CNCERT動(dòng)態(tài)
國(guó)內(nèi)要聞
關(guān)于汽車(chē)數(shù)據(jù)處理4項(xiàng)安全要求檢測(cè)情況的通報(bào)
為規(guī)范汽車(chē)數(shù)據(jù)處理活動(dòng),保障用戶合法權(quán)益,鼓勵(lì)頭部汽車(chē)制造商發(fā)揮標(biāo)桿作用,推動(dòng)形成全社會(huì)共同維護(hù)汽車(chē)數(shù)據(jù)安全和促進(jìn)汽車(chē)行業(yè)發(fā)展的良好環(huán)境,中國(guó)汽車(chē)工業(yè)協(xié)會(huì)、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心依據(jù)《汽車(chē)數(shù)據(jù)安全管理若干規(guī)定(試行)》、GB/T 41871-2022《信息安全技術(shù) 汽車(chē)數(shù)據(jù)處理安全要求》等法規(guī)標(biāo)準(zhǔn)有關(guān)規(guī)定,按照企業(yè)自愿送檢原則,2023年11月起組織對(duì)汽車(chē)制造商2022-2023年度新上市智能網(wǎng)聯(lián)汽車(chē)數(shù)據(jù)安全合規(guī)情況(車(chē)外人臉信息等匿名化處理、默認(rèn)不收集座艙數(shù)據(jù)、座艙數(shù)據(jù)車(chē)內(nèi)處理、處理個(gè)人信息顯著告知等4項(xiàng)合規(guī)要求)進(jìn)行檢測(cè),其中比亞迪、理想、路特斯、合眾新能源、特斯拉、蔚來(lái)等6家企業(yè)的76款車(chē)型符合汽車(chē)數(shù)據(jù)安全4項(xiàng)合規(guī)要求。具體汽車(chē)車(chē)型名單如下:
附件:檢測(cè)標(biāo)準(zhǔn)與方法
中國(guó)汽車(chē)工業(yè)協(xié)會(huì)
國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心
2024年4月28日
附件
檢測(cè)標(biāo)準(zhǔn)與方法
本次檢測(cè)根據(jù)《汽車(chē)數(shù)據(jù)安全管理若干規(guī)定(試行)》有關(guān)要求,按照GB/T 41871-2022《信息安全技術(shù) 汽車(chē)數(shù)據(jù)處理安全要求》和T/CAAMTB 77-2022《汽車(chē)傳輸視頻及圖像脫敏技術(shù)要求與方法》相關(guān)技術(shù)標(biāo)準(zhǔn),并參考《汽車(chē)數(shù)據(jù)通用要求(報(bào)批稿)》附錄C組織實(shí)施。
一、檢測(cè)對(duì)象
截至2023年11月15日前,按照《關(guān)于開(kāi)展汽車(chē)數(shù)據(jù)安全合規(guī)工作的通知》(中汽協(xié)函字【2023】243號(hào)),汽車(chē)制造商自愿向中國(guó)汽車(chē)工業(yè)協(xié)會(huì)送檢的2022-2023年度新上市智能網(wǎng)聯(lián)汽車(chē)。
二、檢測(cè)標(biāo)準(zhǔn)
檢測(cè)采用相同的測(cè)試要求、測(cè)試環(huán)境、技術(shù)標(biāo)準(zhǔn)和測(cè)試流程,包括車(chē)外人臉信息等匿名化處理、默認(rèn)不收集座艙數(shù)據(jù)、座艙數(shù)據(jù)車(chē)內(nèi)處理以及處理個(gè)人信息顯著告知4項(xiàng)要求。檢測(cè)標(biāo)準(zhǔn)如下:
1.車(chē)外人臉信息等匿名化處理要求
a.車(chē)外數(shù)據(jù)未完成匿名化處理前,不應(yīng)向車(chē)外提供;
b.車(chē)端匿名化處理的視頻、圖像中的人臉目標(biāo)和汽車(chē)號(hào)牌目標(biāo)的匿名化檢出率均應(yīng)大于等于90%。
2.默認(rèn)不收集座艙數(shù)據(jù)要求
a.除非駕駛?cè)俗灾髟O(shè)定,汽車(chē)應(yīng)默認(rèn)設(shè)定為不收集座艙數(shù)據(jù)的狀態(tài),當(dāng)駕駛?cè)送ㄟ^(guò)實(shí)體按鍵或觸摸按鍵等方式主動(dòng)選擇后才能開(kāi)始收集,汽車(chē)可根據(jù)駕駛?cè)嗽O(shè)定,保持駕駛?cè)诉x擇的狀態(tài)或恢復(fù)默認(rèn)狀態(tài);
b.應(yīng)提供便利的終止收集座艙數(shù)據(jù)的方式;
c.應(yīng)對(duì)每項(xiàng)敏感個(gè)人信息取得個(gè)人信息主體單獨(dú)同意;
d.處理敏感個(gè)人信息的同意期限不應(yīng)設(shè)置為“始終允許”或“永久”。
3.座艙數(shù)據(jù)車(chē)內(nèi)處理要求
除實(shí)現(xiàn)語(yǔ)音識(shí)別、遠(yuǎn)程查看車(chē)內(nèi)情況、云存儲(chǔ)功能以及依據(jù)相關(guān)規(guī)定向監(jiān)管或執(zhí)法機(jī)構(gòu)傳輸數(shù)據(jù)的情形外,汽車(chē)不應(yīng)向車(chē)外提供座艙數(shù)據(jù);
4.處理個(gè)人信息的顯著告知要求
汽車(chē)數(shù)據(jù)處理者處理個(gè)人信息應(yīng)當(dāng)通過(guò)用戶手冊(cè)、車(chē)載顯示面板、語(yǔ)音、汽車(chē)使用相關(guān)應(yīng)用程序等顯著方式,告知個(gè)人以下事項(xiàng):
a.處理個(gè)人信息的種類(lèi);
b.收集各類(lèi)個(gè)人信息的具體情境以及停止收集的方式和途徑;
c.處理各類(lèi)個(gè)人信息的目的、用途、方式;
d.個(gè)人信息保存地點(diǎn)、保存期限,或者確定保存地點(diǎn)、保存期限的規(guī)則;
e.查閱、復(fù)制其個(gè)人信息以及刪除車(chē)內(nèi)、請(qǐng)求刪除已經(jīng)提供給車(chē)外的個(gè)人信息的方式和途徑;
f.用戶權(quán)益事務(wù)聯(lián)系人的姓名和聯(lián)系方式。
三、檢測(cè)方法
針對(duì)不同車(chē)型(區(qū)分年款)的各項(xiàng)數(shù)據(jù)處理功能,在相同的標(biāo)準(zhǔn)下進(jìn)行4項(xiàng)合規(guī)要求的檢測(cè),并根據(jù)相關(guān)功能的技術(shù)特點(diǎn)采取不同的檢測(cè)方法。具體包括:
1.車(chē)外人臉信息等匿名化處理的檢測(cè)方法:由技術(shù)人員從車(chē)端進(jìn)行數(shù)據(jù)采樣,并進(jìn)行匿名化效果分析和數(shù)據(jù)統(tǒng)計(jì);
2.默認(rèn)不收集座艙數(shù)據(jù)的檢測(cè)方法:在車(chē)內(nèi)進(jìn)行各項(xiàng)座艙數(shù)據(jù)收集功能的符合性確認(rèn);
3.座艙數(shù)據(jù)車(chē)內(nèi)處理的檢測(cè)方法:在車(chē)端進(jìn)行車(chē)輛對(duì)外通信數(shù)據(jù)的抓取和分析;
4.個(gè)人信息顯著告知的檢測(cè)方法:在企業(yè)官方網(wǎng)站、車(chē)載應(yīng)用程序或移動(dòng)通信終端應(yīng)用程序上進(jìn)行《用戶隱私協(xié)議》的符合性確認(rèn)。
關(guān)鍵字: