上海市通信管理局关于开展铸盾车联2024年车联网网络和数据安全专项行动的通知

1. 建立车联网网络和数据安全管理机制。各车联网企业要建立面向智能网联方向的网络和数据安全管理机制，明确组织架构、责任部门、管理负责人和工作责任人，落实网络安全和数据安全保护责任。

2. 健全网络和数据安全管理制度。各车联网企业应按照国家有关法律法规要求以及车联网行业网络和数据安全相关管理要求，加快制定面向网络安全、数据安全和个人信息保护的管理制度，健全完善网络和数据安全管理制度体系。

3. 加强车联网网络安全防护定级备案和评测评估管理。各车联网企业要按照《车联网网络安全防护定级备案实施指南》等安全防护标准，对所属网络设施和系统开展网络安全防护定级工作，并向市通信管理局申请备案。市通信管理局将会同市工业和信息化主管部门对相关定级备案申请进行审核，并对通过审核的网络设施和系统发放车联网定级备案号。对审核通过的车联网网络设施和系统，各车联网企业要严格落实网络安全分级防护要求，按照有关评测、评估标准，自行或者委托检测机构定期开展网络安全符合性评测和风险评估。其中，定级为三级及三级以上的网络设施和系统应当每年进行一次符合性评测和安全风险评估，二级网络设施和系统应当每两年进行一次符合性评测和安全风险评估。

4. 加强车联网网络安全应急处置管理。各车联网企业要建立网络安全应急响应机制，制定网络安全事件应急预案。定期开展应急演练，及时处置安全威胁、网络攻击、网络侵入等网络安全风险。其中，运营三级及三级以上车联网网络设施和系统的企业，应当每年至少开展一次网络安全应急演练。强化网络安全事件分类分级处置能力，在发生危害网络安全的事件时，应立即启动应急预案，采取相应补救措施，并按照《上海市公共互联网网络安全突发事件应急预案》规定向市通信管理局报告。

5. 统筹车联网安全监测预警管理。市通信管理局加强车联网安全监管和公共服务平台建设，统筹车联网网络安全威胁监测预警和信息通报工作。各车联网企业要建立网络安全监测预警机制和技术手段，对智能网联汽车、车联网平台及联网系统开展网络安全相关监测，及时发现网络安全事件或异常行为，并按照规定留存相关的网络日志不少于6个月。相关监测技术平台要与市通信管理局车联网安全监管和公共服务平台对接并接入有关监测数据。

6. 加强车辆网络安全保障管理。智能网联汽车生产企业要加强整车网络安全架构设计。加强车内系统通信安全保障，加强诊断接口（OBD）、通用串行总线（USB）端口、充电端口等的访问和权限管理。相关智能网联汽车在本市上市销售前或其网络功能有重要更新发布前，企业应自行或委托第三方机构对车载信息交互系统、汽车网关、电子控制单元等关键设备和部件开展安全防护和安全检测，并将相关检测报告向市通信管理局进行报备。市通信管理局结合相关检测结果，定期组织对智能网联汽车网络功能的安全风险情况进行抽查。

7. 加强安全漏洞管理责任落实。智能网联汽车生产企业和具有智能网联功能的车载终端软硬件生产企业要落实《网络产品安全漏洞管理规定》有关要求，明确本企业漏洞发现、验证、分析、修补、报告等工作程序。发现或获知智能网联产品存在漏洞后，应立即采取补救措施，并向工业和信息化部网络安全威胁和漏洞信息共享平台以及市通信管理局车联网安全监管和公共服务平台报送漏洞信息。对需要用户采取软件、固件升级等措施修补漏洞的，应当及时将漏洞风险及修补方式告知可能受影响的用户，并提供必要技术支持。

8. 开展车联网平台网络安全威胁通报。市通信管理局建立车联网平台网络安全威胁通报机制，定期对本市车联网相关平台开展网络安全威胁检测，并加强问题通报和约谈整改。各车联网平台运营企业要采取必要的安全技术措施，加强智能网联汽车、路侧设备等平台接入安全，主机、数据存储系统等平台设施安全，以及资源管理、服务访问接口等平台应用安全防护能力，防范网络侵入、数据窃取、远程控制等安全风险。

9. 开展在线升级服务（OTA）安全检测评估。智能网联汽车生产企业和具有智能网联功能的车载终端软硬件生产企业要建立在线升级服务软件包安全验证机制，自行或委托第三方机构开展在线升级软件包网络安全检测，及时发现产品安全漏洞。在线升级服务软件在发布或更新前，应将相关检测报告向市通信管理局进行报备，市通信管理局结合相关检测结果，定期对软件包的安全风险情况进行抽测。

10. 开展车联网应用程序网络安全检测评估。各车联网企业要建立APP、小程序、车载应用等车联网应用程序的开发、上线、使用、升级等安全管理制度，提升应用程序身份鉴别、通信安全、数据保护等安全能力，自行或委托第三方机构开展车联网应用程序安全检测，及时处置安全风险。车联网应用程序在发布或更新前，应将相关检测报告以及应用安装包向市通信管理局进行报备，市通信管理局结合相关检测结果，定期对应用程序的安全风险情况进行抽测。

11. 加强车联网数据安全评估管理。各车联网企业要将数据安全保护作为车联网安全管理的关键内容，按照《数据安全法》《工业和信息化领域数据安全管理办法(试行)》《工业和信息化部关于加强车联网网络安全和数据安全工作的通知》等要求，每年开展数据安全风险评估，强化隐患排查整改，并在当年11月30日前向市通信管理局报送数据安全风险评估报告。市通信管理局结合风险评估报告情况，对企业履行数据安全保护义务进行监督检查。

12. 加强数据安全和个人信息保护事件应急管理。各车联网企业要高度重视个人信息和重要数据保护，重点加强个人信息保护事件和数据安全事件的应急处置能力，建立数据管理台账、制定数据安全事件应急预案。在发生数据安全事件时，应立即启动应急预案，采取相应补救措施，并按照《工业和信息化领域数据安全事件应急预案》规定向市通信管理局报告。市通信管理局建立车联网数据安全月报制度，定期汇总分析车联网行业数据安全事件管理和处置情况，各车联网企业应在每月10日前向市通信管理局报送上月度数据安全事件管理情况。

13. 加强数据对外共享使用管理。各车联网企业要明确数据共享和开发利用的安全管理和责任要求。企业需跨主体共享车联网相关数据的，应对数据合作方的数据安全保护能力进行审核评估，并将拟共享数据的类型、规模、用途、提供方式、提供周期、合作方主体等情况以及内部审核评估记录向市通信管理局报备，报备内容不包含数据本身。企业应加强对合作方数据安全保护能力的实质性评估，并对数据共享使用情况进行监督管理。其中，数据合作方应提供经上海市通信管理局或其所在地省级通信管理局审核通过的数据安全风险评估报告或审核通过的相关证明材料。

14. 加强出境数据报备管理。支持车联网相关数据在依法合规的前提下推进实现便利的跨境流动。积极开展车联网数据分类分级工作，促进非敏感数据的合规、高效跨境流动，着力加强数据出境的事中事后监管。在中华人民共和国境内收集和产生的、需要向境外提供的重要数据，应当依法依规进行数据出境安全评估，并将数据出境情况向市通信管理局报备。报备信息应包含数据出境的目的、方式、数据类型、数据规模、数据出境方情况、境外接收方情况等，不包含出境数据本身。