近日,工信部政务新媒体“工信微报”在开设的“复文选编”栏目中,发布了关于政协第十三届全国委员会第四次会议第2296号提案答复的函,对谈剑锋等8名委员提出的《关于加强对智能汽车数据安全监管保障智能汽车产业安全健康发展的提案》进行了答复。答复全文如下:
当前,车联网作为汽车、电子、信息通信和道路交通跨界融合的典型领域,相关技术及产业处于快速发展阶段。随着汽车网联化、智能化程度不断提高,在方便用户操作、提升驾驶体验的同时,网络攻击、数据泄露等风险日益加大,一旦车辆被远程控制或恶意攻击,将严重危害用户人身和财产安全,甚至威胁国家和社会安全。你们提出的加强智能汽车数据安全监管、保障产业安全健康发展的建议,坚持安全与发展并重,将加强安全管理作为推动汽车产业高质量发展的重要保障,对于我部进一步完善相关管理制度和标准规范、健全工作机制具有重要借鉴意义。
近年来,相关部门高度重视以智能汽车为主体的车联网安全监管,开展了一系列工作。
一、统筹推进车联网产业发展和安全保障
车联网涉及信息通信、交通运输、车辆管理等多个行业。为进一步加强协同配合,2017年9月,国务院设立国家制造强国建设领导小组车联网产业发展专项委员会,由我部、发展改革委、科技部等20个部门组成,主要负责国家车联网发展顶层设计和统筹规划。其中,将健全车联网安全管理制度和标准体系、加强检测评估和安全保障作为重点工作任务推进,引导行业从源头上提升产品和服务安全水平,促进产业健康持续发展。
2018年12月,我部制定实施《车联网(智能网联汽车)产业发展行动计划》,围绕健全安全管理体系、提升安全防护能力、推进安全技术手段建设等方面,就加强车联网安全管理作出系统部署,推动形成深度融合、创新活跃、安全可信、竞争力强的车联网产业生态。
2020年2月,发展改革委、中央网信办和我部等11部门联合印发《智能汽车创新发展战略》,推动构建全面高效的智能汽车网络安全体系,督促指导企业持续完善安全管理联动机制,建设安全技术手段,提升网络安全防护和数据安全保护水平。2020年11月,国务院办公厅印发《新能源汽车产业发展规划(2021—2035年)》,明确健全网络安全管理制度,强化数据分类分级和合规应用,促进新能源汽车与信息通信融合发展。
2018年12月,我部制定实施《车联网(智能网联汽车)产业发展行动计划》,围绕健全安全管理体系、提升安全防护能力、推进安全技术手段建设等方面,就加强车联网安全管理作出系统部署,推动形成深度融合、创新活跃、安全可信、竞争力强的车联网产业生态。
2020年2月,发展改革委、中央网信办和我部等11部门联合印发《智能汽车创新发展战略》,推动构建全面高效的智能汽车网络安全体系,督促指导企业持续完善安全管理联动机制,建设安全技术手段,提升网络安全防护和数据安全保护水平。2020年11月,国务院办公厅印发《新能源汽车产业发展规划(2021—2035年)》,明确健全网络安全管理制度,强化数据分类分级和合规应用,促进新能源汽车与信息通信融合发展。
二、健全完善相关法律法规和政策要求
近年来,国家先后出台《全国人民代表大会常务委员会关于加强网络信息保护的决定》《网络安全法》《数据安全法》,明确网络安全、数据安全、个人信息保护的基本原则和要求,为强化数据安全和个人信息保护提供了法律保障。
一是中央网信办正联合我部等部门制定《汽车数据安全管理若干规定》,规范境内采集汽车相关数据类型、范围以及数据存储、向境外提供等处理活动,提高数据保护要求。
二是近期我部发布《关于加强智能网联汽车生产企业及产品准入管理的意见》,研究制定《关于加强车联网网络安全和数据安全工作的通知(征求意见稿)》,对智能网联汽车软件安全、数据安全提出了明确要求:在软件安全方面,督促企业建立软件包安全验证机制,采用安全可信的软件;开展在线升级软件包网络安全检测,及时发现产品安全漏洞;加强在线升级安全校验和监测应急能力,定期评估网络安全状况,防范软件被伪造、篡改、损毁、泄露和病毒感染等风险;建立车联网应用程序开发、上线、使用、升级等安全管理制度,加强应用程序安全检测,防范恶意应用程序攻击和传播。在数据安全方面,指导企业加强数据分类分级管理、提升数据安全技术保障能力、规范数据开发利用和共享使用、强化数据出境安全管理,防范数据被违规收集、使用和跨境传输。
一是中央网信办正联合我部等部门制定《汽车数据安全管理若干规定》,规范境内采集汽车相关数据类型、范围以及数据存储、向境外提供等处理活动,提高数据保护要求。
二是近期我部发布《关于加强智能网联汽车生产企业及产品准入管理的意见》,研究制定《关于加强车联网网络安全和数据安全工作的通知(征求意见稿)》,对智能网联汽车软件安全、数据安全提出了明确要求:在软件安全方面,督促企业建立软件包安全验证机制,采用安全可信的软件;开展在线升级软件包网络安全检测,及时发现产品安全漏洞;加强在线升级安全校验和监测应急能力,定期评估网络安全状况,防范软件被伪造、篡改、损毁、泄露和病毒感染等风险;建立车联网应用程序开发、上线、使用、升级等安全管理制度,加强应用程序安全检测,防范恶意应用程序攻击和传播。在数据安全方面,指导企业加强数据分类分级管理、提升数据安全技术保障能力、规范数据开发利用和共享使用、强化数据出境安全管理,防范数据被违规收集、使用和跨境传输。
三、积极推动制定相关技术标准
我部高度重视标准的引导作用,积极推动车联网安全标准化工作。
一是加强标准统筹规划。我部与国家标准委等部门先后印发《国家车联网产业标准体系建设指南(智能网联汽车)》(工信部联科〔2017〕332号)、《国家车联网产业标准体系建设指南(车辆智能管理)》(工信部联科〔2020〕61号)、《国家车联网产业标准体系建设指南(智能交通相关)》(工信部联科〔2021〕23号)等文件,引导相关单位和企业科学、系统地制定车联网相关标准。
二是积极推动车联网安全标准研制。推动《汽车整车信息安全技术要求》《汽车软件升级通用技术要求》等强制性国家标准立项,发布《车联网信息服务平台安全防护技术要求》《基于公众电信网的联网汽车安全技术要求》等行业标准,对车联网基础设施安全、平台安全、服务安全、应用程序安全等提出了技术规范。发布《车联网信息服务 数据安全技术要求》《车联网信息服务 用户个人信息保护要求》等行业标准,规定了车联网数据和用户个人信息分类方法,针对数据采集、传输、存储、使用、共享等关键环节,提出了分级保护的规范要求。
一是加强标准统筹规划。我部与国家标准委等部门先后印发《国家车联网产业标准体系建设指南(智能网联汽车)》(工信部联科〔2017〕332号)、《国家车联网产业标准体系建设指南(车辆智能管理)》(工信部联科〔2020〕61号)、《国家车联网产业标准体系建设指南(智能交通相关)》(工信部联科〔2021〕23号)等文件,引导相关单位和企业科学、系统地制定车联网相关标准。
二是积极推动车联网安全标准研制。推动《汽车整车信息安全技术要求》《汽车软件升级通用技术要求》等强制性国家标准立项,发布《车联网信息服务平台安全防护技术要求》《基于公众电信网的联网汽车安全技术要求》等行业标准,对车联网基础设施安全、平台安全、服务安全、应用程序安全等提出了技术规范。发布《车联网信息服务 数据安全技术要求》《车联网信息服务 用户个人信息保护要求》等行业标准,规定了车联网数据和用户个人信息分类方法,针对数据采集、传输、存储、使用、共享等关键环节,提出了分级保护的规范要求。
四、强化安全技术保障
我部持续加强并引导行业加大资金和技术投入,提升车联网安全管理水平。
一是建设工业互联网安全态势感知与风险预警平台,开展车联网安全威胁监测,并及时通报处置,有效支撑车联网网络安全和数据安全保护等工作。
二是印发《网络产品安全漏洞管理规定》,推动建立车联网网络安全通报机制,发布软件漏洞通报,指导相关企业开展隐患排查,及时防范和化解网络安全和数据安全风险。
三是支持汽车制造、信息通信、互联网等领域骨干企业加强车载操作系统等产品研发与产业化,提升智能汽车安全可控水平;依托工业互联网创新发展工程,支持车联网加密认证、安全态势感知、安全检测等项目,初步形成面向车联网平台、应用程序以及T-BOX、IVI等关键部件的安全风险评估能力。
四是开展网络安全技术应用试点示范,设置车联网安全赛道,围绕车路协同通信安全、应用安全、车载系统安全防护等方向遴选20个优秀解决方案,引导企业加强核心技术研发与应用,促进车联网安全领域先进技术和解决方案应用推广。
一是建设工业互联网安全态势感知与风险预警平台,开展车联网安全威胁监测,并及时通报处置,有效支撑车联网网络安全和数据安全保护等工作。
二是印发《网络产品安全漏洞管理规定》,推动建立车联网网络安全通报机制,发布软件漏洞通报,指导相关企业开展隐患排查,及时防范和化解网络安全和数据安全风险。
三是支持汽车制造、信息通信、互联网等领域骨干企业加强车载操作系统等产品研发与产业化,提升智能汽车安全可控水平;依托工业互联网创新发展工程,支持车联网加密认证、安全态势感知、安全检测等项目,初步形成面向车联网平台、应用程序以及T-BOX、IVI等关键部件的安全风险评估能力。
四是开展网络安全技术应用试点示范,设置车联网安全赛道,围绕车路协同通信安全、应用安全、车载系统安全防护等方向遴选20个优秀解决方案,引导企业加强核心技术研发与应用,促进车联网安全领域先进技术和解决方案应用推广。
五、下一步工作
我部将会同相关部门进一步健全完善车联网安全监管工作体系和工作机制,促进产业高质量发展。
一是进一步完善车联网安全管理制度。研究制定数据出境安全评估办法、工业和信息化领域数据安全管理办法、车联网数据安全指引等政策规范,加快发布《车联网网络安全标准体系建设指南》和数据安全评估认证等相关标准,指导企业完善管理制度和技术措施、开展数据分类分级等工作。
二是强化车联网安全监测和漏洞管理。完善车联网安全监测技术平台,扩大监测服务范围,不断提升网络安全、数据安全监测能力;完善车联网安全威胁和漏洞通报处置机制,加强对智能网联汽车、车载联网关键设备等安全漏洞进行监测预警和通报处置。
三是加强车联网安全监管。督促车联网平台落实电信业务经营许可管理要求,加强网络安全防护和监督检查,督促企业落实网络安全、数据安全保护义务。
四是促进车联网安全产业发展。印发《网络安全产业高质量发展三年行动计划(2021-2023年)》,指导电信等重点行业网络安全投入占信息化投入比例达到10%,鼓励有关企业和机构加大网络安全服务力度,创新服务模式,不断提升网络安全和数据安全保障能力;支持车联网安全技术创新和解决方案研究与推广应用,培养一批面向车联网、工业互联网等新赛道的“专精特新”中小企业。
一是进一步完善车联网安全管理制度。研究制定数据出境安全评估办法、工业和信息化领域数据安全管理办法、车联网数据安全指引等政策规范,加快发布《车联网网络安全标准体系建设指南》和数据安全评估认证等相关标准,指导企业完善管理制度和技术措施、开展数据分类分级等工作。
二是强化车联网安全监测和漏洞管理。完善车联网安全监测技术平台,扩大监测服务范围,不断提升网络安全、数据安全监测能力;完善车联网安全威胁和漏洞通报处置机制,加强对智能网联汽车、车载联网关键设备等安全漏洞进行监测预警和通报处置。
三是加强车联网安全监管。督促车联网平台落实电信业务经营许可管理要求,加强网络安全防护和监督检查,督促企业落实网络安全、数据安全保护义务。
四是促进车联网安全产业发展。印发《网络安全产业高质量发展三年行动计划(2021-2023年)》,指导电信等重点行业网络安全投入占信息化投入比例达到10%,鼓励有关企业和机构加大网络安全服务力度,创新服务模式,不断提升网络安全和数据安全保障能力;支持车联网安全技术创新和解决方案研究与推广应用,培养一批面向车联网、工业互联网等新赛道的“专精特新”中小企业。
感谢你们对车联网数据安全工作的关心和大力支持。
工业和信息化部
2021年8月12日