UN/WP.29 提出的 R155 法規(guī)是全球第一個汽車信息安全的強制法規(guī)，法規(guī)對符合信息安全和數(shù)據(jù)安全做出來具體的合規(guī)性要求，車輛在特定國家范圍內(nèi)想要批準上市銷售的前提條件是獲得兩個部分的合規(guī)認證：一是網(wǎng)絡安全管理體系認證 CSMS，二是車輛網(wǎng)絡安全型式認證 VTA。WP29 R155 系列法規(guī)適用于 1958 協(xié)議下成員國，雖然還有很多國家未加入到 1958 協(xié)議國中，但是生產(chǎn)的汽車只要銷售到這些國家中就必須通過相關認證。R155 法規(guī)的時間規(guī)劃為：1.2022 年 7 月起適用于新車型；2024 年 7 月起適用于所有車型；
2.2022 年 -2024 年兩年內(nèi)的現(xiàn)有架構新車型上市，若無法按照 CSMS 開發(fā)，則 VTA 必須證明在開發(fā)階段已充分考慮網(wǎng)絡安全；
3.2025 年 1 月過渡期結束，要求所有架構所有車型通過認證（CSMS+VTA）。

圖2.1-2 R155法規(guī)時間規(guī)劃在數(shù)據(jù)安全方面，各個國家、地區(qū)有關的法規(guī)、標準各不相同，如歐盟是 GDPR 和數(shù)據(jù)法案，中國是個人信息保護法和數(shù)據(jù)安全法，其他國家也有相應的隱私法案。一個相同的發(fā)展趨勢是，各國家、地區(qū)都在加快數(shù)據(jù)安全相關標準、法規(guī)的制定和落地實施，對數(shù)據(jù)安全的重視已經(jīng)被提升到了與網(wǎng)絡信息安全同等的高度。

國際標準現(xiàn)狀與趨勢

在汽車電子系統(tǒng)發(fā)展的早期，汽車電子基礎軟件是沒有統(tǒng)一標準的，各個 OEM、Tier1、Tier2 等廠商針對不同領域的不同型號 ECU 開發(fā)不同的軟件，開發(fā)工作量大、成本高。一些問題逐漸顯露出來，如由于實時操作系統(tǒng)的應用程序接口不同而導致的應用程序移植性差等。隨著汽車電子技術的不斷發(fā)展， 1993 年德國汽車工業(yè)界提出了 OSEK 汽車電子開放式系統(tǒng)及其接口的體系，這是汽車電子基礎軟件最初的行業(yè)標準，解決了應用軟件移植和重用的問題。但隨著汽車智能網(wǎng)聯(lián)化的飛速發(fā)展，傳統(tǒng)的汽車電子 架構已經(jīng)不能滿足整車的業(yè)務需要，汽車電子架構正朝著由封閉到開放、由分布式到集中式，軟件定義汽車、面向服務的軟件架構的出現(xiàn)，都對汽車電子基礎軟件的發(fā)展提出了新的挑戰(zhàn)。同時，汽車智能網(wǎng)聯(lián)化伴隨來的還有信息安全問題，不論是驅動、OS 或是中間件，一旦遭受到信息安全攻擊，將不能安全穩(wěn)定地為汽車服務提供支撐，那么汽車會處于未知的風險中，不但影響駕駛體驗，甚至可能威脅生命。因此， 一些基礎軟件相關信息安全標準應運而生。

生命周期要求

2016 年， 美國汽車工程師學會（SAE） 發(fā)布了 SAE J3061（Cybersecurity Guidebook for Cy- ber-Physical Vehicle Systems），其提供了車輛網(wǎng)絡安全的流程框架和指導，考慮了車輛的整個生命周期，從概念到生產(chǎn)、運行、維護和報廢。旨在幫助企業(yè)識別和評估網(wǎng)絡安全威脅，導入網(wǎng)絡安全到車輛的整個開發(fā)流程內(nèi)。2021 年 8 月，國際標準化組織（ISO）和 SAE 聯(lián)合起草發(fā)布了 ISO/SAE 21434《道路車輛信息安全工程》（Road vehicles - Cybersecurity engineering），ISO 21434 是基于 SAE J3061 制定的，針對車輛整個生命周期的標準。其主要從風險評估管理、產(chǎn)品開發(fā)、運行維護、流程審核等四個方面來保障汽車信息安全工程工作的開展。目的是通過該標準設計、生產(chǎn)、測試的產(chǎn)品具備一定信息安全防護能力。從組織 / 企業(yè)級、項目級、分布式開發(fā)、持續(xù)網(wǎng)絡安全管理、概念階段、產(chǎn)品開發(fā)階段、后開發(fā)階段等明確了關于流程要求、人員職責分配要求等。提供了威脅分析與風險評估（TARA）統(tǒng)一的方法論，便于在產(chǎn)品開發(fā)過程中進行漏洞的分析、定級以及安全目標的制定。該標準對汽車軟件開發(fā)的信息安全過程提出了要求，相關要求適用于汽車基礎軟件。

軟件平臺規(guī)范

2003 年 7 月，AUTOSAR（AUTomotive Open System ARchitecture）組織建立，旨在為汽車電氣/ 電子構架開發(fā)一套開放的行業(yè)標準。AUTOSAR 核心成員主要由寶馬、博世、大陸、戴姆勒、福特、通用、標致、豐田、大眾這 9 家世界頂級主機廠和供應商組成，目前在全球范圍內(nèi)已發(fā)展成為包含 220+ 家合作伙伴，覆蓋整車 OEM 廠商、零部件供應商、軟件供應商、芯片和硬件供應商、測評服務等汽車產(chǎn)業(yè)鏈相關企業(yè)和機構的國際化組織。AUTOSAR   平臺是目前國際上廣泛認可的汽車電子系統(tǒng)基礎軟件平臺（包括汽車操作系統(tǒng)），在發(fā)布4.2.2版本后，AUTOSAR 的標準體系分為基礎標準（Foundation）、經(jīng)典平臺（classic platform）、自適應平臺（adaptive platform）和符合性測試（Acceptance Tests）等 4 個部分。在AUTOSAR 經(jīng)典平臺中， 以硬件安全模塊（HSM , Hardware Security Module）為基礎，提供了密碼服務方面的層次架構，使得AUTOSAR 經(jīng)典平臺的服務分為四個方面：系統(tǒng)、存儲、密碼和通信?；诿艽a服務，AUTOSAR 經(jīng)典平臺提供了安全通信組件 SecOC（Secure onboard Communication），為車內(nèi)網(wǎng)絡 ECU 之間的通信提供了真實性、完整性方面的保護能力。此外，為了保證對信息安全持續(xù)監(jiān)控的實現(xiàn)，AUTOSAR    從基礎軟件角度提供了 IDS(Intrusion Detection System，入侵檢測系統(tǒng) )。在目前常見的 4.4.0 版本中針對信息安全做出了以下改進：

• 安全事件內(nèi)存（Security Event Memory）

• 密鑰管理 / 密鑰分發(fā)（Key Management / Key Distribution）

• 認證同步的時間（Authentic Synchronized Time）

• 針對診斷訪問的動態(tài)權限管理（Dynamic Rights Management for Diagnostic Access）

• 改進的證書處理（Improved Certificate Handling）

另外，針對 V2X 的通信安全，AUTOSAR 標準也提出了一系列的信息安全要求，包括消息簽名的加密驗證、端到端安全、證書管理、應用程序安全相關機制等。

軟件代碼級規(guī)范

嵌入式系統(tǒng)常用的 C 語言是一種 “不安全” 的語言，例如 C 語言的指針很容易導致堆棧溢出、內(nèi)存泄漏等各種問題。規(guī)范代碼的格式是有效解決辦法之一，即不要使用比較容易出錯的代碼格式。1998 年，汽車產(chǎn)業(yè)軟件可靠性協(xié)會（MISRA）針對 C 語言易出錯的特性，提出了 C 語言的編碼規(guī)范 MISRAC ；旨在提高關鍵應用程序中 C 代碼的可靠性，重點是避免容易出錯的功能，而不是強制執(zhí)行特定的編程風格。MISRAC 最初就應用于汽車行業(yè)，后經(jīng)過兩次修訂。當前版本是 MISRA C ：2012，在此版本的 Amendment 1 中，提供了針對信息安全的代碼規(guī)范。隨著汽車為了提供更多更強大的功能，車載嵌入式軟件和物聯(lián)網(wǎng)設備越來越多，更多的代碼連接到Internet。研究表明，汽車上已包含超過 1 億行代碼，對于如此大型，復雜的系統(tǒng)，我們必須開始認真對待軟件安全性。嵌入式軟件中的安全漏洞增加了惡意行為者攻擊的機會，這些攻擊會注入惡意軟件、竊取信息或執(zhí)行其他未經(jīng)授權的任務。2008 年 10 月，美國軟件工程學院（SEI）提出了 CERT C 編程語言安全編碼規(guī)范，其目的是通過避免對安全性問題更敏感的編碼結構來開發(fā)符合功能安全、信息安全的可靠的系統(tǒng)。它更加關注安全的 編碼實踐，而不僅僅是癥狀（例如，始終驗證輸入是一種安全的編碼實踐，而 SQL 注入是一種癥狀）。CERT 分析了哪些準則最為關鍵，可以對其進行認真分析，然后分為應遵循的 “規(guī)則” 和不太重要或缺乏聲音分析能力的 “建議” 。這有助于快速將靜態(tài)分析結果調(diào)整到最關鍵的水平。安全編碼實踐更大程度地消除了這些漏洞，減少了 “惡意軟件” 、“竊取信息” 或 “執(zhí)行其它未經(jīng)授權的任務” 等攻擊行為的攻擊面， 減小了惡意行為者攻擊的機會。CERT 提供了較為全面的安全措施，如敏感信息的保護、注入或劫持的預防等等是值得所有開發(fā)人員學習的。但 CERT 更專注于安全問題，適合與其他規(guī)范配合使用。

數(shù)據(jù)安全規(guī)范

AutoMat Common Vehicle Information Model：歐盟于 2018 年 3 月發(fā)布了其 AutoMat 項目所研究的通用車輛信息模型（CVIM ：Common Vehicle Information Model），即開放和品牌獨立的車輛大數(shù)據(jù)模型。針對大量持續(xù)收集的汽車數(shù)據(jù)，AutoMat 項目的核心意圖是利用目前從聯(lián)網(wǎng)汽車收集的未使用信息，為汽車大數(shù)據(jù)創(chuàng)新一個開放的生態(tài)系統(tǒng)，以跨境汽車大數(shù)據(jù)市場的形式實現(xiàn)。與市場的接口來自 一個通用車輛信息模型 (CVIM)，該模型使跨行業(yè)服務提供商可以訪問來自各個 OEM 廠商挖掘的匿名車輛數(shù)據(jù)。隨著來自汽車的大量易失性數(shù)據(jù)，AutoMat   生態(tài)系統(tǒng)極大地建立在當前大數(shù)據(jù)趨勢的基礎上。該規(guī)范提供了模型的架構、概念和方法、信號層規(guī)范、測量層規(guī)范、數(shù)據(jù)層規(guī)范。

其他規(guī)范

NIST SP800 是美國國家標準與技術研究院 NIST（National Institute of Standards and Technolo-gy）發(fā)布的一系列關于信息安全的指南，已成為美國和國際安全界廣泛認可的事實標準和權威指南。例如， NIST SP  800-131A 定義了有效的密碼算法，以及需要的密碼算法參數(shù)值以能夠在特定的時間段內(nèi)實現(xiàn)特定的安全強度。2002 年 12 月，NIST 發(fā)布了 FIPS Publication 140-2（Federal Information Processing Stand- ards 140），該標準是針對密碼模塊的安全需求，為密碼模塊評測、驗證和最終認證提供基礎，作為聯(lián)邦信息處理標準在政府機構廣泛采用。

國內(nèi)政策與法規(guī)現(xiàn)狀與趨勢

我國已將發(fā)展智能網(wǎng)聯(lián)汽車上升到國家戰(zhàn)略高度，國家各部委根據(jù)在車聯(lián)網(wǎng)關鍵部件和生命周期各環(huán)節(jié)的職責劃分，制定相關政策及執(zhí)行監(jiān)管，包括網(wǎng)信辦、工信部、交通運輸部、公安部、國標委等，共同推動建立健全智能網(wǎng)聯(lián)汽車信息安全管理機制。國家設計智能網(wǎng)聯(lián)汽車頂層產(chǎn)業(yè)發(fā)展政策方針過程中將信息安全納入考慮，進行了不同程度的規(guī)劃和要求。有關智能網(wǎng)聯(lián)汽車網(wǎng)絡安全與數(shù)據(jù)安全的主要法規(guī)如下表所示。表2.3-1 智能網(wǎng)聯(lián)汽車網(wǎng)絡安全、數(shù)據(jù)安全主要法律法規(guī)和指導意見序號文件名稱發(fā)布機構發(fā)布時間1《中華人民共和國網(wǎng)絡安全法》全國人大常委2016 年 11 月2《車聯(lián)網(wǎng)（智能網(wǎng)聯(lián)汽車）產(chǎn)業(yè)發(fā)展行動計劃》工信部2018 年 12 月3《關于促進道路交通自動駕駛發(fā)展的指導意見（征求意見稿）》交通部2019 年 5 月4《新能源汽車產(chǎn)業(yè)發(fā)展規(guī)劃   2021-2035》工信部2019 年 12 月5《智能汽車創(chuàng)新發(fā)展戰(zhàn)略》發(fā)改委等 11 部委2020 年 2 月6《節(jié)能與新能源汽車技術路線圖 2.0》中汽學會2020 年 10 月7《關于進一步加強汽車遠程升級（OTA）技術召回監(jiān)管的通知》市場監(jiān)管總局2020 年 11 月8《關于促進道路交通自動駕駛技術發(fā)展和應用的指導意見》交通運輸部2020 年 12 月9《道路交通安全法》全國人大常委2021 年 4 月10《智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準入管理指南（試行）（征求意見稿）》工信部2021 年 4 月11《關于加強車聯(lián)網(wǎng)（智能網(wǎng)聯(lián)汽車）網(wǎng)絡安全工作的通知（征求意見稿）》工信部2021 年 6 月12《中華人民共和國數(shù)據(jù)安全法》全國人大常委2021 年 6 月序號文件名稱發(fā)布機構發(fā)布時間13《關于汽車遠程升級（OTA）技術召回備案的補充通知》市場監(jiān)管總局2021 年 6 月14《車聯(lián)網(wǎng)（智能網(wǎng)聯(lián)汽車）網(wǎng)絡安全標準體系建設指南》（征求意見稿）工信部2021 年 6 月15《智能網(wǎng)聯(lián)汽車道路測試與示范應用管理規(guī)范（試行）》工信部2021 年 7 月16《關于加強智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準入管理的意見》工信部2021 年 8 月17《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》國家網(wǎng)信辦、發(fā)改委、工信部、公安部和交通部聯(lián)合發(fā)布2021 年 10 月18《中華人民共和國個人信息保護法》全國人大常委2021 年 8 月19《關于加強汽車網(wǎng)絡安全和數(shù)據(jù)安全工作的通知》工信部2021 年 9 月20《關于加強車聯(lián)網(wǎng)卡實名登記管理的通知》工信部2021 年 9 月21《數(shù)據(jù)出境安全評估辦法》國家網(wǎng)信辦2022 年 7 月《中華人民共和國網(wǎng)絡安全法》：網(wǎng)絡安全法是我國網(wǎng)絡安全領域的基本大法，是指導我國各行業(yè)、 各領域網(wǎng)絡安全工作的綱領性文件和基本要求，也是我國汽車信息安全標準體系建設需要遵從的根本性 文件。網(wǎng)絡安全法明確了網(wǎng)絡安全事故的責任主體，在汽車信息安全方面對整車制造商、車載信息系統(tǒng)提供商及網(wǎng)絡服務運營商提出了法律層面的要求，使得汽車行業(yè)在汽車信息安全功能產(chǎn)品的生產(chǎn)和運營上 實現(xiàn)了 “有法可依” 。《車聯(lián)網(wǎng)（智能網(wǎng)聯(lián)汽車）產(chǎn)業(yè)發(fā)展行動計劃》：以強化管理、保障安全為原則，重點明確主體責任， 健全管理制度，強化防護機制，構建確保人身安全的管理體系。提出推進車聯(lián)網(wǎng)無線通信安全、車聯(lián)網(wǎng)平臺及應用安全、數(shù)據(jù)安全和用戶個人信息保護的相關標準研究制定；以產(chǎn)品和系統(tǒng)的運行安全、網(wǎng)絡安全和數(shù)據(jù)安全為重點，明確相關主體責任，定期開展安全監(jiān)督檢查。完善車聯(lián)網(wǎng)網(wǎng)絡和數(shù)據(jù)安全的事件通報、應急處置和責任認定等安全管理工作；重點突破產(chǎn)業(yè)的功能安全、網(wǎng)絡安全和數(shù)據(jù)安全的核心技術研發(fā)， 支持安全防護、漏洞挖掘、入侵檢測和態(tài)勢感知等系列安全產(chǎn)品研發(fā)。督促企業(yè)強化網(wǎng)絡安全防護和數(shù)據(jù)安全防護，構建智能網(wǎng)聯(lián)汽車、無線通信網(wǎng)絡、車聯(lián)網(wǎng)數(shù)據(jù)和網(wǎng)絡的全要素安全檢測評估體系，開展安全能力評估。《新能源汽車產(chǎn)業(yè)發(fā)展規(guī)劃（2021-2035 年）》：新能源汽車與信息通信融合發(fā)展，打造網(wǎng)絡安全保障體系，加快完善適應智能網(wǎng)聯(lián)汽車發(fā)展要求的道路交通、事故責任、數(shù)據(jù)使用等政策法規(guī)。提出打造網(wǎng)絡安全保障體系，健全新能源汽車網(wǎng)絡安全管理制度，構建統(tǒng)一的汽車身份認證和安全信任體系。推動密碼技術深入應用，加強車載信息系統(tǒng)、服務平臺及關鍵電子零部件安全檢測，強化新能源汽車數(shù)據(jù)分級分類和合規(guī)應用管理，完善風險評估、預警監(jiān)測、應急響應機制，保障 “車端— 傳輸管網(wǎng)— 云端” 各環(huán)節(jié)信息安全。《智能汽車創(chuàng)新發(fā)展戰(zhàn)略》：提出將網(wǎng)絡安全作為六大主要任務之一，特別提出要 “構建全面高效的智能汽車網(wǎng)絡安全體系” ，主要包括完善網(wǎng)絡安全管理聯(lián)動機制、提升網(wǎng)絡安全防護能力、加強數(shù)據(jù)安全監(jiān)督管理等方面。在加強網(wǎng)絡安全系統(tǒng)防護能力方面，提出了對于車載信息系統(tǒng)、服務平臺以及關鍵電子零部件的安全要求。《中華人民共和國數(shù)據(jù)安全法》：要求針對數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等各種數(shù)據(jù)處理行為，應通過采取必要措施，確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。相關組織應建立健全數(shù)據(jù)安全治理體系，提高數(shù)據(jù)安全保障能力。要求相關行業(yè)組織按照章程，依法制定數(shù)據(jù)安全行為規(guī)范和團體標準。該法律還具體針對數(shù)據(jù)安全與發(fā)展、數(shù)據(jù)安全制度、數(shù)據(jù)安全保護義務、相關法律責任等進行了規(guī)定。《中華人民共和國個人信息保護法》：作為中國首部針對個人信息保護的專門性立法，進一步強化個人信息安全監(jiān)管與治理，在有關法律基礎上，進一步細化、完善個人信息保護應遵循的原則和個人信息處理規(guī)則。明確了個人信息和敏感個人信息的處理規(guī)則，完善個人信息保護投訴、舉報工作機制。強調(diào)處理個人信息應遵循合法、正當、必要和誠信原則，具有明確、合理的目的并與處理目的直接相關，采取對個人權益影響最小的方式，限于實現(xiàn)處理目的的最小范圍，公開處理規(guī)則，保證信息質量，采取安全保護措施等。《關于進一步加強汽車遠程升級（OTA）技術召回監(jiān)管的通知》：規(guī)范了 OTA 技術在召回工作中的應用，明確要求生產(chǎn)者采用 OTA 方式消除汽車產(chǎn)品缺陷、實施召回的，須向市場監(jiān)管總局備案。要求車企在使用OTA 開展技術服務活動時，需向市場監(jiān)管總局質量發(fā)展局備案；車企如果使用 OTA 消除車輛缺陷、實施召回的，也需要向市場監(jiān)管總局質量發(fā)展局備案。工信部于 2021 年 4 月 7 日公開征求對《智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準入管理指南（試行）》（征求意見稿）的意見，并于 2021 年 8 月 12 日印發(fā)《關于加強智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準入管理的意見》。《智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準入管理指南（試行）》要求智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)應滿足企業(yè)安全保障能力要求，針對車輛的軟件升級、網(wǎng)絡安全、數(shù)據(jù)安全等建立管理制度和保障機制，建立健全企業(yè)安全監(jiān)測服務平臺。智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)應建立覆蓋車輛全生命周期的網(wǎng)絡安全防護體系，采取必要的 技術措施和其他必要措施，有效應對網(wǎng)絡安全事件，保護車輛及其聯(lián)網(wǎng)設施免受攻擊、侵入、干擾和破壞； 智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)應依法收集、使用和保護個人信息，實施數(shù)據(jù)分類分級管理，制定重要數(shù)據(jù)目錄， 不得泄露涉及國家安全的敏感信息等等。該指南給出了智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)安全保障能力要求、智能網(wǎng)聯(lián)汽車產(chǎn)品準入過程保障要求、智能網(wǎng)聯(lián)汽車產(chǎn)品準入測試要求。《關于加強智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準入管理的意見》明確要求了整個產(chǎn)業(yè)鏈的企業(yè)要保證汽車的數(shù)據(jù)安全、網(wǎng)絡安全、軟件升級、功能安全這些要求。《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》：根據(jù)《中華人民共和國網(wǎng)絡安全法》等法律法規(guī)規(guī)定，旨 在加強個人信息和重要數(shù)據(jù)保護，規(guī)范汽車數(shù)據(jù)處理活動，維護國家安全和公共利益。規(guī)定將整個汽車 行業(yè)全鏈條上幾乎所有的經(jīng)營者都納入了適用范圍，將汽車行業(yè)作為單獨個體，通過定義和列舉的方式， 明確了汽車行業(yè)中的重要數(shù)據(jù)范圍；明確汽車數(shù)據(jù)處理者處理個人信息和重要數(shù)據(jù)的原則：車內(nèi)處理原則、默認不收集原則、精度范圍適用原則、脫敏處理原則；明確個人信息與重要數(shù)據(jù)的境內(nèi)存儲要求以及跨境傳輸?shù)南嚓P要求；對汽車數(shù)據(jù)處理者提出報送數(shù)據(jù)安全年報制度的要求。加強數(shù)據(jù)安全管理的平臺建設、建立投訴舉報通道，擴大接受用戶投訴舉報的范圍。《關于加強車聯(lián)網(wǎng)網(wǎng)絡安全和數(shù)據(jù)安全工作的通知》：重點針對智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)和車聯(lián)網(wǎng)服務平臺運營企業(yè)，旨在加強車聯(lián)網(wǎng)網(wǎng)絡安全和數(shù)據(jù)安全管理工作，健全完善車聯(lián)網(wǎng)安全保障體系。通知提出數(shù)據(jù)安全重點關注的四個方向，包括加強數(shù)據(jù)分類分級管理、提升數(shù)據(jù)安全技術保障能力、規(guī)范數(shù)據(jù)開發(fā)利用和共享使用、強化數(shù)據(jù)出境安全管理。《數(shù)據(jù)出境安全評估辦法》：是為了規(guī)范數(shù)據(jù)出境活動，保護個人信息權益，維護國家安全和社會公共利益，促進數(shù)據(jù)跨境安全、自由流動而制定的；且是依據(jù)《中華人民共和國網(wǎng)絡安全法》、《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個人信息保護法》等法律法規(guī)起草的。總體來看，智能網(wǎng)聯(lián)汽車信息安全會愈加重要，對信息安全做出要求的相關政策、法律法規(guī)可大致分為六個方面，分別為國家安全、網(wǎng)絡安全、數(shù)據(jù)安全、個人信息安全、地理信息安全、產(chǎn)品責任與事故責任（準入、召回、OTA 軟件升級等）。車聯(lián)網(wǎng)信息安全政策法規(guī)制定可分為三個階段，即啟動規(guī)劃（2017 年12 月 -2020 年 2 月）、推動形成指導意見（2020 年 8 月 -2021 年 8 月）和建立具體參考標準（預計于2023 年初步構建起車聯(lián)網(wǎng)網(wǎng)絡安全標準體系，完成 50 項以上重點繼續(xù)安全標準的制修訂，2025 年形成較為完備的車聯(lián)網(wǎng)網(wǎng)絡安全標準體系，完成 100 項以上重點標準），目前政策法規(guī)體系初具雛形。諸多法律法規(guī)已陸續(xù)開始施行，預計未來監(jiān)管會更加嚴格。首先，陸續(xù)會有相配套的政策解讀文件 和標準出臺，以支撐該法律法規(guī)的實施。其次，信息安全保障工作的進度和力度也會隨之加快和提升。 最后，信息安全檢測評估、認證等工作也會快速展開，相關主管部門將推出針對信息安全檢測評估和認證體系。另外，智能網(wǎng)聯(lián)汽車成為數(shù)據(jù)的核心載體和紐帶，面臨多主體、多環(huán)節(jié)以及多應用場景的數(shù)據(jù)采集、存儲、使用及管理問題和風險，數(shù)據(jù)合規(guī)要求也逐漸延伸至汽車企業(yè)和車聯(lián)網(wǎng)服務運營企業(yè)。