中國經濟網1月8日訊昨日，中國汽車工業協會聯合國家計算機網絡應急技術處理協調中心，發佈《關於汽車數據處理4項安全要求檢測情況的通報（第二批）》，目的是爲持續規範汽車數據處理活動，切實保障用戶合法權益，推動形成全社會共同維護汽車數據安全和促進汽車行業發展的良好環境。

具體來看，中國汽車工業協會、國家計算機網絡應急技術處理協調中心依據《汽車數據安全管理若干規定（試行）》、GB/T41871-2022《信息安全技術汽車數據處理安全要求》、GB/T44464-2024《汽車數據通用要求》法規標準有關規定，按照企業自願送檢原則，自2024年9月起，組織對汽車製造商汽車產品數據安全合規情況（涵蓋車外人臉信息等匿名化處理、默認不收集座艙數據、座艙數據車內處理、處理個人信息顯著告知等4項合規要求）進行檢測，其中重慶長安、上汽、比亞迪、奇瑞、吉利、長城、蔚來、小鵬、一汽-大衆等9家企業的139款車型符合汽車數據安全4項合規要求（部分車型不涉及車外人臉信息等匿名化處理要求）。

附件

檢測標準與方法

本次檢測根據《汽車數據安全管理若干規定（試行）》有關要求，按照GB/T41871-2022《信息安全技術汽車數據處理安全要求》、GB/T44464-2024《汽車數據通用要求》和TC260-PG-20241A《網絡安全標準實踐指南-車外畫面局部輪廓化處理效果驗證》相關技術標準組織實施。

一、檢測對象

截至2024年9月27日前，按照《關於組織開展數據安全合規車型測評活動的通知》（中汽協函字【2024】440號），汽車製造商自願向中國汽車工業協會和國家計算機網絡應急技術處理協調中心送檢的汽車。

二、檢測標準

檢測採用相同的測試要求、測試環境、技術標準和測試流程，包括車外人臉信息等匿名化處理、座艙數據不出車、座艙數據默認不收集以及處理個人信息顯著告知4項要求。檢測標準如下：

1.車外人臉信息等匿名化處理要求

a.車外數據未完成匿名化處理前，不應向車外提供；

b.車端匿名化處理的視頻、圖像中的人臉目標和汽車號牌目標的匿名化檢出率均應大於或等於90%。

2.座艙數據不出車要求

a.通過攝像頭、紅外傳感器、指紋傳感器和傳聲器從汽車座艙採集包含個人信息的數據，以及對其進行加工後產生的數據應取得個人信息主體同意後向車外提供；

b.爲遠程查看、雲存儲等功能，向使用者提供數據，應取得個人同意、限制他人訪問並採取安全措施；

c.在選定的測評環境中測試車輛不應直接向境外傳輸個人信息。

3.座艙數據默認不收集要求

a.除非駕駛人自主設定，汽車應默認設定爲不收集座艙數據的狀態；

b.汽車數據處理者應提供便利的終止收集座艙數據的方式；

c.在保證行車安全以及人身安全的情況下，駕駛人選擇終止收集後，應關閉車內傳聲器和攝像頭等收集座艙數據的部件；

d.處理敏感個人信息時，應對每項敏感個人信息取得個人信息主體單獨同意；

e.取得敏感個人信息主體單獨同意時，處理敏感個人信息的同意期限不應爲“永久”或“始終允許”。

4.處理個人信息顯著告知要求

a.取得個人同意時，應通過至少一種顯著方式向個人告知。處理個人信息的種類、處理各類個人信息的必要性，包括目的、用途、方式等；

b.應使用清晰易懂的文字向個人信息主體說明收集個人信息的具體情境和必要性；

c.應向個人信息主體告知各類型個人信息的保存期限，應具體且明確，例如30天或1年等，或保存期限的規則；

d.應向個人信息主體告知其個人信息保存地點，應將保存地點位置精確到地級市並告知所有保存地點，或明確的保存地點規則；

e.應爲個人信息主體提供便捷的查閱、複製和刪除等個人信息管理功能；個人信息管理功能應爲交互式，且其功能入口應處於個人信息主體容易察覺的顯著位置；

f.應設置用戶權益事務聯繫人，並對外告知準確有效的姓名和聯繫方式，聯繫方式包括電話號碼、郵箱地址、網址或即時通信平臺賬號等；不便對外告知真實姓名的，應告知長期且固定使用的別名。

三、檢測方法

針對不同車型（區分年款）的各項數據處理功能，在相同的標準下進行4項合規要求的檢測，並根據相關功能的技術特點採取不同的檢測方法。具體包括：

1.車外人臉信息等匿名化處理的檢測方法：企業提供第三方測試機構出具的車端匿名化報告，由技術人員從車端進行數據採樣，並進行匿名化效果分析和報告審覈確認；

2.座艙數據不出車的檢測方法：在車端進行車輛對外通信數據的抓取和分析；

3.座艙數據默認不收集的檢測方法：在車內進行各項座艙數據收集功能的符合性確認；

4.處理個人信息顯著告知的檢測方法：在企業官方網站、車載應用程序或移動通信終端應用程序上進行《用戶隱私協議》或其他告知方式內容的符合性確認。