国内外车联网安全法律政策情况如何？

国际层面以美国、欧盟、 英国、日本等国家为代表，陆续出台各项法规政策，强化车联网网络安全、数据 安全总体布局。

1. 国外情况

1.1. 美国

美国加强与各利益相关方广泛合作，推动道路运输技术创新和安全，确保 美国在自动化领域处于全球领先地位。2021 年 1 月，美国《自动驾驶汽车综合 计划》确定了实现自动驾驶系统（ADS）愿景的三个目标：促进合作与透明，为 合作伙伴和利益相关者提供技术能力；营造现代化监管环境，开发以安全为中心 的框架和工具，以评估自动驾驶系统技术的安全性能；为自动驾驶系统（ADS） 的安全集成准备交通系统。美国交通运输部（USDOT）将与利益相关者合作， 开展安全评估和整合 ADS 所需的基础研究和示范活动。2021 年 11 月，美国国 会正式通过《两党基础设施法》，意在通过建设更好的道路、桥梁和港口、强化 各部门信息技术和网络安全、向清洁能源转型以及加强所有其他关键基础设施部 门，为实现长期的安全和繁荣奠定基础，推动产业链向北美转移。2022 年 4 月， 美国发布《交通战略计划 2022-2026》，意图通过变革性投资使美国基础设施现 代化，以提供更安全、更清洁、更出色的交通系统。其中强调要加强运输系统的 弹性，以保护其免受网络和其他攻击的破坏。2023 年 5 月，美国《两党基础设 施法案》资助的项目批复中包括实时交通信息、公交信号定时系统和无缝公交支付系统，以提高安全性和交通效率。

1.2. 欧盟

欧盟明确车联网网络安全与数据安全基线，更加注重隐私保护，通过行业 协作强化整个产业的安全能力。从职能分工来看，欧盟负责出台适用全体成员国 的普适性安全法规，各成员国在欧盟法规要求下制定符合国内现状的安全领域法 律法规。以网络安全、数据安全法规为通用基本要求，通过汽车产品的型式准入 相关法规向车联网安全领域延伸。 2023 年 1 月 13 日，《关于在欧盟全境实现高度统一网络安全措施的指令》 （NIS 2 指令）正式取代《网络和信息系统安全指令》（NIS 指令）生效。作为 欧盟在安全防护体系的系统性协同指导与网络安全监管方法的法律支撑，NIS 2 指令旨在消除成员国在网络安全要求和措施实施方面的差异。较之 NIS 指令， NIS 2 指令大大扩展了属于其范围的关键实体部门和类型，同时也加强了企业需 要遵守的网络安全风险管理要求。如今，NIS 2 指令同《欧盟网络安全法》共同 构成了欧盟在网络安全领域的通用上位法。

数据安全领域则是由《欧盟通用数据保护条例》（GDPR）、《数据法案》 （DGA）、《数据治理法》等已出台的法规，共同构成数据保护的法律体系。 GDPR 作为个人数据保护的主要法规，其立法目的就是保护隐私权并促进该权利 的行使。适用于任何收集、处理、管理或存储欧洲公民数据的组织。所以，实质 上 GDPR 是一个数据保护的全球标准。但与以往的隐私条例不同，GDPR 对数据 处理者也赋予了新的合规要求。从原有的收集和使用数据的拥有者需要对数据保 护负责，到现今的数据处理者也将需要直接承担合规风险和义务。同时，GDPR 还提高了数据保护标准，避免数据滥用和数据泄露，其中第 45（3）条的充分性 决定条例更是影响、促进了国家间法规框架融合，推动了全球数据治理方式的改 变。对于非个人数据的管控上，主要依赖于 2020 年 11 月发布的《数据治理法》 与 2022 年的《数据方案》管理受知识产权或商业秘密保护的非个人数据的国际 传输。 在汽车产品的安全管理方面，欧盟通过将联合国世界车辆法规协调论坛 （UN/WP29）的 R155、R156、R157 三项法规要求强制引入型式批准，结合（EU） 2018/858 的整车型式批准和（EU）2019/2144 的零部件型式批准，共同构建起了 欧盟车型准入管理的框架体系，将网络安全与数据安全管理要求引入车联网安全 领域。

1.3. 英国

英国关注网联汽车全生命周期的网络安全，将安全责任拓展到产业链各主 体，力图在自动驾驶领域率先颁布监管制度。2022 年 1 月 26 日，英格兰及威尔 士法律委员会与苏格兰法律委员会联合发表了一份名为《自动驾驶汽车：联合报告》的法律改革报告，旨在建立一个更安全的、责任划分更清晰的自动驾驶汽车 道路安全运行机制。报告针对目前法规的局限性提出了修改建议，对自动驾驶汽 车与有驾驶辅助功能的汽车进行区分，将自动驾驶汽车在行驶各阶段的责任划分 得更清楚。

1.4. 日本

日本重视数据安全和隐私保护，汽车网络安全方面主要沿用联合国世界车 辆法规协调论坛（UN/WP29）制定的规定和要求。2021 年 8 月 3 日，日本个人 信息保护委员会（PPC）公布《个人信息保护法》修订案，该法于 2022 年 4 月 1 日正式实施，适用于包括车联网在内的数据安全和隐私保护，是日本个人信息保 护的基本框架，在个人信息范围的界定、与第三方的共享、跨境传输等制度方面 都独具特色。为加快制定 L4 级自动驾驶法规，近期日本警察厅表示，新版《道 路交通法》修正案预定于 2023 年下半年施行，该法案列入了在特定条件下实现 完全自动化驾驶的“Level 4”运行许可制度。如果该法开始实施，将意味着日本 将允许 L4 级自动驾驶汽车上路。

2. 国内情况

2.1. 法律法规

国家层面网络和数据安全相关法律法规陆续正式实施，安全工作有法可依。 2017 年 6 月 1 日起，《网络安全法》正式实施，明确要求网络运营者（包括整 车企业及车辆运营商等）应“履行网络安全保护义务，接受政府和社会的监督， 承担社会责任”“依照法律、行政法规的规定和国家标准的强制性要求，采取技 术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防 范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性”等。2021 年 9 月 1 日起，《数据安全法》正式施行，从法律层面清晰定义了数据活动、数据安 全，提出国家将对数据实行分类分级保护、开展数据活动必须履行数据安全保护 义务承担社会责任等。在明确国家数据安全基本制度体系的基础上，对于重要数 据提出了加强安全保护的要求。2021 年 11 月 1 日起，《个人信息保护法》正式 施行，对个人信息保护提供更强有力的保障，规定了个人信息的收集、使用、保 存和安全保护等方面的具体要求，对下位法规、规章和国家标准形成有效指引。 《网络安全法》《数据安全法》和《个人信息保护法》的先后发布实施，初 步构建起网络安全和数据安全保障领域的法律体系框架。

2021 年 7 月 30 日，国务院发布了《关键信息基础设施安全保护条例》，自 2021 年 9 月 1 日生效。目的为保障关键信息基础设施安全，维护网络安全、数 据安全，细化和落实《网络安全法》的有关规定。针对汽车行业中可能涉及关键信息基础设施的运营者，需高度重视组织内网络安全和数据安全合规工作，履行 关键信息基础设施运营者的特殊安全保护制度。 2021 年 11 月 14 日，网信办发布了《网络数据安全管理条例（征求意见稿）》， 虽然文件中并未明确提及汽车行业，但在智能网联汽车快速发展的背景下，汽车 已从孤立的电子信息终端向网联化、智能化的信息节点发展，对数据安全保护的 紧迫性也日益凸显。文件中涵盖了数据安全、个人信息保护、数据跨境、网络平 台、监督管理等内容，倡导性条款较少，重点在于对三部上位法的落地实施。 上述法律法规，主要是以保障网络安全、防范网络风险、保护数据安全、个 人信息安全等为基本考虑，构建智能网联汽车网络安全和数据安全的法律法规体 系框架。

2.2. 国家政策

自 2015 年以来，国务院、工业和信息化部、交通运输部、科学技术部、国 家发展改革委、公安部等部委相继出台一系列顶层规划及政策文件，车联网安 全发展取得阶段性成效。出台《汽车产业中长期发展规划》《车联网（智能汽车） 产业发展行动计划》《智能汽车创新发展战略》等指导性文件，旨在宏观指导智 能网联汽车产业稳步发展，并将智能网联汽车网络安全和数据安全作为一项重要 目标和工作重点。 2021 年 7 月，工业和信息化部发布了《关于加强智能网联汽车生产企业及 产品准入管理的意见》，要求压实企业主体责任，加强汽车数据安全、网络安全、 软件升级、功能安全和预期功能安全管理，保证产品质量和生产一致性，推动智 能网联汽车产业高质量发展。

2.3. 地方政策

各级地方政府高度重视网络安全和数据安全的能力建设，密集发布了一系列地方政策对智能网联汽车领域的网络安全和数据安全工作提出了具体要求。 2023 年 5 月 12 日，北京市高级别自动驾驶示范区工作办公室正式发布了《北 京市智能网联汽车政策先行区数据安全管理办法（试行）》，填补了国内自动驾 驶示范区级数据安全管理的空白。文件中主要包含三个版块内容：一是明确了智 能网联汽车产业数据安全管理的关键环节、二是详细梳理了重点数据类型的合规 风险、三是创新性构建了示范区数据安全能力建设机制。

2022 年 6 月 30 日，深圳市印发了《深圳经济特区智能网联汽车管理条例》， 在该条例中专门设置了“网络安全和数据安全保护”章节，对智能网联汽车涉及 的网络安全和数据安全保护问题进行规范。明确规定了相关企业应当依法取得网 络关键设备和网络安全专用产品的安全检测认证、依法制定智能网联汽车网络安 全事件应急预案，建立网络安全评估和管理机制，制定数据安全管理制度和隐私 保护方案并将存储数据的服务器设置在中国境内等。 此外，上海市、长沙市、苏州市等对智能网联汽车的网络安全和数据安全均 提出了相关要求，例如《上海市加快智能网联汽车创新发展实施方案》《上海市 智能网联汽车测试与应用管理办法》《长沙市智能网联汽车道路测试管理实施细 则（试行）V3.0》《苏州市智能车联网发展促进条例》、苏州市《关于促进车联 网和智能网联汽车发展的决定（草案）》等。