关于汽车数据处理4项安全要求检测情况的通报(第一批)
为规范汽车数据处理活动,保障用户合法权益,鼓励头部汽车制造商发挥标杆作用,推动形成全社会共同维护汽车数据安全和促进汽车行业发展的良好环境,中国汽车工业协会、国家计算机网络应急技术处理协调中心依据《汽车数据安全管理若干规定(试行)》、GB/T 41871-2022《信息安全技术 汽车数据处理安全要求》等法规标准有关规定,按照企业自愿送检原则,2023年11月起组织对汽车制造商2022-2023年度新上市智能网联汽车数据安全合规情况(车外人脸信息等匿名化处理、默认不收集座舱数据、座舱数据车内处理、处理个人信息显著告知等4项合规要求)进行检测,其中比亚迪、理想、路特斯、合众新能源、特斯拉、蔚来等6家企业的76款车型符合汽车数据安全4项合规要求。具体汽车车型名单如下:
附件:检测标准与方法
中国汽车工业协会
国家计算机网络应急技术处理协调中心
2024年4月28日
附件
检测标准与方法
本次检测根据《汽车数据安全管理若干规定(试行)》有关要求,按照GB/T 41871-2022《信息安全技术 汽车数据处理安全要求》和T/CAAMTB 77-2022《汽车传输视频及图像脱敏技术要求与方法》相关技术标准,并参考《汽车数据通用要求(报批稿)》附录C组织实施。
一、检测对象
截至2023年11月15日前,按照《关于开展汽车数据安全合规工作的通知》(中汽协函字【2023】243号),汽车制造商自愿向中国汽车工业协会送检的2022-2023年度新上市智能网联汽车。
二、检测标准
检测采用相同的测试要求、测试环境、技术标准和测试流程,包括车外人脸信息等匿名化处理、默认不收集座舱数据、座舱数据车内处理以及处理个人信息显著告知4项要求。检测标准如下:
1.车外人脸信息等匿名化处理要求
a.车外数据未完成匿名化处理前,不应向车外提供;
b.车端匿名化处理的视频、图像中的人脸目标和汽车号牌目标的匿名化检出率均应大于等于90%。
2.默认不收集座舱数据要求
a.除非驾驶人自主设定,汽车应默认设定为不收集座舱数据的状态,当驾驶人通过实体按键或触摸按键等方式主动选择后才能开始收集,汽车可根据驾驶人设定,保持驾驶人选择的状态或恢复默认状态;
b.应提供便利的终止收集座舱数据的方式;
c.应对每项敏感个人信息取得个人信息主体单独同意;
d.处理敏感个人信息的同意期限不应设置为“始终允许”或“永久”。
3.座舱数据车内处理要求
除实现语音识别、远程查看车内情况、云存储功能以及依据相关规定向监管或执法机构传输数据的情形外,汽车不应向车外提供座舱数据;
4.处理个人信息的显著告知要求
汽车数据处理者处理个人信息应当通过用户手册、车载显示面板、语音、汽车使用相关应用程序等显著方式,告知个人以下事项:
a.处理个人信息的种类;
b.收集各类个人信息的具体情境以及停止收集的方式和途径;
c.处理各类个人信息的目的、用途、方式;
d.个人信息保存地点、保存期限,或者确定保存地点、保存期限的规则;
e.查阅、复制其个人信息以及删除车内、请求删除已经提供给车外的个人信息的方式和途径;
f.用户权益事务联系人的姓名和联系方式。
三、检测方法
针对不同车型(区分年款)的各项数据处理功能,在相同的标准下进行4项合规要求的检测,并根据相关功能的技术特点采取不同的检测方法。具体包括:
1.车外人脸信息等匿名化处理的检测方法:由技术人员从车端进行数据采样,并进行匿名化效果分析和数据统计;
2.默认不收集座舱数据的检测方法:在车内进行各项座舱数据收集功能的符合性确认;
3.座舱数据车内处理的检测方法:在车端进行车辆对外通信数据的抓取和分析;
4.个人信息显著告知的检测方法:在企业官方网站、车载应用程序或移动通信终端应用程序上进行《用户隐私协议》的符合性确认。
(来源:中汽协会技术部)