工信部就《關于加強車聯網網絡安全工作的通知》公開征求意見

關于加強車聯網（智能網聯汽車）網絡安全工作的通知

（征求意見稿）

各省、自治區、直轄市工業和信息化主管部門、通信管理局，中國電信集團有限公司、中國移動通信集團有限公司、中國聯合網絡通信集團有限公司，有關車聯網運營企業、智能網聯汽車生產企業：

    為貫徹《中華人民共和國網絡安全法》，落實《新能源汽車產業發展規劃（2021-2035年）》《智能汽車創新發展戰略》《車聯網（智能網聯汽車）產業行動計劃》，指導基礎電信企業、車聯網運營企業、智能網聯汽車生產企業加強車聯網（智能網聯汽車）網絡安全管理工作，加快提升網絡安全保障能力，促進車聯網（智能網聯汽車）產業規范健康發展。現將有關事項通知如下。

    一、加強車聯網網絡安全防護

   （一）保護車聯網網絡設施和系統安全。落實企業網絡安全主體責任，建立車聯網網絡安全管理制度和操作規程，確定網絡安全負責人，定期開展符合性評測和風險評估，及時消除網絡安全風險隱患。嚴格落實分級防護要求，加強網絡設施和系統資產管理，合理劃分網絡安全域，加強訪問控制管理，做好網絡邊界安全防護，采取防范木馬病毒和網絡攻擊、網絡侵入等危害車聯網安全行為的技術措施。

   （二）保障車聯網通信安全。建立企業車聯網身份認證和安全信任機制，強化車與車、車與路、車與云、車與設備等場景安全通信能力建設，推動跨車型、跨設施、跨企業互聯互認互通。加強商用密碼應用，開展商用密碼應用安全性評估。

   （三）開展車聯網安全監測預警。建立網絡安全監測預警機制和技術手段，面向智能網聯汽車、聯網系統等，開展運行安全監測、流量與行為監測分析，及時發現預警安全狀態異常、惡意軟件傳播、網絡通信異常、網絡攻擊等網絡安全事件或異常行為，并按照規定留存相關的網絡日志不少于6個月。

   （四）做好車聯網安全應急處置。建立網絡安全應急響應機制，制定網絡安全事件應急預案。定期開展應急演練，及時處置安全威脅、網絡攻擊、網絡侵入等網絡安全風險。在發生危害網絡安全的事件時，立即啟動應急預案，采取相應的補救措施，并按照《公共互聯網網絡安全突發事件應急預案》向有關主管部門報告。

    （五）做好車聯網網絡安全防護定級備案。按照車聯網網絡安全防護相關標準，對所屬網絡設施和系統開展網絡安全防護定級工作，并向省級電信主管部門備案。對新建網絡設施和系統，應當在規劃設計階段確定網絡安全防護等級。各省級電信主管部門會同工業和信息化主管部門做好定級備案審核工作。

    二、加強平臺安全防護

   （一）加強平臺網絡安全管理。采取必要的安全技術措施，加強智能網聯汽車、邊緣側設備等平臺接入安全，主機、數據存儲系統等平臺設施安全，以及微服務、資源管理、應用程序編程接口（API）訪問等平臺應用安全防護能力，防范網絡侵入、數據竊取、遠程控制安全風險。涉及在線數據處理與交易處理、信息服務業務等電信業務的，應依法取得電信業務經營許可。認定為關鍵信息基礎設施的，要落實國家關于關鍵信息基礎設施安全保護有關規定。

   （二）加強OTA服務安全和漏洞檢測評估。開展OTA服務及軟件包網絡安全檢測，及時發現服務和產品安全漏洞。加強OTA服務安全校驗能力，采取身份認證、加密傳輸等技術措施，保障傳輸環境和執行環境的網絡安全。加強OTA服務全過程網絡安全監測和應急響應，及時評估網絡安全狀況，防范軟件被篡改、損毀、泄露和病毒感染等網絡安全風險。

   （三）強化應用程序安全管理。建立車聯網（智能網聯汽車）應用程序開發、上線、使用、升級等安全管理制度，提升應用程序身份鑒別、通信安全、關鍵數據保護等安全能力。加強車聯網（智能網聯汽車）應用程序安全檢測，及時處置安全風險，防范惡意應用程序攻擊和傳播。

    三、保障數據安全

   （一）加強數據安全管理。建立健全數據安全管理制度，建立完善權限管理、監測預警、應急響應、投訴受理等保障措施，明確責任部門和責任人，加強人員教育培訓。建立數據資產管理臺賬，實施數據分類分級管理，加強個人信息與重要數據保護。定期開展數據安全風險評估，強化隱患排查整改。

   （二）提升數據安全技術保障能力。堅持“最小必要”原則采集數據，針對數據全生命周期采取有效技術保護措施，防范數據泄露、毀損、丟失、篡改、誤用、濫用等風險。強化數據安全監測預警能力建設，提升異常流動分析、違規跨境傳輸監測、安全事件追蹤溯源等水平。及時處置數據安全事件，向省級電信主管部門、工業和信息化主管部門報告，并配合開展相關監督檢查，提供必要技術支持。

   （三）規范數據開發利用和共享使用。合理開發利用數據資源，防范在使用自動化決策技術處理數據時，侵犯用戶隱私權和知情權。明確數據共享和開發利用的安全管理和責任要求，對數據合作方的資質和能力進行審核評估，對數據共享使用情況進行監督管理。

   （四）強化數據出境安全管理。在中華人民共和國境內收集和產生的個人信息和重要數據應當依法在境內存儲。因業務需要確需向境外提供數據的，應當通過數據出境安全評估并向省級電信、工業和信息化等有關主管部門報備。各省級電信主管部門會同工業和信息化主管部門做好數據出境備案、安全評估、監督檢查等工作。

    四、強化安全漏洞管理

   （一）建立安全漏洞管理機制。落實國家關于網絡產品安全漏洞管理有關規定，建立車聯網（智能網聯汽車）安全漏洞管理機制，明確漏洞發現、分析、修補等工作程序，加強漏洞管理資源保障投入，確保漏洞得到及時修補和合理披露。

   （二）加強安全漏洞發現收集。加強漏洞風險的主動監測、風險評估、技術驗證等能力建設。建立漏洞信息接收渠道并保持暢通，主動收集用戶、上下游供應商、網絡安全企業、研究機構等發現的漏洞信息，加強與漏洞收集平臺的協同聯動。鼓勵建立漏洞獎勵機制。

   （三）強化安全漏洞協同處置。發現或獲知本企業網絡設施和業務系統、智能網聯汽車產品存在漏洞后，應當立即采取補救措施，并向工業和信息化部網絡安全威脅和漏洞信息共享平臺報送漏洞信息。加強上下游產品或組件存在漏洞的協同處置。對需要用戶采取軟件、固件升級等措施修補漏洞的，應當及時將漏洞風險及修補方式告知可能受影響的用戶，并提供必要的技術支持。