9月16日,为促进新能源汽车产业发展规划的实施(2021-2035200加强车联网网络安全和数据安全管理,工业和信息化部发布关于加强车联网网络安全和数据安全的通知。通知要求加强数据安全保护。“谁负责,谁负责,谁经营,谁负责”智能网络汽车制造商和车联网服务平台运营商的原则是建立数据管理账户,实施数据分类和分级管理,加强个人信息和重要数据保护。
工业和信息化部关于加强车联网网络安全和数据安全的通知
工信部网安〔2021〕134号
省、自治区、直辖市、新疆生产建设兵团、省、自治区、直辖市通信管理局、中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司、相关智能网络汽车生产企业、汽车网络服务平台运营企业、相关标准化技术组织:
车联网是新一代网络通信技术与汽车、电子、道路交通等领域深度融合的新兴产业形式。智能网络汽车配备先进的车载传感器、控制器、执行器等设备,整合现代通信和网络技术,实现汽车、道路、人、云等智能信息交换共享,具有复杂的环境感知、智能决策、协调控制功能,可实现“安全、高效、舒适、节能”驾驶新一代汽车。随着行业的快速发展,车联网安全风险日益突出,迫切需要完善车联网安全体系。为促进新能源汽车产业发展规划的实施(2021-2035加强车联网网络安全和数据安全管理,现将有关事项通知如下:
1、网络安全和数据安全的基本要求
(一)落实安全主体责任。相关企业应建立网络安全和数据安全管理体系,明确负责人和管理机构,落实网络安全和数据安全保护责任。加强内部监督管理,加强资源保障,及时发现和解决安全风险。加强网络安全和数据安全的宣传、教育和培训。
(二)全面加强安全保护。各相关企业应采取管理和技术措施,加强汽车、网络、平台、数据的安全保护,及时监控、防范和处理网络安全风险和威胁,确保数据得到有效保护和合法利用,确保车联网的安全稳定运行。
二是加强智能网络汽车安全防护
(三)确保车辆网络安全。智能网络汽车制造商应加强车辆网络安全结构的设计。加强车辆系统通信安全,加强安全认证、分区隔离、访问控制等措施,防止伪装、重放、注入、拒绝服务等攻击。加强车辆信息交互系统、车辆网关、电子控制单元等关键设备和部件的安全保护和安全检测。加强诊断界面(OBD)、通用串行总线(USB)访问和权限管理端口、充电端口等。
(四)落实安全漏洞管理责任。智能网络汽车制造商应执行《网络产品安全漏洞管理条例》的相关要求,明确企业漏洞发现、验证、分析、修复、报告等工作程序。发现或了解汽车产品存在漏洞后,应立即采取补救措施,并向工业和信息化部网络安全威胁和漏洞信息共享平台提交漏洞信息。如果用户需要采取软件、固件升级等措施来修复漏洞,应及时通知可能受到影响的用户,并提供必要的技术支持。
三、加强车联网网络安全保护
(五)加强网络设施和网络系统的安全防护。相关企业应严格执行网络安全分级保护要求,加强网络设施和网络系统资产管理,合理划分网络安全区域,加强访问控制管理,做好网络边界安全保护,采取技术措施,防止木马病毒和网络攻击、网络入侵等危害车辆网络安全的行为。或委托检测机构定期进行网络安全险评估,及时消除隐患。
(六)确保车联网通信安全。相关企业应建立车辆网络身份认证和安全信任机制,加强车辆通信设备、路边通信设备、服务平台等安全通信能力,采取身份认证、加密传输等必要的技术措施,防止通信信息伪造、数据篡改、重放攻击等安全风险,确保车辆、车辆、道路、车辆、云、车辆、设备等现场通信安全。鼓励相关企业和机构进入工业和信息技术部的车辆网络安全信任根管理平台,共同促进跨车型、跨设施、跨企业的互联互通。
(七)开展车联网安全监测预警。国家加强了车联网网络安全监控平台的建设,开展了网络安全威胁、事件监控、预警通知和安全服务。相关企业应建立网络安全监控预警机制和技术手段,对智能网络汽车、车联网服务平台和网络系统进行网络安全监控,及时发现网络安全事件或异常行为,并按规定保留至少6个月的相关网络日志。
(八)做好车联网安全应急处置。智能互联网汽车制造商和汽车互联网服务平台运营商应建立网络安全应急响应机制,制定网络安全事件应急预案,定期进行应急演练,及时处理安全威胁、网络攻击、网络入侵等网络安全风险。危害网络安全的,应当立即启动应急预案,采取相应的补救措施,并按照《公共互联网网络安全应急预案》的规定向有关主管部门报告。
(九)做好车联网网络安全防护定级备案。智能网络汽车制造商和车联网服务平台运营商应按照车联网网络安全保护的相关标准,对其网络设施和系统进行网络安全保护分级,并向省(自治区、直辖市)通信管理局备案。对于新建的网络设施和系统,网络安全保护等级应在规划设计阶段确定。省(自治区、直辖市)通信管理局会同工业和信息化主管部门进行分级备案审查。
四、加强车联网服务平台安全防护
(十)加强平台网络安全管理。汽车网络服务平台运营商应采取必要的安全技术措施,加强智能网络汽车、路边设备平台接入安全、主机、数据存储系统平台设施安全、资源管理、服务访问接口平台应用安全保护能力,防止网络入侵、数据窃取、远程控制等安全风险。涉及在线数据处理、交易处理、信息服务业务等电信业务的,应当依法取得电信业务营业执照。认定为关键信息基础设施的,应当执行《关键信息基础设施安全保护条例》的有关规定,按照国家有关标准使用商业密码进行保护,并委托商业密码检测机构进行商业密码应用安全评估。
(十一)加强在线升级服务(OTA)检测和评估安全和漏洞。智能网络汽车制造商应建立在线升级服务软件包安全验证机制,使用安全可靠的软件。进行在线升级软件包网络安全检测,及时发现产品安全漏洞。加强在线升级服务安全验证能力,采取身份认证、加密传输等技术措施,确保传输环境和实施环境的网络安全。加强在线升级服务全过程的网络安全监控和应急响应,定期评估网络安全状况,防止伪造、篡改、损坏、泄漏、病毒感染等网络安全风险。
(十二)加强应用安全管理。智能网络汽车制造商和车联网服务平台运营商应建立车联网应用程序开发、在线、使用、升级等安全管理体系,提高应用程序识别、通信安全、数据保护等安全能力。加强车联网应用程序的安全检测,及时处理安全风险,防止恶意应用程序的攻击和传播。
五、加强数据安全保护
(十三)加强数据分类分级管理。按照“谁负责,谁负责,谁经营,谁负责”智能网络汽车制造商和汽车网络服务平台运营商的原则是建立数据管理账户,实施数据分类和分级管理,加强个人信息和重要数据保护。定期进行数据安全风险评估,加强隐患调查和整改,并向省(自治区、直辖市)通信管理局、工业和信息技术主管部门报告。省(自治区、直辖市)通信管理局、工业和信息技术主管部门应当对企业履行数据安全保护义务进行监督检查。
(十四)提升数据安全技术保障能力。智能互联网汽车制造商和汽车互联网服务平台运营商应采取合法、合法的方式收集数据,对数据的整个生命周期采取有效的技术保护措施,防止数据泄露、损坏、丢失、篡改、误用、滥用等风险。相关企业应加强数据安全监测、预警和应急响应能力建设,提高异常流动分析、非法跨境传输监测、安全事件跟踪和可追溯性;及时处理数据安全事件,向省(自治区、直辖市)通信管理局、工业和信息化部门报告大型或以上数据安全事件,配合相关监督检查,提供必要的技术支持。
(十五)规范数据的开发、利用和共享。智能网络汽车制造商和汽车网络服务平台运营商应合理开发和利用数据资源,防止使用自动决策技术处理数据时侵犯用户隐私和知情权。明确数据共享、开发和利用的安全管理和责任要求,审查和评估数据合作伙伴的数据安全保护能力,监督和管理数据共享的使用。
(十六)加强数据出境安全管理。智能网络汽车制造商和车辆网络服务平台运营商需要在中华人民共和国境外收集和生成的重要数据的,应当依照法律、法规进行数据出境安全评估,并向省(自治区、直辖市)通信管理局、工业和信息化主管部门报告。省(自治区、直辖市)通信管理局会同工业和信息化主管部门做好数据出境记录和安全评估。
六、完善安全标准体系
(17)加快车辆联网安全标准的建设。加快编制车辆联网网络安全和数据安全标准体系建设指南。国家通信标准化技术委员会、国家汽车标准化技术委员会应加快组织制定车辆联网保护等级、服务平台保护、汽车漏洞分类、通信交互认证、数据分类、事件应急响应等标准和相关测试、评价和认证标准。鼓励相关企业和社会团体制定高于国家或行业标准的企业标准和团体标准。
特此通知。
工业和信息化部
2021年9月15日