车联网安全标准化白皮书（2023年）

车联网安全标准化白皮书 （2023年） 中国通信标准化协会 2023年11月 ————————————————————————— 版权说明 ————————————————————————— 本白皮书版权属于中国通信标准化协会，并受法律保护。转载、摘编或利用其他方式使用本白皮书文字或者观点的，应注明“来源：中国通信标准化协会”。违反上述声明者，本协会将追究其法律责任。 前言 车联网是汽车、电子、信息通信、道路交通运输等行业深度融合的新型产业形态，通过贯通汽车、道路交通运输、云网通信和平台等关键要素，实现“人－车－路－云”数据交互和高效协同，使能综合信息服务、交通治理、安全效能提升、辅助驾驶和自动驾驶等应用，提升交通出行的智能化、网联化和绿色化水平，助力经济社会实现高效、便捷、安全与低碳运转，已成为汽车行业新的发展方向和世界主要国家竞相角逐的产业制高点，也是我国新型工业化进程中的重要推动力量。党的十八大以来，我国车联网产业规模不断壮大，汽车产销量全球第一，建成全球最大5G网络，截至2023年5月，我国车辆装载车联网卡数量超9840万张，具备组合驾驶辅助功能（L2）级的乘用车渗透率达到34.9%。伴随产业快速发展，车联网内涵不断延伸，互联网资产暴露面和安全边界持续扩大，网络安全各类风险加速向车联网领域渗透蔓延，车联网网络安全、数据安全、车辆行驶安全、产业安全等方面风险交织叠加，车联网安全日益成为各方关注焦点。 党中央、国务院高度重视车联网产业发展和安全，相关部门陆续印发《智能汽车创新发展战略》《车联网（智能网联汽车）产业发展行动计划》《关于加强车联网网络安全和数据安全工作的通知》《车联网网络安全和数据安全标准体系建设指南》等政策文件，积极开展车联网安全工作部署。进一步强化车联网安全保障能力建设，不仅需要从监管、技术、行业机制的角度寻求突破，也亟需从标准化维度加 大工作力度，切实发挥标准在车联网安全工作中的基础性、规范性、引领性作用，有效指导和体系化推进相关重点标准研究制定工作。 本白皮书系统梳理了国内外主要国家、地区车联网安全相关发展战略政策，描述了国内外车联网安全标准化现状，针对车联网安全关键要素和重点环节，研究提出车联网安全标准需求和发展方向，给出标准化工作推进建议，旨在呼吁社会各界加强对车联网安全标准化工作的重视程度，共同助力车联网产业高质量安全发展。 本白皮书由中国通信标准化协会（CCSA）网络与数据安全（TC8）车联网安全任务组（TF2）牵头，参与编写单位包括：中国信息通信研究院、天翼物联科技有限公司、广东为辰信息科技有限公司、中国第一汽车集团有限公司、国汽（北京）智能网联汽车研究院有限公司、广州小鹏汽车科技有限公司、北京百度网讯科技有限公司、中信科移动通信技术股份有限公司、三六零数字安全科技集团有限公司、郑州信大捷安信息技术股份有限公司、浙江大学网络空间安全学院、浙江吉利控股集团有限公司。主要参与编写人员：魏亮、谢玮、林美玉、赵爽、张倩、柯皓仁、张宁、杜霖、郭茜、冯开瑞、陈荆花、仇俊华、宋雪冬、杨汶翰、陈鹏、薛宇、闫昭、丁润涛、安景斌、郑德熙、冯世杰、黄丹、韩松庭、徐晖、包施晗、龚伟炜、严敏睿、刘献伦、刘为华、任奎、薛强、卢立、杨坤、潘亮，罗巧玲。 目录 1.车联网安全法律政策进展1 1.1.国外情况1 1.1.1.美国1 1.1.2.欧盟2 1.1.3.英国2 1.1.4.日本3 1.2.国内情况3 1.2.1.法律法规3 1.2.2.国家政策4 1.2.3.地方政策4 2.国外车联网安全标准化进展5 2.1.国际组织5 2.1.1.联合国（UN/WP29）5 2.1.2.国际标准化组织（ISO）6 2.1.3.国际电信联盟（ITU）7 2.1.4.国际汽车工程师学会（SAE）8 2.1.5.3GPP8 2.1.6.国际电气与电子工程师协会（IEEE）8 2.2.重点国家地区9 2.2.1.美国9 2.2.2.欧盟9 2.2.3.英国10 2.2.4.日本10 3.我国车联网安全标准化现状12 3.1.标准框架12 3.1.1.车联网产业标准体系（1+5分册）12 3.1.2.车联网网络安全和数据安全标准体系框架17 3.2.总体与基础共性标准17 3.3.终端和设施网络安全标准18 3.4.网联通信安全标准19 3.5.数据安全标准20 3.6.应用服务安全标准21 3.7.安全保障支撑标准21 4.工作建议22 4.1.立足强化风险应对提升标准研判能力22 4.2.持续夯实标准体系建设和迭代更新22 4.3.加强标准宣传推广和符合性评估23 4.4.加大标准化人才培养力度23 4.5.深度参与车联网安全国际标准化工作23 附件一：国际车联网安全标准清单24 附件二：国内车联网安全标准清单26 1.车联网安全法律政策进展 伴随车联网产业快速发展，车联网网络安全和数据安全事件频发，车联网安全形势不容乐观，对此世界各国都十分重视车联网安全。国际层面以美国、欧盟、英国、日本等国家为代表，陆续出台各项法规政策，强化车联网网络安全、数据安全总体布局。其中，美国加强各方广泛合作，推动技术创新和安全；欧盟则注重隐私保护，对个人数据和非个人数据都提出相应的规范；英国关注网联汽车全生命周期的网络安全，将安全责任拓展到产业链各主体；日本重视数据安全和隐私保护，汽车网络安全方面主要沿用联合国世界车辆法规协调论坛（UN/WP29）制定的规定和要求。国内则从法律法规、国家政策、地方政策等不同层面构建车联网安全保障体系。国家层面顶层设计逐步完善，车联网安全“有法可依”，《网络安全法》《数据安全法》和《个人信息保护法》先后发布实施，初步构建起网络安全和数据安全保障领域的法律体系框架。国务院、工业和信息化部、交通运输部、科学技术部、国家发展改革委、公安部等部委相继出台一系列顶层规划及政策文件，车联网安全发展取得阶段性成效。各级地方政府高度重视网络安全和数据安全的能力建设，密集发布了一系列地方政策对智能网联汽车领域的网络安全和数据安全工作提出了具体要求。 1.1.国外情况 1.1.1.美国 美国加强与各利益相关方广泛合作，推动道路运输技术创新和安全，确保美国在自动化领域处于全球领先地位。2021年1月，美国《自动驾驶汽车综合计划》确定了实现自动驾驶系统（ADS）愿景的三个目标：促进合作与透明，为合作伙伴和利益相关者提供技术能力；营造现代化监管环境，开发以安全为中心的框架和工具，以评估自动驾驶系统技术的安全性能；为自动驾驶系统（ADS）的安全集成准备交通系统。美国交通运输部（USDOT）将与利益相关者合作，开展安全评估和整合ADS所需的基础研究和示范活动。2021年11月，美国国会正式通过《两党基础设施法》，意在通过建设更好的道路、桥梁和港口、强化各部门信息技术和网络安全、向清洁能源转型以及加强所有其他关键基础设施部门，为实现长期的安全和繁荣奠定基础，推动产业链向北美转移。2022年4月，美国发布《交通战略计划2022-2026》，意图通过变革性投资使美国基础设施现代化，以提供更安全、更清洁、更出色的交通系统。其中强调要加强运输系统的弹性，以保护其免受网络和其他攻击的破坏。2023年5月，美国《两党基础设施法案》资助的项目批复中包括实时交通信息、公交信号定时系统和无缝公交支 付系统，以提高安全性和交通效率。 1.1.2.欧盟 欧盟明确车联网网络安全与数据安全基线，更加注重隐私保护，通过行业协作强化整个产业的安全能力。从职能分工来看，欧盟负责出台适用全体成员国的普适性安全法规，各成员国在欧盟法规要求下制定符合国内现状的安全领域法律法规。以网络安全、数据安全法规为通用基本要求，通过汽车产品的型式准入相关法规向车联网安全领域延伸。 2023年1月13日，《关于在欧盟全境实现高度统一网络安全措施的指令》 （NIS2指令）正式取代《网络和信息系统安全指令》（NIS指令）生效。作为欧盟在安全防护体系的系统性协同指导与网络安全监管方法的法律支撑，NIS2指令旨在消除成员国在网络安全要求和措施实施方面的差异。较之NIS指令，NIS2指令大大扩展了属于其范围的关键实体部门和类型，同时也加强了企业需 要遵守的网络安全风险管理要求。如今，NIS2指令同《欧盟网络安全法》共同构成了欧盟在网络安全领域的通用上位法。 数据安全领域则是由《欧盟通用数据保护条例》（GDPR）、《数据法案》 （DGA）、《数据治理法》等已出台的法规，共同构成数据保护的法律体系。GDPR作为个人数据保护的主要法规，其立法目的就是保护隐私权并促进该权利的行使。适用于任何收集、处理、管理或存储欧洲公民数据的组织。所以，实质上GDPR是一个数据保护的全球标准。但与以往的隐私条例不同，GDPR对数据处理者也赋予了新的合规要求。从原有的收集和使用数据的拥有者需要对数据保护负责，到现今的数据处理者也将需要直接承担合规风险和义务。同时，GDPR还提高了数据保护标准，避免数据滥用和数据泄露，其中第45（3）条的充分性决定条例更是影响、促进了国家间法规框架融合，推动了全球数据治理方式的改变。对于非个人数据的管控上，主要依赖于2020年11月发布的《数据治理法》 与2022年的《数据方案》管理受知识产权或商业秘密保护的非个人数据的国际传输。 在汽车产品的安全管理方面，欧盟通过将联合国世界车辆法规协调论坛 （UN/WP29）的R155、R156、R157三项法规要求强制引入型式批准，结合（EU）2018/858的整车型式批准和（EU）2019/2144的零部件型式批准，共同构建起了欧盟车型准入管理的框架体系，将网络安全与数据安全管理要求引入车联网安全领域。 1.1.3.英国 英国关注网联汽车全生命周期的网络安全，将安全责任拓展到产业链各主体，力图在自动驾驶领域率先颁布监管制度。2022年1月26日，英格兰及威尔士法律委员会与苏格兰法律委员会联合发表了一份名为《自动驾驶汽车：联合报 告》的法律改革报告，旨在建立一个更安全的、责任划分更清晰的自动驾驶汽车道路安全运行机制。报告针对目前法规的局限性提出了修改建议，对自动驾驶汽车与有驾驶辅助功能的汽车进行区分，将自动驾驶汽车在行驶各阶段的责任划分得更清楚。 1.1.4.日本 日本重视数据安全和隐私保护，汽车网络安全方面主要沿用联合国世界车辆法规协调论坛（UN/WP29）制定的规定和要求。2021年8月3日，日本个人 信息保护委员会（PPC）公布《个人信息保护法》修订案，该法于2022年4月1日正式实施，适用于包括车联网在内的数据安全和隐私保护，是日本个人信息保护的基本框架，在个人信息范围的界定、与第三方的共享、跨境传输等制度方面都独具特色。为加快制定L4级自动驾驶法规，近期日本警察厅表示，新版《道路交通法》修正案预定于2023年下半年施行，该法案列入了在特定条件下实现完全自动化驾驶的“Level4”运行许可制度。如果该法开始实施，将意味着日本将允许L4级自动驾驶汽车上路。 1.2.国内情况 1.2.1.法律法规 国家层面网络和数据安全相关法律法规陆续正式实施，安全工作有法可依。2017年6月1日起，《网络安全法》正式实施，明确要求网络运营者（包括整车企业及车辆运营商等）应“履行网络安全保护义务，接受政府和社会的监督，承担社会责任”“依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性”等。2021年9 月1日起，《数据安全法》正式施行，从法律层面清晰定义了数据活动、数据安全，提出国家将对数据实行分类分级保护、开展数据活动必须履行数据安全保护义务承担社会责任等。在明确国家数据安全基本制度体系的基础上，对于重要数据提出了加强安全保护的要求。2021年11月1日起，《个人信息保护法》正式施行，对个人信息保护提供更强有力的保障，规定了个人信息的收集、使用、保存和安全保护等方面的具体要求，对下位