工信部发文：加强车联网网络安全和数据安全

9月16日，为推进《新能源汽车产业发展规划(2021-2035年)》实施，加强网络安全和数据安全管理车联网方面，工信部发文加强车联网网络安全和数据安全。通知。通知要求加强数据安全保护。按照“谁管谁管，谁管谁管”的原则，智能网联汽车生产企业和车联网服务平台运营商应建立数据管理台账，实行数据分类分级管理、加强对个人信息和重要数据的保护。工业和信息化部关于加强车联网网络安全和数据安全工作的通知工信部网安〔2021〕134号各省、自治区、直辖市工业和信息化主管部门中央直属及新疆生产建设兵团，各省、自治区、直辖市通信管理局，中国电信集团有限公司，中国移动通信集团有限公司，中国联合网络交通集团有限公司、相关智能网联汽车生产企业、车联网服务平台运营商、相关标准化技术组织：车联网是新一代网络通信技术与汽车、电子、道路深度融合的新兴产业形态转体育等领域。智能网联汽车搭载先进的车载传感器、控制器、执行器等设备，融合现代通信和网络技术，实现车、路、人、云之间的智能信息交换和共享。决策、协同控制等功能可实现“安全、高效、舒适、节能”的新一代汽车。随着行业的快速发展，车联网安全风险日益突出，车联网安全体系亟待完善。为推进《新能源汽车产业发展规划(2021-2035年)》实施，加强车联网网络安全和数据安全管理，现将有关事项通知如下：一、网络安全和数据安全基本要求（一）落实责任的安全主题。各相关企业应当建立网络安全和数据安全管理制度，明确负责人和管理机构，落实网络安全和数据安全保护责任。加强企业内部监督管理，加大资源保护力度，及时发现和解决安全隐患。加强网络安全和数据安全宣传教育培训。（二）全面加强安全保障。各相关企业应按照车联网网络安全和数据安全相关标准要求，采取管理和技术措施，加强对车辆、网络、平台和数据的安全保护，监测、防范并及时处置网络安全风险和威胁，以确保数据处于有效状态。保护和合法利用身份，保障车联网安全稳定运行。2、加强智能网联汽车安全防护（3）保障车联网安全。智能网联汽车厂商应加强车联网安全架构设计。加强车载系统通信安全，加强安全认证、域隔离、访问控制等措施，防范伪装、重放、注入、拒绝服务等攻击。加强车载信息交互系统、车载网关、电控单元等关键设备和部件的安全防护和安全检测。加强对诊断接口（OBD）、通用串行总线（USB）端口、充电端口等的访问和权限管理。（4）落实安全漏洞管理责任。智能网联汽车生产企业必须落实?的相关要求，明确企业漏洞发现、验证、分析、修复、报告等工作流程。发现或知悉汽车产品存在漏洞后，应立即采取补救措施，并将漏洞信息报告至工信部网络安全威胁与漏洞信息共享平台。对于需要采取软件、固件升级等措施修复漏洞的用户，应当及时告知可能受影响的用户漏洞风险和修复方法，并提供必要的技术支持。三、加强车联网网络安全防护（五）加强车联网网络设施和网络系统安全防护能力。各相关企业要严格落实网络安全分级保护要求，加强网络设施和网络系统资产管理，合理划分网络安全域，加强准入控制管理，做好网络边界安全防护，采取措施防范木马病毒、网络攻击、网络入侵等危害车联网安全行为的技术措施。自行或委托检测机构定期进行网络安全合规性评估和风险评估，及时消除风险隐患。（六）保障车联网通信安全。各相关企业应建立车联网身份认证和安全信任机制，加强车载通信设备、路侧通信设备和服务平台的安全通信能力，采取必要的身份认证、加密传输等技术措施，防止通信被伪造信息数据篡改、重放攻击等安全风险，保障车对车、车对路、车对云、车对设备等场景安全。鼓励相关企业和机构接入工信部车联网安全根信任管理平台，共同推进跨车型、跨设施、跨企业互联互通互认互通。（七）开展车联网安全监测预警。国家加强车联网网络安全监测平台建设，开展网络安全威胁和事件的监测、预警、通报和安全保障服务。各相关企业应建立网络安全监测预警机制和技术手段，对智能网联汽车、车联网服务平台和联网系统开展网络安全相关监测，及时发现网络安全事件或异常行为，及时留相关网络日志按规定保存不少于6个月。（八）做好车联网安全应急处置工作。智能网联汽车生产企业和车联网服务平台运营商要建立网络安全应急响应机制，制定网络安全事件应急预案，定期开展应急演练，应对安全威胁、网络攻击、网络入侵等网络安全风险。及时。发生危害网络安全事件时，立即启动应急预案，采取相应的补救措施，并按照《公共互联网网络安全突发事件应急预案》等规定向有关主管部门报告。（九）做好车联网网络安全保护分级备案工作。智能网联汽车生产企业、车联网服务平台运营商必须按照车联网网络安全防护相关标准，对其网络设施和系统进行网络安全防护等级评定，并报省（自治区、市）备案)所在的通信管理局。.对于新的网络设施和系统，应在规划设计阶段确定网络安全防护等级。各省（自治区、直辖市）通信管理局会同工业和信息化主管部门做好定级备案审查工作。四、加强车联网服务平台安全防护（十）加强平台网络安全管理。车联网服务平台运营者应当采取必要的安全技术措施，加强智能网联汽车、路侧设备等平台的接入安全，主机、数据存储系统等平台设施的安全，平台应用的安全。例如资源管理和服务访问接口。防护能力，防范网络入侵、数据窃取、远程控制等安全风险。涉及在线数据处理和交易处理、信息服务业务等电信业务的，应当依法取得电信业务经营许可证。被认定为关键信息基础设施的，需落实《关键信息基础设施安全保护条例》相关规定，按照国家相关标准使用商用密码进行保护，自行或委托商用密码检测进行商用密码应用安全评估机构。（十一）加强在线升级服务（OTA）安全和漏洞检测评估。智能网联汽车生产企业应当建立在线升级服务软件包安全验证机制，使用安全可靠的软件。开展在线升级软件包网络安全检测，及时发现产品安全漏洞。加强在线升级服务的安全验证能力，采取身份认证、加密传输等技术措施，确保传输环境和执行环境的网络安全。加强在线升级服务全过程网络安全监控和应急响应，定期评估网络安全状况，防范软件伪造、篡改、损坏、泄露、感染病毒等网络安全风险。（十二）加强应用安全管理。智能网联汽车生产企业和车联网服务平台运营商要建立车联网应用开发、上线、使用、升级等安全管理体系，提升应用识别、通信安全、数据保护等安全能力。加强车联网应用安全检测，及时处置安全风险，防范恶意应用攻击传播。五、加强数据安全保护（十三）加强数据分类分级管理。按照“谁管谁管，谁管谁管”的原则，智能网联汽车生产企业和车联网服务平台运营商应建立数据管理台账，实行数据分类分级管理、加强对个人信息和重要数据的保护。定期开展数据安全风险评估，加强隐患排查整改，并向省（自治区、市）通信管理局、工业和信息化主管部门报告。省（自治区、市）通信管理局、工业和信息化部门应当对企业履行数据安全保护义务的情况进行监督检查。（十四）提升数据安全技术支撑能力。智能网联汽车生产企业和车联网服务平台运营商必须采用合法合法的方式收集数据，并对数据全生命周期采取有效的技术保护措施，防止数据泄露、损坏、丢失、篡改、误用、滥用等风险。相关企业应加强数据安全监测预警和应急处置能力建设，提高异常流量分析、非法跨境传输监测、安全事件跟踪追溯等水平，工信部门上报大数据及以上数据安全事件，配合相关监督检查，提供必要的技术支持。（十五）规范数据开发、利用和共享。智能网联汽车生产企业和车联网服务平台运营商必须合理开发和利用数据资源，防止利用自动决策技术处理数据时侵犯用户隐私权和知情权。明确数据共享和开发利用的安全管理和责任要求，审查评估数据合作伙伴的数据安全保护能力，对数据共享使用情况进行监督管理。（十六）加强数据出境安全管理。智能网联汽车生产企业、车联网服务平台运营商如需向境外提供在中华人民共和国境内采集、生成的重要数据，应当依法依规进行数据出境安全评估，并与境外进行沟通。以所在省（自治区、市）为准。局、工业和信息化主管部门备案。各省（区、市）通信管理局会同工业和信息化主管部门做好数据出境备案和安全评估工作。六、完善安全标准体系（十七）加快车联网安全标准建设。加快编制车联网网络安全和数据安全标准体系建设指南。全国通信标准化技术委员会、全国汽车标准化技术委员会等要加快组织制定车联网防护等级、服务平台防护、汽车漏洞分级分类、通信交互认证、数据分类等标准规范和分类、事件应急响应以及相关测试和评估。认证标准。鼓励有关企业和社会组织制定高于国家标准或行业标准相关技术要求的企业标准和团体标准。特此通知。工业和信息化部2021-09-15