GDPR(General Data Protection Regulation,通用数据保护条例):
数据收集与处理的透明度:OEM 在欧盟开展业务或涉及欧盟居民数据时,必须明确告知数据主体其个人数据被收集和处理的目的、方式等信息,并在收集数据时取得明示的同意。例如,在车辆智能化系统中收集用户的驾驶习惯等数据时,需要清晰地向用户说明用途。 合法性和公平性:数据处理活动要有合法的依据,且对数据主体是公平的。例如,不能以不合理的方式收集用户数据用于商业营销等目的,并且需要建立数据处理记录以证明合法性和公平性。 数据主体权利保护:OEM 需建立健全机制,确保用户有权访问、更正、删除自己的个人数据等。当用户提出相关请求时,OEM 要及时响应并在规定时间内履行义务。比如,用户要求删除其车辆系统中存储的个人信息时,OEM 应及时处理。 数据安全和隐私保护:采取合适的技术和组织措施确保个人数据的安全性,防止数据泄露和滥用。这包括对车辆系统中的数据进行加密、设置访问控制、定期进行安全漏洞扫描和渗透测试等,以保护用户数据在传输、存储过程中的安全。 跨境数据传输合规性:如果涉及跨境数据传输,要确保目的地国家的数据保护水平足够,并且签署合适的数据处理协议等,以符合 GDPR 的规定。
ISO/SAE 21434(道路车辆 - 网络安全工程): 推荐阅读: 汽车软件开发指南白皮书之ISO 21448及ISO 21434 ISO/SAE 21434对汽车意味着什么? ISO/SAE 21434 介绍 及 与UNECE WP.29的关系 收藏 | ISO21434汽车信息安全审核过程 ISO 21434 and R155 ISO26262 以及 ISO/SAE 21434常见问题汇总 ISO 21434当前状态与ISO 26262的潜在一致性
威胁分析与风险评估:OEM 需要对车辆的网络安全风险进行评估,包括车辆系统、零部件等可能面临的各种网络安全威胁,如黑客攻击、数据篡改等。并且要求供应商也对其提供的零部件进行网络安全威胁评估,协助 OEM 完成整体的威胁分析与风险评估报告。 网络安全目标与需求:根据风险评估结果确定网络安全目标,并将其转化为具体的网络安全需求。这些需求应贯穿于车辆的设计、开发、生产、运维等全生命周期,确保车辆的网络安全性能。例如,在车辆的电子系统设计中,明确对数据加密、身份验证等安全机制的要求。 安全验证和确认:验证所开发的车辆系统及零部件是否符合既定的网络安全需求及设计规范,包括对车载网络安全通信、车云安全通信、密钥管理安全等方面的验证。同时,通过确认活动确保安全目标的有效性。 安全文档和报告:建立全面的质量管理体系,涵盖变更管理、文档管理、配置管理以及需求管理等核心环节。保存对产品的所有测试结果、发现的安全问题及实施的修复措施等相关文档,并且保证产品的安全配置信息在产品终止维护之前的可用性和可追溯性。 供应链安全:管理好供应链中的网络安全,将整体的网络安全目标和需求下发到供应商,考察供应商依据标准执行开发与后期维护活动的能力,确保供应商的产品和服务符合网络安全要求。
网络安全管理体系:OEM 必须建立符合 R155 要求的网络安全管理体系(CSMS),获得 CSMS 合规证书。该体系应能够有效管理车辆全生命周期的网络安全风险,包括设计、生产、销售、售后等环节。 车辆型式认证:OEM 需要获得车辆型式认证(VTA)证书,证明车辆符合网络安全法规的要求。在申请认证过程中,要提交相关的网络安全评估报告、测试结果等文件。 供应商管理:有效管理供应商与 OEM 在网络安全活动上的互动,要求供应商提供相关的网络安全证明材料,确保供应商的产品和服务不会给车辆带来网络安全风险。 事件响应与报告:建立网络安全事件响应机制,在发生网络安全事件时能够及时响应和处理,并按照规定向相关部门报告事件的情况和处理结果。
车辆安全性能:OEM 生产的车辆需要满足 NHTSA 制定的一系列车辆安全性能标准,包括碰撞安全、制动性能、轮胎性能等方面。例如,车辆的碰撞测试结果必须符合 NHTSA 的要求,以保障驾乘人员的生命安全。 缺陷召回:如果发现车辆存在安全缺陷,OEM 必须按照 NHTSA 的规定及时进行召回,并通知消费者。召回计划需要经过 NHTSA 的批准,并且 OEM 要负责对召回的车辆进行免费维修或更换相关部件。 数据报告:向 NHTSA 提交相关的车辆安全数据和信息,以便 NHTSA 对车辆的安全性能进行监督和管理。例如,报告车辆的事故数据、故障数据等。
消费者知情权:OEM 在收集、使用消费者的个人信息时,需要向消费者告知收集的信息类型、使用目的、共享对象等内容,让消费者清楚地了解自己的个人信息是如何被使用的。 消费者选择权:消费者有权选择是否允许 OEM 收集和使用其个人信息,并且可以要求 OEM 删除其个人信息。OEM 应提供相应的渠道和方式,方便消费者行使这些权利。 数据安全保障:采取合理的安全措施保护消费者的个人信息,防止数据泄露、篡改等安全事件的发生。例如,对存储消费者个人信息的系统进行安全防护,对数据传输进行加密等。 数据共享与披露:如果 OEM 要将消费者的个人信息共享给第三方,需要获得消费者的同意,并告知消费者共享的对象和目的。同时,在向第三方披露消费者个人信息时,要确保第三方也符合 CCPA 的规定。
