中國經(jīng)濟網(wǎng)1月8日訊 昨日，中國汽車工業(yè)協(xié)會聯(lián)合國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心，發(fā)布《關(guān)于汽車數(shù)據(jù)處理4項安全要求檢測情況的通報（第二批）》，目的是為持續(xù)規(guī)范汽車數(shù)據(jù)處理活動，切實保障用戶合法權(quán)益，推動形成全社會共同維護汽車數(shù)據(jù)安全和促進汽車行業(yè)發(fā)展的良好環(huán)境。

　　具體來看，中國汽車工業(yè)協(xié)會、國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心依據(jù)《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》、GB/T 41871-2022《信息安全技術(shù) 汽車數(shù)據(jù)處理安全要求》、GB/T 44464-2024《汽車數(shù)據(jù)通用要求》法規(guī)標準有關(guān)規(guī)定，按照企業(yè)自愿送檢原則，自2024年9月起，組織對汽車制造商汽車產(chǎn)品數(shù)據(jù)安全合規(guī)情況（涵蓋車外人臉信息等匿名化處理、默認不收集座艙數(shù)據(jù)、座艙數(shù)據(jù)車內(nèi)處理、處理個人信息顯著告知等4項合規(guī)要求）進行檢測，其中重慶長安、上汽、比亞迪、奇瑞、吉利、長城、蔚來、小鵬、一汽-大眾等9家企業(yè)的139款車型符合汽車數(shù)據(jù)安全4項合規(guī)要求（部分車型不涉及車外人臉信息等匿名化處理要求）。

　　附件

檢測標準與方法

　　本次檢測根據(jù)《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》有關(guān)要求，按照GB/T 41871-2022《信息安全技術(shù) 汽車數(shù)據(jù)處理安全要求》、GB/T 44464-2024《汽車數(shù)據(jù)通用要求》和TC260-PG-20241A《網(wǎng)絡(luò)安全標準實踐指南-車外畫面局部輪廓化處理效果驗證》相關(guān)技術(shù)標準組織實施。

　　一、檢測對象

　　截至2024年9月27日前，按照《關(guān)于組織開展數(shù)據(jù)安全合規(guī)車型測評活動的通知》（中汽協(xié)函字【2024】440號），汽車制造商自愿向中國汽車工業(yè)協(xié)會和國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心送檢的汽車。

　　二、檢測標準

　　檢測采用相同的測試要求、測試環(huán)境、技術(shù)標準和測試流程，包括車外人臉信息等匿名化處理、座艙數(shù)據(jù)不出車、座艙數(shù)據(jù)默認不收集以及處理個人信息顯著告知4項要求。檢測標準如下：

　　1. 車外人臉信息等匿名化處理要求

　　a. 車外數(shù)據(jù)未完成匿名化處理前，不應(yīng)向車外提供；

　　b. 車端匿名化處理的視頻、圖像中的人臉目標和汽車號牌目標的匿名化檢出率均應(yīng)大于或等于90%。

　　2. 座艙數(shù)據(jù)不出車要求

　　a. 通過攝像頭、紅外傳感器、指紋傳感器和傳聲器從汽車座艙采集包含個人信息的數(shù)據(jù)，以及對其進行加工后產(chǎn)生的數(shù)據(jù)應(yīng)取得個人信息主體同意后向車外提供；

　　b. 為遠程查看、云存儲等功能，向使用者提供數(shù)據(jù)，應(yīng)取得個人同意、限制他人訪問并采取安全措施；

　　c. 在選定的測評環(huán)境中測試車輛不應(yīng)直接向境外傳輸個人信息。

　　3. 座艙數(shù)據(jù)默認不收集要求

　　a. 除非駕駛?cè)俗灾髟O(shè)定，汽車應(yīng)默認設(shè)定為不收集座艙數(shù)據(jù)的狀態(tài)；

　　b. 汽車數(shù)據(jù)處理者應(yīng)提供便利的終止收集座艙數(shù)據(jù)的方式；

　　c. 在保證行車安全以及人身安全的情況下，駕駛?cè)诉x擇終止收集后，應(yīng)關(guān)閉車內(nèi)傳聲器和攝像頭等收集座艙數(shù)據(jù)的部件；

　　d. 處理敏感個人信息時，應(yīng)對每項敏感個人信息取得個人信息主體單獨同意；

　　e. 取得敏感個人信息主體單獨同意時，處理敏感個人信息的同意期限不應(yīng)為“永久”或“始終允許”。

　　4. 處理個人信息顯著告知要求

　　a. 取得個人同意時，應(yīng)通過至少一種顯著方式向個人告知。處理個人信息的種類、處理各類個人信息的必要性，包括目的、用途、方式等；

　　b. 應(yīng)使用清晰易懂的文字向個人信息主體說明收集個人信息的具體情境和必要性；

　　c. 應(yīng)向個人信息主體告知各類型個人信息的保存期限，應(yīng)具體且明確，例如30天或1年等，或保存期限的規(guī)則；

　　d. 應(yīng)向個人信息主體告知其個人信息保存地點，應(yīng)將保存地點位置精確到地級市并告知所有保存地點，或明確的保存地點規(guī)則；

　　e. 應(yīng)為個人信息主體提供便捷的查閱、復(fù)制和刪除等個人信息管理功能；個人信息管理功能應(yīng)為交互式，且其功能入口應(yīng)處于個人信息主體容易察覺的顯著位置；

　　f. 應(yīng)設(shè)置用戶權(quán)益事務(wù)聯(lián)系人，并對外告知準確有效的姓名和聯(lián)系方式，聯(lián)系方式包括電話號碼、郵箱地址、網(wǎng)址或即時通信平臺賬號等；不便對外告知真實姓名的，應(yīng)告知長期且固定使用的別名。

　　三、檢測方法

　　針對不同車型（區(qū)分年款）的各項數(shù)據(jù)處理功能，在相同的標準下進行4項合規(guī)要求的檢測，并根據(jù)相關(guān)功能的技術(shù)特點采取不同的檢測方法。具體包括：

　　1. 車外人臉信息等匿名化處理的檢測方法：企業(yè)提供第三方測試機構(gòu)出具的車端匿名化報告，由技術(shù)人員從車端進行數(shù)據(jù)采樣，并進行匿名化效果分析和報告審核確認；

　　2. 座艙數(shù)據(jù)不出車的檢測方法：在車端進行車輛對外通信數(shù)據(jù)的抓取和分析；

　　3. 座艙數(shù)據(jù)默認不收集的檢測方法：在車內(nèi)進行各項座艙數(shù)據(jù)收集功能的符合性確認；

　　4. 處理個人信息顯著告知的檢測方法：在企業(yè)官方網(wǎng)站、車載應(yīng)用程序或移動通信終端應(yīng)用程序上進行《用戶隱私協(xié)議》或其他告知方式內(nèi)容的符合性確認。