点击上方蓝字谈思实验室
获取更多汽车网络安全资讯
为持续规范汽车数据处理活动,切实保障用户合法权益,推动形成全社会共同维护汽车数据安全和促进汽车行业发展的良好环境,中国汽车工业协会、国家计算机网络应急技术处理协调中心依据《汽车数据安全管理若干规定(试行)》、GB/T41871-2022《信息安全技术 汽车数据处理安全要求》、GB/T44464-2024《汽车数据通用要求》法规标准有关规定,按照企业自愿送检原则,自2024年9月起,组织对汽车制造商汽车产品数据安全合规情况(涵盖车外人脸信息等匿名化处理、默认不收集座舱数据、座舱数据车内处理、处理个人信息显著告知等4项合规要求)进行检测,其中重庆长安、上汽、比亚迪、奇瑞、吉利、长城、蔚来、小鹏、一汽-大众等9家企业的139款车型符合汽车数据安全4项合规要求(部分车型不涉及车外人脸信息等匿名化处理要求)。具体汽车车型名单如下:
附件:检测标准与方法
中国汽车工业协会
国家计算机网络应急技术处理协调中心
2025年1月7日
附件
检测标准与方法
本次检测根据《汽车数据安全管理若干规定(试行)》有关要求,按照GB/T41871-2022《信息安全技术 汽车数据处理安全要求》、GB/T44464-2024《汽车数据通用要求》和TC260-PG-20241A《网络安全标准实践指南-车外画面局部轮廓化处理效果验证》相关技术标准组织实施。
一、检测对象
截至2024年9月27日前,按照《关于组织开展数据安全合规车型测评活动的通知》(中汽协函字【2024】440号),汽车制造商自愿向中国汽车工业协会和国家计算机网络应急技术处理协调中心送检的汽车。
二、检测标准
检测采用相同的测试要求、测试环境、技术标准和测试流程,包括车外人脸信息等匿名化处理、座舱数据不出车、座舱数据默认不收集以及处理个人信息显著告知4项要求。检测标准如下:
1. 车外人脸信息等匿名化处理要求
a. 车外数据未完成匿名化处理前,不应向车外提供;
b. 车端匿名化处理的视频、图像中的人脸目标和汽车号牌目标的匿名化检出率均应大于或等于90%。
2. 座舱数据不出车要求
a. 通过摄像头、红外传感器、指纹传感器和传声器从汽车座舱采集包含个人信息的数据,以及对其进行加工后产生的数据应取得个人信息主体同意后向车外提供;
b. 为远程查看、云存储等功能,向使用者提供数据,应取得个人同意、限制他人访问并采取安全措施;
c. 在选定的测评环境中测试车辆不应直接向境外传输个人信息。
3. 座舱数据默认不收集要求
a. 除非驾驶人自主设定,汽车应默认设定为不收集座舱数据的状态;
b. 汽车数据处理者应提供便利的终止收集座舱数据的方式;
c. 在保证行车安全以及人身安全的情况下,驾驶人选择终止收集后,应关闭车内传声器和摄像头等收集座舱数据的部件;
d. 处理敏感个人信息时,应对每项敏感个人信息取得个人信息主体单独同意;
e. 取得敏感个人信息主体单独同意时,处理敏感个人信息的同意期限不应为“永久”或“始终允许”。
4. 处理个人信息显著告知要求
a. 取得个人同意时,应通过至少一种显著方式向个人告知。处理个人信息的种类、处理各类个人信息的必要性,包括目的、用途、方式等;
b. 应使用清晰易懂的文字向个人信息主体说明收集个人信息的具体情境和必要性;
c. 应向个人信息主体告知各类型个人信息的保存期限,应具体且明确,例如 30 天或 1 年等,或保存期限的规则;
d. 应向个人信息主体告知其个人信息保存地点,应将保存地点位置精确到地级市并告知所有保存地点,或明确的保存地点规则;
e. 应为个人信息主体提供便捷的查阅、复制和删除等个人信息管理功能;个人信息管理功能应为交互式,且其功能入口应处于个人信息主体容易察觉的显著位置;
f. 应设置用户权益事务联系人,并对外告知准确有效的姓名和联系方式,联系方式包括电话号码、邮箱地址、网址或即时通信平台账号等;不便对外告知真实姓名的,应告知长期且固定使用的别名。
三、检测方法
针对不同车型(区分年款)的各项数据处理功能,在相同的标准下进行4项合规要求的检测,并根据相关功能的技术特点采取不同的检测方法。具体包括:
1. 车外人脸信息等匿名化处理的检测方法:企业提供第三方测试机构出具的车端匿名化报告,由技术人员从车端进行数据采样,并进行匿名化效果分析和报告审核确认;
2. 座舱数据不出车的检测方法:在车端进行车辆对外通信数据的抓取和分析;
3. 座舱数据默认不收集的检测方法:在车内进行各项座舱数据收集功能的符合性确认;
4. 处理个人信息显著告知的检测方法:在企业官方网站、车载应用程序或移动通信终端应用程序上进行《用户隐私协议》或其他告知方式内容的符合性确认。
来源:中汽协会技术部
end
精品活动推荐
专业社群
部分入群专家来自:
新势力车企:
特斯拉、合众新能源-哪吒、理想、极氪、小米、宾理汽车、极越、零跑汽车、阿维塔汽车、智己汽车、小鹏、岚图汽车、蔚来汽车、吉祥汽车、赛力斯......
外资传统主流车企代表:
大众中国、大众酷翼、奥迪汽车、宝马、福特、戴姆勒-奔驰、通用、保时捷、沃尔沃、现代汽车、日产汽车、捷豹路虎、斯堪尼亚......
内资传统主流车企:
吉利汽车、上汽乘用车、长城汽车、上汽大众、长安汽车、北京汽车、东风汽车、广汽、比亚迪、一汽集团、一汽解放、东风商用、上汽商用......
全球领先一级供应商:
博世、大陆集团、联合汽车电子、安波福、采埃孚、科世达、舍弗勒、霍尼韦尔、大疆、日立、哈曼、华为、百度、联想、联发科、普瑞均胜、德赛西威、蜂巢转向、均联智行、武汉光庭、星纪魅族、中车集团、赢彻科技、潍柴集团、地平线、紫光同芯、字节跳动、......
二级供应商(500+以上):
Upstream、ETAS、Synopsys、NXP、TUV、上海软件中心、Deloitte、奇安信、为辰信安、云驰未来、信大捷安、信长城、泽鹿安全、纽创信安、复旦微电子、天融信、奇虎360、中汽中心、中国汽研、上海汽检、软安科技、浙江大学......
人员占比
公司类型占比
更多文章
关于涉嫌仿冒AutoSec会议品牌的律师声明
一文带你了解智能汽车车载网络通信安全架构
网络安全:TARA方法、工具与案例
汽车数据安全合规重点分析
浅析汽车芯片信息安全之安全启动
域集中式架构的汽车车载通信安全方案探究
系统安全架构之车辆网络安全架构
车联网中的隐私保护问题
智能网联汽车网络安全技术研究
AUTOSAR 信息安全框架和关键技术分析
AUTOSAR 信息安全机制有哪些?
信息安全的底层机制
汽车网络安全
Autosar硬件安全模块HSM的使用
首发!小米雷军两会上就汽车数据安全问题建言:关于构建完善汽车数据安全管理体系的建议
