3月18日，上海市通信管理局發布的《關于開展“鑄盾車聯”2024年車聯網網絡和數據安全專項行動的通知》已對外公示。

本次專項行動重點對象為在上海市生產、銷售智能網聯汽車產品的生產企業（含智能網聯汽車生產企業、具有智能網聯功能的車載終端軟硬件生產企業，不含代理銷售企業），運營車聯網相關平臺的服務企業（含車聯網服務平臺運營商、車載應用平臺運營商、OTA升級服務提供商、導航系統服務提供商、電子地圖服務提供商、車載信息應用服務提供商、車聯網卡服務提供商等），車聯網網絡設施和車路協同設施運營企業以及自動駕駛功能產品和解決方案服務企業。

共涉及到了六大方向、15項具體任務：

一、網絡和數據安全主體責任

1）建立車聯網網絡和數據安全管理機制。各車聯網企業要建立面向智能網聯方向的網絡和數據安全管理機制，明確組織架構、責任部門、管理負責人和工作責任人，落實網絡安全和數據安全保護責任。

2）健全網絡和數據安全管理制度。各車聯網企業應按照國家有關法律法規要求以及車聯網行業網絡和數據安全相關管理要求，加快制定面向網絡安全、數據安全和個人信息保護的管理制度，健全完善網絡和數據安全管理制度體系。

二、車聯網網絡設施和系統安全

3）加強車聯網網絡安全防護定級備案和評測評估管理。各車聯網企業要按照《車聯網網絡安全防護定級備案實施指南》等安全防護標準，對所屬網絡設施和系統開展網絡安全防護定級工作，并向市通信管理局申請備案。市通信管理局將會同市工業和信息化主管部門對相關定級備案申請進行審核，并對通過審核的網絡設施和系統發放車聯網定級備案號。對審核通過的車聯網網絡設施和系統，各車聯網企業要嚴格落實網絡安全分級防護要求，按照有關評測、評估標準，自行或者委托檢測機構定期開展網絡安全符合性評測和風險評估。其中，定級為三級及三級以上的網絡設施和系統應當每年進行一次符合性評測和安全風險評估，二級網絡設施和系統應當每兩年進行一次符合性評測和安全風險評估。

4）加強車聯網網絡安全應急處置管理。各車聯網企業要建立網絡安全應急響應機制，制定網絡安全事件應急預案。定期開展應急演練，及時處置安全威脅、網絡攻擊、網絡侵入等網絡安全風險。其中，運營三級及三級以上車聯網網絡設施和系統的企業，應當每年至少開展一次網絡安全應急演練。強化網絡安全事件分類分級處置能力，在發生危害網絡安全的事件時，應立即啟動應急預案，采取相應補救措施，并按照《上海市公共互聯網網絡安全突發事件應急預案》規定向市通信管理局報告。

5）統籌車聯網安全監測預警管理。市通信管理局加強車聯網安全監管和公共服務平臺建設，統籌車聯網網絡安全威脅監測預警和信息通報工作。各車聯網企業要建立網絡安全監測預警機制和技術手段，對智能網聯汽車、車聯網平臺及聯網系統開展網絡安全相關監測，及時發現網絡安全事件或異常行為，并按照規定留存相關的網絡日志不少于6個月。相關監測技術平臺要與市通信管理局車聯網安全監管和公共服務平臺對接并接入有關監測數據。

三、智能網聯汽車產品安全

6）加強車輛網絡安全保障管理。智能網聯汽車生產企業要加強整車網絡安全架構設計。加強車內系統通信安全保障，加強診斷接口（OBD）、通用串行總線（USB）端口、充電端口等的訪問和權限管理。相關智能網聯汽車在本市上市銷售前或其網絡功能有重要更新發布前，企業應自行或委托第三方機構對車載信息交互系統、汽車網關、電子控制單元等關鍵設備和部件開展安全防護和安全檢測，并將相關檢測報告向市通信管理局進行報備。市通信管理局結合相關檢測結果，定期組織對智能網聯汽車網絡功能的安全風險情況進行抽查。

7）加強安全漏洞管理責任落實。智能網聯汽車生產企業和具有智能網聯功能的車載終端軟硬件生產企業要落實《網絡產品安全漏洞管理規定》有關要求，明確本企業漏洞發現、驗證、分析、修補、報告等工作程序。發現或獲知智能網聯產品存在漏洞后，應立即采取補救措施，并向工業和信息化部網絡安全威脅和漏洞信息共享平臺以及市通信管理局車聯網安全監管和公共服務平臺報送漏洞信息。對需要用戶采取軟件、固件升級等措施修補漏洞的，應當及時將漏洞風險及修補方式告知可能受影響的用戶，并提供必要技術支持。

四、車聯網平臺和應用服務安全

8）開展車聯網平臺網絡安全威脅通報。市通信管理局建立車聯網平臺網絡安全威脅通報機制，定期對本市車聯網相關平臺開展網絡安全威脅檢測，并加強問題通報和約談整改。各車聯網平臺運營企業要采取必要的安全技術措施，加強智能網聯汽車、路側設備等平臺接入安全，主機、數據存儲系統等平臺設施安全，以及資源管理、服務訪問接口等平臺應用安全防護能力，防范網絡侵入、數據竊取、遠程控制等安全風險。

9）開展在線升級服務（OTA）安全檢測評估。智能網聯汽車生產企業和具有智能網聯功能的車載終端軟硬件生產企業要建立在線升級服務軟件包安全驗證機制，自行或委托第三方機構開展在線升級軟件包網絡安全檢測，及時發現產品安全漏洞。在線升級服務軟件在發布或更新前，應將相關檢測報告向市通信管理局進行報備，市通信管理局結合相關檢測結果，定期對軟件包的安全風險情況進行抽測。

10）開展車聯網應用程序網絡安全檢測評估。各車聯網企業要建立APP、小程序、車載應用等車聯網應用程序的開發、上線、使用、升級等安全管理制度，提升應用程序身份鑒別、通信安全、數據保護等安全能力，自行或委托第三方機構開展車聯網應用程序安全檢測，及時處置安全風險。車聯網應用程序在發布或更新前，應將相關檢測報告以及應用安裝包向市通信管理局進行報備，市通信管理局結合相關檢測結果，定期對應用程序的安全風險情況進行抽測。

五、車聯網數據安全

11）加強車聯網數據安全評估管理。各車聯網企業要將數據安全保護作為車聯網安全管理的關鍵內容，按照《數據安全法》《工業和信息化領域數據安全管理辦法(試行)》《工業和信息化部關于加強車聯網網絡安全和數據安全工作的通知》等要求，每年開展數據安全風險評估，強化隱患排查整改，并在當年11月30日前向市通信管理局報送數據安全風險評估報告。市通信管理局結合風險評估報告情況，對企業履行數據安全保護義務進行監督檢查。

12）加強數據安全和個人信息保護事件應急管理。各車聯網企業要高度重視個人信息和重要數據保護，重點加強個人信息保護事件和數據安全事件的應急處置能力，建立數據管理臺賬、制定數據安全事件應急預案。在發生數據安全事件時，應立即啟動應急預案，采取相應補救措施，并按照《工業和信息化領域數據安全事件應急預案》規定向市通信管理局報告。市通信管理局建立車聯網數據安全月報制度，定期匯總分析車聯網行業數據安全事件管理和處置情況，各車聯網企業應在每月10日前向市通信管理局報送上月度數據安全事件管理情況。

13）加強數據對外共享使用管理。各車聯網企業要明確數據共享和開發利用的安全管理和責任要求。企業需跨主體共享車聯網相關數據的，應對數據合作方的數據安全保護能力進行審核評估，并將擬共享數據的類型、規模、用途、提供方式、提供周期、合作方主體等情況以及內部審核評估記錄向市通信管理局報備，報備內容不包含數據本身。企業應加強對合作方數據安全保護能力的實質性評估，并對數據共享使用情況進行監督管理。其中，數據合作方應提供經上海市通信管理局或其所在地省級通信管理局審核通過的數據安全風險評估報告或審核通過的相關證明材料。

14）加強出境數據報備管理。支持車聯網相關數據在依法合規的前提下推進實現便利的跨境流動。積極開展車聯網數據分類分級工作，促進非敏感數據的合規、高效跨境流動，著力加強數據出境的事中事后監管。在中華人民共和國境內收集和產生的、需要向境外提供的重要數據，應當依法依規進行數據出境安全評估，并將數據出境情況向市通信管理局報備。報備信息應包含數據出境的目的、方式、數據類型、數據規模、數據出境方情況、境外接收方情況等，不包含出境數據本身。

六、自動駕駛功能安全

15）探索開展自動駕駛功能網絡安全管理。按照《工業和信息化部關于加強智能網聯汽車生產企業及產品準入管理的意見》《關于開展智能網聯汽車準入和上路通行試點工作的通知》要求，結合自動駕駛領域的發展實際，探索開展智能網聯汽車搭載的自動駕駛功能的網絡安全管理。對搭載自動駕駛功能的智能網聯汽車生產企業和使用主體，以及自動駕駛功能產品提供商和解決方案提供商試點開展專項安全評估。