2021.08.14 张红斌 曾洁
自动驾驶汽车,又被称为智能网联汽车,最近一年以来围绕自动驾驶汽车的立法工作进入了快车道。2021年8月12日,工业和信息化部发布了《关于加强智能网联汽车生产企业及产品准入管理的意见》(以下称“《管理意见》”)1。这是自动驾驶汽车生产企业及产品准入管理领域第一部正式生效的规范性文件,对自动驾驶汽车生产企业的合规运营具有重要的指导意义。
此前,工信部曾于2021年4月7日发布《智能网联汽车生产企业及产品准入管理指南(试行)》(征求意见稿)(以下称“《征求意见稿》”)2公开征求意见。《管理意见》根据各方意见反馈,并结合最新法律法规要求,对《征求意见稿》的内容进行修改完善后正式发布。本文将对《管理意见》的主要内容及对《征求意见稿》的修改作简要评析。
一、主要内容
之前的《征求意见稿》分为正文和四个附件,此次发布的《管理意见》将《征求意见稿》附件的核心内容提炼并调整到了正文中,删除了附件内容。《管理意见》共计五条11项,主要针对智能网联汽车生产企业的数据和网络安全管理义务(第一项及第二项,对应《征求意见稿》附件一第二条)、软件在线升级(第三项及第四项,对应《征求意见稿》附件一第三条和《征求意见稿》第二条)、产品管理义务(第五项至第八项,对应《征求意见稿》附件二部分内容)和保障措施(第九项至第十一项)提出了要求。
《管理意见》对智能网联汽车生产企业、智能网联汽车产品进行了一系列的规定。具体而言,《管理意见》主要从以下几个方面对智能网联汽车生产企业和智能网联汽车产品提出了要求。
1. 加强数据安全管理能力
1)企业应当建立健全汽车数据安全管理制度,依法履行数据安全保护义务,明确责任部门和负责人;
2)建立数据资产管理台账,实施数据分类分级管理,加强个人信息与重要数据保护;
3)建设数据安全保护技术措施,确保数据持续处于有效保护和合法利用的状态,依法依规落实数据安全风险评估、数据安全事件报告等要求;及
4)在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当按照有关法律法规规定在境内存储。需要向境外提供数据的,应当通过数据出境安全评估。
2. 加强网络安全管理
1)企业应当建立汽车网络安全管理制度,依法落实网络安全等级保护制度和车联网卡实名登记管理要求,明确网络安全责任部门和负责人;
2)具备保障汽车电子电气系统、组件和功能免受网络威胁的技术措施,具备汽车网络安全风险监测、网络安全缺陷和漏洞等发现和处置技术条件,确保车辆及其功能处于被保护的状态,保障车辆安全运行;及
3)依法依规落实网络安全事件报告和处置要求。
3. 规范软件在线升级
强化企业管理能力
企业生产具有在线升级(又称OTA升级3)功能的汽车产品的,
1)应当建立与汽车产品及升级活动相适应的管理能力,具有在线升级安全影响评估、测试验证、实施过程保障、信息记录等能力,确保车辆进行在线升级时处于安全状态;
2)向车辆用户告知在线升级的目的、内容、所需时长、注意事项、升级结果等信息。
保证产品生产一致性
企业实施在线升级活动前,
1)应当确保汽车产品符合国家法律法规、技术标准及技术规范等相关要求并向工业和信息化部备案,涉及安全、节能、环保、防盗等技术参数变更的应提前向工业和信息化部申报,保证汽车产品生产一致性;
2)未经审批,不得通过在线等软件升级方式新增或更新汽车自动驾驶功能。
4. 加强产品管理
严格履行告知义务
企业应当明确告知车辆功能及性能限制、驾驶员职责、人机交互设备指示信息、功能激活及退出方法和条件等信息。
加强组合驾驶辅助功能产品安全管理
企业生产具有组合驾驶辅助功能的汽车产品的,应采取脱手检测等技术措施,保障驾驶员始终在执行相应的动态驾驶任务。组合驾驶辅助功能是指驾驶自动化系统在其设计运行条件下,持续地执行车辆横向和纵向运动控制,并具备相应的目标和事件探测与响应能力。
加强自动驾驶功能产品安全管理
1)应能自动识别自动驾驶系统失效以及是否持续满足设计运行条件,并能采取风险减缓措施以达到最小风险状态;
2)应具备人机交互功能,显示自动驾驶系统运行状态;具备识别驾驶员执行动态驾驶任务能力的功能;车辆应能够依法依规合理使用灯光信号、声音方式与其他道路使用者进行交互;
3)应具有事件数据记录系统和自动驾驶数据记录系统,自动驾驶数据记录系统记录的数据应包括车辆及系统基本信息、车辆状态及动态信息、自动驾驶系统运行信息、行车环境信息、驾乘人员操作及状态信息、故障信息等;及
4)应满足功能安全、预期功能安全、网络安全等过程保障要求,以及模拟仿真、封闭场地、实际道路、网络安全、软件升级、数据记录等测试要求。
确保可靠的时空信息服务
1)汽车产品应具有安全、可靠的卫星定位及授时功能,可有效提供位置、速度、时间等信息,并应满足相关要求;
2)鼓励支持接受北斗卫星导航系统信号。
5. 保障措施
建立自查机制
相关企业应当进行自查,发现生产、销售的汽车产品存在数据安全、网络安全、在线升级安全、驾驶辅助和自动驾驶安全等严重问题的,应当依法依规立即停止相关产品的生产、销售,采取措施进行整改,并及时向工业和信息化部及所在地工业和信息化、电信主管部门报告。
加强监督实施
工业和信息化部指导有关机构做好智能网联汽车生产企业及产品准入技术审查等工作。各地工业和信息化、电信主管部门要与相关部门协同配合,按照《道路机动车辆生产企业及产品准入管理办法》有关要求,做好对《管理意见》落实情况的监督检查。
夯实基础能力
工业和信息化部会同各部门和企业进一步完善智能网联汽车标准体系建设,加快推动汽车数据安全、网络安全、在线升级、驾驶辅助、自动驾驶等标准规范制修订。鼓励加强相关测试验证和检验检测能力建设。
二、《管理意见》与《征求意见稿》相比的重要变化
与《征求意见稿》相比,此次《管理意见》的发布结合了近半年以来智能网联汽车产业的发展现状和中国最新立法中的关注重点,具体而言:
1. 加强了对数据安全和网络安全管理义务的要求
《征求意见稿》中网络安全管理义务散见于附件内容,但在《管理意见》中,数据和网络安全被提到了开篇前所未有的醒目位置。我们理解,这一调整,与2021年9月1日即将正式实施的《数据安全法》、国家网信办发布的《汽车数据安全管理若干规定(征求意见稿)》、全国信息安全标准化技术委员会《信息安全技术 网联汽车 采集数据的安全要求(草案)》等配套文件的出台及近一年内智能网联汽车企业和产品在数据安全和网络安全上的层出不穷的新闻事件有着较强的相关性。
特别是,《征求意见稿》中规定,企业因业务需要,确需向境外提供在中华人民共和国境内运营中收集和产生的个人信息和重要数据的,应向行业主管部门报备;但在《管理意见》中将“应向行业主管部门报备”升级为更严格的“应当通过数据出境安全评估”。此外,《管理意见》也提到了网络安全等级保护制度、车联网卡实名登记管理、汽车网络安全风险监测、落实网络安全事件报告和处置等要求。
这也意味着与传统汽车重点关注的机械器械类产品安全有所不同,智能网联汽车这一细分类别的汽车工业产品中,数据和网络安全将会是监管机关关注的重中之重。
2. 增加了相关企业在生产销售环节的申请、报告义务
此次《管理意见》中提到的需经审批、报告的内容包括:
1)企业在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当按照有关法律法规规定在境内存储。需要向境外提供数据的,应当通过数据出境安全评估。(第一项)
2)企业应当建立汽车网络安全管理制度,依法依规落实网络安全事件报告和处置要求。(第二项)
3)企业实施在线升级活动前,应当确保汽车产品符合法律法规、标准和规范等相关要求并向工业和信息化部备案,涉及安全、节能、环保、防盗等技术参数变更的应提前向工业和信息化部申报。(第四项)
4)未经审批,不得通过在线等软件升级方式新增或更新汽车自动驾驶功能。(第四项)
5)企业发现生产、销售的汽车产品存在数据安全、网络安全、在线升级安全、驾驶辅助和自动驾驶安全等严重问题的,应当及时向工业和信息化部及所在地工业和信息化、电信主管部门报告。(第九项)
3. 增加了对相关企业自查的要求
此前《征求意见稿》的正文及附件仅列示了对企业提出的若干要求并规定“工业和信息化部根据相关规定组织开展……监督检查等工作”,但对于企业是否已经满足这些要求以及销售的产品已经出现了何种问题,没有规定一个明确的监督流程。但《管理意见》明确了企业的自查机制,并要求企业在发现严重问题后,应当立即停止相关产品的生产、销售,采取措施进行整改,并及时向工业和信息化部及所在地工业和信息化、电信主管部门报告。
三、结语
此次《管理意见》的正式发布为智能网联汽车的研发、生产和销售企业的运营提供有效指引,为未来智能网联汽车的产品准入应用提供了更好的政策支持。我们也将持续关注《管理意见》的具体实施情况及与数据安全相关的《汽车数据安全管理若干规定(征求意见稿)》和《信息安全技术 网联汽车 采集数据的安全要求(草案)》的后续动态。
1、参见工业和信息化部网站:https://www.miit.gov.cn/jgsj/zbys/wjfb/art/2021/art_7cb8a0949a8e45c5979c0f73788d1184.html
2、参见工业和信息化部网站:https://www.miit.gov.cn/gzcy/yjzj/art/2021/art_cd02c592fffb456ea38789b1ea413802.html
3、 即“Over-The-Air”,空中下载技术