《智能网联汽车数据安全评估指南》公开征求意见

       3月9日，由国家工业信息安全发展研究中心牵头编制的《智能网联汽车数据安全评估指南》团体标准 (以下简称“标准”)正式公开征求意见。标准旨在进一步落实《汽车数据安全管理若干规定》《车联网网络安全和数据安全标准体系建设指南》等政策法规要求，不断优化标准供给结构，提高行业服务能力，对规范智能网联汽车行业数据处理行为具有重要意义。

       智能网联汽车数据安全评估主要有 数据安全风险评估、数据安全合规性评估和数据出境安全评估三种类型。本标准规定了智能网联汽车数据安全评估的技术要求，共分为八部分，包括范围、规范性引用文件、术语和定义、数据安全风险评估实施流程、数据安全合规性评估实施流程、数据安全评估结果、参考文献、附件内容，主要包括以下内容：

       （1）适用范围

       为保证标准与在研法规标准的衔接性，制定了智能网联汽车数据安全风险评估和数据安全合规性评估的实施流程和评估方法，数据出境安全评估参照后续法规标准执行，本标准可 适用于智能网联汽车相关组织自行开展数据安全评估工作，也可 为主管部门、第三方测评机构等组织开展智能网联汽车数据安全检查、评估、监督等工作提供参考。

       （2）数据安全风险评估

       （3）数据安全合规性评估

       本标准制定了数据安全合规评估流程，针对智能网联汽车数据处理活动，以保护数据安全性、提升数据处理者数据安全的保障能力为目的，给出数据处理者数据安全保障措施的基础要求并判断其是否符合并遵守相关法律、法规、标准和管理要求，评估企业数据安全管理措施合规性的过程。本标准制定了 技术管理评估要求、数据管理评估要求、数据存证要求和现场数据核验内容。评估要求中描述了评估项内容、评估方法和具体结果判定方式，并引入计分机制，结合评估期间资料和现场数据核验结论，形成评估报告。

       （4）数据安全评估结果

       规定了数据安全评估结果的形式，分为数据安全风险评估结果和数据安全合规性评估结果，风险评估结果根据判断依据分为 高中低三类；合规性评估结果根据打分表进行得分汇总进行定级，分为 优秀、良好、合格和不合格四级。

       （5）附件内容

       本标准的附件阐述了一种数据安全现场核验方法，将使用数据存证与汽车数据处理者提供的原始数据进行核对，以确认数据的完整性和真实性。描述了技术链路和对应操作描述，获取不同工况下数据，通过分析来确认车辆是否存在多采集、未脱敏、非法传输以及数据篡改等行为，从而确保对企业数据收集、传输等活动合规性的有效监督。

       关键技术问题说明：本标准根据《数据安全法》、《个人信息保护法》、《汽车数据安全管理若干规定》等法律法规重点要求，进行细节和实施落实。

       信息来源：中汽协会行业发展部