上海市通信管理局2024年車聯(lián)網(wǎng)網(wǎng)絡(luò)和數(shù)據(jù)安全專項(xiàng)行動(dòng)具體任務(wù)

導(dǎo)讀：今年3月，上海市通信管理局發(fā)布的《關(guān)于開展“鑄盾車聯(lián)”2024年車聯(lián)網(wǎng)網(wǎng)絡(luò)和數(shù)據(jù)安全專項(xiàng)行動(dòng)的通知》已對(duì)外公示。

本次專項(xiàng)行動(dòng)重點(diǎn)對(duì)象為在上海市生產(chǎn)、銷售智能網(wǎng)聯(lián)汽車產(chǎn)品的生產(chǎn)企業(yè)（含智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)、具有智能網(wǎng)聯(lián)功能的車載終端軟硬件生產(chǎn)企業(yè)，不含代理銷售企業(yè)），運(yùn)營(yíng)車聯(lián)網(wǎng)相關(guān)平臺(tái)的服務(wù)企業(yè)（含車聯(lián)網(wǎng)服務(wù)平臺(tái)運(yùn)營(yíng)商、車載應(yīng)用平臺(tái)運(yùn)營(yíng)商、OTA升級(jí)服務(wù)提供商、導(dǎo)航系統(tǒng)服務(wù)提供商、電子地圖服務(wù)提供商、車載信息應(yīng)用服務(wù)提供商、車聯(lián)網(wǎng)卡服務(wù)提供商等），車聯(lián)網(wǎng)網(wǎng)絡(luò)設(shè)施和車路協(xié)同設(shè)施運(yùn)營(yíng)企業(yè)以及自動(dòng)駕駛功能產(chǎn)品和解決方案服務(wù)企業(yè)。

共涉及到了六大方向、15項(xiàng)具體任務(wù)：

一、網(wǎng)絡(luò)和數(shù)據(jù)安全主體責(zé)任

1）建立車聯(lián)網(wǎng)網(wǎng)絡(luò)和數(shù)據(jù)安全管理機(jī)制。各車聯(lián)網(wǎng)企業(yè)要建立面向智能網(wǎng)聯(lián)方向的網(wǎng)絡(luò)和數(shù)據(jù)安全管理機(jī)制，明確組織架構(gòu)、責(zé)任部門、管理負(fù)責(zé)人和工作責(zé)任人，落實(shí)網(wǎng)絡(luò)安全和數(shù)據(jù)安全保護(hù)責(zé)任。

2）健全網(wǎng)絡(luò)和數(shù)據(jù)安全管理制度。各車聯(lián)網(wǎng)企業(yè)應(yīng)按照國(guó)家有關(guān)法律法規(guī)要求以及車聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)和數(shù)據(jù)安全相關(guān)管理要求，加快制定面向網(wǎng)絡(luò)安全、數(shù)據(jù)安全和個(gè)人信息保護(hù)的管理制度，健全完善網(wǎng)絡(luò)和數(shù)據(jù)安全管理制度體系。

二、車聯(lián)網(wǎng)網(wǎng)絡(luò)設(shè)施和系統(tǒng)安全

3）加強(qiáng)車聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護(hù)定級(jí)備案和評(píng)測(cè)評(píng)估管理。各車聯(lián)網(wǎng)企業(yè)要按照《車聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護(hù)定級(jí)備案實(shí)施指南》等安全防護(hù)標(biāo)準(zhǔn)，對(duì)所屬網(wǎng)絡(luò)設(shè)施和系統(tǒng)開展網(wǎng)絡(luò)安全防護(hù)定級(jí)工作，并向市通信管理局申請(qǐng)備案。市通信管理局將會(huì)同市工業(yè)和信息化主管部門對(duì)相關(guān)定級(jí)備案申請(qǐng)進(jìn)行審核，并對(duì)通過審核的網(wǎng)絡(luò)設(shè)施和系統(tǒng)發(fā)放車聯(lián)網(wǎng)定級(jí)備案號(hào)。對(duì)審核通過的車聯(lián)網(wǎng)網(wǎng)絡(luò)設(shè)施和系統(tǒng)，各車聯(lián)網(wǎng)企業(yè)要嚴(yán)格落實(shí)網(wǎng)絡(luò)安全分級(jí)防護(hù)要求，按照有關(guān)評(píng)測(cè)、評(píng)估標(biāo)準(zhǔn)，自行或者委托檢測(cè)機(jī)構(gòu)定期開展網(wǎng)絡(luò)安全符合性評(píng)測(cè)和風(fēng)險(xiǎn)評(píng)估。其中，定級(jí)為三級(jí)及三級(jí)以上的網(wǎng)絡(luò)設(shè)施和系統(tǒng)應(yīng)當(dāng)每年進(jìn)行一次符合性評(píng)測(cè)和安全風(fēng)險(xiǎn)評(píng)估，二級(jí)網(wǎng)絡(luò)設(shè)施和系統(tǒng)應(yīng)當(dāng)每?jī)赡赀M(jìn)行一次符合性評(píng)測(cè)和安全風(fēng)險(xiǎn)評(píng)估。

4）加強(qiáng)車聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急處置管理。各車聯(lián)網(wǎng)企業(yè)要建立網(wǎng)絡(luò)安全應(yīng)急響應(yīng)機(jī)制，制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案。定期開展應(yīng)急演練，及時(shí)處置安全威脅、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。其中，運(yùn)營(yíng)三級(jí)及三級(jí)以上車聯(lián)網(wǎng)網(wǎng)絡(luò)設(shè)施和系統(tǒng)的企業(yè)，應(yīng)當(dāng)每年至少開展一次網(wǎng)絡(luò)安全應(yīng)急演練。強(qiáng)化網(wǎng)絡(luò)安全事件分類分級(jí)處置能力，在發(fā)生危害網(wǎng)絡(luò)安全的事件時(shí)，應(yīng)立即啟動(dòng)應(yīng)急預(yù)案，采取相應(yīng)補(bǔ)救措施，并按照《上海市公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急預(yù)案》規(guī)定向市通信管理局報(bào)告。

5）統(tǒng)籌車聯(lián)網(wǎng)安全監(jiān)測(cè)預(yù)警管理。市通信管理局加強(qiáng)車聯(lián)網(wǎng)安全監(jiān)管和公共服務(wù)平臺(tái)建設(shè)，統(tǒng)籌車聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅監(jiān)測(cè)預(yù)警和信息通報(bào)工作。各車聯(lián)網(wǎng)企業(yè)要建立網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警機(jī)制和技術(shù)手段，對(duì)智能網(wǎng)聯(lián)汽車、車聯(lián)網(wǎng)平臺(tái)及聯(lián)網(wǎng)系統(tǒng)開展網(wǎng)絡(luò)安全相關(guān)監(jiān)測(cè)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全事件或異常行為，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于6個(gè)月。相關(guān)監(jiān)測(cè)技術(shù)平臺(tái)要與市通信管理局車聯(lián)網(wǎng)安全監(jiān)管和公共服務(wù)平臺(tái)對(duì)接并接入有關(guān)監(jiān)測(cè)數(shù)據(jù)。

三、智能網(wǎng)聯(lián)汽車產(chǎn)品安全

6）加強(qiáng)車輛網(wǎng)絡(luò)安全保障管理。智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)要加強(qiáng)整車網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)。加強(qiáng)車內(nèi)系統(tǒng)通信安全保障，加強(qiáng)診斷接口（OBD）、通用串行總線（USB）端口、充電端口等的訪問和權(quán)限管理。相關(guān)智能網(wǎng)聯(lián)汽車在本市上市銷售前或其網(wǎng)絡(luò)功能有重要更新發(fā)布前，企業(yè)應(yīng)自行或委托第三方機(jī)構(gòu)對(duì)車載信息交互系統(tǒng)、汽車網(wǎng)關(guān)、電子控制單元等關(guān)鍵設(shè)備和部件開展安全防護(hù)和安全檢測(cè)，并將相關(guān)檢測(cè)報(bào)告向市通信管理局進(jìn)行報(bào)備。市通信管理局結(jié)合相關(guān)檢測(cè)結(jié)果，定期組織對(duì)智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)功能的安全風(fēng)險(xiǎn)情況進(jìn)行抽查。

7）加強(qiáng)安全漏洞管理責(zé)任落實(shí)。智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)和具有智能網(wǎng)聯(lián)功能的車載終端軟硬件生產(chǎn)企業(yè)要落實(shí)《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》有關(guān)要求，明確本企業(yè)漏洞發(fā)現(xiàn)、驗(yàn)證、分析、修補(bǔ)、報(bào)告等工作程序。發(fā)現(xiàn)或獲知智能網(wǎng)聯(lián)產(chǎn)品存在漏洞后，應(yīng)立即采取補(bǔ)救措施，并向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)以及市通信管理局車聯(lián)網(wǎng)安全監(jiān)管和公共服務(wù)平臺(tái)報(bào)送漏洞信息。對(duì)需要用戶采取軟件、固件升級(jí)等措施修補(bǔ)漏洞的，應(yīng)當(dāng)及時(shí)將漏洞風(fēng)險(xiǎn)及修補(bǔ)方式告知可能受影響的用戶，并提供必要技術(shù)支持。

四、車聯(lián)網(wǎng)平臺(tái)和應(yīng)用服務(wù)安全

8）開展車聯(lián)網(wǎng)平臺(tái)網(wǎng)絡(luò)安全威脅通報(bào)。市通信管理局建立車聯(lián)網(wǎng)平臺(tái)網(wǎng)絡(luò)安全威脅通報(bào)機(jī)制，定期對(duì)本市車聯(lián)網(wǎng)相關(guān)平臺(tái)開展網(wǎng)絡(luò)安全威脅檢測(cè)，并加強(qiáng)問題通報(bào)和約談?wù)摹８鬈嚶?lián)網(wǎng)平臺(tái)運(yùn)營(yíng)企業(yè)要采取必要的安全技術(shù)措施，加強(qiáng)智能網(wǎng)聯(lián)汽車、路側(cè)設(shè)備等平臺(tái)接入安全，主機(jī)、數(shù)據(jù)存儲(chǔ)系統(tǒng)等平臺(tái)設(shè)施安全，以及資源管理、服務(wù)訪問接口等平臺(tái)應(yīng)用安全防護(hù)能力，防范網(wǎng)絡(luò)侵入、數(shù)據(jù)竊取、遠(yuǎn)程控制等安全風(fēng)險(xiǎn)。

9）開展在線升級(jí)服務(wù)（OTA）安全檢測(cè)評(píng)估。智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)和具有智能網(wǎng)聯(lián)功能的車載終端軟硬件生產(chǎn)企業(yè)要建立在線升級(jí)服務(wù)軟件包安全驗(yàn)證機(jī)制，自行或委托第三方機(jī)構(gòu)開展在線升級(jí)軟件包網(wǎng)絡(luò)安全檢測(cè)，及時(shí)發(fā)現(xiàn)產(chǎn)品安全漏洞。在線升級(jí)服務(wù)軟件在發(fā)布或更新前，應(yīng)將相關(guān)檢測(cè)報(bào)告向市通信管理局進(jìn)行報(bào)備，市通信管理局結(jié)合相關(guān)檢測(cè)結(jié)果，定期對(duì)軟件包的安全風(fēng)險(xiǎn)情況進(jìn)行抽測(cè)。

10）開展車聯(lián)網(wǎng)應(yīng)用程序網(wǎng)絡(luò)安全檢測(cè)評(píng)估。各車聯(lián)網(wǎng)企業(yè)要建立APP、小程序、車載應(yīng)用等車聯(lián)網(wǎng)應(yīng)用程序的開發(fā)、上線、使用、升級(jí)等安全管理制度，提升應(yīng)用程序身份鑒別、通信安全、數(shù)據(jù)保護(hù)等安全能力，自行或委托第三方機(jī)構(gòu)開展車聯(lián)網(wǎng)應(yīng)用程序安全檢測(cè)，及時(shí)處置安全風(fēng)險(xiǎn)。車聯(lián)網(wǎng)應(yīng)用程序在發(fā)布或更新前，應(yīng)將相關(guān)檢測(cè)報(bào)告以及應(yīng)用安裝包向市通信管理局進(jìn)行報(bào)備，市通信管理局結(jié)合相關(guān)檢測(cè)結(jié)果，定期對(duì)應(yīng)用程序的安全風(fēng)險(xiǎn)情況進(jìn)行抽測(cè)。

五、車聯(lián)網(wǎng)數(shù)據(jù)安全

11）加強(qiáng)車聯(lián)網(wǎng)數(shù)據(jù)安全評(píng)估管理。各車聯(lián)網(wǎng)企業(yè)要將數(shù)據(jù)安全保護(hù)作為車聯(lián)網(wǎng)安全管理的關(guān)鍵內(nèi)容，按照《數(shù)據(jù)安全法》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》《工業(yè)和信息化部關(guān)于加強(qiáng)車聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全工作的通知》等要求，每年開展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，強(qiáng)化隱患排查整改，并在當(dāng)年11月30日前向市通信管理局報(bào)送數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告。市通信管理局結(jié)合風(fēng)險(xiǎn)評(píng)估報(bào)告情況，對(duì)企業(yè)履行數(shù)據(jù)安全保護(hù)義務(wù)進(jìn)行監(jiān)督檢查。

12）加強(qiáng)數(shù)據(jù)安全和個(gè)人信息保護(hù)事件應(yīng)急管理。各車聯(lián)網(wǎng)企業(yè)要高度重視個(gè)人信息和重要數(shù)據(jù)保護(hù)，重點(diǎn)加強(qiáng)個(gè)人信息保護(hù)事件和數(shù)據(jù)安全事件的應(yīng)急處置能力，建立數(shù)據(jù)管理臺(tái)賬、制定數(shù)據(jù)安全事件應(yīng)急預(yù)案。在發(fā)生數(shù)據(jù)安全事件時(shí)，應(yīng)立即啟動(dòng)應(yīng)急預(yù)案，采取相應(yīng)補(bǔ)救措施，并按照《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全事件應(yīng)急預(yù)案》規(guī)定向市通信管理局報(bào)告。市通信管理局建立車聯(lián)網(wǎng)數(shù)據(jù)安全月報(bào)制度，定期匯總分析車聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全事件管理和處置情況，各車聯(lián)網(wǎng)企業(yè)應(yīng)在每月10日前向市通信管理局報(bào)送上月度數(shù)據(jù)安全事件管理情況。

13）加強(qiáng)數(shù)據(jù)對(duì)外共享使用管理。各車聯(lián)網(wǎng)企業(yè)要明確數(shù)據(jù)共享和開發(fā)利用的安全管理和責(zé)任要求。企業(yè)需跨主體共享車聯(lián)網(wǎng)相關(guān)數(shù)據(jù)的，應(yīng)對(duì)數(shù)據(jù)合作方的數(shù)據(jù)安全保護(hù)能力進(jìn)行審核評(píng)估，并將擬共享數(shù)據(jù)的類型、規(guī)模、用途、提供方式、提供周期、合作方主體等情況以及內(nèi)部審核評(píng)估記錄向市通信管理局報(bào)備，報(bào)備內(nèi)容不包含數(shù)據(jù)本身。企業(yè)應(yīng)加強(qiáng)對(duì)合作方數(shù)據(jù)安全保護(hù)能力的實(shí)質(zhì)性評(píng)估，并對(duì)數(shù)據(jù)共享使用情況進(jìn)行監(jiān)督管理。其中，數(shù)據(jù)合作方應(yīng)提供經(jīng)上海市通信管理局或其所在地省級(jí)通信管理局審核通過的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告或?qū)徍送ㄟ^的相關(guān)證明材料。

14）加強(qiáng)出境數(shù)據(jù)報(bào)備管理。支持車聯(lián)網(wǎng)相關(guān)數(shù)據(jù)在依法合規(guī)的前提下推進(jìn)實(shí)現(xiàn)便利的跨境流動(dòng)。積極開展車聯(lián)網(wǎng)數(shù)據(jù)分類分級(jí)工作，促進(jìn)非敏感數(shù)據(jù)的合規(guī)、高效跨境流動(dòng)，著力加強(qiáng)數(shù)據(jù)出境的事中事后監(jiān)管。在中華人民共和國(guó)境內(nèi)收集和產(chǎn)生的、需要向境外提供的重要數(shù)據(jù)，應(yīng)當(dāng)依法依規(guī)進(jìn)行數(shù)據(jù)出境安全評(píng)估，并將數(shù)據(jù)出境情況向市通信管理局報(bào)備。報(bào)備信息應(yīng)包含數(shù)據(jù)出境的目的、方式、數(shù)據(jù)類型、數(shù)據(jù)規(guī)模、數(shù)據(jù)出境方情況、境外接收方情況等，不包含出境數(shù)據(jù)本身。

六、自動(dòng)駕駛功能安全

15）探索開展自動(dòng)駕駛功能網(wǎng)絡(luò)安全管理。按照《工業(yè)和信息化部關(guān)于加強(qiáng)智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理的意見》《關(guān)于開展智能網(wǎng)聯(lián)汽車準(zhǔn)入和上路通行試點(diǎn)工作的通知》要求，結(jié)合自動(dòng)駕駛領(lǐng)域的發(fā)展實(shí)際，探索開展智能網(wǎng)聯(lián)汽車搭載的自動(dòng)駕駛功能的網(wǎng)絡(luò)安全管理。對(duì)搭載自動(dòng)駕駛功能的智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)和使用主體，以及自動(dòng)駕駛功能產(chǎn)品提供商和解決方案提供商試點(diǎn)開展專項(xiàng)安全評(píng)估。