广告
标准解读丨GB/T 41871-2022《信息安全技术 汽车数据处理安全要求》解读
随着智能网联汽车的快速发展,车辆在运行过程中产生的数据量呈指数级增长,涉及个人隐私、地理位置、车辆状态等敏感信息。与此同时,数据泄露、滥用和跨境流动风险日益突出,引发监管机构和社会公众的高度关注。全国信息安全标准化技术委员会于2022年10月12日发布了GB/T 41871-2022《信息安全技术 汽车数据处理安全要求》(以下简称“GB/T 41871标准”),并于2023年5月1日起实施。GB/T 41871重点针对智能网联汽车数据全生命周期(包括采集、存储、传输、使用、共享及跨境流动)的安全管理要求,特别强调敏感数据保护、最小必要原则和合规处理,旨在保护车辆和乘客的隐私,进一步保护消费者的权益。
图1 标准框架
标准范围
标准规定了汽车数据处理者对汽车数据进行收集、传输等处理活动的通用安全要求、车外数据安全要求、座舱数据安全要求和管理安全要求。
标准适用于汽车数据处理者开展汽车数据处理活动,适用于汽车的设计、生产、销售、使用和运维,也适用于主管监管部门和第三方评估机构等对汽车数据处理活动进行监督、管理和评估。不适用于警车、消防车、救护车以及工程救险车等执行紧急任务时的汽车数据处理活动,不适用于装置有专用设备或器具的作业车辆在封闭场所内从事作业活动时的汽车数据处理活动,不适用于测试车辆在封闭场地开展科研以及定型试验等活动时的汽车数据处理活动。
标准内容
1、通用安全要求
GB/T 41871标准对汽车数据通用安全要求引用了GB/T 35273-2020《信息安全技术 个人信息安全规范》和GB/T 40660《信息安全技术 生物特征识别信息保护基本要求》的内容,并在此基础上提出了个人信息告知规范的要求、敏感个人信息处理要求、个人信息运营者要求和重要数据要求。
|
处理个人信息要求 |
要求内容 |
|
告知方式 |
用户手册单独章条提示、语音播放等能够便于用户知晓的显著方式告知 |
|
告知内容 |
收集信息的情境,必要性及其它处理活动相关信息 |
|
保存期限 |
30天、1年等具体且明确的时间限 |
|
保存地点 |
告知所有保存地点并精确到地级市 |
|
方便管理 |
向用户提供便于管理其个人信息的功能 |
表1 处理个人信息要求
|
处理敏感个人信息要求 |
要求内容 |
|
单独同意 |
对每一项敏感个人信息征得用户单独同意 |
|
同意期限 |
不得为“始终允许”、“永久”等 |
|
删除时限 |
收到删除请求10个工作日内完成删除 |
|
处理目的 |
不能以提升用户体验、改善服务质量和研发为由处理敏感个人信息 |
表2 处理敏感个人信息要求
2、车外数据安全要求
因保证行车安全需要,无法征得个人同意采集到车外个人信息且向车外提供的,应当匿名化处理,在处理时,未完成匿名化处理前,不应向车外提供。(匿名化方式:完全删除、局部轮廓化处理)
3、座舱数据安全要求
通过摄像头、红外传感器、指纹传感器或传声器等部件从汽车座舱采集的可能包含个人信息的数据,以及对其进行加工后产生的数据。
|
座舱数据安全要求 |
要求内容 |
|
默认不收集 |
除非驾驶员自主设定,汽车默认为不收集座舱数据的状态 |
|
车内处理 |
座舱数据在车内处理不向外传输 (例外情况:语音指令、云存储、远程查看、执法、监管要求) |
|
终止收集 |
向用户提供便于终止收集活动的功能 (例外情况:正在提供公路营运服务的道路运输车辆、正在提供出行服务的公共汽车持续收集座舱数据) |
表3 座舱数据安全要求
4、管理安全要求
GB/T 41871标准对汽车数据风险评估、汽车数据安全管理负责人、安全事件应急处置机制、投诉处理、汽车制造商对零部件供应商数据监督等问题作出具体规定,细化了《汽车数据安全管理若干规定(试行)》的相关要求。
影响与意义
GB/T 41871-2022为汽车行业构建了全方位的数据安全防护体系。标准实施后,将系统性指导汽车从研发设计到报废回收全生命周期的数据安全管理,重点规范了三类核心场景:车外环境数据采集的匿名化处理、座舱生物特征数据的分级保护、供应链协同中的数据流向监控。通过建立“技术防护+管理机制+责任追溯”的三维保障体系,不仅填补了行业空白,更为智能网联时代的数据合规流通提供了实施路径,对保障国家数据安全、维护消费者权益具有里程碑意义。
编辑推荐
最新资讯
-
「零重力」全球首个!中汽协会发布《汽车大
2025-04-12 21:00
-
自适应模糊控制尾翼设计及其制动性能研究
2025-04-12 20:57
-
振动试验及其设备中级篇 电动型振动试验系
2025-04-12 20:48
-
不会加塞的NOA不是好NOA?
2025-04-12 20:48
-
儿童约束系统及各国法规要求
2025-04-12 20:47
