2024年1月7日,中国汽车工业协会与国家计算机网络应急技术处理协调中心联合发布了第二批汽车数据处理4项安全要求检测情况通报。通报显示,重庆长安、上汽、比亚迪、奇瑞、吉利、长城、蔚来、小鹏、一汽-大众等9家企业的139款车型符合汽车数据安全4项合规要求。这一检测结果反映了我国汽车行业在数据安全和用户隐私保护方面取得的积极进展。

检测背景与目的

此次检测是根据《汽车数据安全管理若干规定(试行)》、GB/T 41871-2022《信息安全技术 汽车数据处理安全要求》和GB/T 44464-2024《汽车数据通用要求》等法规标准开展的。检测从2024年9月开始,采取企业自愿送检的原则,旨在规范汽车数据处理活动,保障用户合法权益,推动形成全社会共同维护汽车数据安全和促进汽车行业发展的良好环境。

检测内容涵盖四大方面

本次检测主要针对四项安全要求进行评估:

车外人脸信息等匿名化处理:要求车外数据在完成匿名化处理前不得向车外提供,且车端匿名化处理的视频、图像中人脸目标和汽车号牌目标的匿名化检出率应不低于90%。

座舱数据不出车:规定通过摄像头、红外传感器等设备采集的包含个人信息的座舱数据,必须经个人信息主体同意后才能向车外提供。同时,测试车辆不应直接向境外传输个人信息。

座舱数据默认不收集:要求汽车默认设定为不收集座舱数据的状态,除非驾驶人自主设定。汽车数据处理者应提供便利的终止收集座舱数据的方式,并在处理敏感个人信息时取得单独同意。

处理个人信息显著告知:要求通过显著方式向用户告知个人信息处理的种类、目的、用途、方式等内容,并提供便捷的个人信息管理功能。

检测方法与标准

检测采用了统一的测试要求、环境、技术标准和流程。具体方法包括:

对于车外人脸信息等匿名化处理,企业需提供第三方测试机构出具的车端匿名化报告,由技术人员从车端进行数据采样,并进行匿名化效果分析和报告审核确认。

座舱数据不出车的检测通过在车端抓取和分析车辆对外通信数据来完成。

座舱数据默认不收集的检测则在车内进行各项座舱数据收集功能的符合性确认。

处理个人信息显著告知的检测通过审查企业官方网站、车载应用程序或移动通信终端应用程序上的《用户隐私协议》或其他告知方式内容来进行。

这次检测结果的公布,不仅展示了汽车行业在数据安全和隐私保护方面的进展,也为消费者选择更安全、更可靠的车型提供了参考依据。随着汽车智能化、网联化的不断发展,数据安全和隐私保护将继续成为行业关注的重点,相关标准和检测工作也将持续完善和推进。

本文源自:金融界

作者:金知了