工業(yè)和信息化部關于加強車聯(lián)網(wǎng)網(wǎng)絡安全和數(shù)據(jù)安全工作的通知

工信部網(wǎng)安〔2021〕134號

各省,、自治區(qū)、直轄市及新疆生產建設兵團工業(yè)和信息化主管部門,，各省,、自治區(qū)、直轄市通信管理局,，中國電信集團有限公司,、中國移動通信集團有限公司,、中國聯(lián)合網(wǎng)絡通信集團有限公司，有關智能網(wǎng)聯(lián)汽車生產企業(yè),、車聯(lián)網(wǎng)服務平臺運營企業(yè),，有關標準化技術組織：

車聯(lián)網(wǎng)是新一代網(wǎng)絡通信技術與汽車、電子,、道路交通運輸?shù)阮I域深度融合的新興產業(yè)形態(tài),。智能網(wǎng)聯(lián)汽車是搭載先進的車載傳感器、控制器,、執(zhí)行器等裝置,，并融合現(xiàn)代通信與網(wǎng)絡技術，實現(xiàn)車與車,、路,、人、云端等智能信息交換,、共享,，具備復雜環(huán)境感知、智能決策,、協(xié)同控制等功能,，可實現(xiàn)“安全、高效,、舒適,、節(jié)能”行駛的新一代汽車。在產業(yè)快速發(fā)展的同時,，車聯(lián)網(wǎng)安全風險日益凸顯,，車聯(lián)網(wǎng)安全保障體系亟須健全完善。為推進實施《新能源汽車產業(yè)發(fā)展規(guī)劃（2021-2035年）》,，加強車聯(lián)網(wǎng)網(wǎng)絡安全和數(shù)據(jù)安全管理工作,，現(xiàn)將有關事項通知如下：

一、網(wǎng)絡安全和數(shù)據(jù)安全基本要求

（一）落實安全主體責任,。各相關企業(yè)要建立網(wǎng)絡安全和數(shù)據(jù)安全管理制度,，明確負責人和管理機構，落實網(wǎng)絡安全和數(shù)據(jù)安全保護責任,。強化企業(yè)內部監(jiān)督管理,，加大資源保障力度，及時發(fā)現(xiàn)并解決安全隱患,。加強網(wǎng)絡安全和數(shù)據(jù)安全宣傳,、教育和培訓。

（二）全面加強安全保護,。各相關企業(yè)要采取管理和技術措施,，按照車聯(lián)網(wǎng)網(wǎng)絡安全和數(shù)據(jù)安全相關標準要求,，加強汽車、網(wǎng)絡,、平臺,、數(shù)據(jù)等安全保護，監(jiān)測,、防范,、及時處置網(wǎng)絡安全風險和威脅，確保數(shù)據(jù)處于有效保護和合法利用狀態(tài),，保障車聯(lián)網(wǎng)安全穩(wěn)定運行,。

二、加強智能網(wǎng)聯(lián)汽車安全防護

（三）保障車輛網(wǎng)絡安全,。智能網(wǎng)聯(lián)汽車生產企業(yè)要加強整車網(wǎng)絡安全架構設計,。加強車內系統(tǒng)通信安全保障，強化安全認證,、分域隔離,、訪問控制等措施，防范偽裝,、重放,、注入、拒絕服務等攻擊,。加強車載信息交互系統(tǒng),、汽車網(wǎng)關、電子控制單元等關鍵設備和部件安全防護和安全檢測,。加強診斷接口（OBD）,、通用串行總線（USB）端口、充電端口等的訪問和權限管理,。

（四）落實安全漏洞管理責任,。智能網(wǎng)聯(lián)汽車生產企業(yè)要落實《網(wǎng)絡產品安全漏洞管理規(guī)定》有關要求，明確本企業(yè)漏洞發(fā)現(xiàn),、驗證,、分析、修補,、報告等工作程序。發(fā)現(xiàn)或獲知汽車產品存在漏洞后,，應立即采取補救措施,，并向工業(yè)和信息化部網(wǎng)絡安全威脅和漏洞信息共享平臺報送漏洞信息。對需要用戶采取軟件,、固件升級等措施修補漏洞的,，應當及時將漏洞風險及修補方式告知可能受影響的用戶,，并提供必要技術支持。

三,、加強車聯(lián)網(wǎng)網(wǎng)絡安全防護

（五）加強車聯(lián)網(wǎng)網(wǎng)絡設施和網(wǎng)絡系統(tǒng)安全防護能力,。各相關企業(yè)要嚴格落實網(wǎng)絡安全分級防護要求，加強網(wǎng)絡設施和網(wǎng)絡系統(tǒng)資產管理,，合理劃分網(wǎng)絡安全域,，加強訪問控制管理，做好網(wǎng)絡邊界安全防護,，采取防范木馬病毒和網(wǎng)絡攻擊,、網(wǎng)絡侵入等危害車聯(lián)網(wǎng)安全行為的技術措施。自行或者委托檢測機構定期開展網(wǎng)絡安全符合性評測和風險評估,，及時消除風險隱患,。

（六）保障車聯(lián)網(wǎng)通信安全。各相關企業(yè)要建立車聯(lián)網(wǎng)身份認證和安全信任機制,，強化車載通信設備,、路側通信設備、服務平臺等安全通信能力,，采取身份認證,、加密傳輸?shù)缺匾募夹g措施，防范通信信息偽造,、數(shù)據(jù)篡改,、重放攻擊等安全風險，保障車與車,、車與路,、車與云、車與設備等場景通信安全,。鼓勵相關企業(yè),、機構接入工業(yè)和信息化部車聯(lián)網(wǎng)安全信任根管理平臺，協(xié)同推動跨車型,、跨設施,、跨企業(yè)互聯(lián)互認互通。

（七）開展車聯(lián)網(wǎng)安全監(jiān)測預警,。國家加強車聯(lián)網(wǎng)網(wǎng)絡安全監(jiān)測平臺建設,，開展網(wǎng)絡安全威脅、事件的監(jiān)測預警通報和安全保障服務,。各相關企業(yè)要建立網(wǎng)絡安全監(jiān)測預警機制和技術手段,，對智能網(wǎng)聯(lián)汽車、車聯(lián)網(wǎng)服務平臺及聯(lián)網(wǎng)系統(tǒng)開展網(wǎng)絡安全相關監(jiān)測，及時發(fā)現(xiàn)網(wǎng)絡安全事件或異常行為,，并按照規(guī)定留存相關的網(wǎng)絡日志不少于6個月,。

（八）做好車聯(lián)網(wǎng)安全應急處置。智能網(wǎng)聯(lián)汽車生產企業(yè),、車聯(lián)網(wǎng)服務平臺運營企業(yè)要建立網(wǎng)絡安全應急響應機制,，制定網(wǎng)絡安全事件應急預案，定期開展應急演練,，及時處置安全威脅,、網(wǎng)絡攻擊、網(wǎng)絡侵入等網(wǎng)絡安全風險,。在發(fā)生危害網(wǎng)絡安全的事件時,，立即啟動應急預案，采取相應的補救措施,，并按照《公共互聯(lián)網(wǎng)網(wǎng)絡安全突發(fā)事件應急預案》等規(guī)定向有關主管部門報告,。

（九）做好車聯(lián)網(wǎng)網(wǎng)絡安全防護定級備案。智能網(wǎng)聯(lián)汽車生產企業(yè),、車聯(lián)網(wǎng)服務平臺運營企業(yè)要按照車聯(lián)網(wǎng)網(wǎng)絡安全防護相關標準,，對所屬網(wǎng)絡設施和系統(tǒng)開展網(wǎng)絡安全防護定級工作，并向所在?。▍^(qū),、市）通信管理局備案。對新建網(wǎng)絡設施和系統(tǒng),，應當在規(guī)劃設計階段確定網(wǎng)絡安全防護等級,。各省（區(qū),、市）通信管理局會同工業(yè)和信息化主管部門做好定級備案審核工作,。

四、加強車聯(lián)網(wǎng)服務平臺安全防護

（十）加強平臺網(wǎng)絡安全管理,。車聯(lián)網(wǎng)服務平臺運營企業(yè)要采取必要的安全技術措施,，加強智能網(wǎng)聯(lián)汽車、路側設備等平臺接入安全,，主機,、數(shù)據(jù)存儲系統(tǒng)等平臺設施安全，以及資源管理,、服務訪問接口等平臺應用安全防護能力,，防范網(wǎng)絡侵入、數(shù)據(jù)竊取,、遠程控制等安全風險,。涉及在線數(shù)據(jù)處理與交易處理、信息服務業(yè)務等電信業(yè)務的，應依法取得電信業(yè)務經營許可,。認定為關鍵信息基礎設施的，要落實《關鍵信息基礎設施安全保護條例》有關規(guī)定,，并按照國家有關標準使用商用密碼進行保護,，自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。

（十一）加強在線升級服務（OTA）安全和漏洞檢測評估,。智能網(wǎng)聯(lián)汽車生產企業(yè)要建立在線升級服務軟件包安全驗證機制,，采用安全可信的軟件。開展在線升級軟件包網(wǎng)絡安全檢測,，及時發(fā)現(xiàn)產品安全漏洞,。加強在線升級服務安全校驗能力，采取身份認證,、加密傳輸?shù)燃夹g措施,，保障傳輸環(huán)境和執(zhí)行環(huán)境的網(wǎng)絡安全。加強在線升級服務全過程的網(wǎng)絡安全監(jiān)測和應急響應,，定期評估網(wǎng)絡安全狀況,，防范軟件被偽造、篡改,、損毀,、泄露和病毒感染等網(wǎng)絡安全風險。

（十二）強化應用程序安全管理,。智能網(wǎng)聯(lián)汽車生產企業(yè),、車聯(lián)網(wǎng)服務平臺運營企業(yè)要建立車聯(lián)網(wǎng)應用程序開發(fā)、上線,、使用,、升級等安全管理制度，提升應用程序身份鑒別,、通信安全,、數(shù)據(jù)保護等安全能力。加強車聯(lián)網(wǎng)應用程序安全檢測,，及時處置安全風險,，防范惡意應用程序攻擊和傳播。

五,、加強數(shù)據(jù)安全保護

（十三）加強數(shù)據(jù)分類分級管理,。按照“誰主管、誰負責,，誰運營,、誰負責”的原則，智能網(wǎng)聯(lián)汽車生產企業(yè)、車聯(lián)網(wǎng)服務平臺運營企業(yè)要建立數(shù)據(jù)管理臺賬,，實施數(shù)據(jù)分類分級管理,，加強個人信息與重要數(shù)據(jù)保護。定期開展數(shù)據(jù)安全風險評估,，強化隱患排查整改,，并向所在省（區(qū),、市）通信管理局,、工業(yè)和信息化主管部門報備。所在?。▍^(qū),、市）通信管理局、工業(yè)和信息化主管部門要對企業(yè)履行數(shù)據(jù)安全保護義務進行監(jiān)督檢查,。

（十四）提升數(shù)據(jù)安全技術保障能力,。智能網(wǎng)聯(lián)汽車生產企業(yè)、車聯(lián)網(wǎng)服務平臺運營企業(yè)要采取合法,、正當方式收集數(shù)據(jù),，針對數(shù)據(jù)全生命周期采取有效技術保護措施，防范數(shù)據(jù)泄露,、毀損,、丟失、篡改,、誤用,、濫用等風險。各相關企業(yè)要強化數(shù)據(jù)安全監(jiān)測預警和應急處置能力建設,，提升異常流動分析,、違規(guī)跨境傳輸監(jiān)測、安全事件追蹤溯源等水平,；及時處置數(shù)據(jù)安全事件,，向所在省（區(qū),、市）通信管理局,、工業(yè)和信息化主管部門報告較大及以上數(shù)據(jù)安全事件，并配合開展相關監(jiān)督檢查,，提供必要技術支持,。

（十五）規(guī)范數(shù)據(jù)開發(fā)利用和共享使用。智能網(wǎng)聯(lián)汽車生產企業(yè),、車聯(lián)網(wǎng)服務平臺運營企業(yè)要合理開發(fā)利用數(shù)據(jù)資源,，防范在使用自動化決策技術處理數(shù)據(jù)時,，侵犯用戶隱私權和知情權。明確數(shù)據(jù)共享和開發(fā)利用的安全管理和責任要求,，對數(shù)據(jù)合作方數(shù)據(jù)安全保護能力進行審核評估,，對數(shù)據(jù)共享使用情況進行監(jiān)督管理。

（十六）強化數(shù)據(jù)出境安全管理,。智能網(wǎng)聯(lián)汽車生產企業(yè),、車聯(lián)網(wǎng)服務平臺運營企業(yè)需向境外提供在中華人民共和國境內收集和產生的重要數(shù)據(jù)的，應當依法依規(guī)進行數(shù)據(jù)出境安全評估并向所在?。▍^(qū)、市）通信管理局,、工業(yè)和信息化主管部門報備,。各省（區(qū),、市）通信管理局會同工業(yè)和信息化主管部門做好數(shù)據(jù)出境備案,、安全評估等工作。

六,、健全安全標準體系

（十七）加快車聯(lián)網(wǎng)安全標準建設,。加快編制車聯(lián)網(wǎng)網(wǎng)絡安全和數(shù)據(jù)安全標準體系建設指南。全國通信標準化技術委員會,、全國汽車標準化技術委員會等要加快組織制定車聯(lián)網(wǎng)防護定級,、服務平臺防護、汽車漏洞分類分級,、通信交互認證,、數(shù)據(jù)分類分級、事件應急響應等標準規(guī)范及相關檢測評估,、認證標準,。鼓勵各相關企業(yè)、社會團體制定高于國家標準或行業(yè)標準相關技術要求的企業(yè)標準,、團體標準,。

特此通知。

工業(yè)和信息化部

2021年9月15日