铸盾车联行稳致远｜2024上海车联网网络和数据安全专项行动专家解读

专项行动的目标：

保障网络和数据安全并推动车联网行业高质量发展‍‍

作为智慧交通和智能汽车领域的核心驱动力，车联网行业是新一代的新兴产业形态，同时也存在车辆产品安全、网络安全、数据安全和个人信息保护等安全风险，如何确保安全和发展并行成为车联网安全监管的重要落脚点。因此，专项行动紧紧围绕安全和发展两大关键词部署主要任务，在明确车联网企业的网络和数据安全责任的基础上，落脚于四层安全维度指引合规义务，鼓励自动驾驶功能安全管理水平的自主提升，最终推动和促进车联网行业高质量、高水平、高速度的发展。

专项行动的依据：

专项行动的法律依据与行动对象

（1）专项行动有法可依

专项行动提出了六大主要任务以保障车联网行业网络和数据安全。该六大主要任务来自《网络安全法》《数据安全法》《个人信息保护法》《汽车数据安全管理若干规定（试行）》《工业和信息化领域数据安全管理办法（试行）》等规范性文件。相关监管部门、车联网企业和车联网协会应当在专项行动指引下，基于上述法律依据依法开展车联网行业管理行为、落实车联网企业安全合规义务。

（2）行动对象明确清晰

企业侧：四类车联网企业应积极参与专项行为：生产、销售智能网联汽车产品的生产企业；运营车联网相关平台的服务企业；车联网网络设施和车路协同设施运营企业；自动驾驶功能产品和解决方案服务企业。

监管侧：专项行动由上海市通信管理局主导，并由其他部门配合行动。

03‍‍

专项行动的合规清单：“1+4+1”：

一大管理机制+四层合规维度+一个重点功能

（1）一大管理机制

车联网企业应当建立并逐步完善网络和数据安全管理机制。基于智能网联的特点，车联网企业应分别就网络安全、数据安全、个人信息保护三大方向，确定企业内部的管理制度。

a. 确认企业内部统筹负责车联网网络和数据安全管理的组织架构，分别建立网络和数据安全管理部门、网络和数据安全技术部门、个人信息保护部门等部门。同时，依照法律要求，设立个人信息保护负责人、网络安全负责人等。

b. 基于智能网联业务场景和风险点，围绕数据全生命周期确定各部门的职责。如网络和数据安全技术部门负责网络防火墙、数据限制访问等技术保障。

（2）四层安全合规维度

凭借丰富的实践经验，盈科全球数据合规服务中心郭卫红主任团队对上述义务清单逐一做了如下分析解读，以期为车联网从业者提供参考借鉴：

Ø 车联网网络安全防护定级备案和评测评估义务

a. 定级标准：依据团体标准T/CCSA 339-2021《车联网网络安全防护定级备案实施指南》，围绕定级对象的规模和服务范围、提供服务的重要性、受到破坏后产生的危害程度三个项目进行评估定级，并确定防护等级。

b. 定级备案对象：第一，车联网网络设施，一般指用于V2X的设施；第二，车联网网络服务平台，类如车辆远程控制平台、OTA升级平台、地图平台等。企业应当就上述两者进行定级备案。

c. 定级备案流程：确定定级对象→确定防护等级→工信部备案材料提交→省级通管局定级评审→发放备案证明

d. 评测评估流程：现场测评准备→现场测评和结果记录→符合性评测→安全风险评估→结果确认和资料归还→风险评估报告编制

e. 后续监督检查：完成定级备案和评测评估后，仍要继续进行安全风险监测和监督检查。

Ø 车联网网络安全应急处置义务

a. 安全应急预案：可参考《公共互联网网络安全突发事件应急预案》《上海网络安全突发事件应急预案》及《信息安全技术个人信息安全规范》的内容，结合《网络安全法》《数据安全法》《个人信息保护法》的规定要求，制定符合企业自身实际情况的应急预案。应急预案的结构应包含组织体系、事件分级、监测预警、应急处置、保障措施等内容。

b. 安全应急处置：

在发生危害网络安全的事件时，应按照《上海市公共互联网网络安全突发事件应急预案》《信息安全技术个人信息安全规范》等的规定报告市通信管理局、告知个人信息主体，同时立即启动应急预案，持续跟踪安全事件。

Ø 车联网安全监测预测管理义务

a. 车联网安全监测技术：车联网企业可以参考《车联网安全态势感知平台技术要求》《车联网安全态势感知平台与监管平台接口技术要求》《车联网安全监测数据采集技术要求及测试方法》《车联网流量筛选技术要求和测试方法》等行业标准，完善车联网安全监测技术。

b. 车联网安全风险监测平台：采取规则检测等技术手段，对智能网联汽车、车联网平台及联网系统开展网络安全相关监测。

c. 监测技术平台管理：留存相关网络技术不少于六个月，并与上海市通信管理局车联网安全监管和公共服务平台对接并接入有关监测数据。

Ø 车辆网络安全保障管理

a. 加强整车网络安全架构设计：包括车内系统通信安全保障、诊断接口（OBD）、通用串行总线（USB）端口、充电端口等。

b. 关键设备和部件开展安全防护和安全监测并进行报备：包括车载信息交互系统、汽车网关、电子控制单元等。

Ø 安全漏洞管理义务

a. 义务主体：智能网联汽车生产企业+具有智能网联功能的车载终端软硬件生产企业。

b. 义务内容：《网络产品安全漏洞管理规定》有关要求，包括明确安全漏洞管理工作程序、报送漏洞信息等。

Ø 车联网平台安全威胁通报义务

车联网企业应当采取必要的安全技术措施，保障以下安全内容，以应对市通信管理局开展的网络安全威胁检查行动。

a. 平台接入安全

b. 平台设施安全

c. 平台应用安全防护能力

Ø 在线升级服务安全监测评估义务

a. 评估主体：智能网联汽车生产企业+具有智能网联功能的车载终端软硬件生产企业。

b. 评估对象：在线升级服务软件包安全验证机制。

c. 评估报备：监测报告应报备市通信管理局。

Ø 应用程序网络安全监测评估义务

a. 评估主体：车联网企业

b. 评估对象：APP、小程序、车载应用等车联网应用程序。

c. 评估报备：将相关检测报告以及应用安装包向市通信管理局进行报备。

Ø 车联网数据安全评估管理义务

a. 评估对象：车联网企业应对其数据安全风险、数据安全合规性、数据出境安全等进行评估。

b. 评估准备：车联网企业应确定评估目标、评估范围、评估依据、评估工具、评估方案，并组建评估团队进行系统调研活动。

c. 评估实施：数据安全风险评估时，应当进行对数据资产、数据威胁、脆弱性识别等。

数据安全合规性应对技术管理、数据管理、数据存证等的评估。

d. 评估报告：评估结束后，车联网企业应当按照评估结果进行整改，并将报告报送上海市通信管理局。

Ø 数据安全和个人信息保护事件应急管理义务

安全应急预案、安全应急处理可参照【车联网网络安全应急处置义务】。

在发生数据安全和个人信息安全事件时，应立即启动应急预案，并按照《工业和信息化领域数据安全事件应急预案》规定向市通信管理局报告。

Ø 数据对外共享使用管理义务

a. 数据共享对象要求：数据合作方通过通信管理局的数据安全风险评估。

b. 数据共享合规义务：第一，实质性评估数据合作方的数据安全保护能力。第二，将评估结果、拟共享数据的类型、规模、用途、提供方式、提供周期、合作方主体等报备上海市通信管理局。

Ø 出境数据报备管理义务

a. 车联网数据分类：可参考《汽车数据安全管理若干规定》《车联网信息服务数据安全技术要求》《车联网信息服务用户个人信息保护要求》，将汽车数据分类为基础属性类数据、车辆工控类数据、环境感知类数据、车控类数据、应用服务类数据、用户个人信息。其中用户个人信息可分为用户身份证明类信息、车联网信息服务用户数据和服务内容信息、用户服务相关信息。

b. 车联网数据分级：参考《信息安全技术网络数据分级分类要求（征求意见稿）》，企业可以从数据场景和数据分级要素判断影响对象和影响程序后进行数据分级工作。

c. 汽车数据出境：为方便企业判断自身应采取何种数据出境途径，郭卫红团队根据丰富的数据出境合规经验，梳理制作了下方示意图，企业可参考适用。另外，企业除了向网信部门申报，还应将数据出境情况报备上海市通信管理局。

企业适用数据出境合规方案判断示意图

值得注意的是，根据《汽车数据安全管理若干规定（试行）》规定，汽车重要数据包括：①军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据；②车辆流量、物流等反映经济运行情况的数据；③汽车充电网的运行数据；④包含人脸信息、车牌信息等的车外视频、图像数据；⑤涉及个人信息主体超过10万人的个人信息；⑥国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。汽车数据处理者向境外提供上述重要数据的，应当向网信办申报数据出境安全评估。

（3）一个重点功能

自动驾驶作为智能网联汽车未来的重点发展领域，其安全治理的发展极为重要。因此，专项行动鼓励车联网企业按照《工业和信息化部关于加强车联网网络安全和数据安全工作的通知》《工业和信息化部关于加强智能网联汽车生产企业及产品准入管理的意见》等文件精神积极探索自动驾驶功能的网络安全管理。根据目前法律规范的要求，车联网企业在自动驾驶功能的网络安全管理中应注意以下合规事项：

a. 规范软件在线升级：未经审批，不得采取在线等软件升级方式新增或更新汽车自动驾驶功能。

b. 加强组合驾驶辅助功能产品安全管理：企业生产具有组合驾驶辅助功能的汽车产品的，应采取脱手检测等技术措施，保障驾驶员始终在执行相应的动态驾驶任务。

c. 加强自动驾驶功能产品安全管理：确保汽车满足自动识别自动驾驶系统失效以及是否持续满足涉及运行条件、自动驾驶运行状态、事件数据记录系统、自动驾驶数据记录系统等功能。

d. 建立自查机制：发现产品存在驾驶辅助和自动驾驶安全等严重问题的，应当依法依规立即停止相关产品的生产、销售，采取措施进行整改，并及时报告。

04‍‍‍

结语

车行天下，非安全无以致远。作为新兴领域，智能网联汽车的发展还有很长的道路要走。但网络和数据安全作为车联网健康发展的重要保障，必须予以足够的重视，本次专项行动也体现了，上海市通信管理局对确保车联网企业落实网络和数据安全合规义务的监管决心，并将开展常态化网络和数据安全监管工作。车联网企业应遵循专项行为提供的合规指引，主动落实网络和数据安全合规义务，积极配合上海市通信管理局和相关部门的管理指导。相信随着专项行动的深入，并在监管部门、上海市车联网协会，以及车企等各方的共同推动和努力下，车联网的网络与数据安全水平将得到大幅提升，也为车联网行业驶入快速发展道路提供坚实的基础。

作者简介

郭卫红 Davey

盈科全球数据合规服务中心主任

盈科股权高级合伙人

管委会委员（上海）

社会职务：

国家市场监管总局发展研究中心特聘专家

国家互联网应急中心网安导师

复旦大学研究生院实务导师

中国信通院DSI智库与“个人信息保护合规审计领航计划”专家

中国网络空间安全协会个人信息专家

上海市电子商务行业协会法律顾问

中国网络安全审查技术与认证中心数据安全官培训导师

个人履历：

郭卫红律师毕业于西南政法大学，曾于日本国立九州大学留学。郭律师原任上市集团数据安全法务专家，持有CCRC-DSO数据安全官证书，主导多个项目合规体系搭建，帮助企业有效降低经营风险及客诉，提高经营收益。甲方工作履历使其“懂行业、懂法律”的优势得到客户的高度认可。郭律师担任律师期间为超百家企业提供全球数据合规、网络安全、平台合规的法律服务及安全技术综合解决方案，拥有丰富的全球视野合规经验。此外，郭律师至今为近200家企业的管理层及员工提供法律合规专业培训。

郭律师还多次参与国家标准、行业指引、监管办法的起草和研讨工作，受邀参加新华社内参调研、网信办推荐教材撰写、上海市互联网企业合规经营指南撰写。并发表过数十篇行业报告、合规指引、专业文献、白皮书，经常接受央视、上海电视台、东方卫视、澎湃新闻、南方都市报等权威媒体的采访。

工作邮箱：[email protected]

工作微信：daveylawyer

添加郭律师工作微信

上海市车联网协会

上海市车联网协会是在上海市通信管理局、上海市经济和信息化委员会、上海市民政局的指导下，于2022年8月成立的非营利性社团组织。协会旨在建立上海车联网发展所需的政策法规、标准规范、技术创新、测试应用、国际合作等工作的坚实基础，有效开展5G和车联网关键技术、标准和产业研究，加快成果应用推广，促进政、产、学、研、资、用等各方资源的深度融合，共同探索上海市车联网产业发展的新模式和新机制。