3月18日,上海市通信管理局發(fā)布的《關(guān)于開(kāi)展“鑄盾車聯(lián)”2024年車聯(lián)網(wǎng)網(wǎng)絡(luò)和數(shù)據(jù)安全專項(xiàng)行動(dòng)的通知》已對(duì)外公示。
本次專項(xiàng)行動(dòng)重點(diǎn)對(duì)象為在上海市生產(chǎn)、銷售智能網(wǎng)聯(lián)汽車產(chǎn)品的生產(chǎn)企業(yè)(含智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)、具有智能網(wǎng)聯(lián)功能的車載終端軟硬件生產(chǎn)企業(yè),不含代理銷售企業(yè)),運(yùn)營(yíng)車聯(lián)網(wǎng)相關(guān)平臺(tái)的服務(wù)企業(yè)(含車聯(lián)網(wǎng)服務(wù)平臺(tái)運(yùn)營(yíng)商、車載應(yīng)用平臺(tái)運(yùn)營(yíng)商、OTA升級(jí)服務(wù)提供商、導(dǎo)航系統(tǒng)服務(wù)提供商、電子地圖服務(wù)提供商、車載信息應(yīng)用服務(wù)提供商、車聯(lián)網(wǎng)卡服務(wù)提供商等),車聯(lián)網(wǎng)網(wǎng)絡(luò)設(shè)施和車路協(xié)同設(shè)施運(yùn)營(yíng)企業(yè)以及自動(dòng)駕駛功能產(chǎn)品和解決方案服務(wù)企業(yè)。
共涉及到了六大方向、15項(xiàng)具體任務(wù):
一、網(wǎng)絡(luò)和數(shù)據(jù)安全主體責(zé)任
1)建立車聯(lián)網(wǎng)網(wǎng)絡(luò)和數(shù)據(jù)安全管理機(jī)制。各車聯(lián)網(wǎng)企業(yè)要建立面向智能網(wǎng)聯(lián)方向的網(wǎng)絡(luò)和數(shù)據(jù)安全管理機(jī)制,明確組織架構(gòu)、責(zé)任部門(mén)、管理負(fù)責(zé)人和工作責(zé)任人,落實(shí)網(wǎng)絡(luò)安全和數(shù)據(jù)安全保護(hù)責(zé)任。
2)健全網(wǎng)絡(luò)和數(shù)據(jù)安全管理制度。各車聯(lián)網(wǎng)企業(yè)應(yīng)按照國(guó)家有關(guān)法律法規(guī)要求以及車聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)和數(shù)據(jù)安全相關(guān)管理要求,加快制定面向網(wǎng)絡(luò)安全、數(shù)據(jù)安全和個(gè)人信息保護(hù)的管理制度,健全完善網(wǎng)絡(luò)和數(shù)據(jù)安全管理制度體系。
二、車聯(lián)網(wǎng)網(wǎng)絡(luò)設(shè)施和系統(tǒng)安全
3)加強(qiáng)車聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護(hù)定級(jí)備案和評(píng)測(cè)評(píng)估管理。各車聯(lián)網(wǎng)企業(yè)要按照《車聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護(hù)定級(jí)備案實(shí)施指南》等安全防護(hù)標(biāo)準(zhǔn),對(duì)所屬網(wǎng)絡(luò)設(shè)施和系統(tǒng)開(kāi)展網(wǎng)絡(luò)安全防護(hù)定級(jí)工作,并向市通信管理局申請(qǐng)備案。市通信管理局將會(huì)同市工業(yè)和信息化主管部門(mén)對(duì)相關(guān)定級(jí)備案申請(qǐng)進(jìn)行審核,并對(duì)通過(guò)審核的網(wǎng)絡(luò)設(shè)施和系統(tǒng)發(fā)放車聯(lián)網(wǎng)定級(jí)備案號(hào)。對(duì)審核通過(guò)的車聯(lián)網(wǎng)網(wǎng)絡(luò)設(shè)施和系統(tǒng),各車聯(lián)網(wǎng)企業(yè)要嚴(yán)格落實(shí)網(wǎng)絡(luò)安全分級(jí)防護(hù)要求,按照有關(guān)評(píng)測(cè)、評(píng)估標(biāo)準(zhǔn),自行或者委托檢測(cè)機(jī)構(gòu)定期開(kāi)展網(wǎng)絡(luò)安全符合性評(píng)測(cè)和風(fēng)險(xiǎn)評(píng)估。其中,定級(jí)為三級(jí)及三級(jí)以上的網(wǎng)絡(luò)設(shè)施和系統(tǒng)應(yīng)當(dāng)每年進(jìn)行一次符合性評(píng)測(cè)和安全風(fēng)險(xiǎn)評(píng)估,二級(jí)網(wǎng)絡(luò)設(shè)施和系統(tǒng)應(yīng)當(dāng)每?jī)赡赀M(jìn)行一次符合性評(píng)測(cè)和安全風(fēng)險(xiǎn)評(píng)估。
4)加強(qiáng)車聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急處置管理。各車聯(lián)網(wǎng)企業(yè)要建立網(wǎng)絡(luò)安全應(yīng)急響應(yīng)機(jī)制,制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案。定期開(kāi)展應(yīng)急演練,及時(shí)處置安全威脅、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。其中,運(yùn)營(yíng)三級(jí)及三級(jí)以上車聯(lián)網(wǎng)網(wǎng)絡(luò)設(shè)施和系統(tǒng)的企業(yè),應(yīng)當(dāng)每年至少開(kāi)展一次網(wǎng)絡(luò)安全應(yīng)急演練。強(qiáng)化網(wǎng)絡(luò)安全事件分類分級(jí)處置能力,在發(fā)生危害網(wǎng)絡(luò)安全的事件時(shí),應(yīng)立即啟動(dòng)應(yīng)急預(yù)案,采取相應(yīng)補(bǔ)救措施,并按照《上海市公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急預(yù)案》規(guī)定向市通信管理局報(bào)告。
5)統(tǒng)籌車聯(lián)網(wǎng)安全監(jiān)測(cè)預(yù)警管理。市通信管理局加強(qiáng)車聯(lián)網(wǎng)安全監(jiān)管和公共服務(wù)平臺(tái)建設(shè),統(tǒng)籌車聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅監(jiān)測(cè)預(yù)警和信息通報(bào)工作。各車聯(lián)網(wǎng)企業(yè)要建立網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警機(jī)制和技術(shù)手段,對(duì)智能網(wǎng)聯(lián)汽車、車聯(lián)網(wǎng)平臺(tái)及聯(lián)網(wǎng)系統(tǒng)開(kāi)展網(wǎng)絡(luò)安全相關(guān)監(jiān)測(cè),及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全事件或異常行為,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于6個(gè)月。相關(guān)監(jiān)測(cè)技術(shù)平臺(tái)要與市通信管理局車聯(lián)網(wǎng)安全監(jiān)管和公共服務(wù)平臺(tái)對(duì)接并接入有關(guān)監(jiān)測(cè)數(shù)據(jù)。
三、智能網(wǎng)聯(lián)汽車產(chǎn)品安全
6)加強(qiáng)車輛網(wǎng)絡(luò)安全保障管理。智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)要加強(qiáng)整車網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)。加強(qiáng)車內(nèi)系統(tǒng)通信安全保障,加強(qiáng)診斷接口(OBD)、通用串行總線(USB)端口、充電端口等的訪問(wèn)和權(quán)限管理。相關(guān)智能網(wǎng)聯(lián)汽車在本市上市銷售前或其網(wǎng)絡(luò)功能有重要更新發(fā)布前,企業(yè)應(yīng)自行或委托第三方機(jī)構(gòu)對(duì)車載信息交互系統(tǒng)、汽車網(wǎng)關(guān)、電子控制單元等關(guān)鍵設(shè)備和部件開(kāi)展安全防護(hù)和安全檢測(cè),并將相關(guān)檢測(cè)報(bào)告向市通信管理局進(jìn)行報(bào)備。市通信管理局結(jié)合相關(guān)檢測(cè)結(jié)果,定期組織對(duì)智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)功能的安全風(fēng)險(xiǎn)情況進(jìn)行抽查。
7)加強(qiáng)安全漏洞管理責(zé)任落實(shí)。智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)和具有智能網(wǎng)聯(lián)功能的車載終端軟硬件生產(chǎn)企業(yè)要落實(shí)《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》有關(guān)要求,明確本企業(yè)漏洞發(fā)現(xiàn)、驗(yàn)證、分析、修補(bǔ)、報(bào)告等工作程序。發(fā)現(xiàn)或獲知智能網(wǎng)聯(lián)產(chǎn)品存在漏洞后,應(yīng)立即采取補(bǔ)救措施,并向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)以及市通信管理局車聯(lián)網(wǎng)安全監(jiān)管和公共服務(wù)平臺(tái)報(bào)送漏洞信息。對(duì)需要用戶采取軟件、固件升級(jí)等措施修補(bǔ)漏洞的,應(yīng)當(dāng)及時(shí)將漏洞風(fēng)險(xiǎn)及修補(bǔ)方式告知可能受影響的用戶,并提供必要技術(shù)支持。
四、車聯(lián)網(wǎng)平臺(tái)和應(yīng)用服務(wù)安全
8)開(kāi)展車聯(lián)網(wǎng)平臺(tái)網(wǎng)絡(luò)安全威脅通報(bào)。市通信管理局建立車聯(lián)網(wǎng)平臺(tái)網(wǎng)絡(luò)安全威脅通報(bào)機(jī)制,定期對(duì)本市車聯(lián)網(wǎng)相關(guān)平臺(tái)開(kāi)展網(wǎng)絡(luò)安全威脅檢測(cè),并加強(qiáng)問(wèn)題通報(bào)和約談?wù)?。各車?lián)網(wǎng)平臺(tái)運(yùn)營(yíng)企業(yè)要采取必要的安全技術(shù)措施,加強(qiáng)智能網(wǎng)聯(lián)汽車、路側(cè)設(shè)備等平臺(tái)接入安全,主機(jī)、數(shù)據(jù)存儲(chǔ)系統(tǒng)等平臺(tái)設(shè)施安全,以及資源管理、服務(wù)訪問(wèn)接口等平臺(tái)應(yīng)用安全防護(hù)能力,防范網(wǎng)絡(luò)侵入、數(shù)據(jù)竊取、遠(yuǎn)程控制等安全風(fēng)險(xiǎn)。
9)開(kāi)展在線升級(jí)服務(wù)(OTA)安全檢測(cè)評(píng)估。智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)和具有智能網(wǎng)聯(lián)功能的車載終端軟硬件生產(chǎn)企業(yè)要建立在線升級(jí)服務(wù)軟件包安全驗(yàn)證機(jī)制,自行或委托第三方機(jī)構(gòu)開(kāi)展在線升級(jí)軟件包網(wǎng)絡(luò)安全檢測(cè),及時(shí)發(fā)現(xiàn)產(chǎn)品安全漏洞。在線升級(jí)服務(wù)軟件在發(fā)布或更新前,應(yīng)將相關(guān)檢測(cè)報(bào)告向市通信管理局進(jìn)行報(bào)備,市通信管理局結(jié)合相關(guān)檢測(cè)結(jié)果,定期對(duì)軟件包的安全風(fēng)險(xiǎn)情況進(jìn)行抽測(cè)。
10)開(kāi)展車聯(lián)網(wǎng)應(yīng)用程序網(wǎng)絡(luò)安全檢測(cè)評(píng)估。各車聯(lián)網(wǎng)企業(yè)要建立APP、小程序、車載應(yīng)用等車聯(lián)網(wǎng)應(yīng)用程序的開(kāi)發(fā)、上線、使用、升級(jí)等安全管理制度,提升應(yīng)用程序身份鑒別、通信安全、數(shù)據(jù)保護(hù)等安全能力,自行或委托第三方機(jī)構(gòu)開(kāi)展車聯(lián)網(wǎng)應(yīng)用程序安全檢測(cè),及時(shí)處置安全風(fēng)險(xiǎn)。車聯(lián)網(wǎng)應(yīng)用程序在發(fā)布或更新前,應(yīng)將相關(guān)檢測(cè)報(bào)告以及應(yīng)用安裝包向市通信管理局進(jìn)行報(bào)備,市通信管理局結(jié)合相關(guān)檢測(cè)結(jié)果,定期對(duì)應(yīng)用程序的安全風(fēng)險(xiǎn)情況進(jìn)行抽測(cè)。
五、車聯(lián)網(wǎng)數(shù)據(jù)安全
11)加強(qiáng)車聯(lián)網(wǎng)數(shù)據(jù)安全評(píng)估管理。各車聯(lián)網(wǎng)企業(yè)要將數(shù)據(jù)安全保護(hù)作為車聯(lián)網(wǎng)安全管理的關(guān)鍵內(nèi)容,按照《數(shù)據(jù)安全法》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》《工業(yè)和信息化部關(guān)于加強(qiáng)車聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全工作的通知》等要求,每年開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估,強(qiáng)化隱患排查整改,并在當(dāng)年11月30日前向市通信管理局報(bào)送數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告。市通信管理局結(jié)合風(fēng)險(xiǎn)評(píng)估報(bào)告情況,對(duì)企業(yè)履行數(shù)據(jù)安全保護(hù)義務(wù)進(jìn)行監(jiān)督檢查。
12)加強(qiáng)數(shù)據(jù)安全和個(gè)人信息保護(hù)事件應(yīng)急管理。各車聯(lián)網(wǎng)企業(yè)要高度重視個(gè)人信息和重要數(shù)據(jù)保護(hù),重點(diǎn)加強(qiáng)個(gè)人信息保護(hù)事件和數(shù)據(jù)安全事件的應(yīng)急處置能力,建立數(shù)據(jù)管理臺(tái)賬、制定數(shù)據(jù)安全事件應(yīng)急預(yù)案。在發(fā)生數(shù)據(jù)安全事件時(shí),應(yīng)立即啟動(dòng)應(yīng)急預(yù)案,采取相應(yīng)補(bǔ)救措施,并按照《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全事件應(yīng)急預(yù)案》規(guī)定向市通信管理局報(bào)告。市通信管理局建立車聯(lián)網(wǎng)數(shù)據(jù)安全月報(bào)制度,定期匯總分析車聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全事件管理和處置情況,各車聯(lián)網(wǎng)企業(yè)應(yīng)在每月10日前向市通信管理局報(bào)送上月度數(shù)據(jù)安全事件管理情況。
13)加強(qiáng)數(shù)據(jù)對(duì)外共享使用管理。各車聯(lián)網(wǎng)企業(yè)要明確數(shù)據(jù)共享和開(kāi)發(fā)利用的安全管理和責(zé)任要求。企業(yè)需跨主體共享車聯(lián)網(wǎng)相關(guān)數(shù)據(jù)的,應(yīng)對(duì)數(shù)據(jù)合作方的數(shù)據(jù)安全保護(hù)能力進(jìn)行審核評(píng)估,并將擬共享數(shù)據(jù)的類型、規(guī)模、用途、提供方式、提供周期、合作方主體等情況以及內(nèi)部審核評(píng)估記錄向市通信管理局報(bào)備,報(bào)備內(nèi)容不包含數(shù)據(jù)本身。企業(yè)應(yīng)加強(qiáng)對(duì)合作方數(shù)據(jù)安全保護(hù)能力的實(shí)質(zhì)性評(píng)估,并對(duì)數(shù)據(jù)共享使用情況進(jìn)行監(jiān)督管理。其中,數(shù)據(jù)合作方應(yīng)提供經(jīng)上海市通信管理局或其所在地省級(jí)通信管理局審核通過(guò)的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估報(bào)告或?qū)徍送ㄟ^(guò)的相關(guān)證明材料。
14)加強(qiáng)出境數(shù)據(jù)報(bào)備管理。支持車聯(lián)網(wǎng)相關(guān)數(shù)據(jù)在依法合規(guī)的前提下推進(jìn)實(shí)現(xiàn)便利的跨境流動(dòng)。積極開(kāi)展車聯(lián)網(wǎng)數(shù)據(jù)分類分級(jí)工作,促進(jìn)非敏感數(shù)據(jù)的合規(guī)、高效跨境流動(dòng),著力加強(qiáng)數(shù)據(jù)出境的事中事后監(jiān)管。在中華人民共和國(guó)境內(nèi)收集和產(chǎn)生的、需要向境外提供的重要數(shù)據(jù),應(yīng)當(dāng)依法依規(guī)進(jìn)行數(shù)據(jù)出境安全評(píng)估,并將數(shù)據(jù)出境情況向市通信管理局報(bào)備。報(bào)備信息應(yīng)包含數(shù)據(jù)出境的目的、方式、數(shù)據(jù)類型、數(shù)據(jù)規(guī)模、數(shù)據(jù)出境方情況、境外接收方情況等,不包含出境數(shù)據(jù)本身。
六、自動(dòng)駕駛功能安全
15)探索開(kāi)展自動(dòng)駕駛功能網(wǎng)絡(luò)安全管理。按照《工業(yè)和信息化部關(guān)于加強(qiáng)智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理的意見(jiàn)》《關(guān)于開(kāi)展智能網(wǎng)聯(lián)汽車準(zhǔn)入和上路通行試點(diǎn)工作的通知》要求,結(jié)合自動(dòng)駕駛領(lǐng)域的發(fā)展實(shí)際,探索開(kāi)展智能網(wǎng)聯(lián)汽車搭載的自動(dòng)駕駛功能的網(wǎng)絡(luò)安全管理。對(duì)搭載自動(dòng)駕駛功能的智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)和使用主體,以及自動(dòng)駕駛功能產(chǎn)品提供商和解決方案提供商試點(diǎn)開(kāi)展專項(xiàng)安全評(píng)估。