車聯(lián)網(wǎng)數(shù)據(jù)分類分級實施指南 編制說明

1一、工作簡況（一）任務(wù)來源2022年度第四批上海市地方標(biāo)準(zhǔn)制修訂項目計劃的通知》（滬市口單位為上海市智能網(wǎng)聯(lián)汽車及應(yīng)用標(biāo)準(zhǔn)化技術(shù)委員會，牽頭起（二）制定背景1.國家政策要求聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全工作的通知》提出了加強數(shù)據(jù)分類分級管理的要求，并對車聯(lián)網(wǎng)數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)提出了具體內(nèi)容2.市場監(jiān)管需要隨著《數(shù)據(jù)安全法》、《個人信息保護法》、《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》、《數(shù)據(jù)出境安全評估辦法》的發(fā)布，表明監(jiān)管層面已經(jīng)對數(shù)據(jù)安全形成了體系化的基本要求。2021年底，為進一步加強和規(guī)范上海地區(qū)車聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全管理、保2障車聯(lián)網(wǎng)數(shù)據(jù)安全可控，促進智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)健康可持續(xù)發(fā)展，上海市通信管理部門根據(jù)工信部要求開始啟動車聯(lián)網(wǎng)數(shù)據(jù)安全監(jiān)管先行先試工作，部署加強車聯(lián)網(wǎng)數(shù)據(jù)安全監(jiān)管。目前，上海市通信管理部門已著重從車聯(lián)網(wǎng)企業(yè)數(shù)據(jù)安全制度、年度汽車數(shù)據(jù)安全報送、車聯(lián)網(wǎng)數(shù)據(jù)安全三個方面對車聯(lián)網(wǎng)數(shù)據(jù)安全提出了具體監(jiān)管要求，指導(dǎo)各車聯(lián)網(wǎng)企業(yè)建立健全本單位數(shù)據(jù)安全管理制度，并對企業(yè)制度開展監(jiān)督檢查和審核評估，加強制度體系建設(shè)3.數(shù)據(jù)利用需求車聯(lián)網(wǎng)數(shù)據(jù)內(nèi)容來源多樣，其應(yīng)用的場景也非常廣泛，除為最終用戶直接提供駕乘服務(wù)以外，還涵蓋了交通管理、車輛管理、交通安全和環(huán)保節(jié)能等多個方面。隨著技術(shù)的不斷進步和應(yīng)用場景的不斷拓展，車聯(lián)網(wǎng)數(shù)據(jù)的利用價值將會越來越大。為了充分發(fā)揮車聯(lián)網(wǎng)數(shù)據(jù)的作用和服務(wù)能力，也為了指引車聯(lián)網(wǎng)相關(guān)企業(yè)的車聯(lián)網(wǎng)數(shù)據(jù)分類分級管理實施，本指南將提供實現(xiàn)車聯(lián)網(wǎng)數(shù)據(jù)4.探索性目的目前國內(nèi)外均無進行車聯(lián)網(wǎng)數(shù)據(jù)分類分級的具體實施過程標(biāo)準(zhǔn)或指南，本文件作為首例，具有一定的創(chuàng)新性，為后續(xù)標(biāo)準(zhǔn)發(fā)1.立項申請階段3初上海市經(jīng)濟和信息化委員會提出申請立項，上海市智能網(wǎng)聯(lián)汽車及應(yīng)用標(biāo)準(zhǔn)化技術(shù)委員會作為歸口單位對標(biāo)準(zhǔn)進行管理，起草2.起草階段任務(wù)后，構(gòu)建完善了編制工作組，編制工作組成員有：上海市車聯(lián)網(wǎng)協(xié)會、同濟大學(xué)、上研智聯(lián)智能出行科技（上海）有限公司、工業(yè)互聯(lián)網(wǎng)創(chuàng)新中心（上海）有限公司、上海機動車檢測認(rèn)證技術(shù)研究中心、上海銀基信息安全技術(shù)股份有限公司、艾普拉斯標(biāo)準(zhǔn)編制過程分工：上海市車聯(lián)網(wǎng)協(xié)會、同濟大學(xué)交通運輸學(xué)院和上研智聯(lián)智能出行科技（上海）有限公司負責(zé)標(biāo)準(zhǔn)細分章式，廣泛征求和吸納了上海市車聯(lián)網(wǎng)協(xié)會、上海市新能源汽車公共數(shù)據(jù)采集與監(jiān)測研究中心、智能汽車創(chuàng)新發(fā)展平臺(上海)有限公司、上海圖森未來人工智能科技有限公司、上海云驥智行智能科技有限公司、福特汽車（中國）有限公司、賽可智能科技（上海）有限公司、零束科技有限公司、上海優(yōu)咔網(wǎng)絡(luò)科技有限公司等企業(yè)和機構(gòu)的意見，對本文件初稿進行了多次討論和修改，充43.征求意見階段寫。在確定本文件主要內(nèi)容時，以滿足實際需要出發(fā)，結(jié)合編制組在產(chǎn)學(xué)研用上的實踐，并在實際落地項目的基礎(chǔ)上，進行總結(jié)、提煉，形成基礎(chǔ)內(nèi)容，力求使本文件既符合業(yè)內(nèi)生產(chǎn)和行業(yè)發(fā)展的需要，同時也有利于提升其規(guī)范性和指導(dǎo)性，標(biāo)準(zhǔn)具有科學(xué)性、三、主要內(nèi)容及確定依據(jù)（一）總體框架概述本文件根據(jù)車聯(lián)網(wǎng)數(shù)據(jù)分類分級工作實施的過程設(shè)定章節(jié)和構(gòu)架條款，提供實現(xiàn)車聯(lián)網(wǎng)數(shù)據(jù)分類分級的基本方法。本文件首先從總體管理的前提和原則說明車聯(lián)網(wǎng)數(shù)據(jù)分類分級實施的過程方法，然后從車聯(lián)網(wǎng)數(shù)據(jù)分類分級過程的具體實施方法分別說明數(shù)據(jù)分類和分級如何實現(xiàn)，最后針對分類分級過程實施中所需考5（二）組成部分及其主要內(nèi)容2.規(guī)范性引用文件3.術(shù)語和定義GB/T43697—2024界定的術(shù)語和定義適用于本文件，同時對“管理主體”、“管理領(lǐng)域”、“數(shù)據(jù)對象”、“客體”進行了4.實施車聯(lián)網(wǎng)數(shù)據(jù)分類分級的前提條件本章節(jié)對車聯(lián)網(wǎng)數(shù)據(jù)分類分級提出了組織管理基礎(chǔ)支撐內(nèi)容建設(shè)的建議，從組織保障機制、管理制度建設(shè)和數(shù)據(jù)資產(chǎn)清單管理的角度分別建議了組織機構(gòu)建設(shè)、人員管理、規(guī)章制度建設(shè)、依據(jù)：借鑒車聯(lián)網(wǎng)企業(yè)所建設(shè)和實施的質(zhì)量管理體系及信息安全管理體系，強調(diào)在全員參與下的制度化管理所需要的整體機5.車聯(lián)網(wǎng)數(shù)據(jù)分類分級方法概述本章節(jié)對車聯(lián)網(wǎng)數(shù)據(jù)分類分級方法提出了具體實施過程和實現(xiàn)內(nèi)容的建議，從原則和基礎(chǔ)、數(shù)據(jù)分類的層次和階段、數(shù)據(jù)分級的層次和階段的角度分別提出了車聯(lián)網(wǎng)數(shù)據(jù)分類分級所遵循的6實施原則建議、數(shù)據(jù)分類的框架和方法、數(shù)據(jù)分級的框架和方法。規(guī)則》中的原則、框架和內(nèi)容，其中遵循了數(shù)據(jù)分類分級基本原則，借鑒數(shù)據(jù)分類基本框架和方法中的部分細節(jié)，強化了對業(yè)務(wù)屬性和法規(guī)要求的分析；借鑒數(shù)據(jù)分級方法和要素中的部分細節(jié)，6.車聯(lián)網(wǎng)數(shù)據(jù)分類過程的實施本章節(jié)從車聯(lián)網(wǎng)數(shù)據(jù)分類過程逐階段開展實施的角度，對車聯(lián)網(wǎng)數(shù)據(jù)分類過程的三個階段分別進行詳細說明，描述了每一階規(guī)則》中的框架和內(nèi)容，借鑒車聯(lián)網(wǎng)企業(yè)對業(yè)務(wù)屬性扁平分類管理的方式，減少分類層次，強調(diào)依據(jù)業(yè)務(wù)模塊和法規(guī)符合性的分7.車聯(lián)網(wǎng)數(shù)據(jù)分級過程本章節(jié)從車聯(lián)網(wǎng)數(shù)據(jù)分級過程逐階段開展實施的角度，對車規(guī)則》中的框架和內(nèi)容，借鑒車聯(lián)網(wǎng)企業(yè)對法律合規(guī)性的嚴(yán)格要求，強調(diào)數(shù)據(jù)受損后所影響客體的不同國家社會層次，并在數(shù)據(jù)8.車聯(lián)網(wǎng)數(shù)據(jù)分類分級中的特殊過程本章節(jié)對車聯(lián)網(wǎng)數(shù)據(jù)分類分級過程中涉及到的數(shù)據(jù)重新分類和分級、數(shù)據(jù)提供和獲取過程中的分類分級管理提供了所需考慮7依據(jù)：借鑒車聯(lián)網(wǎng)企業(yè)所建設(shè)和實施的質(zhì)量管理體系及信息安全管理體系，說明重新分類分級的觸發(fā)條件，強調(diào)數(shù)據(jù)獲取與四、與國內(nèi)外同類標(biāo)準(zhǔn)技術(shù)內(nèi)容的對比情況2021年國際標(biāo)準(zhǔn)化組織ISO發(fā)布的ISO/SAE21434:2021《Roadvehicles-Cybersecurityengineering》從管理體系和產(chǎn)品開發(fā)的角度定義了汽車E/E系統(tǒng)全生命周期的網(wǎng)絡(luò)安全要求，engineering》定義了汽車系統(tǒng)中軟件升級更新的要求。這些標(biāo)準(zhǔn)都隱含了數(shù)據(jù)保護的要求，但都沒有針對車聯(lián)網(wǎng)數(shù)據(jù)安全相關(guān)的數(shù)據(jù)分類分級管理基礎(chǔ)提出相關(guān)要求，更沒有說明如何實現(xiàn)數(shù)據(jù)分類分級過程和方法的實施和管理。對比上述國際標(biāo)準(zhǔn)，本文件專注于車聯(lián)網(wǎng)中數(shù)據(jù)分類分級的具體操作過程和實施步驟，可以作為上述標(biāo)準(zhǔn)在落地實施中實現(xiàn)數(shù)據(jù)安全保護的基礎(chǔ)支撐方法之GB/T43697-2024《數(shù)據(jù)安全技術(shù)數(shù)據(jù)分類分級規(guī)則》從數(shù)據(jù)安全角度給出了數(shù)據(jù)分類分級的通用原則、框架、方法和流程，以及重要數(shù)據(jù)識別指南。依據(jù)GB/T43697-2024中數(shù)據(jù)分類框架建議，本文件遵循了其先按行業(yè)領(lǐng)域分類，再按業(yè)務(wù)屬性進行細分，同時符合相關(guān)法律法規(guī)要求的總體框架，并在分類方法中基本采納了其明確數(shù)據(jù)范圍、細化業(yè)務(wù)分類、業(yè)務(wù)屬性分類的關(guān)鍵步驟。依據(jù)GB/T43697-2024中分級框架建議，本文件遵從其從對國家安全、經(jīng)濟運行、社會秩序、公共利益、組織權(quán)益、個人8權(quán)益造成的危害程度出發(fā)，將數(shù)據(jù)從高到低分為三個級別；同時本文件的分級方法遵循了其建議的分級要素識別、數(shù)據(jù)影響分析和綜合確定級別的關(guān)鍵步驟。對比GB/T43697-2024分類分級過程，本文件遵循其建議進一步細化了數(shù)據(jù)分類分級在車聯(lián)網(wǎng)領(lǐng)域的實施細節(jié)，將車聯(lián)網(wǎng)數(shù)據(jù)分類過程進一步分解并規(guī)范化為在兩個層次上進行的三個階段工作，通過層次結(jié)構(gòu)區(qū)分?jǐn)?shù)據(jù)的細分業(yè)務(wù)、業(yè)務(wù)屬性和法規(guī)要求中的整體概念及其過程環(huán)節(jié)內(nèi)容，并以階段化描述說明分類過程的具體操作和實現(xiàn)步驟；將數(shù)據(jù)分級過程進一步分解并規(guī)范化為在三個層次上進行的三個階段工作，通過層次結(jié)構(gòu)區(qū)分受影響的國家安全、經(jīng)濟運行、社會秩序、公共利益、組織權(quán)益、個人權(quán)益等客體及其對應(yīng)的屬性要素和受影響程度，并以階段化描述說明分級過程的具體操作和實現(xiàn)步驟。從對比來看，本文件在遵循GB/T43697-2024整體結(jié)構(gòu)的基礎(chǔ)上更YD/T3751-2020《車聯(lián)網(wǎng)信息服務(wù)數(shù)據(jù)安全技術(shù)要求》和YD/T3746-2020《車聯(lián)網(wǎng)信息服務(wù)用戶個人信息保護要求》等車聯(lián)網(wǎng)相關(guān)標(biāo)準(zhǔn)提出了車聯(lián)網(wǎng)具體數(shù)據(jù)內(nèi)容的分類分級和技術(shù)保護要求，但對車聯(lián)網(wǎng)數(shù)據(jù)分類分級如何落地實施未提出明確可操作的過程方法。與其對比來看，本文件著眼于數(shù)據(jù)分類分級的具體操作過程和實施步驟，細化了實現(xiàn)數(shù)據(jù)分類分級所需考慮的內(nèi)容，并給出了可實現(xiàn)的工作過程，是對上述行業(yè)標(biāo)準(zhǔn)落地實施的五、與現(xiàn)行法律、法規(guī)和強制性國家標(biāo)準(zhǔn)的關(guān)系本文件與法律法規(guī)保持一致，對法律法規(guī)進行細化和補充。9隨著《數(shù)據(jù)安全法》、《個人信息保護法》、《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》、《數(shù)據(jù)出境安全評估辦法》等法律和管理辦法的發(fā)布，工信部發(fā)布《車聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)指南》提出構(gòu)建形成較為完善的車聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全標(biāo)準(zhǔn)體系，同時《工業(yè)和信息化部關(guān)于加強車聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全工作的通知》對車聯(lián)網(wǎng)數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)提出了具體內(nèi)容要求?；谏鲜鰢曳珊鸵?guī)章的要求，本文件聚焦于車聯(lián)網(wǎng)數(shù)據(jù)安全，通過明確車聯(lián)網(wǎng)數(shù)據(jù)分類分級的維度、過程和實現(xiàn)方法，為車