2022年9月 指导单位： 北京市高级别自动驾驶示范区工作办公室 编写单位： 北京车网科技发展有限公司 国汽(北京)智能网联汽车研究院有限公司1编写说明 本白皮书重点围绕北京市高级别自动驾驶示范区的建设和运营实际 ，从保障示范区自 动驾驶数据 （以下称“示范区数据 ”）全生命周期安全合规 、促进数字经济发展的现实需 求出发，提出了一套数据分类分级管理办法 ，为示范区开展数据安全治理工作奠定基础 。 本白皮书的编制工作发起于北京市高级别自动驾驶示范区 ，旨在发掘共性需求 、建立 行业共识 ，为各地智能网联汽车测试示范区 （包括智能网联汽车测试与示范运营基地 、智 慧交通应用示范区 、车联网示范区 、车联网先导区等 ）开展数据分类分级和安全管理工作 提供参考方案 。 本白皮书在编制过程中深入研究了我国数据安全相关法律法规要求 ，梳理了相关行业 的数据分类分级方法 ，结合智能网联汽车测试示范区数据资产特性 ，制定了符合示范区业 务实际的数据分类维度和 分级指标。 本白皮书在编制过程中邀请了智能网联汽车行业专家进行深入交流 ，并基于专家意见 对文中的主要方法 、工作流程 、发展建议等内容进行完善 ，获得了行业专家的认可 。期望 在方案执行过程中能够与各智能网联汽车测试示范区达成共识 ，并获得行业主管机构认可 ， 为后续开展数据分类分级标准化工作提供参考 。 本白皮书的主要观点和内容仅代表编制组现阶段对智能网联汽车测试示范区数据分类 分级工作方法的研判和思考 ，欢迎各方专家学者和企业代表提出宝贵意见 ，共同推进智能 网联汽车测试示范区数据分类分级方法的完善 。 本白皮书为 《北京市高级别自动驾驶示范区数据安全 》系列白皮书的第一部 ，在此基 础上，北京车网科技发展有限公司将会继续联合行业力量围绕智能网联汽车测试示范区数 据安全治理工作发布更多成果 。前言 为适应数字经济发展环境 、统筹发展与安全 、落实国家重大战略部署 ，我国相继出台 《网络安全法 》《数据安全法 》《个人信息保护法 》，对全行业数据安全保障工作提出总 体要求，明确由各级政府 、社会组织 、企业和个人共同维护数据安全 。汽车产业主管部门 和行业学会 、协会密集发布了一系列规范性文件 ，对智能网联汽车领域的数据安全治理工 作提出具体要求 ，包括推进数据采集处理标准化 、实施数据分类分级管理 、开展数据资产 登记和评估试点 、面向社会提供安全可持续的数据服务等 。 随着智能网联汽车测试示范区加速建设和运营 ，数据安全体系建设重要性愈发凸显 。 在各级政府的支持和指导下 ，各地测试示范区加速开展基础环境建设 ，为智能网联汽车多 场景应用和推广提供测试验证和示范运营环境 ，推动车路云一体化智能网联汽车落地应用 ， 赋能自动驾驶发展 。在测试示范区运营过程中 ，智能网联汽车及智慧交通网络持续产生海 量数据，但部分涉及国家重要数据和个人隐私数据 ，对数据安全和合规应用提出更高要求 ， 因此测试示范区的数据安全体系建设逐渐引起行业重点关注 。 作为数据安全保障的基础性工作 ，数据分类分级是智能网联测试示范区全面梳理大规 模、多样化且动态流转数据的必要手段 ，是保障数据安全治理措施高效合理应用的前提条 件。为响应国家数据安全法律法规要求 ，落实智能网联汽车测试示范区的数据安全治理工 作，北京车网科技发展有限公司基于北京市高级别自动驾驶示范区数据资产特点及业务实 际，启动数据分类分级方法研究工作 ，旨在明确智能网联测试示范区数据分类维度和分级 指标，提供科学合理的数据分类分级方法 ，为各地智能网联测试示范区开展相关工作提供 参考。一、编制背景 （一）数据安全已上升至国家层面 （二）示范区数据安全面临挑战 （三）分类 分级是数据安全 治理的基础 （四）数据分类分级逐步走向标准化 二、研究内容 （一）示范区数据分类分级目标 （二）示范区数据分类分级原则 （三）示范区数据分类分级方法 三、工作实践 （一）示范区数据分类分级总体流程 （二）示范区数据分类 1、数据资产盘点 2、数据分类实践 （三）示范区数据分级 1、数据安全影响 2、数据分级实践 （四）示范区数据安全管理 1、数据安全管理总体要求 2、数据安全等级保障要求 四、发展建议 （一）强化顶层设计，落实数据安全 管理体系 （二）完善标准体系，提升数据分类分级工作效力 （三）平衡安全与发展，释放数据资产价值 （四）协调行业力量，引导数据分类分级跨区应用 （五）加强地方政府引导，保障示范区数据安全 附件数据分类分级列表01 09 13 25目录 28编制背景 近年来，在国家和各级政府的大力支持下 ，智能网联汽车测试示范区 （以下简称示范区 ）建设取得丰硕成果 ，为验证智能网联汽车先进技 术和应用模式提供了重要环境 ，同时在示范区运营过程中汇聚了大量 的自动驾驶运行数据 。本白皮书通过分析示范区数据安全治理形势 ， 开展数据分类分级方法研究 ，力求为相关政策法规框架内开展的数据 安全治理工作提供有效支撑 。 （一）数据安全已上升至国家层面 提升智能网联汽车数据安全治理水平已成为公众的主要诉求之一 。近年来全球数据安 全事件频出 ，给各国社会环境造成了严重影响 。2021年6月，9万名大众和奥迪客户的敏 感数据遭到曝光 ，大众方面称此次数据泄露事件源于一起未经授权的第三方访问 ，但是调 查显示这些被泄露的数据在之前的 21个月内都没有得到妥善保护 。2022年初，J.D. Power与《环球时报 》为了解中国消费者对智能网联汽车数据安全和个人隐私数据的认知 态度，发起了“2022中国消费者智能网联汽车数据安全和个人隐私意识与顾虑调查 ”， 结果显示高达 77.4%受访者表示非常介意或比较介意个人隐私数据的使用 ，只有2.5%的受 访者完全不介意 ，与此同时 ，超过四成的受访者对现阶段相关企业妥善保护智能网联汽车 涉及的个人敏感信息缺乏信心 。 我国不断完善数据安全监管的顶层设计 。近年来为保障数字经济健康发展 ，我国先后 出台并实施的 《中华人民共和国网络安全法 》（以下简称网安法 ）、《中华人民共和国数 据安全法 》（以下简称数安法 ）、《中华人民共和国个人信息保护法 》（以下简称个保法 ） 等法律，明确了数据安全保障范围和管理原则 ，为配套标准规范制定和安全保障工作开展 提供了重要指导 。其中，网安法明确要求维护网络数据的完整性 、保密性和可用性 ，保障 网络信息依法有序自由流动 （第十、十二条）；并要求采取数据分类 、重要数据备份和加 密等措施 ，切实履行网络安全保护义务 （第二十一条 ）；同时对个人信息的安全收集和使 用做了明确要求 （第四十至第四十七条 ）。数安法则明确了 “数据”“数据安全 ”“数据 处理”等重要概念 ，并在数据安全制度层面明确提出实施数据分类分级保护 、制定相关行 业、领域重要数据目录 ，加强对重要数据的保护 （第二十一条 ）。个保法重点关注个人信 息数据保护 ，明确了个人信息及敏感个人信息的定义及处理规则；并提出对个人信息实行 分类管理 ，切实保障个人信息安全 （第五十一条 ）。 我国已初步形成汽车领域数据安全制度框架 。国家互联网信息办公室于 2021年11月 发布《网络数据安全管理条例 （征求意见稿 ）》，强调数据安全防护能力建设 ，保障数据 依法有序自由流动 ，促进数据依法合理有效利用 ，分别对个人信息保护 、重要数据安全和 数据跨境安全管理做了明确要求 。其中条例第五条也提出建立数据分类分级保护制度 ，将 数据按照重要程度分为一般数据 、重要数据 、核心数据 ，并采取不同的保护措施 ，对个人 信息和重要数据实行重点保护 ，对核心数据实行严格保护 。 2 图1 数据安全保障体系 围绕汽车数据安全 ，2021年9月，国家网信办 、发改委、工信部、公安部、交通运输 部联合发布了 《汽车数据安全管理若干规定 （试行）》，明确了“汽车数据 ”“敏感个人 信息”“重要数据 ”“汽车数据处理 ”等定义，制定了汽车数据处理安全原则 ，并进一步 规范了个人信息 、敏感个人信息和重要数据的处理方法 。 同月，工信部发布 《关于加强车联网网络安全和数据安全工作的通知 》，强调汽车数 据有效保护和合法利用 ，保障车联网安全稳定运行 。同时提出按照 “谁主管、谁负责，谁 运营、谁负责”的原则，实施数据分类分级管理 ，提升数据安全技术保障能力 ，规范数据 开发利用和共享使用 ，并强化数据出境管理 。 《中华人民共和国网络安全法 》 《中华人民共和国数据安全法 》 《中华人民共和国个人信息保护法 》 信息安全技术 个人信息安全规范上 位 法 政 策 文 件 标 准 指 南网络安全标准实践指南 网络数据分类分级指引 车联网信息服务 用户个人信息保护要求 车联网信息服务 数据安全技术要求 智能网联汽车数据安全共享模型与规范 智能网联汽车数据共享安全要求关于加强车联 网网络安全和 数据安全工作 的通知汽车数据安全 管理若干规定 （试行）车联网网络安 全和数据安全 标准体系建设 指南网络数据安全 管理条例 3