2021年9月16日，工信部发布《关于加强车联网网络安全和数据安全工作的通知》（下称“《通知》”），强调加强智能网联汽车、车联网网络、车联网服务平台以及数据等多方面的安全防护。就在前几日（9月13日），工信部装备工业发展中心发布《关于开展汽车数据安全、网络安全等自查工作的通知》（下称“《自查通知》”），组织开展汽车数据安全、网络安全、软件在线升级（又称OTA升级）和驾驶辅助功能情况自查工作。而马上在今年10月1日，《汽车数据安全管理若干规定（试行）》将正式生效。汽车行业的网络安全和数据安全愈发受到重视，安全漏洞管理是车联网网络安全防护工作的重要组成部分。

一、车联网安全漏洞管理的合规重要性

《通知》指出，要加强智能网联汽车安全防护，应落实安全漏洞管理责任，同时加强在线升级服务（OTA）安全和漏洞检测评估，维护车联网服务平台安全。

《自查通知》亦要求相关企业自查自身安全漏洞管理情况：

二、车联网安全漏洞管理的责任主体

2021年9月1日正式生效的《网络产品安全漏洞管理规定》（下称“《漏洞管理规定》”）明确其适用范围包括，中华人民共和国境内的网络产品（含硬件、软件）提供者和网络运营者，以及从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人。

根据《智能交通 数据安全服务》（GB/T 37373-2019），车联网（Internet of Vehicles）是指以车内网、车际网和车载移动互联网为基础，按照约定的通信协议和数据交互标准，在车与外界（车、路、行人及互联网等）之间进行无线通信和信息交换的大系统网络，能够实现智能化交通管理，智能动态信息服务和车辆智能化控制的一体化网络。智能网联汽车搭载先进的车载传感器、控制器、执行器等装置，融合现代通信与网络技术，能实现车与车、路、人、云端等智能信息交换、共享，具备复杂环境感知、智能决策、协同控制等功能。

将目光置于车联网场景，可将承担车联网安全漏洞管理的责任主体分为三类：

（1）智能网联汽车生产企业（包括联网主机、车载应用软件等网络产品提供者）；

（2）车联网服务平台运营企业（网络运营者）；

（3）车联网网络产品安全漏洞收集平台（从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人）。

三、车联网安全漏洞管理的主要内容

（一） 日志留存义务

智能网联汽车生产企业、车联网服务平台运营企业及车联网网络产品安全漏洞收集平台均应建立健全网络产品安全漏洞信息接收渠道并保持畅通，留存网络产品安全漏洞信息接收日志不少于6个月。

（二）安全漏洞管理义务

1. 智能网联汽车生产企业

智能网联汽车生产企业作为网络产品提供者，应确保其产品安全漏洞得到及时修补和合理发布，并指导支持产品用户采取防范措施。

具体而言，智能网联汽车生产企业应明确本企业漏洞发现、验证、分析、修补、报告等工作程序。发现或获知汽车产品存在漏洞后，应立即采取补救措施，同时组织对安全漏洞进行验证，评估安全漏洞的危害程度和影响范围。对属于其上游产品或者组件存在的安全漏洞，还应立即通知相关产品提供者。

智能网联汽车生产企业应在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送漏洞信息，报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。对需用户（含下游厂商）采取软件、固件升级等措施修补漏洞的，应及时将漏洞风险及修补方式告知可能受影响的用户，并提供必要技术支持。《漏洞管理规定》鼓励智能网联汽车生产企业等网络产品提供者建立所提供网络产品安全漏洞奖励机制，对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。

在提供在线升级服务（OTA）时，智能网联汽车生产企业需注意履行如下安全漏洞管理义务：

软件安全

1.建立在线升级服务软件包安全验证机制，采用安全可信的软件；

2.开展在线升级软件包网络安全检测，及时发现产品安全漏洞

环境安全

加强在线升级服务安全校验能力，采取身份认证、加密传输等技术措施，保障传输环境和执行环境的网络安全

服务安全

1.加强在线升级服务全过程的网络安全监测和应急响应；

2.定期评估网络安全状况，防范软件被伪造、篡改、损毁、泄露和病毒感染等网络安全风险

2. 车联网服务平台运营企业

车联网服务平台运营企业发现或者获知其网络、信息系统及其设备存在安全漏洞后，应立即采取措施，及时对安全漏洞进行验证并完成修补。

3.车联网网络产品安全漏洞收集平台

《漏洞管理规定》鼓励发现网络产品安全漏洞的组织或者个人向工业和信息化部网络安全威胁和漏洞信息共享平台、国家网络与信息安全信息通报中心漏洞平台、国家计算机网络应急技术处理协调中心漏洞平台、中国信息安全测评中心漏洞库报送网络产品安全漏洞信息。

任何组织或者个人设立的车联网网络产品安全漏洞收集平台，应向工业和信息化部备案。2021年9月13日，工信部发布《网络产品安全漏洞收集平台备案管理办法（征求意见稿）》，对平台的备案义务作出明确规定。在车联网领域，车联网产品安全漏洞专业库（China Automobile Vulnerability Database，CAVD）、车辆安全漏洞预警与分析平台（China Vehicle Vulnerability Database，CVVD）等是目前比较知名的车联网网络产品安全漏洞收集平台。

车联网网络产品安全漏洞收集平台应遵循必要、真实、客观以及有利于防范网络安全风险的原则发布车联网网络产品安全漏洞信息，并加强内部管理，采取措施防范网络产品安全漏洞信息泄露和违规发布。平台发布漏洞信息应遵守“八不得”要求：

（三）法律责任

结语

车联网较之互联网，与用户的生命财产安全关系更为密切。在快速发展的同时，车联网安全风险亦日益凸显，构建全面有效的车联网安全漏洞管理体系具有必要性与紧迫性。车联网各主体应建立健全安全漏洞管理机制，加强漏洞监测能力，提升漏洞处置技术水平，及时报告和披露漏洞信息，实现车联网的安全运行与持续发展。

作者：

吴丹君律师，观韬中茂上海办公室合伙人，律商联讯LexisNexis网络安全合规专家、首席数据官联盟专家组成员及法律顾问、深圳市大数据研究与应用协会法律专家。

张振君，法律硕士，现就职于北京观韬中茂（上海）律师事务所，专注于公司法、网络安全和数据合规领域，致力为客户提供咨询、全流程合规整改及争议解决服务。

来源：微信公众号“大数据法律研究”