工信部:加強智慧網聯汽車數據和網路安全管理 規範軟體在線升級
各省、自治區、直轄市及新疆生產建設兵團工業和資訊化主管部門,各省、自治區、直轄市通信管理局,有關汽車生產企業: 為加強智慧網聯汽車生產企業及產品准入管理,維護公民生命、財產安全和公共安全,促進智慧網聯汽車產業健康可持續發展,根據《中華人民共和國道路交通安全法》《中華人民共和國網路安全法》《中華人民共和國數據安全法》《 道路機動車輛生產企業及產品准入管理辦法》等規定,提出以下意見。
工業和資訊化部關於加強智慧網聯汽車生產企業及產品准入管理的意見
工信部通裝〔2021〕103號
各省、自治區、直轄市及新疆生產建設兵團工業和資訊化主管部門,各省、自治區、直轄市通信管理局,有關汽車生產企業:
為加強智慧網聯汽車生產企業及產品准入管理,維護公民生命、財產安全和公共安全,促進智慧網聯汽車產業健康可持續發展,根據《中華人民共和國道路交通安全法》《中華人民共和國網路安全法》《中華人民共和國數據安全法》《道路機動車輛生產企業及產品准入管理辦法》等規定,提出以下意見。
一、總體要求
堅持以習近平新時代中國特色社會主義思想為指導,深入貫徹黨的十九大和十九屆二中、三中、四中、五中全會精神,落實立足新發展階段、貫徹新發展理念、構建新發展格局、推動高質量發展的要求,壓實企業主體責任,加強汽車數據安全、網路安全、軟體升級、功能安全和預期功能安全管理,保證產品品質和生產一致性,推動智慧網聯汽車產業高質量發展。
二、加強數據和網路安全管理
(一)強化數據安全管理能力。 企業應當建立健全汽車數據安全管理制度,依法履行數據安全保護義務,明確責任部門和負責人。 建立數據資產管理台賬,實施數據分類分級管理,加強個人資訊與重要數據保護。 建設數據安全保護技術措施,確保數據持續處於有效保護和合法利用的狀態,依法依規落實數據安全風險評估、數據安全事件報告等要求。 在中華人民共和國境內運營中收集和產生的個人資訊和重要數據應當按照有關法律法規規定在境內存儲。 需要向境外提供數據的,應當通過數據出境安全評估。
(二)加強網路安全保障能力。 企業應當建立汽車網路安全管理制度,依法落實網路安全等級保護制度和車聯網卡實名登記管理要求,明確網路安全責任部門和負責人。 具備保障汽車電子電氣系統、元件和功能免受網路威脅的技術措施,具備汽車網路安全風險監測、網路安全缺陷和漏洞等發現和處置技術條件,確保車輛及其功能處於被保護的狀態,保障車輛安全運行。 依法依規落實網路安全事件報告和處置要求。
三、規範軟體在線升級
(三)強化企業管理能力。 企業生產具有在線升級(又稱OTA升級)功能的汽車產品的,應當建立與汽車產品及升級活動相適應的管理能力,具有在線升級安全影響評估、測試驗證、實施過程保障、信息記錄等能力,確保車輛進行在線升級時處於安全狀態,並向車輛使用者告知在線升級的目的、內容、所需時長、注意事項、升級結果等資訊。
(四)保證產品生產一致性。 企業實施在線升級活動前,應當確保汽車產品符合國家法律法規、技術標準及技術規範等相關要求並向工業和資訊化部備案,涉及安全、節能、環保、防盜等技術參數變更的應提前向工業和資訊化部申報,保證汽車產品生產一致性。 未經審批,不得通過在線等軟體升級方式新增或更新汽車自動駕駛功能。
四、加強產品管理
(五)嚴格履行告知義務。 企業生產具有駕駛輔助和自動駕駛功能的汽車產品的,應當明確告知車輛功能及性能限制、駕駛員職責、人機交互設備指示資訊、功能啟動及退出方法和條件等資訊。
(六)加強組合駕駛輔助功能產品安全管理。 企業生產具有組合駕駛輔助功能的汽車產品的,應採取脫手檢測等技術措施,保障駕駛員始終在執行相應的動態駕駛任務。 組合駕駛輔助功能是指駕駛自動化系統在其設計運行條件下,持續地執行車輛橫向和縱向運動控制,並具備相應的目標和事件探測與回應能力。
(七)加強自動駕駛功能產品安全管理。 企業生產具有自動駕駛功能的汽車產品的,應當確保汽車產品至少滿足以下要求:
1.應能自動識別自動駕駛系統失效以及是否持續滿足設計運行條件,並能採取風險減緩措施以達到最小風險狀態。
2.應具備人機交互功能,顯示自動駕駛系統運行狀態。 在特定條件下需要駕駛員執行動態駕駛任務的,應具備識別駕駛員執行動態駕駛任務能力的功能。 車輛應能夠依法依規合理使用燈光信號、聲音等方式與其他道路使用者進行交互。
3.應具有事件數據記錄系統和自動駕駛數據記錄系統,滿足相關功能、性能和安全性要求,用於事故重建、責任判定及原因分析等。 其中,自動駕駛數據記錄系統記錄的數據應包括車輛及系統基本資訊、車輛狀態及動態資訊、自動駕駛系統運行資訊、行車環境資訊、駕乘人員操作及狀態資訊、故障資訊等。
4.應滿足功能安全、預期功能安全、網路安全等過程保障要求,以及模擬模擬、封閉場地、實際道路、網路安全、軟體升級、數據記錄等測試要求,避免車輛在設計運行條件內發生可預見且可預防的安全事故。
(八)確保可靠的時空資訊服務。 企業應當確保汽車產品具有安全、可靠的衛星定位及授時功能,可有效提供位置、速度、時間等資訊,並應滿足相關要求,鼓勵支援接受北鬥衛星導航系統信號。
五、保障措施
(九)建立自查機制。 企業應當加強自查,發現生產、銷售的汽車產品存在數據安全、網路安全、在線升級安全、駕駛輔助和自動駕駛安全等嚴重問題的,應當依法依規立即停止相關產品的生產、銷售,採取措施進行整改,並及時向工業和資訊化部及所在地工業和資訊化、電信主管部門報告。
(十)加強監督實施。 工業和資訊化部指導有關機構做好智慧網聯汽車生產企業及產品准入技術審查等工作。 各地工業和資訊化、電信主管部門要與相關部門協同配合,按照《道路機動車輛生產企業及產品准入管理辦法》有關要求,做好對本意見落實情況的監督檢查。
(十一)夯實基礎能力。 工業和資訊化部會同各地相關部門、有關企業進一步完善智慧網聯汽車標準體系建設,加快推動汽車數據安全、網路安全、在線升級、駕駛輔助、自動駕駛等標準規範制修訂。 鼓勵第三方服務機構和企業加強相關測試驗證和檢驗檢測能力建設,不斷提升智慧網聯汽車相關技術和網路安全、數據安全水準。
工業和資訊化部
2021年7月30日