《汽车企业数据安全管理体系要求》 团体标准编制说明.pdfVIP

附件 4： 一、工作简要过程 （一）任务来源 1、项目立项背景 1）行业迫切需求：近年汽车的智能化、网联化程度不断加深，车辆在行驶过程中 采集、使用和产生大量数据，并通过车联网发送这些数据至智能网联汽车生产和服务运 营厂商进行存储、使用等。智能网联汽车生产和服务运营厂商作为汽车数据处理者，掌 握着大量数据资产，一旦安全管理不当，发生滥用、泄露等危害数据安全的情形，会对 用户个人利益、相关组织利益、公众利益、甚至国家利益产生不良影响。 2）监管明确规范：工信部发布的 《工业和信息化部关于加强智能网联汽车生产企 业及产品准入管理的意见》和 《工业和信息化部关于加强车联网网络安全和数据安全工 作的通知》中对智能网联汽车生产企业以及车联网服务提供商分别提出“建立健全汽车 数据安全管理体系”的要求。 3）尽快填补空白：现阶段尚无针对汽车行业数据安全管理体系的要求标准发布。 相关国家标准仍处于起草阶段，距离发布尚需较长时间。 2、计划任务编号 2023-63 （二）主要起草单位及任务分工 上海机动车检测认证技术研究中心有限公司：标准编制工作组牵头单位，全面负责 标准项目的立项、标准文本以及编制说明的编写、标准编制工作的组织及协调等工作。 北京赛西科技与发展有限责任公司：标准编制工作组重点参与单位，全面参与标准 文本的编写。 其他对于标准编制有重要贡献的单位包括（不分先后）：比亚迪汽车工业有限公司、 北京市竞天公诚律师事务所上海分所、东风汽车集团有限公司技术中心、广汽研究院、 一汽大众、吉利汽车研究院 （宁波）有限公司、上汽通用五菱汽车股份有限公司、合众 新能源、腾讯云计算 （北京）有限责任公司、云从科技集团股份有限公司、上海富数科 技有限公司。 （三）标准研讨情况 2022年11~12月，上海机动车检测认证技术研究中心有限公司组织数据安全工作 人员对于国内汽车数据安全管理体系情况进行了调研。 2023年3月，上海机动车检测认证技术研究中心有限公司与北京赛西科技与发展 有限责任公司共同成立核心工作组，对标准的方向、框架进行了确定，并初步编制了框 架性草案。 2023年4 月，上海机动车检测认证技术研究中心有限公司组织召开线上专家立项 评审会议。会上专家认为：1)目前行业内尚未有成熟的国标、行标可供企业使用，汽标 委虽有相关国标起草计划，但国标整体流程较长，行业急需该领域共识的形成，因此建 议团标先行，为后续国标要求的编制奠定基础；2)标准牵头单位具备数据安全管理体系 建立的实际经验，是第三方机构，满足牵头标准制定的基本条件；3)本标准的编制，能 有效支撑主管部门后续行业管理工作，同时能够给予企业数据安全管理工作的有效指导； 4)建议标准制定过程中多吸纳整车企业参与，多与企业已有体系相结合，着重在标准的 可操作性。整体同意立项。 2023年5月，上海机动车检测认证技术研究中心有限公司召集整体工作组第一次 会议，会议介绍了标准的初步方向与框架，并获得了各参与单位的确认和同意。针对具 体条款内容，采取了组内征求意见的形式征集工作组内各成员单位意见，并于5月底完 成了工作组内88条详细意见的汇总。 经过细致分析与非会议形式沟通，上海机动车检测认证技术研究中心有限公司于6 月8 日完成88条组内意见的沟通与回复，其中采纳54条、部分采纳6条、不采纳28 条。同时召集全体成员单位再次确认，并针对以下意见较多的重点问题进行了具体沟通 并达成一致意见： 1) 数据操作日志记录的保存时限：原要求为在技术条件允许的情形下保存2年； 成员单位提出此要求过于模糊，且可以参照 《网络安全法》第21条 （三） 的要求。因此修改为最低保存不少于6个月时间 （公开征求意见稿8.1.6）。 2) 数据提供和委托处理的义务责任：根据 《个保法》内容，删除了原有的“共 享”概念；同时，成员单位提出，参考 《个保法》中针对个人信息提供和委 托处理两种情形下的义务责任模型、并考虑到数据提供方无法持续对数据接 收方保留约束能力，应不要求数据提供方持续监督和定期审计数据接收方数 据安全保障能力 （公