0 引言
- 随着智能技术的不断发展,智能网联汽车作为新时代移动智能终端的代表,正引领着汽车产业向智能化、网联化深刻转型与升级。智能网联汽车与云端服务器、移动端、车端等设备存在大量的数据交互,包括车辆运行数据、用户个人信息等。缺乏对这些数据实施的有效监管与控制,将潜藏重大的数据安全风险,对行车安全构成严峻挑战。
简言之,数据作为数字经济时代新型生产要素,已成为汽车行业数字化转型的核心资产,智能网联汽车存在大量数据交互场景,极易引发个人信息泄露、车控类数据被篡改、重要数据非法跨境传输等数据安全问题。
- 为应对这一挑战,2024年8月23日,全国汽车标准化技术委员会正式发布了
GB/T 44464-2024《汽车数据通用要求》,并于发布之日起生效实施,,该标准的部分内容被2026年1月1日实施的GB 44495-2024《汽车整车信息安全技术要求》引用。
-
标准详细规定了汽车处理个人信息和重要数据的一般要求,对个人信息保护的要求,对于重要数据在收集、存储、使用、传输、处理等各个环节中的保护要求以及审核评估及试验要求等。该标准的发布标志着我国在汽车数据安全保护领域取得了重大进展,确保了智能网联汽车在数据层面的安全合规。
-
该标准适用于汽车产品及其数据处理者,其规定了汽车数据的一般要求、个人信息保护要求、重要数据保护要求、审核评估及试验要求等内容。值得关注的是,标准在一般要求中规定汽车数据处理者应建立汽车数据安全管理体系,并明确体系需覆盖的具体内容(如组织管理、分类分级、全生命周期管理、事件管理等)。此标准的发布对于汽车产业落实数据安全合规管理具有重要意义,构建了汽车行业数据安全合规底线。
《汽车数据通用要求》标准基本框架
1、标准适用范围
《汽车数据通用要求》适用于具备数据处理功能的汽车及其数据处理者,并规定了汽车数据的一般要求、个人信息保护要求、重要数据保护要求、审核评估及试验要求等。
2、主要规定与要求
1、汽车数据安全管理体系
《汽车数据通用要求》在一般要求中规定汽车数据处理者应建立汽车数据安全管理体系,并明确管理体系中的具体内容。
汽车数据安全管理体系构成
2、个人信息保护要求
《汽车数据通用要求》中关于个人信息保护要求主要内容如下:
-
◆ 个人信息处理目的与方式:明确信息处理需具备合理目的,且与目的直接相关,最小化对个人权益的影响。默认不收集个人信息,除非得到个人同意或法律规定。
-
◆ 个人同意的例外:列出在紧急情况下保护生命健康、处理已公开信息、保障行车安全等无需个人同意即可处理信息的特定情形,并要求以多种方式告知用户。
-
◆ 信息提供与存储:强调除特殊情形外,不得向车外提供座舱数据,且个人信息存储期限应与同意期限一致。
-
◆ 个人同意的管理:详细规定了获取个人同意的方式、内容、选项设置及重新获取同意的时机,同时确保个人有权撤回同意。
-
◆ 信息收集与存储:要求根据功能服务需求精准确定传感器覆盖范围与分辨率,个人信息存储需符合
GB 44495-2024《汽车整车信息安全技术要求》标准。 -
◆ 信息使用与传输:明确访问控制措施,不应将生物特征识别作为唯一认证手段;车外传输需符合
GB 44495-2024《汽车整车信息安全技术要求》标准,尤其对于保证行车安全而收集的信息需进行匿名化处理。 -
◆ 匿名化处理:详细规定了人脸与汽车号牌等敏感信息的匿名化对象、处理性能要求及效果,确保处理后信息无法被识别。
-
◆ 信息删除与出境:规定个人请求删除敏感信息的响应时间,确保删除信息不可恢复,并明确个人信息出境需符合GB 44495-2024《汽车整车信息安全技术要求》及相关法律法规要求。
3、重要数据保护要求
《汽车数据通用要求》规定汽车在处理重要数据时,需根据功能服务对数据精度的需求设定摄像头、雷达等设备的参数,确保至少一项功能满足最高精度要求,并对其他功能做出合理解释。同时,重要数据的存储、使用、传输均需符合GB 44495-2024《汽车整车信息安全技术要求》标准,确保数据不被非授权访问。删除的数据应彻底不可恢复,而出境数据则需严格遵守数据出境规定及法律法规。
4、审核评估及试验要求
《汽车数据通用要求》规定汽车数据处理者应满足符合性评估要求,并按附录B、D分别进行个人信息匿名化及重要数据处理试验,确保符合试验标准。此外,推荐根据附录C进行匿名化误检率试验,以进一步优化数据处理效果。
中汽研科技有限公司(简称“中汽研科技”)平台技术总监李奇表示,
《汽车数据通用要求》标准要求中明确提出了汽车个人信息保护全生命周期要求,车型中涉及个人信息处理的场景均需满足此要求。
在汽车数据处理链中各环节技术复杂,各数据处理环节都会引入不同的数据安全问题,需明确内容及情况、何时、何人来做风险评估,要做什么、怎么做,风险如何处置等问题。
此外,本标准的实施还为未来汽车产品的市场准入设立了严格且明确的数据安全准则,为产业界提供了权威的参考依据。
扩展: 汽车数据安全管理体系(DSMS)
中汽数据有限公司(以下简称“中汽数据”)深耕汽车数据合规管理领域,持续跟踪最新政策、法规及标准,并综合《汽车数据安全管理若干规定(试行)》、相关国家标准及各部门监管要求,形成了覆盖整体管理、全生命周期管理、支持管理3大领域,分类分级、风险评估、合作方管理、数据出境等16个细化管理方向的汽车数据安全管理体系,并帮助多家企业完成体系建设与运营,以高效应对各类监管要求。
同时,GB 44495-2024《汽车整车信息安全技术要求》明确了汽车产品在数据安全方面的合规要求,中汽数据将数据安全与汽车整车开发相结合,从概念、研发设计、开发实施等阶段融合匹配不同管理活动,形成了一套贯穿全生命周期的车型数据安全合规实施路径,并帮助多家企业完成车型合规咨询与整改实施。
Y 国家标准文献
- GB/T 44464-2024 汽车数据通用要求/General requirements of vehicle data - 国家标准全文公开系统
- GB 44495-2024 汽车整车信息安全技术要求/Technical requirements for vehicle cybersecurity
X 参考文献
- 标准解读 | GB/T 44464-2024《汽车数据通用要求》解读 - 中汽研 2024.09.04
- 业务专题 | 《汽车数据通用要求》标准发布即实施,企业合规应对策略速递 - Weixin/中汽数据
- 车联网身份安全与数据安全体系建设丨信长城确认申报2022金辑奖·中国汽车新供应链百强 - 盖世汽车社区
- 三项智能网联汽车强制性国家标准正式发布 - 国务院、工业和信息化部
- 2024年8月23日,工业和信息化部组织制定的
GB 44495-2024《汽车整车信息安全技术要求》、GB 44496-2024《汽车软件升级通用技术要求》和GB 44497-2024《智能网联汽车 自动驾驶数据记录系统》三项强制性国家标准由国家市场监督管理总局、国家标准化管理委员会批准发布,将于2026年1月1日起开始实施。
- 智能网联汽车产品安全是消费者关注的焦点,也是智能网联汽车产业持续健康发展的根本保障。为贯彻落实《国家标准化发展纲要》《国家车联网产业标准体系建设指南(智能网联汽车)》等要求,提升智能网联汽车产品安全水平,工业和信息化部自2019年起即立足我国智能网联汽车行业管理需求、产业发展实际和技术进步需要,陆续启动智能网联汽车领域相关强制性国家标准制定工作,并在研制过程中与联合国UN R155《关于就信息安全与信息安全管理体系方面批准车辆的统一规定》和UN R156《关于就软件升级与软件升级管理体系方面批准车辆的统一规定》等国际法规充分协调。其中:
- GB 44495-2024《汽车整车信息安全技术要求》规定了汽车信息安全管理体系要求,以及外部连接安全、通信安全、软件升级安全、数据安全等方面的技术要求和试验方法,适用于M类、N类及至少装有1个电子控制单元的O类车辆,对于提升我国汽车产品的信息安全防护技术水平、强化产业链风险防范和应对网络攻击的能力、筑牢汽车信息安全防护基线具有重要意义。
- GB 44496-2024《汽车软件升级通用技术要求》规定了汽车软件升级的管理体系要求,以及用户告知、版本号读取、安全保护、先决条件、电量保障、失败处理等车辆软件升级功能方面的技术要求和试验方法,适用于具备软件升级功能的M类、N类和O类车辆,为规范车企软件升级行为、保障消费者权益和落实软件升级监管政策奠定坚实的标准基础。
- GB 44497-2024《智能网联汽车 自动驾驶数据记录系统》规定了智能网联汽车自动驾驶数据记录系统的数据记录、数据存储和读取、信息安全、耐撞性能、环境评价性等方面的技术要求和试验方法,适用于M和N类车辆配备的自动驾驶数据记录系统,将为事故责任认定及原因分析提供技术支撑,有利于促进自动驾驶技术进步。
- 本次发布的三项标准是我国智能网联汽车领域的首批强制性国家标准,是我国智能网联汽车技术的创新成果与经验总结,对提升智能网联汽车安全水平、保障产业健康持续发展具有重要意义。
