高级别自动驾驶审慎开闸：工信部217号通知点评

据工信部的数据，截至目前，全国累计开放智能网联汽车测试路程已超2万公里，测试总里程超7000万公里。[1]自动驾驶已在公共道路和园区等多个场景应用，北京、深圳、上海、武汉等城市已开展公开道路出租车和自动配送商业化试点运营。

在此基础上，工信部、公安部、住建部、交通部等四部委于2023年11月17日联合发布了《关于开展智能网联汽车准入和上路通行试点工作的通知》（简称“《试点通知》”），标志着我国立法为高级别自动驾驶审慎开闸。

相较于2022年11月发布的征求意见稿，《试点通知》正式版在“试点申报条件”中取消了申报城市应为地级以上城市的限制，删除了“试点城市所辖区域内拟用于智能网联汽车上路通行试点的道路里程不少于1000公里或通行区域面积不少于50平方公里”的规定，为更多城市加入试点预留了空间。

《试点通知》将征求意见稿中的“由拟申报试点城市主管部门牵头，联合拟申报试点的汽车生产企业、使用主体组成联合体”改为“汽车生产企业和使用主体组成联合体，制定申报方案，经车辆拟运行城市人民政府同意并加盖公章”，并删除了“每个联合体中的汽车生产企业限定1家，每家汽车生产企业可参与的联合体不超过2个”的规定，明确了汽车生产企业与使用主体的方案主导地位及试点城市政府的监管地位，有利于同一车型多地试点及同一城市多车型试点运行。汽车生产企业在选择使用主体时，拥有了更大的灵活性，也在一定程度上为众多L4自动驾驶科技公司打开了市场空间，有利于技术创新。

此外，《试点通知》还删除了征求意见稿中“车内安全员处于车辆驾驶座位上”的要求，为从事自动驾驶运输服务提供了降低成本的可能性，有助于更高级别自动驾驶的商业化落地。

结合《试点通知》发布以来对行业的观察，本文围绕汽车生产企业、汽车产品和使用主体，聚焦智能网联汽车产品功能安全、预期功能安全与信息安全三大安全体系，对《试点通知》及其附件指南进行评述。

一、《试点通知》的结构与要点

《试点通知》由正文及两个附件组成，附件1为《智能网联汽车准入和上路通行试点实施指南（试行）》（简称“《实施指南》”），附件2为《智能网联汽车准入和上路通行试点申报方案（模板）》。《试点通知》正文关于智能网联汽车准入和上路通行试点工作组织实施方式的结构如下：

点击图片放大查看

1.试点申报

《试点通知》规定的试点申报主体为汽车生产企业和使用主体组成的联合体，未对每个汽车生产企业可参与联合体数量，以及每个联合体中汽车生产企业数量进行特别限制。

据我们了解的信息，目前主要智能网联汽车生产企业均有量产车型申报试点。监管部门将组织专家对申报方案进行初审，择优确定进入试点的联合体，具体进入试点的联合体数量尚未公布。

2.试点实施

试点实施包括产品准入试点、上路通行试点、应急处置三个环节。产品准入试点要求主要涉及生产企业安全管理能力和汽车产品安全技术性能等内容。上路通行试点要求主要规范使用主体和汽车产品的运行及运营安全管理。

具体而言，汽车生产企业应制作“准入测试与安全评估方案”，并按规定程序完成方案确认、实施、第三方评估验收，将试点车辆接入工信部“试点管理系统”，向工信部提交产品准入申请。工信部进行审查和公示后，决定是否准入。如决定准入，工信部将向社会公告汽车产品及其准入有效期、实施区域等限制性措施。

取得准入的智能网联汽车产品，在限定区域内开展上路通行试点。试点使用主体应当按规定为车辆购买保险，申请办理注册登记，监测车辆运行状态，加强车辆运行安全保障。使用车辆从事运输经营的，还应当具备相应业务类别的运营资质并满足运营管理要求。

试点实施过程中，对交通事故、网络和数据安全事件，或因自动驾驶系统失效等引发的突发事件，试点使用主体、汽车生产企业应按相关应急预案处置，并将处置过程和结果及时上报。

3.试点暂停与退出

试点期间，车辆发生交通违法和事故，试点汽车生产企业或使用主体未履行安全责任和网络安全、数据安全、无线电安全保护义务等，应暂停试点并整改。

车辆自动驾驶系统存在严重安全隐患且无法消除，试点汽车生产企业、使用主体相关条件发生重大变化无法保障试点实施等，应退出试点。

4.评估调整

工信部与相关部门共同对车辆运行情况进行评估，可优化调整产品准入许可、通行范围和经营范围，并适时完善试点实施指南相关内容。

二、《实施指南》结构与要点

在《试点通知》给出的整体框架下，《实施指南》对参与试点的生产企业、汽车产品和使用主体，从功能安全、预期功能安全、网络与数据安全、软件升级安全、安全监测及用户告知等方面提出了系统性的要求和实现指引。《实施指南》的整体结构如下图所示：

点击图片放大查看

1.功能安全与预期功能安全

《实施指南》第一部分第一章，要求汽车生产企业配备专职功能安全、预期功能安全保障团队，建立开发管理流程及安全管理制度。本部分第二章第一条（一）款4项，要求自动驾驶系统应不存在由系统失效和功能不足导致的不合理风险，具备自动识别系统失效的能力，并能提供必要的信息提示。

点击图片放大查看

根据我们了解到的信息，本次准入试点申报工作中，监管部门将重点针对自动驾驶系统的功能安全、预期功能安全能力进行评估、排序，评分可直接影响相关车型准入申请结果。汽车生产企业应参照相关国际标准或国家标准，完善安全流程建设工作。

（1）功能安全

功能安全旨在避免因电子电气系统随机失效（器件老化）和系统性失效（设计因素）导致的不合理风险，本质上是一种安全保障机制。完善的功能安全流程能确保安全目标在整车层面实现，且有助于供应商产品的风险管控。

功能安全的范围涵盖了电子电气系统的设计缺陷及制造缺陷，但不止于此，如电子器件老化也会导致功能安全风险。我国的产品责任法对生产者适用无过错责任原则，智能网联汽车作为高风险产品，汽车生产企业应重视功能安全流程的风险防范作用。

结合《实施指南》与《ISO 26262：2018 道路车辆功能安全》（ISO 26262: 2018 Road vehicles—Functional safety）、《GB/T 34590.1-2022 道路车辆功能安全第1部分：术语》《GB/T 34590.10-2022 道路车辆功能安全第10部分：指南》[2]《GB/T 41295-2022 功能安全应用指南》等标准文件，我们建议汽车生产企业采取如下措施：

汽车生产企业应明确生产、运行阶段的功能安全要求、功能安全支持过程要求。功能安全管理应覆盖汽车安全生命周期，包括概念、设计、开发、生产、运行、维修和报废。企业应确保安全部门具备必要的技术能力和独立性，建立可追溯的问责机制，避免对最终测试的过度依赖，如期执行安全活动并有效分配资源。

汽车生产企业安全部门应在整车层面定义和描述自动驾驶系统。相关项定义和描述应与最终产品样态保持一致，包括系统预期性能，定义应充分考虑适用的法律法规及标准、已知危险、相关项的交互系统以及有关假设、功能分布、预期质量、性能等因素。

汽车生产企业安全部门应结合运行场景全面识别自动驾驶功能异常导致的危害，按照危害事件严重度、暴露概率和可控性展开评估，确定汽车安全完整性等级（ASIL）、危害事件的安全目标。企业执行危害和风险分析的人员应具备足够的产品领域知识和良好的安全分析能力，道路测试及交通统计数据可作为辅助分析的支撑材料。

功能安全要求应充分考虑运行模式、故障容错时间间隔、安全状态、紧急运行时间间隔、功能冗余等因素，并将其分配给自动驾驶系统的架构要素或外部措施。通常情况下，功能安全要求会涉及技术要素交叉，安全工程师应充分考虑协作因素。

汽车生产企业应定义系统相关零部件供应商的开发接口协议，明确角色和责任要求。

汽车生产企业应进行功能安全集成测试，确保整车和自动驾驶系统满足安全要求，并完成功能安全确认，确保安全目标在整车层面正确、完整并得到充分实现。

（2）预期功能安全

预期功能安全旨在避免因预期功能不足（设计原因或性能局限）和可预见的误操作导致的不合理风险。因科技发展水平限制或设计者的认知局限性，预期功能安全问题不可避免，应尽可能缩小未知的、不可接受的风险域范围。

车辆因预期功能安全问题发生事故，可能涉及警示说明缺陷及算法缺陷，争议解决时又面临算法可解释性等棘手问题。汽车生产企业应结合告知机制等手段，从多角度对风险敞口进行管理。

结合《实施指南》与《ISO 21448:2022 道路车辆预期功能安全》（ISO 21448:2022 Road vehicles—Safety of the intended functionality）、《GB/T 43267-2023 道路车辆预期功能安全》等标准文件，我们建议汽车生产企业采取如下措施：

汽车生产企业应明确预期功能安全管理职责和角色定义，具备功能及系统规范、危害识别和评估、功能不足识别和评估、功能改进、验证及确认策略定义、已知危害场景评估、未知危害场景评估、预期功能安全成果评估、运行阶段的监测等能力。

自动驾驶系统应满足预期功能安全规范定义和设计要求，包括但不限于自动驾驶功能及其设计运行条件、动态驾驶任务执行、接管策略、最小风险策略、人机交互等技术要求。企业执行规范定义和设计的人员应充分理解系统、子系统及其功能和性能危害识别目标，为后续阶段工作提供有效支撑。

汽车生产企业安全部门应开展危害识别和风险评估，制定合理的风险可接受准则。安全工程师开展危害识别可借鉴ISO 26262-3:2018中的分析路径，利用危险事件模型推导。由于场景复杂度及触发条件场景依赖等原因，预期功能安全风险评估并不能完全适用汽车安全完整性等级（ASIL）。安全工程师应充分考虑通过功能改进降低风险的可能性，并合理制定危险场景相关的风险可接受标准。

汽车生产企业安全部门应识别和评估潜在功能不足和触发条件引起的危害，通过改进功能等手段避免不合理风险，建立潜在危害表格清单及数据库。潜在危害识别通常难以证明完整性，安全工程师应采用系统性的分析方法，充分考虑功能、运行设计域、事故数据、边界值、功能依赖性等因素，并建立和维护危险行为、触发条件和系统/部件级性能局限或规范不足之间的可追溯性。

汽车生产企业安全部门应定义策略，开展预期功能安全验证和确认工作，评估已知和未知危害场景，并对运行阶段产品的预期功能安全风险进行合理管控。安全工程师在验证确认阶段应重视未知危害场景的剩余风险，评估剩余风险及可接受性。

汽车生产企业应定义系统相关零部件供应商的开发接口协议，明确角色和责任要求。

（3）人机交互与最小风险策略

点击图片放大查看

《实施指南》第一部分第二章第一条，要求自动驾驶系统在激活状态下执行全部动态驾驶任务，在到达设计运行条件边界时，应执行合理策略；在系统失效或功能不足时，应使车辆进入最小风险状态或被接管。《实施指南》对接管、最小风险策略、人机交互、产品运行安全等策略进行了细化。

具体来讲，安全员干预应具有最高优先级，自动驾驶系统应提供安全员激活、退出等的专用操纵方式，并能检测安全员是否执行干预操作。需要接管的系统应对安全员是否具备接管能力进行监测和识别，并在不满足要求时发出警告信号。

《实施指南》第一部分第二章第一条（三）款要求自动驾驶系统具备最小风险策略，用于避免或减缓车辆与其他道路使用者的风险。最小风险策略应在符合道路交通安全法律法规前提下充分考虑安全风险，且应设计合理，包括触发、执行、终止和信息提示等。在自动驾驶系统执行最小风险策略过程中，不应禁止安全员通过合理的方式干预车辆。

根据《GB/T 40429-2021 汽车驾驶自动化分级》定义，最小风险策略是指驾驶自动化系统无法继续执行动态驾驶任务时，所采取的使车辆达到最小风险状态的措施。最小风险状态是指车辆事故可接受的状态。《汽车驾驶自动化分级》对“最小风险状态”并没有进一步细化。

参照美国汽车工程师学会《SAE J3016：驾驶自动化分级》（SAE J3016 Levels of Driving Automation）定义，最小风险条件是指当给定的行程不能或不应继续时，用户或自动驾驶系统可在执行动态驾驶任务回退后将车辆平稳停车，以降低碰撞风险。该文件用例1补充说明，设计用于高速公路的L4级自动驾驶功能遇到动态驾驶任务执行相关的系统故障，在停车前自动将车辆从活动车道上驶离。

鉴于《实施指南》并未规定“最小风险策略”的具体参数及标准，我们建议，企业可结合法律法规及应用场景，定义多个最小风险状态，并设计对应的最小风险策略。策略设计活动应重点关注安全性及可执行性，确保车辆行为符合用户及其他道路使用者的预期。

（4）实践案例

2024年1月，“国家缺陷产品管理中心”平台发布了某跨国车企召回通知，涉及问题汽车超160万辆。据公开信息显示，本次召回原因被描述为“发生碰撞时，非碰撞侧车门锁闩可能从锁扣上脱离，使车门处于非锁紧状态”、“自动辅助转向功能开启时，驾驶员可能误用2级组合驾驶辅助功能，增加车辆发生碰撞的风险，存在安全隐患”。上述两项原因分别涉及功能安全及预期功能安全问题，若未及时召回，企业可能面临行政处罚及民事赔偿风险。

2.网络与数据安全

与传统汽车不同，智能网联汽车兼具物联网设备和人工智能产品的属性，面临网络安全与数据安全风险。随着智能网联汽车逐步量产，针对汽车的网络攻击等行为势必持续增加，相关主体应不断加强网络与数据安全防护建设，并严格落实《网络安全法》《数据安全法》《个人信息保护法》等相关法规及强制性国家标准要求，如《GB 39732-2020 汽车事件数据记录系统》，以及正在制定中的《汽车整车信息安全技术要求》《智能网联汽车自动驾驶数据记录系统》等。

（1）网络安全义务

《实施指南》第一部分第一章第二条（三）款、第二部分第四条（一）款，要求汽车生产企业和使用主体建立智能网联汽车产品网络安全管理制度、风险管控机制、监测机制、漏洞管理和应急响应机制、管理制度改进机制。

汽车生产企业应建立车联网卡实名登记制度，具有供应商相关风险识别和管理能力。使用主体应建立网络安全保障机制，确定与产品提供方的安全协议，具备协同管控网络安全风险的能力。

在网络安全方面，《实施指南》对汽车生产企业和使用主体的要求可分为管理体系和技术能力两方面，安全机制通常需要技术能力支撑。具体来讲，包括以下要点：

企业应建立智能网联汽车产品网络安全管理制度，明确网络安全责任部门和负责人。

网络安全风险管控机制，要求相关主体具备网络安全风险识别、分析、评估、处置（例如，测试验证、跟踪等）等风险管控能力，以及及时消除重大网络安全隐患的能力。

相关主体应建立网络安全威胁预警系统，持续收集现有或新出现威胁或危害的背景、指标、含义、机制和可操作建议，可充分利用第三方威胁情报分享平台提供的车辆网络安全攻击信息，如《SBD网络情报指南》等。

网络安全监测机制，要求相关主体具有监测、记录、分析网络运行状态、网络安全事件等技术措施，具备按照规定留存相关网络日志不少于6个月的能力。

相关主体应通过安全监测平台开展运行安全监测、流量与行为监测分析，及时发现并预警安全状态异常、恶意软件传播、网络通信异常、网络攻击等网络安全事件或异常行为，并按规定留存网络日志、上报事件信息。

网络安全应急响应机制，要求相关主体具备及时处置安全漏洞、网络攻击等安全风险的能力。

相关主体应制定网络安全事件应急预案，定期开展应急演练，建立应急响应平台。在网络安全事件发生后，企业应及时向主管部门报告，积极协调内部技术保障及OTA部门展开应对。

网络安全漏洞管理机制，要求相关主体具备及时处置安全漏洞、指导和支持车辆用户和安全员采取相应措施的能力。

相关主体应明确漏洞发现、分析、修补等工作程序，建立漏洞信息接收渠道并保持畅通，加强内部部门、供应链企业协同处置漏洞的能力。发现漏洞后，企业应按《网联产品安全漏洞管理规定》等法律规定及时报送漏洞信息。

生产企业和使用主体应按照《网络安全法》《计算机信息系统安全保护条例》《关键信息基础设施安全保护条例》《网络产品安全漏洞管理规定》等，履行网络安全保护义务。在策略和流程方面，可以标准《ISO/SAE 21434：2021 道路车辆-网络安全工程》（ISO/SAE 21434：2021 Road Vehicles—Cybersecurity engineering）作为参考。

（2）数据安全义务

《实施指南》第一部分第一章第二条（四）款、第二部分第四条（二）款，要求汽车生产企业和使用主体建立智能网联汽车产品数据安全管理制度、数据资产管理台账，采取数据安全保护技术措施，遵守个人信息和重要数据境内存储及出境的相关规定，并进一步强调了使用主体应遵守《汽车数据安全管理若干规定（试行）》（简称“《汽车数据规定》”）等法规、标准的要求，如车内处理原则、默认不收集原则、脱敏处理原则、告知同意原则等。

《实施指南》并未对数据分类分级的标准进行细化，《汽车数据规定》也仅对敏感个人信息和重要数据进行区分。实践中，企业应关注各地具体规定，例如，北京市高级别自动驾驶示范区工作办公室于去年7月发布《北京市智能网联汽车政策先行区数据分类分级管理细则（试行）》，将数据影响对象分为个人权益、组织权益、公共利益、社会稳定、经济运行及国家安全六大类，分别对应无危害、一般危害、严重危害、特别严重危害四种影响程度，最终综合确认1-6级数据级别。

此外，相关主体还应严格落实《汽车数据规定》规定的风险评估报告、年度汽车数据安全管理情况报告、数据出境补充报告等重要数据处理者义务。

（3）网络与数据安全目标与流程

《实施指南》第一部分第二章第一条（六）款，要求智能网联汽车产品能够防御车辆外部连接、通信通道、软件升级、车辆数据、外部行为、物理操控等安全威胁，且不存在由汽车行业权威漏洞平台6个月前公布且未经处置的高危及以上的安全漏洞。

针对上述网络与数据安全目标，该章第二条（三）款明确了具体操作流程，即评估网络与数据安全风险、明确网络与数据安全目标和要求（概念设计阶段）、实现网络与数据安全风险应对处置措施（产品开发阶段）、开展整车网络与数据安全测试验证（验证确认阶段）。

（4）监测平台的网络与数据安全要求

《实施指南》第一部分第一章第三条、第二部分第二条（二）款，要求汽车生产企业和使用主体分别建立智能网联汽车产品安全监测服务企业平台（简称“企业平台”）、智能网联汽车运行安全监测平台（简称“运行平台”）。企业平台与运行平台应具备权限管理功能、防篡改功能及高可用机制，能有效防止机器失效带来的任务失效和数据丢失。汽车生产企业应将企业平台涉及车联网网络、数据安全相关监测数据上报平台所在地公安机关网安部门，并同步上报至国家车联网（智能网联汽车）安全监管和公共服务平台。

（5）实践案例

2023年5月，某跨国车企发生数据泄露事件，自2013年11月起在其主要云服务平台注册的用户车辆数据几乎全部被公开。泄露数据包括用户车辆识别码、地图数据、用户姓名、通信地址、电子邮件地址等。本次泄露的主要原因为云系统被设置为公共而非私有访问，且该车企内部没有主动监测机制。企业发现数据泄露后，已立即公开致歉，并重新部署系统用以监控云配置。

3.软件升级安全

目前，汽车生产企业OTA升级模式主要分为自建企业级OTA运行平台和委托OTA供应商提供升级服务两种。不论采取何种模式，汽车生产企业均应落实升级过程中网络安全、数据安全、功能安全保障工作，重视用户体验评估，还应密切关注《汽车软件升级通用技术要求》等强制性国家标准的实施进程。

《实施指南》第一部分第一章第二条（五）款，要求汽车生产企业建立智能网联汽车产品软件升级管理制度与用户告知机制，制定升级过程标准规范，具备识别性能影响、目标车辆、初始和历次软件版本等能力，并按规定完成备案程序。企业应记录并安全保存每次软件升级过程相关信息，信息应至少保存至智能网联汽车产品停产后10年。

根据《关于开展汽车软件在线升级备案的通知》（简称“《汽车软件升级备案通知》”）规定，汽车软件在线升级活动均应在工信部“汽车软件在线升级备案系统”[3]进行备案，备案包括：企业管理能力备案、车型及功能备案和具体升级活动备案。

结合《实施指南》《汽车软件升级备案通知》规定，我们建议，企业应完善升级管理制度，并关注升级活动对汽车产品生产一致性的影响。

（1）升级管理制度

升级包管理，确保升级包的真实性和完整性。

版本管理，确保版本免受篡改、可读取、可更新、可回滚。

升级先决条件管理，确保车辆电量、软硬件条件等满足升级要求。

升级安全管理，确保升级过程车辆安全，必要时可限制车辆行驶或其他功能。

升级失败处理机制，确保升级失败或中断时，将系统恢复到之前可用版本或将车辆置于安全状态。

升级告知机制，升级前告知用户升级信息并得到确认，升级后告知升级结果等。

具体来讲，汽车生产企业应制定升级包测试及推送规范，升级包推送前应通过安全性测试，并借助加密技术、安全传输协议等技术手段确保其不被篡改，并完善车端与云端信息验证机制，确保升级版本一致性与同步性。

针对升级过程，汽车生产企业应完善升级策略，明确升级先决条件及限制条件，保证车辆满足前置条件并处于安全状态下才能开展升级活动，在升级完成后进行完整性测试，若升级失败则引入回滚机制，并在整个升级周期中履行告知义务。

（2）汽车产品生产一致性

若升级活动导致车辆安全、节能、环保、防盗等技术参数变更，汽车生产企业应在备案前向工信部申请产品变更或扩展，按流程完成产品准入后方可开展升级。

若升级涉及自动驾驶功能，汽车生产企业应向工信部申请批准并备案，由工信部将备案信息共享至公安部。经批准后，汽车生产企业应及时告知使用主体，使用主体自愿选择是否升级。

《实施指南》第一部分第一章第二条（五）款9项规定，涉及产品安全漏洞修补的，需按相关规定向工信部报送。根据《网络产品安全漏洞管理规定》《关于加强车联网网络安全和数据安全工作的通知》要求，汽车生产企业发现产品漏洞后，应立即采取补救措施，并在2日内向工信部网络安全威胁和漏洞信息共享平台报送漏洞信息。[4]

此外，根据《关于进一步加强汽车远程升级（OTA）技术召回监管的通知》《关于汽车远程升级（OTA）技术召回备案的补充通知》，汽车生产企业采用OTA方式对已售车辆开展技术服务活动或召回，应按法定程序向市监总局质量发展局提交备案，并在OTA发布前5个工作日内提交《汽车远程升级（OTA）安全技术评估信息表》和电子版升级包，不得通过远程升级规避技术召回。

（3）实践案例

2019年1月，某驾驶员驾驶某品牌电动汽车在北京长安街路口等红灯时，不慎点击OTA升级确认按键，导致车辆原地停车升级长达一个多小时。升级期间车辆断电，门窗无法解锁，驾驶员及乘客被锁车内。

4.安全监测

生产企业和使用主体需向多个主管部门的监测平台上报数据，详见下图所示：

点击图片放大查看

（1）监测平台

企业平台与运行平台收集数据侧重点有所不同，企业平台数据主要用于支撑智能网联汽车产品安全性能评估、准入许可评估调整等，而运行平台数据主要用于配合相关部门进行事件调查、责任认定、原因分析等。

除确保数据真实性、安全性、完整性之外，运行平台还应兼顾各地关于智能网联汽车道路测试与示范应用实施细则中对于上传监管平台数据的格式、内容及时间范围等具体规定。

《实施指南》第二部分第四条（二）款规定了“向车外提供车辆数据”无需“取得个人信息主体同意”的情形，包括符合试点安全监测、交通违法和交通事故处理相关规定要求，法律、行政法规规定等情形。对于其他状态监测数据，数据处理者仍应遵守《数据安全法》《个人信息保护法》《汽车数据规定》等法律、法规。

具体来讲，汽车数据处理者对个人信息的收集、处理、对外提供应尽到告知义务并取得同意，处理活动应坚持车内处理、默认不收集、精度范围适用、脱敏处理等原则。因保证行车安全需要，无法征得个人同意采集到车外个人信息且向车外提供的，数据处理者应进行匿名化处理。

（2）事故责任认定

《实施指南》第三部分第十七条规定，车辆发生道路交通事故的，试点汽车生产企业和试点使用主体应当在事故发生2小时内将事故发生前至少15秒（或自动驾驶系统激活时刻，两者可取较晚时刻）和事故发生后至少5秒（或自动驾驶系统退出时刻，两者可取较早时刻）的视频信息上传至地方平台，并在事故发生之日起3个工作日内向公安机关交通管理部门提交事故自查报告和相关信息。[5]未按规定提供或者无正当理由逾期未提供的，由未提供方承担事故责任。

实践中，汽车生产企业和使用主体应注意各地智能网联汽车道路测试与示范应用实施细则对于“事故数据”的不同规定，例如，《上海市浦东新区促进无驾驶人智能网联汽车创新应用规定实施细则》第三十条规定，创新应用主体应当在事故发生2小时内将事故发生前至少90秒的数据、信息上传至浦东新区智能网联汽车数据平台。

因事故数据是认定交通违法及事故责任的重要依据，我们建议，对于其中的关键数据，企业可参照证据标准进行固定和保存。具体来讲，包括以下要点：

系统要求：数据生成、收集、存储、传输所依赖的软硬件环境应安全、可靠；

内容要求：数据生成主体、时间应明确，内容应完整、准确、未被篡改；

保存要求：数据存储介质应明确，采取妥当的保管方式和手段；

提取要求：数据提取和固定的主体、工具和方式应可靠，提取过程应可重现；

特定验证方式：通过可信时间戳、电子签名认证、哈希值校验、区块链等技术手段或电子取证存证平台认证。

5.用户告知机制

《实施指南》中告知机制涵盖安全性能告知、隐私保护告知及软件升级等特殊功能告知三类。

（1）安全性能告知

《实施指南》第一部分第一章第四条，要求汽车生产企业建立用户告知机制，确保用户充分掌握智能网联汽车在操作、使用等方面的差异。告知信息包括但不限于智能网联汽车产品功能及性能限制、安全员职责、人机交互设备指示信息、系统操作说明、功能激活及退出条件和方法、最小风险策略、系统潜在风险说明、人工接管预留时间、不可避免碰撞的响应策略等信息。告知信息应明确写入产品使用说明书。

安全性能告知机制旨在防止用户对智能网联汽车产生不合理信任，或做出错误操作行为，导致车辆发生不合理危险。我们建议，企业可采取如下措施：

梳理不确定因素，如安全员注意义务、反应时间、其他交通参与者博弈行为等；

识别高风险场景，如人机共驾（接管）、匝道切入等；

设计告知条款，可按危险程度进行分级，如提示、注意、警告等；

重点评估自动驾驶功能告知义务，包括但不限于性能限制、操作职责、风险提示等；

完善自动驾驶功能告知策略，在接管、交互等特殊场景，通过多模态交互技术进行提示。

（2）隐私保护告知

《实施指南》第二部分第四条（二）款，要求使用主体利用用户手册、车载显示面板、语音、车辆使用相关应用程序等显著方式告知个人信息处理规则。我们建议，企业可采取如下措施：

识别车端个人信息，并完成数据分类分级；

制定隐私合规要求清单，落实使用地法律、规范性文件、标准等规定要求；

梳理车辆功能需求，核实并确认每项功能的行车安全关联度；

为车辆功能需求分配个人信息处理权限，并设计告知策略。

根据《个人信息保护法》和《汽车数据规定》，告知的事项应当包括：

处理个人信息的种类、目的、用途和方式；

收集个人信息的具体情境，停止收集的方式和途径；

个人信息保存地点、保存期限，或确定保存地点、保存期限的规则；

个人信息权利行使方式和途径，包括查阅、复制个人信息，删除车内、请求删除已提供给车外的个人信息的方式和途径等；

用户权益事务联系人的姓名和联系方式；

法律、行政法规规定的其他事项。

针对敏感个人信息处理，企业还应在用户手册、车载显示面板、语音、车辆使用相关应用程序中通过显著方式告知必要性及对用户的影响；在保证行车安全的前提下，以适当方式提示收集状态；取得用户的单独同意，并由用户自主设定同意期限。

（3）软件升级告知机制

《实施指南》第一部分第一章第二条（五）款，要求汽车生产企业建立软件升级用户告知机制，明确告知升级目的、升级前后变化、升级预估时间、升级期间无法使用的功能等信息。系统应在执行软件升级前告知用户有关软件升级的信息，并得到用户确认，在升级结束后及时告知升级结果。

三、总结与展望

不同于两年前的《智能网联汽车道路测试与示范应用管理规范（试行）》，本次《试点通知》首次允许针对量产车展开试点。《试点通知》由工信部、公安部、住建部、交通部等四部委联合发布，打通了产品准入、上路通行、基础设施建设等环节，实现了监管体系对车、路、云、网的全覆盖。

紧随《试点通知》，交通运输部办公厅于2023年11月21日发布《自动驾驶汽车运输安全服务指南（试行）》，为使用L3级以上自动驾驶汽车从事城市公共汽电车客运、出租汽车客运、道路旅客运输经营、道路货物运输经营提出了指引。

新年伊始，工信部、公安部、自然资源部、住建部及交通部等五部委又联合发布了《关于开展智能网联汽车“车路云一体化”应用试点工作的通知》，目标建立一批构架相同、标准统一、业务互通、安全可靠的城市级应用试点项目，从路基基础设施、车载终端、服务管理平台、高精度地图等方面为智能网联汽车量产与运行奠定了基础。

可以期待的是，随着越来越多的企业取得试点许可，以及《汽车整车信息安全技术要求》《汽车软件升级通用技术要求》等配套强制性国家标准的发布，我国高级别自动驾驶汽车产业将在强监管之下，稳步进入商业化运营的新阶段。

注释

[1]https://www.miit.gov.cn/gzcy/zbft/art/2023/art_a1119b6d390b4746a05d455de63055e0.html

[2]本国标转化自《ISO 26262：2011 道路车辆功能安全》，建议执行国标与2018版国际标准中较高要求。

[3]https://ota.miit-eidc.org.cn/

[4]报送内容应包括存在安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。

[5]相关信息应当包括车辆及自动驾驶系统基本信息、车辆状态及动态信息、自动驾驶系统运行信息、行车环境信息、安全员操作及状态信息、车内乘客状态信息、故障信息等。

前沿科技法律观察专栏往期文章

作者介绍

袁立志律师是注册信息隐私专业人员（CIPP/E）、注册信息隐私管理人员（CIPM）、注册信息安全专业人员（CISP），参与多项国家标准的编制，并兼任华东政法大学数字法治研究院特聘研究员，华东师范大学法学院校外实务导师，数据安全计划智库专家。

袁律师的执业领域为网络与数据法、前沿科技法律事务。袁律师曾为众多国内外知名企业提供法律服务，承办了一系列前沿的、富有挑战性的项目，积累了丰富的实践经验，是该领域的知名专家。

袁律师连续多年名列The Legal 500数据保护和TMT领域“特别推荐律师”，LEGALBAND中国顶级律师排行榜“网络安全与数据”第一梯队，先后荣获中国律师特别推荐榜15强：网络安全与数据合规，中国律师特别推荐榜15强：高科技与人工智能，DHR公会“数字化人力资源管理数据合规专家”，ACE LEGALTECH AWARD年度大奖“Top 20 Data Privacy Lawyers”等奖项。

袁立志律师历史文章

刘旭龙律师毕业于德国亚琛工业大学，获得电子信息工程学士及硕士学位。主要业务领域为网络与数据法、自动驾驶、人工智能等前沿科技法律事务。

刘律师具有八年留德、十余年研发经历，曾参与大众、奥迪、通快机床等德国企业的研发项目。回国后，刘律师加入成都越凡创新公司，成为技术合伙人，主导开发了移动机器人SLAM系统。

律师执业期间，刘律师曾为多家头部企业提供法律服务，客户涉及汽车、人工智能、互联网等诸多行业。

继续阅读

阅读原文