车联网数据分类分级实施指南 编制说明

1一、工作简况（一）任务来源2022年度第四批上海市地方标准制修订项目计划的通知》（沪市口单位为上海市智能网联汽车及应用标准化技术委员会，牵头起（二）制定背景1.国家政策要求联网网络安全和数据安全工作的通知》提出了加强数据分类分级管理的要求，并对车联网数据安全标准体系建设提出了具体内容2.市场监管需要随着《数据安全法》、《个人信息保护法》、《汽车数据安全管理若干规定（试行）》、《数据出境安全评估办法》的发布，表明监管层面已经对数据安全形成了体系化的基本要求。2021年底，为进一步加强和规范上海地区车联网行业数据安全管理、保2障车联网数据安全可控，促进智能网联汽车产业健康可持续发展，上海市通信管理部门根据工信部要求开始启动车联网数据安全监管先行先试工作，部署加强车联网数据安全监管。目前，上海市通信管理部门已着重从车联网企业数据安全制度、年度汽车数据安全报送、车联网数据安全三个方面对车联网数据安全提出了具体监管要求，指导各车联网企业建立健全本单位数据安全管理制度，并对企业制度开展监督检查和审核评估，加强制度体系建设3.数据利用需求车联网数据内容来源多样，其应用的场景也非常广泛，除为最终用户直接提供驾乘服务以外，还涵盖了交通管理、车辆管理、交通安全和环保节能等多个方面。随着技术的不断进步和应用场景的不断拓展，车联网数据的利用价值将会越来越大。为了充分发挥车联网数据的作用和服务能力，也为了指引车联网相关企业的车联网数据分类分级管理实施，本指南将提供实现车联网数据4.探索性目的目前国内外均无进行车联网数据分类分级的具体实施过程标准或指南，本文件作为首例，具有一定的创新性，为后续标准发1.立项申请阶段3初上海市经济和信息化委员会提出申请立项，上海市智能网联汽车及应用标准化技术委员会作为归口单位对标准进行管理，起草2.起草阶段任务后，构建完善了编制工作组，编制工作组成员有：上海市车联网协会、同济大学、上研智联智能出行科技（上海）有限公司、工业互联网创新中心（上海）有限公司、上海机动车检测认证技术研究中心、上海银基信息安全技术股份有限公司、艾普拉斯标准编制过程分工：上海市车联网协会、同济大学交通运输学院和上研智联智能出行科技（上海）有限公司负责标准细分章式，广泛征求和吸纳了上海市车联网协会、上海市新能源汽车公共数据采集与监测研究中心、智能汽车创新发展平台(上海)有限公司、上海图森未来人工智能科技有限公司、上海云骥智行智能科技有限公司、福特汽车（中国）有限公司、赛可智能科技（上海）有限公司、零束科技有限公司、上海优咔网络科技有限公司等企业和机构的意见，对本文件初稿进行了多次讨论和修改，充43.征求意见阶段写。在确定本文件主要内容时，以满足实际需要出发，结合编制组在产学研用上的实践，并在实际落地项目的基础上，进行总结、提炼，形成基础内容，力求使本文件既符合业内生产和行业发展的需要，同时也有利于提升其规范性和指导性，标准具有科学性、三、主要内容及确定依据（一）总体框架概述本文件根据车联网数据分类分级工作实施的过程设定章节和构架条款，提供实现车联网数据分类分级的基本方法。本文件首先从总体管理的前提和原则说明车联网数据分类分级实施的过程方法，然后从车联网数据分类分级过程的具体实施方法分别说明数据分类和分级如何实现，最后针对分类分级过程实施中所需考5（二）组成部分及其主要内容2.规范性引用文件3.术语和定义GB/T43697—2024界定的术语和定义适用于本文件，同时对“管理主体”、“管理领域”、“数据对象”、“客体”进行了4.实施车联网数据分类分级的前提条件本章节对车联网数据分类分级提出了组织管理基础支撑内容建设的建议，从组织保障机制、管理制度建设和数据资产清单管理的角度分别建议了组织机构建设、人员管理、规章制度建设、依据：借鉴车联网企业所建设和实施的质量管理体系及信息安全管理体系，强调在全员参与下的制度化管理所需要的整体机5.车联网数据分类分级方法概述本章节对车联网数据分类分级方法提出了具体实施过程和实现内容的建议，从原则和基础、数据分类的层次和阶段、数据分级的层次和阶段的角度分别提出了车联网数据分类分级所遵循的6实施原则建议、数据分类的框架和方法、数据分级的框架和方法。规则》中的原则、框架和内容，其中遵循了数据分类分级基本原则，借鉴数据分类基本框架和方法中的部分细节，强化了对业务属性和法规要求的分析；借鉴数据分级方法和要素中的部分细节，6.车联网数据分类过程的实施本章节从车联网数据分类过程逐阶段开展实施的角度，对车联网数据分类过程的三个阶段分别进行详细说明，描述了每一阶规则》中的框架和内容，借鉴车联网企业对业务属性扁平分类管理的方式，减少分类层次，强调依据业务模块和法规符合性的分7.车联网数据分级过程本章节从车联网数据分级过程逐阶段开展实施的角度，对车规则》中的框架和内容，借鉴车联网企业对法律合规性的严格要求，强调数据受损后所影响客体的不同国家社会层次，并在数据8.车联网数据分类分级中的特殊过程本章节对车联网数据分类分级过程中涉及到的数据重新分类和分级、数据提供和获取过程中的分类分级管理提供了所需考虑7依据：借鉴车联网企业所建设和实施的质量管理体系及信息安全管理体系，说明重新分类分级的触发条件，强调数据获取与四、与国内外同类标准技术内容的对比情况2021年国际标准化组织ISO发布的ISO/SAE21434:2021《Roadvehicles-Cybersecurityengineering》从管理体系和产品开发的角度定义了汽车E/E系统全生命周期的网络安全要求，engineering》定义了汽车系统中软件升级更新的要求。这些标准都隐含了数据保护的要求，但都没有针对车联网数据安全相关的数据分类分级管理基础提出相关要求，更没有说明如何实现数据分类分级过程和方法的实施和管理。对比上述国际标准，本文件专注于车联网中数据分类分级的具体操作过程和实施步骤，可以作为上述标准在落地实施中实现数据安全保护的基础支撑方法之GB/T43697-2024《数据安全技术数据分类分级规则》从数据安全角度给出了数据分类分级的通用原则、框架、方法和流程，以及重要数据识别指南。依据GB/T43697-2024中数据分类框架建议，本文件遵循了其先按行业领域分类，再按业务属性进行细分，同时符合相关法律法规要求的总体框架，并在分类方法中基本采纳了其明确数据范围、细化业务分类、业务属性分类的关键步骤。依据GB/T43697-2024中分级框架建议，本文件遵从其从对国家安全、经济运行、社会秩序、公共利益、组织权益、个人8权益造成的危害程度出发，将数据从高到低分为三个级别；同时本文件的分级方法遵循了其建议的分级要素识别、数据影响分析和综合确定级别的关键步骤。对比GB/T43697-2024分类分级过程，本文件遵循其建议进一步细化了数据分类分级在车联网领域的实施细节，将车联网数据分类过程进一步分解并规范化为在两个层次上进行的三个阶段工作，通过层次结构区分数据的细分业务、业务属性和法规要求中的整体概念及其过程环节内容，并以阶段化描述说明分类过程的具体操作和实现步骤；将数据分级过程进一步分解并规范化为在三个层次上进行的三个阶段工作，通过层次结构区分受影响的国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益等客体及其对应的属性要素和受影响程度，并以阶段化描述说明分级过程的具体操作和实现步骤。从对比来看，本文件在遵循GB/T43697-2024整体结构的基础上更YD/T3751-2020《车联网信息服务数据安全技术要求》和YD/T3746-2020《车联网信息服务用户个人信息保护要求》等车联网相关标准提出了车联网具体数据内容的分类分级和技术保护要求，但对车联网数据分类分级如何落地实施未提出明确可操作的过程方法。与其对比来看，本文件着眼于数据分类分级的具体操作过程和实施步骤，细化了实现数据分类分级所需考虑的内容，并给出了可实现的工作过程，是对上述行业标准落地实施的五、与现行法律、法规和强制性国家标准的关系本文件与法律法规保持一致，对法律法规进行细化和补充。9随着《数据安全法》、《个人信息保护法》、《汽车数据安全管理若干规定（试行）》、《数据出境安全评估办法》等法律和管理办法的发布，工信部发布《车联网网络安全和数据安全标准体系建设指南》提出构建形成较为完善的车联网网络安全和数据安全标准体系，同时《工业和信息化部关于加强车联网网络安全和数据安全工作的通知》对车联网数据安全标准体系建设提出了具体内容要求。基于上述国家法律和规章的要求，本文件聚焦于车联网数据安全，通过明确车联网数据分类分级的维度、过程和实现方法，为车