2024北京市高级别自动驾驶示范区数据安全治理白皮书

2024 北京市高级别自动驾驶示范区数据安全治理白皮书 主编单位：北京市高级别自动驾驶示范区工作办公室参编单位：北京车网科技发展有限公司 国汽（北京）智能网联汽车研究院有限公司中国信息通信研究院云计算与大数据研究所 2024年4月 编写说明 本白皮书重点围绕北京市高级别自动驾驶示范区（以下简称“示范区”）的建设和运营实际，从平衡数据要素安全保护与高效流通的需求出发，完善深化数据安全治理实践，总结展现数据安全治理成果与经验，为行业开展相关工作提供借鉴。 本白皮书的编制工作发起于北京市高级别自动驾驶示范区，旨在发掘共性需求、建立行业共识。在编制过程中，归纳梳理行业数据安全治理研究基础，聚焦车路云一体化概念特性及其数据安全关键挑战，总结提出了面向车路云一体化的数据安全治理总体视图。同时，多维度展现示范区在保障车路云一体化数据安全的治理工作成效，围绕“一个目标、三大体系、四大专项工作”介绍示范区在数据安全治理的探索实践，旨在为各地智能网联汽车测试示范区开展数据安全治理工作提供参考方案。 本白皮书邀请多位行业专家进行深入交流，并基于专家意见对编制背景、研究概况、工作实践等部分进行完善，获得了行业专家的认同。期望在工作执行过程中能达成行业共识，获得行业主管机构认可，为后续进一步开展数据安全治理工作奠定基础。 本白皮书的主要观点和内容仅代表编制组现阶段对示范区数据安全治理工作内容的研判与相关实践的总结，欢迎各界专家代表予以宝贵意见，共同推动智能网联汽车测试示范区数据安全治理实践的进步。 前言 我国持续深化智能网联汽车发展路径探索，提出引领全球的车路云一体化智能网联汽车发展路径。在各级政府的支持和指导下，各地测试示范区加速开展基础环境建设，为智能网联汽车多场景应用和推广提供测试验证和示范运营环境，推动车路云一体化智能网联汽车落地应用，赋能自动驾驶发展。产业快速融合发展的同时交融着车辆运行安全、数据安全等多项风险，随着智能网联汽车测试示范区加速建设和运营，多源海量数据爆发，数据安全的重要性愈发突出，数据安全治理需求愈加明显，测试示范区的数据安全治理工作逐渐引起行业重点关注。 作为全球首个车路云一体化高级别自动驾驶示范区，示范区自设立以来实现360余个智能路口接入以及830余辆车辆入网，接入全息感知数据、自动驾驶车辆数据、信控数据、交通指标数据、出行服务数据、事件数据等6大类超200种数据项，日增量超305TB，数据总量已积累5.1PB。伴随着车路云一体化深入发展，示范区面向数据安全治理迫切需求，在各级主管部门的支持和指导下，积极部署数据安全治理建设。示范区扎实推进数据安全治理研究与实践工作，总结编制形成本版白皮书。在研究内容上，本白皮书对数据安全治理概念内涵进行辨析介绍，对国内外数据安全治理体系框架进行回顾总结，并对当前数据安全治理关键技术进行分类展现。在此基础上，结合产业发展，深入分析车路云一体化数据安全治理概念含义和车路云一体化数据安全的关键挑战，提出聚焦车路云一体化的数据安全治理总体视图。在实践内容上，详细描绘了示范区“1+3+N”数据安全治理全景图，并对具体实践展开细化介绍，凝练展示了一整套数据安全治理科学执行方法。在展望建议上，本白皮书立足当下，对数据安全治理未来发展趋势进行总结研判，并进一步展望示范区未来工作。 在车路云一体化数据安全治理实践中，示范区成功积攒了具备实操性、易于落地和可推广的宝贵经验，为全国智能网联汽车测试示范区提供数据安全治理的标准化指南，有助于推动车路云一体化数据发挥更大价值，促进示范区数字经济发展。 目录 一、编制背景01 （一）数据安全意义日益凸显 （二）数据安全形势复杂多变 （三）安全治理基础不断夯实 （四）安全治理实践亟待推进 二、研究概况06 （一）数据安全治理研究基础 1、数据安全治理概念内涵 2、数据安全治理体系框架 3、数据安全治理关键技术 （二）面向车路云一体化的数据安全治理 1、车路云一体化数据安全治理概念 2、车路云一体化数据安全关键挑战 3、车路云一体化数据安全治理总体视图 三、工作实践14 （一）示范区“1+3+N”数据安全治理全景图 （二）示范区数据安全治理目标 （三）示范区数据安全治理体系 1、数据安全治理组织体系 2、数据安全治理制度体系 3、数据安全治理技术体系 （四）示范区数据安全治理专项工作 1、率先开展分类分级，奠定安全治理基础 2、配套部署监测系统，感知实时安全态势 3、定期进行风险评估，规避安全风险隐患 4、前瞻应用创新技术，提升监管治理能力 （五）示范区常态化运营成效 目录 四、未来展望31 （一）趋势总结 1、法规标准愈趋完善健全 2、预防型、自主型安全治理成为主流 3、多技术融合创新应用成为必然趋势 4、企业安全治理与应用能力成为关键 （二）工作建议 1、完善监管体系，强化数据安全治理闭环管理 2、加快标准构建，指导数据安全治理创新发展 3、提升技术水平，推动数据安全治理落地实践 4、推进生态建设，促进数据安全治理价值释放 5、加强人才培养，支撑数据安全治理队伍建设 编制背景 随着汽车、交通、通信等产业的融合发展，车路云一体化进入产业发展新阶段。车路云一体化发展汇聚了大量车端、路侧、云端和多端交互数据，实现数据的安全保护是国家层面的战略要求，也是产业高质量发展的迫切需要。本白皮书通过聚焦当前车路云一体化数据安全治理态势，重点突出数据安全重要意义，探讨数据安全治理发展形势与现实基础，分析实践面临问题，力求清晰描绘数据安全治理开展的全局背景。 （一）数据安全意义日益凸显 软件定义汽车、数据驱动进化，成为当下汽车行业发展重要趋势，智能网联汽车成为新的数字信息终端。数据作为未来最重要的战略资产之一，其安全保护治理问题成为国家和行业关注的焦点。在安全战略方面，车路云一体化产业各环节集成了大量数据，其中部分重要敏感信息关乎国家安全、经济发展、社会安定和公众利益。在大国博弈持续加剧的今天，车路云一体化数据安全是国家安全的重要防线。在支撑数字化转型方面，作为数字经济时代的关键生产要素，数据是推动经济社会高质量发展的重要引擎。车路云一体化产业是数实融合的代表之一，也是数字产业化的载体，数据安全是行业转型升级的重要保障。在维护市场竞争方面，数据安全是车企行稳致远的关键，尤其是对个人隐私的保护成为影响消费者车辆选择与购置的重要因素，因此强化数据安全保护是各车企赢得消费者信赖的重要手段。 （二）数据安全形势复杂多变 产业快速发展，数据安全风险伴生。车路云一体化产业具有复杂交错的特性，伴随着智能网联汽车道路测试和示范运营活动的开展，业务产生和涉及的数据量爆发式增长，数据种类丰富，场景种类持续拓展，由此催生了一定的数据安全风险。车路云一体化数据安全风险识别难度逐步加大，对于风险的管控复杂度亦不断增加，因此加强数据安全治理高效落实，是产业高质量发展的必然要求。 数据流通发展对数据安全治理提出更高要求。单一运营主体采集拥有的数据难以满足智能网联汽车研发与测试的需要，数据价值的充分释放依赖于数据要素的有效流通。车路云一体化数据的流转涉及自动驾驶科技企业、整车企业、车队运营企业、数据平台运营企业、交通监管部门等多个主体，数据要素动态流通的需求打破了传统数据安全强调的静态安全状态，流转过程中涉及数据权属与安全保障责任主体界定等问题，大大加剧了数据安全治理的工作难度。 现实发展呼唤数据安全技术变革迭代。随着车路云一体化产业的发展演进，海量数据梳理及分类分级实施的难度增大，数据安全治理亟需向智能化、自动化方向发展演进。同时，数据流通需求对数据安全治理技术体系提出挑战，传统安全防护手段无法满足产业发展现状，亟待综合运用管理和技术措施全方位保障数据安全。数据安全治理过程中，安全防护技术、安全监控技术等新技术与新措施亟需齐头赶上，安全技术的迭代创新成为治理实践的关键。 2 （三）安全治理基础不断夯实 法律政策逐步细化，数据安全政策环境不断完善。在国家层面，我国已出台《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等重要法律，渐趋系统的法律体系为汽车行业数据安全建设提供明确引领。在行业层面，2021年7月，工业和信息化部发布了《工业和信息化部关于加强智能网联汽车生产企业及产品准入管理的意见》，该意见坚守安全底线，明确汽车数据安全、网络安全、在线升级等管理要求，指导企业加强能力建设。2021年8月，国家网信办、发改委、工业和信息化部、公安部、交通运输部联合发布了《汽车数据安全管理若干规定（试行）》，提出了更加规范的原则和方法。2021年9月，工业和信息化部发布了《关于加强车联网网络安全和数据安全工作的通知》，明确指出要落实智能网联汽车的安全主体责任和安全漏洞管理责任，加强对车联网网络安全、服务平台安全和数据安全的防护，对智能网联汽车行业数据安全治理工作作出进一步指导。 监管机制逐渐成型，数据安全保障不断提升。国家监管体系的建立为数据安全管理落地提供有力支撑。2023年10月25日，国家数据局正式揭牌，负责协调推进数据基础制度建设，统筹数据资源整合共享和开发利用等，将加强对数据安全与保护的监管，建立健全数据安全防护体系，防范数据泄露、滥用等风险，保障国家数据安全，维护公民个人信息权益。中央国家安全领导机构、地区及各部门在数据安全处理、监管、保密中的职责划分明确，国家安全数据及数据处理活动的安全性得到有效保证。 随着车路云一体化产业的发展，汽车数据安全监管体系的搭建已初步完成，基本明确了数据安全管理主体、职责、协调机制、法律责任等。汽车数据安全监管涵盖智能网联汽车、路侧基础设施和云控平台多领域，为确保监管的全面性，汽车数据安全由国家多部门按职责开展监管工作，详见表1所示。 3 表1有关部门关于数据安全的监管工作 监管部门 数据安全相关管理职责 国家网信办 统筹协调汽车数据安全监管 工业和信息化部 保障数据安全管理，汽车领域数据分类分级、重要数据和核心数据识别认定、数据分级防护等标准规范，指导开展数据分类分级管理工作，制定行业重要数据和核心数据具体目录并实施动态管理等 交通运输部 道路交通数据、道路基本信息、路侧基础设施产生的交通数据、网约车和货运车信息平台数据等管理 自然资源部 保护地理信息安全，包括地理信息数据管理，测绘资质管理、地图审核等 住建部 建设新型基础设施采集数据 公安部 关键基础设施的数据安全、网络安全等级保护； 防范数据安全隐患、打击数据安全犯罪 全国人大 建立健全数据安全法律法规 数据局 统筹数据资源开发利用和安全治理 市场监管局 数据安全管理认证、数据处理要求 保密局 涉密信息系统 国家密码管理局 商用密码 4 技术产品快速发展，数据安全治理持续赋能。5G、物联网、云计算等数字技术的发展推动了车路云一体化产业的进步，数据形式多样化的同时，数据安全防护技术也应运而生。AI赋能数据安全、数据风险管理、数据安全基础设施管理平台等多项数据安全技术的持续变革将重塑数据安全市场，为车路云一体化产业的数据安全治理提供保障。基于AI的数据识别和防护技术，在数据分类和识别上能够自动化数据的分类和识别，在数据监测上能够通过实时监测和分析数据流量来检测异常行为，在数据加密上，能够设计更复杂和安全的加密模型，有效地保护数据免受未经授权的访问。作为一种革命性的方法，人工智能技术推动数据安全治理产品的迭代升级，能够有效提升数据安全治理的效率和准确性。 （四）安全治理实践亟待推进 顶层设计有待完善。数据安全治理实践需要符合法律法规的要求，满足复杂业务开展需要，适应底层技术部署，维持常态防控状态。虽然已有相关的法律法规、行业标准为开展数据安全治理提供了明确的实践方向，但在工作实施方面仍存在边界覆盖不全，细则不够具化，操作性不强等问题，导致数据安全治理工作难以有效推进。在实践开展中，应保障数据安全治理策略与时俱进，在国家数据安全顶层战略与政策基础上，明确车路云一体化数据全生命周期安全