;
(三)无暴力犯罪记录;
(四)城市人民政府规定的其他条件。
第十五条
服务所在地设区的市级出租汽车行政主管部门依驾驶员或者网约车平台公司申请,按第十四条规定的条件核查并按规定考核后,为符合条件且考核合格的驾驶员,发放《网络预约出租汽车驾驶员证》。
第四章网约车经营行为
第十六条 网约车平台公司承担承运人责任,应当保证运营安全,保障乘客合法权益。
第十七条
网约车平台公司应当保证提供服务车辆具备合法营运资质,技术状况良好,安全性能可靠,具有营运车辆相关保险,保证线上提供服务的车辆与线下实际提供服务的车辆一致,并将车辆相关信息向服务所在地出租汽车行政主管部门报备。
第十八条
网约车平台公司应当保证提供服务的驾驶员具有合法从业资格,按照有关法律法规规定,根据工作时长、服务频次等特点,与驾驶员签订多种形式的劳动合同或者协议,明确双方的权利和义务。网约车平台公司应当维护和保障驾驶员合法权益,开展有关法律法规、职业道德、服务规范、安全运营等方面的岗前培训和日常教育,保证线上提供服务的驾驶员与线下实际提供服务的驾驶员一致,并将驾驶员相关信息向服务所在地出租汽车行政主管部门报备。
网约车平台公司应当记录驾驶员、约车人在其服务平台发布的信息内容、用户注册信息、身份认证信息、订单日志、上网日志、网上交易日志、行驶轨迹日志等数据并备份。
第十九条
网约车平台公司应当公布确定符合国家有关规定的计程计价方式,明确服务项目和质量承诺,建立服务评价体系和乘客投诉处理制度,如实采集与记录驾驶员服务信息。在提供网约车服务时,提供驾驶员姓名、照片、手机号码和服务评价结果,以及车辆牌照等信息。
第二十条 网约车平台公司应当合理确定网约车运价,实行明码标价,并向乘客提供相应的出租汽车发票。
第二十一条 网约车平台公司不得妨碍市场公平竞争,不得侵害乘客合法权益和社会公共利益。
网约车平台公司不得有为排挤竞争对手或者独占市场,以低于成本的价格运营扰乱正常市场秩序,损害国家利益或者其他经营者合法权益等不正当价格行为,不得有价格违法行为。
第二十二条 网约车应当在许可的经营区域内从事经营活动,超出许可的经营区域的,起讫点一端应当在许可的经营区域内。
第二十三条 网约车平台公司应当依法纳税,为乘客购买承运人责任险等相关保险,充分保障乘客权益。
第二十四条
网约车平台公司应当加强安全管理,落实运营、网络等安全防范措施,严格数据安全保护和管理,提高安全防范和抗风险能力,支持配合有关部门开展相关工作。
第二十五条
网约车平台公司和驾驶员提供经营服务应当符合国家有关运营服务标准,不得途中甩客或者故意绕道行驶,不得违规收费,不得对举报、投诉其服务质量或者对其服务作出不满意评价的乘客实施报复行为。
第二十六条
网约车平台公司应当通过其服务平台以显着方式将驾驶员、约车人和乘客等个人信息的采集和使用的目的、方式和范围进行告知。未经信息主体明示同意,网约车平台公司不得使用前述个人信息用于开展其他业务。
网约车平台公司采集驾驶员、约车人和乘客的个人信息,不得超越提供网约车业务所必需的范围。
除配合国家机关依法行使监督检查权或者刑事侦查权外,网约车平台公司不得向任何第三方提供驾驶员、约车人和乘客的姓名、联系方式、家庭住址、银行账户或者支付账户、地理位置、出行线路等个人信息,不得泄露地理坐标、地理标志物等涉及国家安全的敏感信息。发生信息泄露后,网约车平台公司应当及时向相关主管部门报告,并采取及时有效的补救措施。
第二十七条
网约车平台公司应当遵守国家网络和信息安全有关规定,所采集的个人信息和生成的业务数据,应当在中国内地存储和使用,保存期限不少于2年,除法律法规另有规定外,上述信息和数据不得外流。
网约车平台公司不得利用其服务平台发布法律法规禁止传播的信息,不得为企业、个人及其他团体、组织发布有害信息提供便利,并采取有效措施过滤阻断有害信息传播。发现他人利用其网络服务平台传播有害信息的,应当立即停止传输,保存有关记录,并向国家有关机关报告。
网约车平台公司应当依照法律规定,为公安机关依法开展国家安全工作,防范、调查违法犯罪活动提供必要的技术支持与协助。
第二十八条 任何企业和个人不得向未取得合法资质的车辆、驾驶员提供信息对接开展网约车经营服务。不得以私人小客车合乘名义提供网约车经营服务。
网约车车辆和驾驶员不得通过未取得经营许可的网络服务平台提供运营服务。
第五章监督检查
第二十九条
出租汽车行政主管部门应当建设和完善政府监管平台,实现与网约车平台信息共享。共享信息应当包括车辆和驾驶员基本信息、服务质量以及乘客评价信息等。
出租汽车行政主管部门应当加强对网约车市场监管,加强对网约车平台公司、车辆和驾驶员的资质审查与证件核发管理。
出租汽车行政主管部门应当定期组织开展网约车服务质量测评,并及时向社会公布本地区网约车平台公司基本信息、服务质量测评结果、乘客投诉处理情况等信息。