附任务清单：上海通管局发布2025年车联网网数安全专项行动

点击上方蓝字关注「魔都安全札记」

各车联网企业，各相关单位：

为进一步提升上海市车联网行业网络和数据安全防护水平，筑牢车联网网络和数据安全防线，护航智能网联汽车产业高质量发展，结合上海市车联网安全和发展实际，上海市通信管理局（以下简称市通管局）决定开展“铸盾车联”2025年车联网网络和数据安全专项行动。现将有关事项通知如下：

一、总体要求

坚持以习近平新时代中国特色社会主义思想为指导，全面贯彻党的二十大和二十届二中、三中全会精神，助力制造强国、网络强国和交通强国建设，落实《网络安全法》《数据安全法》《个人信息保护法》《网络数据安全管理条例》等法律法规和《工业和信息化领域数据安全管理办法（试行）》《汽车数据安全管理若干规定（试行）》《工业和信息化部关于加强车联网网络安全和数据安全工作的通知》《工业和信息化部关于加强智能网联汽车生产企业及产品准入管理的意见》等文件要求，科学统筹车联网行业发展与安全，系统构建车联网领域网络和数据安全治理体系，有序提升车联网行业网络和数据安全管理水平，着力营造规范有序、风险可控的车联网安全生态，护航上海市智能网联汽车产业高质量发展，助力新型工业化，维护国家安全和产业发展利益。

二、重点对象

专项行动重点对象为在上海市生产、销售智能网联汽车产品的企业（含智能网联汽车生产企业、具有智能网联功能的车载终端软硬件生产企业，不含代理销售企业），在上海市运营车联网相关平台的服务企业（含车联网服务平台运营商、车载应用平台运营商、OTA升级服务提供商、导航系统服务提供商、电子地图服务提供商、车载信息应用服务提供商、车联网卡服务提供商等），上海市车联网网络设施和车路协同设施运营企业以及自动驾驶功能产品和解决方案服务企业，上海市基础电信企业（以下统称车联网企业）。

三、主要任务

（一）网络和数据安全主体责任

1.落实网络和数据安全主体责任。

各车联网企业应按照相关法律法规和标准规范要求，建立健全网络和数据安全管理机制和制度体系，明确组织架构、责任部门、管理负责人和工作责任人，落实网络和数据安全保护责任，强化企业内部监督管理，加大资源保障力度，及时发现并解决安全隐患。处理重要数据的车联网企业应积极建立首席数据官制度。

（二）车联网平台安全

2.加强车联网网络安全防护定级备案管理。

各车联网企业应按照《车联网网络安全防护定级备案实施指南》等相关要求，依托全国车联网网络安全防护管理系统，对所属车联网服务平台、网络设施和系统定期开展网络安全防护定级工作，并向市通管局申请备案。市通管局会同市工业和信息化主管部门审核并发放定级备案号。所属车联网服务平台、网络设施和系统发生重要变更的车联网企业应主动更新备案信息。

3.加强车联网网络安全符合性评测和风险评估管理。各车联网企业应按照《车联网服务平台网络安全防护要求》等相关要求，严格落实分级防护管理。同时按车联网安全相关评测、评估标准，自行或委托第三方机构开展符合性评测和安全风险评估，并向市通管局报送。其中定级为三级及三级以上的车联网服务平台、网络设施和系统应当每年进行一次网络安全符合性评测和风险评估。定级为二级的车联网服务平台、网络设施和系统应当每两年进行一次。

4.开展车联网平台网络安全威胁通报。市通管局按照车联网平台网络安全威胁通报机制，定期对上海市车联网服务平台、网络设施和系统开展网络安全威胁检测与问题通报。各车联网运营平台企业应及时落实整改并报告有关情况，采取安全技术措施加强安全防护，防范网络侵入、数据窃取等风险。

（三）智能网联汽车产品安全

5.加强智能网联汽车产品网络和数据安全保障管理。

智能网联汽车产品生产企业应按照《汽车整车信息安全技术要求》等标准，加强整车及其关键零部件的网络和数据安全保障。相关智能网联汽车产品在上海市上市销售前或其网络功能有重要更新发布前，企业应自行或委托第三方机构对汽车整车、车载信息交互系统、T-Box、汽车网关等关键零部件开展安全检测。市通管局定期组织对智能网联汽车产品的安全风险情况进行抽测。

6.加强软件在线升级（OTA）安全保障管理。智能网联汽车产品生产企业应按照《汽车软件升级通用技术要求》等标准，加强软件在线升级管理，确保升级过程的安全性和合规性。在线升级软件在发布或更新前，企业应自行或委托第三方机构开展在线升级软件包网络安全检测。市通管局定期组织对升级软件包的安全风险情况进行抽测。

7.加强车联网应用程序网络和数据安全保障管理。各车联网企业应建立车联网应用程序开发、上线、使用、升级等安全管理制度，提升应用程序身份鉴别、通信安全、数据保护等安全能力。在车联网应用程序发布或更新前，企业应自行或委托第三方机构开展车联网应用程序安全检测。市通管局定期对车联网应用程序的安全风险情况进行抽测。

（四）车联网数据安全

8.加强车联网重要数据识别及目录备案管理。

各车联网企业应按照《数据安全法》《网络数据安全管理条例》和数据分类分级保护制度等相关要求，开展重要数据识别工作，形成并定期更新本企业重要数据目录，在7月31日前向市通管局备案。当重要数据条目数量或者存储总量等变化30%以上，或者其他备案内容发生重大变化时，企业应在三个月内向市通管局更新备案。

9.加强车联网数据安全风险评估管理。各车联网企业应按照《数据安全法》《工业和信息化领域数据安全管理办法(试行)》等相关要求，自行或委托第三方机构每年对其重要数据处理活动至少开展一次数据安全风险评估，强化隐患排查整改，并在11月30日前向市通管局报送数据安全风险评估报告。市通管局结合风险评估报告情况，对企业履行数据安全保护义务进行监督检查。

10.加强车联网个人信息保护管理。各车联网企业应按照《个人信息保护法》《汽车数据安全管理若干规定（试行）》等相关要求，落实车联网个人信息保护和安全风险评估管理。涉及个人信息处理的车联网企业在处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息、向境外提供个人信息、其他对个人权益有重大影响的个人信息处理活动前，应自行或委托第三方机构进行个人信息保护影响评估，并在11月30日前向市通管局报送个人信息保护影响评估报告。市通管局结合影响评估报告情况，对企业履行个人信息保护义务进行监督检查。

11.加强数据共享和出境安全管理。各相关车联网企业应明确数据共享和开发利用的安全管理和责任要求，对数据合作方的数据安全保护能力进行审核评估，并对数据共享使用情况进行监督管理。需向境外提供中华人民共和国境内收集和产生的重要数据的，应当依法依规进行数据出境安全评估，并向市通管局报备，报备内容不包含出境数据本身。

（五）车联网安全应急处置

12.加强车联网网络和数据安全事件应急处置管理。各车联网企业应按照《工业和信息化领域数据安全事件应急预案》《上海市公共互联网网络安全突发事件应急预案》等相关要求，建立健全网络和数据安全应急响应机制，制定网络和数据安全事件应急预案，强化网络和数据安全事件分类分级处置能力，明确网络和数据安全事件响应流程、职责分工、处置措施等。企业应当每年至少组织开展一次应急演练，及时处理安全威胁、网络攻击、数据安全风险等问题。在发生危害网络安全事件或较大及以上数据安全事件时，企业应立即启动应急预案，采取相应的补救措施，并向市通管局报告。

（六）车联网安全漏洞管理

13.加强车联网安全漏洞管理。各车联网企业应按照《网络产品安全漏洞管理规定》等相关要求，明确本企业漏洞发现、验证、分析、修补、报告等工作程序。企业发现或获知车联网安全漏洞后，应立即采取补救措施，并向工业和信息化部网络安全威胁和漏洞信息共享平台以及市通管局报送漏洞信息。对需要采取软件、固件升级等措施修补漏洞的，应当及时将漏洞风险及修补方式告知可能受影响的用户，并提供必要技术支持。市通管局定期开展漏洞通报工作，相关企业结合漏洞通报信息及时进行漏洞验证，并反馈漏洞验证和整改结果。市通管局结合漏洞验证和整改结果，定期对企业漏洞修补情况进行抽查。

（七）L3及以上自动驾驶网络和数据安全（今年新增）

14.加强L3及以上自动驾驶功能网络和数据安全保障管理。搭载自动驾驶功能的智能网联汽车生产企业和运营主体，在上海市行政区域内开展有条件自动驾驶、高度自动驾驶智能网联汽车道路测试、示范应用、示范运营、商业化运营活动前，应按照《关于加强智能网联汽车生产企业及产品准入管理的意见》《关于开展智能网联汽车准入和上路通行试点工作的通知》《上海市智能网联汽车测试与应用管理办法》等相关要求，自行或委托第三方机构对自动驾驶功能相关产品开展安全检测，并将相关检测报告向市通管局报备。市通管局定期组织开展抽测工作。

（八）车联网网络和数据安全能力成熟度评估（今年新增）

15.试点开展车联网网络和数据安全能力成熟度评估。市通管局指导行业协会及专业机构，依据《车联网网络安全和数据安全标准体系建设指南》《数据安全能力成熟度模型》，提出并制定适用于车联网场景的安全能力成熟度模型，规范车联网企业安全防护措施部署及安全服务实施，试点开展车联网网络和数据安全能力成熟度评估工作，推动车联网企业在网络安全管理、数据全生命周期保护、技术防护能力等维度的成熟度提升。

四、保障措施

各车联网企业应当充分认识提升本单位、本行业网络和数据安全防护能力的重要性，按照专项行动要求开展工作，并建立与市通管局的联络机制。市通管局组织开展车联网网络和数据安全专项检查，结合实际对工作优秀的单位予以表扬，对责任落实不到位的单位予以通报和处置；指导建设车联网安全靶场和车联网安全漏洞管理平台，加大车联网安全漏洞收集、研判、监测、通报力度；组织开展车联网网络安全实战攻防活动、智能网联汽车网络和数据安全人才评价和人才选拔竞赛活动，全面提升行业网络和数据安全管理水平。

附任务清单：

 内容来源：上海通信圈