工信部近日發(fā)布《關于加強車聯(lián)網網絡安全和數(shù)據(jù)安全工作的通知》（以下簡稱《通知》），就加強智能網聯(lián)汽車安全防護、加強車聯(lián)網網絡安全防護、加強數(shù)據(jù)安全保護等方面提出多項要求。《通知》的管理對象包括智能網聯(lián)汽車生產企業(yè)、車聯(lián)網服務平臺運營企業(yè)、基礎電信運營企業(yè)等相關企業(yè)。

車聯(lián)網是新一代網絡通信技術與汽車、電子、道路交通運輸?shù)阮I域深度融合的新興產業(yè)形態(tài)。智能網聯(lián)汽車是搭載先進的車載傳感器、控制器、執(zhí)行器等裝置，并融合現(xiàn)代通信與網絡技術，實現(xiàn)車與車、路、人、云端等智能信息交換、共享，具備復雜環(huán)境感知、智能決策、協(xié)同控制等功能，可實現(xiàn)“安全、高效、舒適、節(jié)能”行駛的新一代汽車。

近年來，在產業(yè)快速發(fā)展的同時，車聯(lián)網安全風險日益凸顯，車聯(lián)網安全保障體系亟須健全完善。為推進實施《新能源汽車產業(yè)發(fā)展規(guī)劃（2021—2035年）》，加強車聯(lián)網網絡安全和數(shù)據(jù)安全管理工作，工信部發(fā)布了上述《通知》。

《通知》圍繞網絡安全和數(shù)據(jù)安全提出兩項基本要求。一方面，要落實安全主體責任。各相關企業(yè)要建立網絡安全和數(shù)據(jù)安全管理制度；強化企業(yè)內部監(jiān)督管理，加大資源保障力度；加強網絡安全和數(shù)據(jù)安全宣傳、教育和培訓。

另一方面，要全面加強安全保護。各相關企業(yè)要采取管理和技術措施，按照車聯(lián)網網絡安全和數(shù)據(jù)安全相關標準要求，加強汽車、網絡、平臺和數(shù)據(jù)等安全保護，監(jiān)測、防范、及時處置網絡安全風險和威脅，確保數(shù)據(jù)處于有效保護和合法利用狀態(tài)，保障車聯(lián)網安全穩(wěn)定運行。

關于如何加強智能網聯(lián)汽車安全防護，《通知》提出，智能網聯(lián)汽車生產企業(yè)要加強整車網絡安全架構設計；加強車內系統(tǒng)通信安全保障，強化安全認證、分域隔離、訪問控制等措施；加強車載信息交互系統(tǒng)、汽車網關、電子控制單元等關鍵設備和部件安全防護和安全檢測；加強診斷接口（OBD）、通用串行總線（USB）端口、充電端口等的訪問和權限管理。

在保障車輛網絡安全的同時，還要落實安全漏洞管理責任。智能網聯(lián)汽車生產企業(yè)要落實《網絡產品安全漏洞管理規(guī)定》有關要求，明確本企業(yè)漏洞發(fā)現(xiàn)、驗證、分析、修補、報告等工作程序；發(fā)現(xiàn)或獲知汽車產品存在漏洞后，應立即采取補救措施，并向工信部網絡安全威脅和漏洞信息共享平臺報送漏洞信息；對需要用戶采取軟件、固件升級等措施修補漏洞的，應當及時將漏洞風險及修補方式告知可能受影響的用戶，并提供必要技術支持。

在加強車聯(lián)網網絡安全防護方面，《通知》提出5點要求。一是加強車聯(lián)網網絡設施和網絡系統(tǒng)安全防護能力。各相關企業(yè)要嚴格落實網絡安全分級防護要求，加強網絡設施和網絡系統(tǒng)資產管理，加強訪問控制管理，做好網絡邊界安全防護，采取防范木馬病毒和網絡攻擊、網絡侵入等危害車聯(lián)網安全行為的技術措施。

二是保障車聯(lián)網通信安全。各相關企業(yè)要建立車聯(lián)網身份認證和安全信任機制；強化車載通信設備、路側通信設備、服務平臺等安全通信能力；采取身份認證、加密傳輸?shù)缺匾募夹g措施，保障車與車、車與路、車與云、車與設備等場景通信安全；鼓勵相關企業(yè)、機構接入工信部車聯(lián)網安全信任根管理平臺，協(xié)同推動跨車型、跨設施、跨企業(yè)互聯(lián)互認互通。

三是開展車聯(lián)網安全監(jiān)測預警。國家加強車聯(lián)網網絡安全監(jiān)測平臺建設，開展網絡安全威脅、事件的監(jiān)測預警通報和安全保障服務。各相關企業(yè)要建立網絡安全監(jiān)測預警機制和技術手段，及時發(fā)現(xiàn)網絡安全事件或異常行為，并按照規(guī)定留存相關的網絡日志不少于6個月。

四是做好車聯(lián)網安全應急處置。智能網聯(lián)汽車生產企業(yè)、車聯(lián)網服務平臺運營企業(yè)要建立網絡安全應急響應機制，制定網絡安全事件應急預案，定期開展應急演練，及時處置安全威脅、網絡攻擊、網絡侵入等網絡安全風險。在發(fā)生危害網絡安全的事件時，立即啟動應急預案，采取相應的補救措施，并按照《公共互聯(lián)網網絡安全突發(fā)事件應急預案》等規(guī)定向有關主管部門報告。

五是做好車聯(lián)網網絡安全防護定級備案。智能網聯(lián)汽車生產企業(yè)、車聯(lián)網服務平臺運營企業(yè)要按照車聯(lián)網網絡安全防護相關標準，對所屬網絡設施和系統(tǒng)開展網絡安全防護定級工作，并向所在省（區(qū)、市）通信管理局備案。對新建網絡設施和系統(tǒng)，應當在規(guī)劃設計階段確定網絡安全防護等級。

此外，《通知》還針對強數(shù)據(jù)安全保護提出4項要求，包括加強數(shù)據(jù)分類分級管理、提升數(shù)據(jù)安全技術保障能力、規(guī)范數(shù)據(jù)開發(fā)利用和共享使用，以及強化數(shù)據(jù)出境安全管理。

在加強數(shù)據(jù)分類分級管理方面，按照“誰主管、誰負責，誰運營、誰負責”的原則，各相關企業(yè)要建立數(shù)據(jù)管理臺賬，實施數(shù)據(jù)分類分級管理，加強個人信息與重要數(shù)據(jù)保護。定期開展數(shù)據(jù)安全風險評估，強化隱患排查整改，并向所在?。▍^(qū)、市）通信管理局、工業(yè)和信息化主管部門報備。

在提升數(shù)據(jù)安全技術保障能力方面，各相關企業(yè)要采取合法、正當方式收集數(shù)據(jù)，針對數(shù)據(jù)全生命周期采取有效技術保護措施，防范數(shù)據(jù)泄露、毀損、丟失、篡改、誤用、濫用等風險；要強化數(shù)據(jù)安全監(jiān)測預警和應急處置能力建設，及時處置并按要求報告數(shù)據(jù)安全事件。

在規(guī)范數(shù)據(jù)開發(fā)利用和共享使用方面，各相關企業(yè)要合理開發(fā)利用數(shù)據(jù)資源，防范在使用自動化決策技術處理數(shù)據(jù)時，侵犯用戶隱私權和知情權；明確數(shù)據(jù)共享和開發(fā)利用的安全管理和責任要求；對數(shù)據(jù)合作方數(shù)據(jù)安全保護能力進行審核評估，對數(shù)據(jù)共享使用情況進行監(jiān)督管理。

在強化數(shù)據(jù)出境安全管理方面，各相關企業(yè)需向境外提供在境內收集和產生的重要數(shù)據(jù)的，應當依法依規(guī)進行數(shù)據(jù)出境安全評估并向所在省（區(qū)、市）通信管理局、工業(yè)和信息化主管部門報備。

最后，《通知》強調要健全安全標準體系，加快編制車聯(lián)網網絡安全和數(shù)據(jù)安全標準體系建設指南。全國通信標準化技術委員會、全國汽車標準化技術委員會等要加快組織制定車聯(lián)網防護定級、服務平臺防護、汽車漏洞分類分級、通信交互認證、數(shù)據(jù)分類分級、事件應急響應等標準規(guī)范及相關檢測評估、認證標準。同時，《通知》鼓勵各相關企業(yè)、社會團體制定高于國家標準或行業(yè)標準相關技術要求的企業(yè)標準、團體標準。（何  珺）