近日，工業和信息化部印發了《關于加強車聯網網絡安全和數據安全工作的通知》（以下簡稱《通知》），標志著我國車聯網網絡安全和數據安全工作進入了落地實施新階段?！锻ㄖ妨⒆阌谲嚶摼W產業快速發展、網絡安全和數據安全保護需求，統籌發展和安全，強化車聯網安全工作落地部署，加快構筑車聯網產業安全發展、行穩致遠的“基線”和“防線”，為統籌推進全方位、多層次車聯網安全管理和防護工作提出了重要政策要求和實踐指引，對全面提升車聯網安全保障能力、有力促進車聯網產業規范健康發展具有重大而深遠的意義。

　　一、車聯網的發展和安全是驅動之雙輪，新形勢下加強車聯網安全工作必要及時、意義重大

　　一是貫徹落實國家政策部署和法律法規必然要求、規范車聯網網絡安全和數據安全工作的關鍵抓手。《網絡安全法》《數據安全法》《關鍵信息基礎設施保護條例》作為我國網絡空間安全領域的基本法律法規，同樣是開展車聯網網絡安全和數據安全工作的根本依據?！缎履茉雌嚠a業發展規劃（2021-2035年）》《汽車數據安全管理若干規定（試行）》等國家政策部署也進一步強化車聯網網絡安全和數據安全保護相關要求?！锻ㄖ纷鳛橥七M我國車聯網網絡安全和數據安全工作的一項關鍵舉措，強化與相關法律法規及政策要求的有效銜接，為車聯網安全工作落地和保障能力提升提供了重要的政策保障和行動要義。

　　二是應對日益復雜的車聯網安全形勢，保障智能網聯汽車安全和車聯網產業健康發展的客觀要求。近年來，網絡安全不確定性、不穩定性要素明顯增加。全球汽車智能化、網聯化深入推進，車聯網發展逐步呈現“人-車-路-網-云”全方位跨域互聯和融合開放的特點，網絡安全風險威脅進一步蔓延至智能網聯汽車內外網絡及通信、車聯網平臺及應用、車載聯網設備、數據等更大范圍、更多對象和環節，“易攻難守”態勢不斷加劇?！锻ㄖ肪劢管嚶摼W融合發展過程中的安全風險與挑戰，明確六方面要求，細化十七條任務，督促指導智能網聯汽車生產企業、車聯網服務平臺運營企業等產業多方主體，明確規范車聯網應用側、企業側和產業側的網絡安全和數據安全要求，進一步保障車聯網全產業、全鏈條安全健康發展，促進車聯網發展和安全協調一致、齊頭并進。

　　三是提升車聯網安全防護能力，健全車聯網安全保障體系的重要舉措?！锻ㄖ烦浞职盐哲嚶摼W發展和安全的“一體兩翼”、“驅動雙輪”關系，堅持“關口前移、底線思維”，壓實網絡安全主體責任和管理重點，細化強化智能網聯汽車安全以及車聯網網絡與通信、平臺、數據等精細化、差異化安全防護要求，進一步構建完善適應車聯網產業穩健發展、行穩致遠的更高安全保障能力，加速健全車聯網安全長效工作機制和保障體系，增強車聯網安全發展韌性。

　　二、體系化聯動部署，強化車聯網安全保障的行動措施

　　《通知》明確了“落實安全主體責任、全面加強安全保護”的基本要求，細化了汽車、網絡、平臺、數據等多層面的安全防護要求，為車聯網安全工作提供了系統性指引。

　?。ㄒ唬簩嵃踩黧w責任。《通知》明確了智能網聯汽車生產企業、車聯網服務平臺運營企業、基礎電信企業等相關車聯網企業的安全主體責任，從管理制度和責任制、明確負責人和管理機構、內部監督管理、資源保障，以及安全宣傳、教育和培訓等多個層面提出了明確要求，引導企業全方位構建車聯網絡安全和數據安全工作的長效機制和多方面手段。

　?。ǘ┘毣踩雷o要求?！锻ㄖ妨⒆闫?、信息通信等網絡安全和數據安全管理的工作實際，明確了多方面多層次的任務及措施。一是強化車聯網網絡安全和數據安全全局管理，注重管理與技術并重，強調安全管理制度、工作機制、防護措施、技術手段、標準規范等體系化工作的落實落地。二是細化落實車聯網不同主體、不同防護要素等的安全要求，覆蓋汽車、網絡、平臺、數據等安全防護對象，明確了定級備案、防護檢測、檢查評估、監測預警、應急處置、漏洞管理等閉環機制及要求，是指引車聯網網絡安全和數據安全工作全面、系統、有效開展的重要依據。

　?。ㄈ┘訌娖嚢踩雷o和漏洞管理。汽車網絡及軟硬件系統的設計缺陷、安全漏洞等風險隱患突出。例如，車載CAN總線存在的設計缺陷可導致汽車拒絕服務攻擊，威脅汽車功能安全。當前聯網汽車市場滲透率不斷提升，單個聯網車型的市場保有量普遍過萬，汽車產品漏洞一旦被惡意利用，可能引發規模化網絡攻擊或入侵，影響公共安全，甚至是國家安全?！锻ㄖ窂娀似嚢踩雷o和漏洞管理要求。在安全防護方面，明確了整車網絡安全架構設計、車內通信系統安全和網絡攻擊防范等要求。尤其是針對車載關鍵設備及部件應進行安全檢測，保障汽車系統安全運行。在漏洞管理方面，重點面向智能網聯汽車生產企業，明確了漏洞發現、驗證、分析、報送、修補、報告等工作要求。

　?。ㄋ模娀W絡和通信全鏈條、多場景安全防護?！锻ㄖ窂娀私④嚶摼W身份認證和安全信任機制建設的重要性，提出應采取必要技術措施，防范通信信息偽造、重放攻擊等安全風險，并加快推進跨車型、跨設施、跨企業的互聯互認互通，保障車聯網網絡和通信安全。

　?。ㄎ澹┚o抓平臺及應用整體性、分層次安全防護。經評估發現，目前車聯網服務平臺安全防護能力普遍不足，存在一定程度的未修復中高危漏洞，且因服務平臺自身網絡安全問題隱患可導致車輛遠程控制失效、用戶敏感信息和重要數據泄露等級聯風險?！锻ㄖ窂娬{了應全面提升車聯網平臺及應用安全防護能力，從平臺接入安全、設施安全、平臺及OTA升級服務安全，以及應用程序安全等方面提出了具體要求。對涉及在線數據處理與交易處理、信息服務業務等電信業務的，企業應依法取得電信業務經營許可。尤其是對于被納入關鍵信息基礎設施安全保護管理的車聯網服務平臺，應嚴格落實國家有關規定，強化安全防護，可依托第三方商用密碼檢測機構開展商用密碼應用安全評估。

　　（六）明晰數據安全管理、技術、使用和出境等多層面要求。當前，聯網汽車數據采集范圍、類型日趨擴大，規模乘數增長，采集數據涵蓋了可能關乎國家安全的道路、車流等環境數據，以及可能影響個人隱私和安全的錄音錄像、生物特征、位置軌跡等用戶相關數據，且基于車聯網數據的處理、分析及應用趨于深層次和多樣化。總體來看，當前車聯網數據安全保障能力仍不足，數據處理活動不規范，車聯網數據安全問題日益突出。《通知》立足車聯網數據安全管理和保護的焦點、難點，明確了具體要求：一是加強車聯網數據分類分級管理，明確了“誰主管、誰負責，誰運營，誰負責”的數據安全管理原則。二是強調了數據開發利用和共享使用的安全管理和責任，明確定期開展數據安全風險評估，以及對數據合作方的安全能力審核評估和監督管理、數據出境安全管理等具體要求。三是確立了工業和信息化主管部門、地方通信管理局的車聯網數據安全監督檢查，以及數據出境備案、安全評估等工作職責。企業數據安全評估、數據出境安全評估等落實情況均應向地方通信管理局和工業和信息化主管部門報備。

　　三、找準關鍵，筑牢車聯網安全防線

　　《通知》著力強化了車聯網安全定級備案、監測預警、應急處置等重點要求，以標準體系建設和實踐應用為牽引，建立健全閉環管理機制和手段。

　?。ㄒ唬┮幏兑I，加快車聯網安全標準體系建設。一是強化標準體系的頂層規劃設計，依據2021年6月已發布的《車聯網（智能網聯汽車）網絡安全標準體系建設指南（征求意見稿）》，加快標準體系制定完善和發布。二是依托全國通信標準化技術委員會、全國汽車標準化技術委員會等組織，結合已發布的車聯網服務平臺安全防護、數據安全、個人信息保護等標準，加快組織研制防護定級、汽車漏洞分類分級、通信交互認證，以及檢測、評估、認證等重點急需的行標和國標。三是強化智能汽車生產企業、車聯網服務平臺運營企業與第三方機構、安全企業等交流合作，推動企業宣標貫標和應用試點，強化標準工作實際落地。四是鼓勵車聯網相關企業、聯盟協會等積極推進企業標準、團體標準的制定。

　?。ǘ┟宓讛?，開展車聯網網絡安全防護定級備案工作。《通知》重點面向車聯網網絡設施和系統，明確智能網聯汽車生產企業、車聯網服務平臺運營企業應按照車聯網網絡安全防護相關標準，對所屬網絡設施和系統開展網絡安全防護定級工作，并向地方通信管理局備案。同時，針對新建網絡設施和系統，應在規劃設計階段確定網絡安全防護等級。地方通信管理局會同工業和信息化主管部門做好定級備案審核工作。

　　（三）強化保障，加快監測預警和應急處置能力建設。著眼車聯網安全閉環長效管理，應強化國家、企業多層面的監測和應急能力建設。《通知》明確要建立車聯網安全監測預警通報與應急響應處置機制。從國家層面，加強車聯網網絡安全監測平臺建設，開展網絡安全威脅、事件的監測預警通報和安全保障服務。從企業層面，應建立網絡安全監測預警與應急響應機制，建設安全監測技術手段，對智能網聯汽車、車聯網服務平臺及聯網系統開展網絡安全相關監測，及時發現網絡安全事件或異常行為，制定網絡安全事件應急預案，定期開展定急演練，及時處置安全威脅、網絡攻擊等網絡安全風險。

　　四、車聯網安全工作新階段的幾點思考

　?。ㄒ唬┘脊苋诤?、聯動管理，促長效機制落地。建立有效機制手段，健全車聯網網絡安全和數據安全定級防護、監督檢查、風險評估、信息共享和通報、應急處置等管理閉環和協同機制。促進管理有效落地，面向汽車、網絡、平臺、數據等安全防護對象，加快建設國家車聯網安全定級備案、監測應急等管理服務手段，提高技術和管理協同聯動能力，全面提升車聯網安全保障水平。

　?。ǘ┮栽u促防、以評促建，筑牢車聯網安全防護基線。聚焦車聯網相關主體和網絡設施及網絡系統、服務平臺、車載聯網關鍵設備、數據等重點對象，加快開展車聯網網絡安全和數據安全符合性評測和風險評估，建立健全檢測、評估及認證體系。鼓勵支持第三方專業機構打造車聯網安全檢測評估服務平臺，以測評為手段，以服務為牽引，支撐行業及地方主管部門開展安全監督檢查、檢測和評估服務，促進車聯網安全防護水平有效提升。

　?。ㄈ娀┙o、保障服務，持續強勁車聯網安全產業發展活力。立足車聯網安全保障和開放創新的需求，一方面，化風險為動力，提升車聯網安全人才、技術、產品、方案等供給服務能力，促進我國車聯網產業安全健康、高質量發展。另一方面，注重“應用導向、供給提升”，匯聚產業各方共建車聯網安全創新服務平臺和協同機制，培育最佳實踐、優秀方案和協同服務能力，建立車聯網安全自增強、自適應的產業和應用體系，為車聯網安全產業發展持續注入活力。