工業和信息化部關于加強車聯網網絡安全和數據安全工作的通知

工信部網安〔2021〕134號

各省(sheng)、自治區(qu)、直轄(xia)市(shi)及新疆生(sheng)產建設兵團工業和信(xin)(xin)息化(hua)主管部門，各省(sheng)、自治區(qu)、直轄(xia)市(shi)通信(xin)(xin)管理局，中國(guo)電信(xin)(xin)集(ji)團有限公(gong)司(si)、中國(guo)移動通信(xin)(xin)集(ji)團有限公(gong)司(si)、中國(guo)聯合網絡(luo)通信(xin)(xin)集(ji)團有限公(gong)司(si)，有關(guan)(guan)智(zhi)能網聯汽車(che)生(sheng)產企(qi)業、車(che)聯網服務(wu)平(ping)臺(tai)運營企(qi)業，有關(guan)(guan)標準化(hua)技(ji)術組織：

       車聯網是新一代網絡通信技術與汽車、電子、道路交通運輸等領域深度融合的新興產業形態。智能網聯汽車是搭載先進的車載傳感器、控制器、執行器等裝置，并融合現代通信與網絡技術，實現車與車、路、人、云端等智能信息交換、共享，具備復雜環境感知、智能決策、協同控制等功能，可實現“安全、高效、舒適、節能”行駛的新一代汽車。在產業快速發展的同時，車聯網安全風險日益凸顯，車聯網安全保障體系亟須健全完善。為推進實施《新能源汽車產業發展規劃（2021-2035年）》，加強車聯網網絡安全和數據安全管理工作，現將有關事項通知如下：

       一、網絡安全和數據安全基本要求

       （一(yi)）落實安(an)(an)全(quan)主體責任(ren)。各相關企業(ye)要建(jian)立網(wang)絡安(an)(an)全(quan)和數據(ju)(ju)安(an)(an)全(quan)管理制度，明確(que)負責人和管理機(ji)構，落實網(wang)絡安(an)(an)全(quan)和數據(ju)(ju)安(an)(an)全(quan)保(bao)護責任(ren)。強(qiang)化企業(ye)內部(bu)監督管理，加(jia)大資源保(bao)障力(li)度，及時(shi)發(fa)現并解決安(an)(an)全(quan)隱患。加(jia)強(qiang)網(wang)絡安(an)(an)全(quan)和數據(ju)(ju)安(an)(an)全(quan)宣(xuan)傳(chuan)、教育(yu)和培(pei)訓。

       （二(er)）全(quan)面加強(qiang)(qiang)安(an)(an)(an)全(quan)保(bao)護(hu)。各(ge)相關企業(ye)要(yao)采取(qu)管理和(he)技術措施，按照(zhao)車聯(lian)網(wang)(wang)網(wang)(wang)絡(luo)安(an)(an)(an)全(quan)和(he)數據安(an)(an)(an)全(quan)相關標(biao)準(zhun)要(yao)求，加強(qiang)(qiang)汽車、網(wang)(wang)絡(luo)、平臺、數據等安(an)(an)(an)全(quan)保(bao)護(hu)，監測、防范、及時(shi)處(chu)置網(wang)(wang)絡(luo)安(an)(an)(an)全(quan)風險和(he)威脅(xie)，確(que)保(bao)數據處(chu)于有效保(bao)護(hu)和(he)合法利用狀態(tai)，保(bao)障車聯(lian)網(wang)(wang)安(an)(an)(an)全(quan)穩定運行。

       二、加強智能網聯汽車安全防護

       （三）保(bao)障車(che)輛網(wang)絡安(an)全。智(zhi)能網(wang)聯汽車(che)生產企業要加(jia)強整車(che)網(wang)絡安(an)全架構設計。加(jia)強車(che)內(nei)系(xi)統通(tong)信安(an)全保(bao)障，強化安(an)全認證、分(fen)域隔離、訪問控(kong)制等(deng)(deng)措(cuo)施，防(fang)范(fan)偽裝、重放、注入、拒絕服務等(deng)(deng)攻擊。加(jia)強車(che)載信息(xi)交(jiao)互系(xi)統、汽車(che)網(wang)關、電子控(kong)制單元等(deng)(deng)關鍵設備和(he)部件安(an)全防(fang)護和(he)安(an)全檢測。加(jia)強診斷(duan)接口（OBD）、通(tong)用(yong)串行總(zong)線(xian)（USB）端(duan)口、充電端(duan)口等(deng)(deng)的訪問和(he)權限(xian)管理。

       （四）落實安全漏洞管理責任。智能網聯汽車生產企業要落實《網絡產品安全漏洞管理規定》有關要求，明確本企業漏洞發現、驗證、分析、修補、報告等工作程序。發現或獲知汽車產品存在漏洞后，應立即采取補救措施，并向工業和信息化部網絡安全威脅和漏洞信息共享平臺報送漏洞信息。對需要用戶采取軟件、固件升級等措施修補漏洞的，應當及時將漏洞風險及修補方式告知可能受影響的用戶，并提供必要技術支持。

       三、加強車聯網網絡安全防護

       （五）加強車聯網(wang)(wang)(wang)網(wang)(wang)(wang)絡(luo)(luo)設施和(he)網(wang)(wang)(wang)絡(luo)(luo)系(xi)統安(an)全(quan)防護能力。各相關(guan)企業要嚴格落實網(wang)(wang)(wang)絡(luo)(luo)安(an)全(quan)分級防護要求，加強網(wang)(wang)(wang)絡(luo)(luo)設施和(he)網(wang)(wang)(wang)絡(luo)(luo)系(xi)統資產(chan)管理(li)，合理(li)劃分網(wang)(wang)(wang)絡(luo)(luo)安(an)全(quan)域，加強訪問控制管理(li)，做好網(wang)(wang)(wang)絡(luo)(luo)邊界安(an)全(quan)防護，采(cai)取防范(fan)木(mu)馬(ma)病(bing)毒(du)和(he)網(wang)(wang)(wang)絡(luo)(luo)攻擊、網(wang)(wang)(wang)絡(luo)(luo)侵入(ru)等危害車聯網(wang)(wang)(wang)安(an)全(quan)行(xing)為的(de)技術(shu)措(cuo)施。自行(xing)或者(zhe)委托檢(jian)測機構(gou)定期開展網(wang)(wang)(wang)絡(luo)(luo)安(an)全(quan)符合性(xing)評測和(he)風險評估，及時(shi)消(xiao)除風險隱患(huan)。

       （六(liu)）保障車聯(lian)(lian)網通(tong)(tong)信(xin)(xin)安(an)(an)全(quan)。各相關(guan)企業(ye)要建立車聯(lian)(lian)網身份(fen)認(ren)證(zheng)和安(an)(an)全(quan)信(xin)(xin)任機(ji)制，強化車載通(tong)(tong)信(xin)(xin)設備、路側通(tong)(tong)信(xin)(xin)設備、服務平臺(tai)等(deng)安(an)(an)全(quan)通(tong)(tong)信(xin)(xin)能力，采取(qu)身份(fen)認(ren)證(zheng)、加密傳輸等(deng)必要的技術措施(shi)，防(fang)范通(tong)(tong)信(xin)(xin)信(xin)(xin)息偽造(zao)、數據篡改、重(zhong)放攻擊等(deng)安(an)(an)全(quan)風險，保障車與(yu)(yu)車、車與(yu)(yu)路、車與(yu)(yu)云、車與(yu)(yu)設備等(deng)場(chang)景通(tong)(tong)信(xin)(xin)安(an)(an)全(quan)。鼓勵相關(guan)企業(ye)、機(ji)構接入工(gong)業(ye)和信(xin)(xin)息化部(bu)車聯(lian)(lian)網安(an)(an)全(quan)信(xin)(xin)任根管(guan)理平臺(tai)，協同推動跨車型、跨設施(shi)、跨企業(ye)互聯(lian)(lian)互認(ren)互通(tong)(tong)。

       （七）開展車聯網安全監測預警。國家加強車聯網網絡安全監測平臺建設，開展網絡安全威脅、事件的監測預警通報和安全保障服務。各相關企業要建立網絡安全監測預警機制和技術手段，對智能網聯汽車、車聯網服務平臺及聯網系統開展網絡安全相關監測，及時發現網絡安全事件或異常行為，并按照規定留存相關的網絡日志不少于6個月。

       （八）做(zuo)好車聯(lian)(lian)網(wang)(wang)(wang)(wang)安(an)全應(ying)急(ji)(ji)處置(zhi)。智能網(wang)(wang)(wang)(wang)聯(lian)(lian)汽(qi)車生產企(qi)業(ye)、車聯(lian)(lian)網(wang)(wang)(wang)(wang)服務平臺運營企(qi)業(ye)要建(jian)立(li)網(wang)(wang)(wang)(wang)絡安(an)全應(ying)急(ji)(ji)響應(ying)機制，制定網(wang)(wang)(wang)(wang)絡安(an)全事件應(ying)急(ji)(ji)預(yu)案(an)，定期開展應(ying)急(ji)(ji)演(yan)練，及時處置(zhi)安(an)全威脅、網(wang)(wang)(wang)(wang)絡攻擊、網(wang)(wang)(wang)(wang)絡侵(qin)入(ru)等(deng)網(wang)(wang)(wang)(wang)絡安(an)全風(feng)險。在發生危(wei)害網(wang)(wang)(wang)(wang)絡安(an)全的(de)事件時，立(li)即啟(qi)動應(ying)急(ji)(ji)預(yu)案(an)，采取(qu)相應(ying)的(de)補(bu)救措(cuo)施(shi)，并按照《公共(gong)互聯(lian)(lian)網(wang)(wang)(wang)(wang)網(wang)(wang)(wang)(wang)絡安(an)全突(tu)發事件應(ying)急(ji)(ji)預(yu)案(an)》等(deng)規定向有關主管部(bu)門(men)報告(gao)。

       （九）做好車聯網網絡安全防護定級備案。智能網聯汽車生產企業、車聯網服務平臺運營企業要按照車聯網網絡安全防護相關標準，對所屬網絡設施和系統開展網絡安全防護定級工作，并向所在省（區、市）通信管理局備案。對新建網絡設施和系統，應當在規劃設計階段確定網絡安全防護等級。各省（區、市）通信管理局會同工業和信息化主管部門做好定級備案審核工作。

       四、加強車聯網服務平臺安全防護

       （十）加強平臺網(wang)絡(luo)安全(quan)(quan)(quan)(quan)管理。車聯網(wang)服(fu)(fu)務(wu)平臺運(yun)營企業(ye)(ye)要采取(qu)必要的安全(quan)(quan)(quan)(quan)技術措施(shi)，加強智能網(wang)聯汽車、路側設備(bei)等平臺接入安全(quan)(quan)(quan)(quan)，主(zhu)機、數(shu)據存儲(chu)系(xi)統等平臺設施(shi)安全(quan)(quan)(quan)(quan)，以及資源管理、服(fu)(fu)務(wu)訪問接口等平臺應用(yong)安全(quan)(quan)(quan)(quan)防護能力，防范網(wang)絡(luo)侵入、數(shu)據竊取(qu)、遠(yuan)程控制等安全(quan)(quan)(quan)(quan)風險。涉及在線數(shu)據處理與(yu)交易處理、信(xin)(xin)(xin)息服(fu)(fu)務(wu)業(ye)(ye)務(wu)等電(dian)信(xin)(xin)(xin)業(ye)(ye)務(wu)的，應依法取(qu)得(de)電(dian)信(xin)(xin)(xin)業(ye)(ye)務(wu)經營許可。認定為(wei)關(guan)鍵信(xin)(xin)(xin)息基礎設施(shi)的，要落實《關(guan)鍵信(xin)(xin)(xin)息基礎設施(shi)安全(quan)(quan)(quan)(quan)保(bao)護條例(li)》有關(guan)規定，并按照(zhao)國家有關(guan)標準使用(yong)商(shang)用(yong)密(mi)碼進行(xing)保(bao)護，自行(xing)或者委(wei)托商(shang)用(yong)密(mi)碼檢測機構(gou)開展商(shang)用(yong)密(mi)碼應用(yong)安全(quan)(quan)(quan)(quan)性評估。

       （十一）加強在線升級服務（OTA）安全和漏洞檢測評估。智能網聯汽車生產企業要建立在線升級服務軟件包安全驗證機制，采用安全可信的軟件。開展在線升級軟件包網絡安全檢測，及時發現產品安全漏洞。加強在線升級服務安全校驗能力，采取身份認證、加密傳輸等技術措施，保障傳輸環境和執行環境的網絡安全。加強在線升級服務全過程的網絡安全監測和應急響應，定期評估網絡安全狀況，防范軟件被偽造、篡改、損毀、泄露和病毒感染等網絡安全風險。

       （十二）強(qiang)化應(ying)用(yong)程序安(an)(an)(an)全(quan)(quan)管(guan)理。智能(neng)(neng)網(wang)聯汽車(che)(che)生產企業、車(che)(che)聯網(wang)服務(wu)平臺(tai)運營(ying)企業要建(jian)立車(che)(che)聯網(wang)應(ying)用(yong)程序開發、上線、使用(yong)、升級等安(an)(an)(an)全(quan)(quan)管(guan)理制(zhi)度，提升應(ying)用(yong)程序身(shen)份鑒別、通信安(an)(an)(an)全(quan)(quan)、數據保護等安(an)(an)(an)全(quan)(quan)能(neng)(neng)力。加強(qiang)車(che)(che)聯網(wang)應(ying)用(yong)程序安(an)(an)(an)全(quan)(quan)檢測(ce)，及時處(chu)置安(an)(an)(an)全(quan)(quan)風(feng)險，防范(fan)惡意(yi)應(ying)用(yong)程序攻擊和傳播。

       五、加強數據安全保護

       （十三）加(jia)強數(shu)據(ju)(ju)分(fen)類分(fen)級管(guan)(guan)(guan)理。按照“誰(shui)主管(guan)(guan)(guan)、誰(shui)負責，誰(shui)運營、誰(shui)負責”的原(yuan)則，智能網聯(lian)汽(qi)車生產企(qi)業、車聯(lian)網服務平臺運營企(qi)業要建(jian)立數(shu)據(ju)(ju)管(guan)(guan)(guan)理臺賬(zhang)，實施數(shu)據(ju)(ju)分(fen)類分(fen)級管(guan)(guan)(guan)理，加(jia)強個人(ren)信息與(yu)重要數(shu)據(ju)(ju)保護。定期開展數(shu)據(ju)(ju)安全風險(xian)評估(gu)，強化(hua)(hua)隱患排查(cha)(cha)整改(gai)，并向所在省（區、市）通信管(guan)(guan)(guan)理局、工業和信息化(hua)(hua)主管(guan)(guan)(guan)部(bu)門報備。所在省（區、市）通信管(guan)(guan)(guan)理局、工業和信息化(hua)(hua)主管(guan)(guan)(guan)部(bu)門要對企(qi)業履行(xing)數(shu)據(ju)(ju)安全保護義(yi)務進行(xing)監督檢查(cha)(cha)。

      （十四）提升數據安全技術保障能力。智能網聯汽車生產企業、車聯網服務平臺運營企業要采取合法、正當方式收集數據，針對數據全生命周期采取有效技術保護措施，防范數據泄露、毀損、丟失、篡改、誤用、濫用等風險。各相關企業要強化數據安全監測預警和應急處置能力建設，提升異常流動分析、違規跨境傳輸監測、安全事件追蹤溯源等水平；及時處置數據安全事件，向所在省（區、市）通信管理局、工業和信息化主管部門報告較大及以上數據安全事件，并配合開展相關監督檢查，提供必要技術支持。

       （十(shi)五）規(gui)范(fan)數(shu)據(ju)(ju)(ju)(ju)開發利(li)用和共享使用。智能網聯(lian)汽車生產企業、車聯(lian)網服務平(ping)臺運營企業要合理(li)開發利(li)用數(shu)據(ju)(ju)(ju)(ju)資(zi)源，防范(fan)在使用自動化決策技術處理(li)數(shu)據(ju)(ju)(ju)(ju)時(shi)，侵犯用戶隱私(si)權(quan)和知情(qing)權(quan)。明確數(shu)據(ju)(ju)(ju)(ju)共享和開發利(li)用的安全管(guan)理(li)和責任(ren)要求(qiu)，對數(shu)據(ju)(ju)(ju)(ju)合作方(fang)數(shu)據(ju)(ju)(ju)(ju)安全保護能力進行審核(he)評估(gu)，對數(shu)據(ju)(ju)(ju)(ju)共享使用情(qing)況進行監督管(guan)理(li)。

       （十六）強化數據出境安全管理。智能網聯汽車生產企業、車聯網服務平臺運營企業需向境外提供在中華人民共和國境內收集和產生的重要數據的，應當依法依規進行數據出境安全評估并向所在省（區、市）通信管理局、工業和信息化主管部門報備。各省（區、市）通信管理局會同工業和信息化主管部門做好數據出境備案、安全評估等工作。

       六、健全安全標準體系

       （十(shi)七）加快車(che)聯網安全(quan)標(biao)(biao)準(zhun)(zhun)建(jian)設。加快編(bian)制車(che)聯網網絡安全(quan)和數據(ju)安全(quan)標(biao)(biao)準(zhun)(zhun)體系建(jian)設指南。全(quan)國(guo)(guo)通(tong)信標(biao)(biao)準(zhun)(zhun)化(hua)(hua)技術委員會(hui)(hui)、全(quan)國(guo)(guo)汽車(che)標(biao)(biao)準(zhun)(zhun)化(hua)(hua)技術委員會(hui)(hui)等(deng)要加快組(zu)織(zhi)制定車(che)聯網防(fang)護(hu)(hu)定級(ji)、服(fu)務平臺(tai)防(fang)護(hu)(hu)、汽車(che)漏洞分(fen)類(lei)分(fen)級(ji)、通(tong)信交互(hu)認證、數據(ju)分(fen)類(lei)分(fen)級(ji)、事(shi)件應急響應等(deng)標(biao)(biao)準(zhun)(zhun)規范及相關(guan)檢(jian)測評估、認證標(biao)(biao)準(zhun)(zhun)。鼓勵各相關(guan)企業(ye)、社會(hui)(hui)團(tuan)體制定高于國(guo)(guo)家(jia)標(biao)(biao)準(zhun)(zhun)或(huo)行業(ye)標(biao)(biao)準(zhun)(zhun)相關(guan)技術要求(qiu)的(de)企業(ye)標(biao)(biao)準(zhun)(zhun)、團(tuan)體標(biao)(biao)準(zhun)(zhun)。

       特此通知。

                               ;                                                                                            工業和信息化部

                                                                                                                            2021年9月15日