标准解读丨GB/T 41871-2022《信息安全技术 汽车数据处理安全要求》解读
在智能技术不断发展的背景下,车辆系统变得更加复杂和互联。从传感器数据到远程控制,新功能的广泛应用带来了便利,也带来了数据安全和隐私保护的挑战。全国信息安全标准化技术委员会于2022年10月12日发布了GB/T 41871-2022《信息安全技术 汽车数据处理安全要求》(以下简称“GB/T 41871标准”),并于2023年5月1日起实施。该标准从通用安全、车外数据安全、座舱数据安全和管理安全提出要求,旨在保护车辆和乘客的隐私,防止未经授权的数据访问和恶意攻击,进一步保障消费者的权益。
GB/T 41871标准基本框架
01 标准适用范围
GB/T 41871标准适用于汽车数据处理者对汽车的设计、生产、销售、使用和运维,也适用于主管监管部门和第三方评估机构等对汽车数据处理活动进行监督、管理和评估。
02 主要规定与要求
1 通用安全要求
GB/T 41871标准对汽车数据通用安全要求引用了GB/T 35273-2020《信息安全技术 个人信息安全规范》和GB/T 40660《信息安全技术 生物特征识别信息保护基本要求》的内容,并在此基础上提出了个人信息告知规范的要求、敏感个人信息处理要求、个人信息运营者要求和重要数据要求。
敏感个人信息举例
2 车外数据安全要求
《汽车数据规定》提出车内处理原则,若确需向车外提供应当进行匿名化处理。GB/T 41871标准对车外数据匿名化处理提出更细化要求,详细指出两种匿名化处理手段的操作方式:完整删除是指删除个人信息图片和视频关键帧,局部轮廓处理是指擦除或替换人员、车牌等个人信息区域。
3 座舱数据安全要求
《汽车数据规定》提出车内处理原则和默认不收集原则,GB/T 41871标准对两项原则在座舱数据方面进一步明确。标准指出车辆默认不收集座舱数据原则和开启收集的方法,指出座舱数据可以向车外提供的特殊情形以及终止收集座舱数据的方式。
4 管理安全要求
GB/T 41871标准对汽车数据风险评估、汽车数据安全管理负责人、安全事件应急处置机制、投诉处理、汽车制造商对零部件供应商数据监督等问题作出具体规定,细化了《汽车数据规定》的相关要求。
03 影响与意义
GB/T 41871标准对汽车行业具有重要影响和意义,提升了车辆数据的安全性,有效减少了数据泄露等安全隐患,也为政策法规的实施提供了技术支持。
中汽研软件测评(天津)有限公司(简称“软件测评中心”)平台总监赵秋俊认为,基于41871标准要求,车辆制造商应多关注如下容易被忽略的问题:
1.在用户告知过程中,收集敏感个人信息是否单独征得授权同意。例如,地图软件需要获取精准地位信息、读取摄像头图像等敏感个人信息;
2.在征得用户授权同意过程中,敏感个人信息是否存在永久授权。例如,申请获取权限时,授权期限应为仅在使用过程中允许或仅允许一次;
3.车外数据是否进行匿名化处理。例如,车辆的“哨兵模式”存在车外影像上传云端的行为,需先将采集的影像通过删除关键帧或者局部模糊等方式处理后,再上传云端系统。
总体而言,GB/T 41871标准促进了智能网联汽车的发展进步。软件测评中心构建了基于GB/T 41871标准要求的摸底测试、整改分析、验证测试等能力,可为企业进行汽车个人信息安全评估测试。未来,软件测评中心将继续致力于提升数据处理安全技术,确保为客户提供更高效、更安全的测试服务,为智能网联汽车的安全发展保驾护航。
-
汽车测试网V课堂
-
微信公众号
-
汽车测试网手机站
最新资讯
-
直播|革新汽车仿真:探索 VI-grade 2025.1
2024-11-05 16:03
-
用于高压电池测试的加速度计
2024-11-05 14:44
-
卡特彼勒新一代240吨电动矿卡投入使用
2024-11-05 14:43
-
[法规] 欧盟发布重型车辆事件数据记录仪(E
2024-11-05 14:43
-
城无界野无疆 柴油混动火星9越野版曝时尚越
2024-11-05 12:02