標(biāo)準(zhǔn)解讀丨GB/T 41871-2022《信息安全技術(shù) 汽車數(shù)據(jù)處理安全要求》解讀
隨著智能網(wǎng)聯(lián)汽車的快速發(fā)展,車輛在運(yùn)行過(guò)程中產(chǎn)生的數(shù)據(jù)量呈指數(shù)級(jí)增長(zhǎng),涉及個(gè)人隱私、地理位置、車輛狀態(tài)等敏感信息。與此同時(shí),數(shù)據(jù)泄露、濫用和跨境流動(dòng)風(fēng)險(xiǎn)日益突出,引發(fā)監(jiān)管機(jī)構(gòu)和社會(huì)公眾的高度關(guān)注。全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)于2022年10月12日發(fā)布了GB/T 41871-2022《信息安全技術(shù) 汽車數(shù)據(jù)處理安全要求》(以下簡(jiǎn)稱“GB/T 41871標(biāo)準(zhǔn)”),并于2023年5月1日起實(shí)施。GB/T 41871重點(diǎn)針對(duì)智能網(wǎng)聯(lián)汽車數(shù)據(jù)全生命周期(包括采集、存儲(chǔ)、傳輸、使用、共享及跨境流動(dòng))的安全管理要求,特別強(qiáng)調(diào)敏感數(shù)據(jù)保護(hù)、最小必要原則和合規(guī)處理,旨在保護(hù)車輛和乘客的隱私,進(jìn)一步保護(hù)消費(fèi)者的權(quán)益。
圖1 標(biāo)準(zhǔn)框架
一、標(biāo)準(zhǔn)范圍
標(biāo)準(zhǔn)規(guī)定了汽車數(shù)據(jù)處理者對(duì)汽車數(shù)據(jù)進(jìn)行收集、傳輸?shù)忍幚砘顒?dòng)的通用安全要求、車外數(shù)據(jù)安全要求、座艙數(shù)據(jù)安全要求和管理安全要求。標(biāo)準(zhǔn)適用于汽車數(shù)據(jù)處理者開(kāi)展汽車數(shù)據(jù)處理活動(dòng),適用于汽車的設(shè)計(jì)、生產(chǎn)、銷售、使用和運(yùn)維,也適用于主管監(jiān)管部門和第三方評(píng)估機(jī)構(gòu)等對(duì)汽車數(shù)據(jù)處理活動(dòng)進(jìn)行監(jiān)督、管理和評(píng)估。不適用于警車、消防車、救護(hù)車以及工程救險(xiǎn)車等執(zhí)行緊急任務(wù)時(shí)的汽車數(shù)據(jù)處理活動(dòng),不適用于裝置有專用設(shè)備或器具的作業(yè)車輛在封閉場(chǎng)所內(nèi)從事作業(yè)活動(dòng)時(shí)的汽車數(shù)據(jù)處理活動(dòng),不適用于測(cè)試車輛在封閉場(chǎng)地開(kāi)展科研以及定型試驗(yàn)等活動(dòng)時(shí)的汽車數(shù)據(jù)處理活動(dòng)。
二、標(biāo)準(zhǔn)內(nèi)容
1.通用安全要求
GB/T 41871標(biāo)準(zhǔn)對(duì)汽車數(shù)據(jù)通用安全要求引用了GB/T 35273-2020《信息安全技術(shù) 個(gè)人信息安全規(guī)范》和GB/T 40660《信息安全技術(shù) 生物特征識(shí)別信息保護(hù)基本要求》的內(nèi)容,并在此基礎(chǔ)上提出了個(gè)人信息告知規(guī)范的要求、敏感個(gè)人信息處理要求、個(gè)人信息運(yùn)營(yíng)者要求和重要數(shù)據(jù)要求。
|
處理個(gè)人信息要求 |
要求內(nèi)容 |
|
告知方式 |
用戶手冊(cè)單獨(dú)章條提示、語(yǔ)音播放等能夠便于用戶知曉的顯著方式告知 |
|
告知內(nèi)容 |
收集信息的情境,必要性及其它處理活動(dòng)相關(guān)信息 |
|
保存期限 |
30天、1年等具體且明確的時(shí)間限 |
|
保存地點(diǎn) |
告知所有保存地點(diǎn)并精確到地級(jí)市 |
|
方便管理 |
向用戶提供便于管理其個(gè)人信息的功能 |
表1 處理個(gè)人信息要求
|
處理敏感個(gè)人信息要求 |
要求內(nèi)容 |
|
單獨(dú)同意 |
對(duì)每一項(xiàng)敏感個(gè)人信息征得用戶單獨(dú)同意 |
|
同意期限 |
不得為“始終允許”、“永久”等 |
|
刪除時(shí)限 |
收到刪除請(qǐng)求10個(gè)工作日內(nèi)完成刪除 |
|
處理目的 |
不能以提升用戶體驗(yàn)、改善服務(wù)質(zhì)量和研發(fā)為由處理敏感個(gè)人信息 |
2.車外數(shù)據(jù)安全要求因保證行車安全需要,無(wú)法征得個(gè)人同意采集到車外個(gè)人信息且向車外提供的,應(yīng)當(dāng)匿名化處理,在處理時(shí),未完成匿名化處理前,不應(yīng)向車外提供。(匿名化方式:完全刪除、局部輪廓化處理)
3.座艙數(shù)據(jù)安全要求通過(guò)攝像頭、紅外傳感器、指紋傳感器或傳聲器等部件從汽車座艙采集的可能包含個(gè)人信息的數(shù)據(jù),以及對(duì)其進(jìn)行加工后產(chǎn)生的數(shù)據(jù)。
|
座艙數(shù)據(jù)安全要求 |
要求內(nèi)容 |
|
默認(rèn)不收集 |
除非駕駛員自主設(shè)定,汽車默認(rèn)為不收集座艙數(shù)據(jù)的狀態(tài) |
|
車內(nèi)處理 |
座艙數(shù)據(jù)在車內(nèi)處理不向外傳輸(例外情況:語(yǔ)音指令、云存儲(chǔ)、遠(yuǎn)程查看、執(zhí)法、監(jiān)管要求) |
|
終止收集 |
向用戶提供便于終止收集活動(dòng)的功能(例外情況:正在提供公路營(yíng)運(yùn)服務(wù)的道路運(yùn)輸車輛、正在提供出行服務(wù)的公共汽車持續(xù)收集座艙數(shù)據(jù)) |
4.管理安全要求GB/T 41871標(biāo)準(zhǔn)對(duì)汽車數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估、汽車數(shù)據(jù)安全管理負(fù)責(zé)人、安全事件應(yīng)急處置機(jī)制、投訴處理、汽車制造商對(duì)零部件供應(yīng)商數(shù)據(jù)監(jiān)督等問(wèn)題作出具體規(guī)定,細(xì)化了《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》的相關(guān)要求。
三、影響與意義
GB/T 41871-2022為汽車行業(yè)構(gòu)建了全方位的數(shù)據(jù)安全防護(hù)體系。標(biāo)準(zhǔn)實(shí)施后,將系統(tǒng)性指導(dǎo)汽車從研發(fā)設(shè)計(jì)到報(bào)廢回收全生命周期的數(shù)據(jù)安全管理,重點(diǎn)規(guī)范了三類核心場(chǎng)景:車外環(huán)境數(shù)據(jù)采集的匿名化處理、座艙生物特征數(shù)據(jù)的分級(jí)保護(hù)、供應(yīng)鏈協(xié)同中的數(shù)據(jù)流向監(jiān)控。通過(guò)建立“技術(shù)防護(hù)+管理機(jī)制+責(zé)任追溯”的三維保障體系,不僅填補(bǔ)了行業(yè)空白,更為智能網(wǎng)聯(lián)時(shí)代的數(shù)據(jù)合規(guī)流通提供了實(shí)施路徑,對(duì)保障國(guó)家數(shù)據(jù)安全、維護(hù)消費(fèi)者權(quán)益具有里程碑意義。
中汽研科技有限公司(簡(jiǎn)稱“中汽研科技”)智能網(wǎng)聯(lián)汽車研究部網(wǎng)聯(lián)通信測(cè)試平臺(tái)技術(shù)總監(jiān)李奇表示,該標(biāo)準(zhǔn)構(gòu)建了覆蓋數(shù)據(jù)全生命周期管理的安全框架,重點(diǎn)要求落實(shí)"最小必要"采集原則、敏感數(shù)據(jù)匿名化處理、跨境數(shù)據(jù)安全評(píng)估三項(xiàng)核心要求;同時(shí)明確企業(yè)需建立專職管理團(tuán)隊(duì)、完善風(fēng)險(xiǎn)評(píng)估和應(yīng)急響應(yīng)機(jī)制;特別強(qiáng)調(diào)汽車制造商對(duì)供應(yīng)鏈的數(shù)據(jù)監(jiān)管責(zé)任和用戶權(quán)益保障義務(wù)。未來(lái)汽車數(shù)據(jù)管理需重點(diǎn)關(guān)注四大方向:嚴(yán)格把控?cái)?shù)據(jù)采集范圍與處理規(guī)范、健全跨境數(shù)據(jù)傳輸合規(guī)流程、強(qiáng)化供應(yīng)鏈數(shù)據(jù)安全管控、優(yōu)化用戶數(shù)據(jù)透明化披露機(jī)制,以全面提升企業(yè)數(shù)據(jù)安全治理水平。
中汽研科技嚴(yán)格遵循GB/T 41871-2022標(biāo)準(zhǔn)要求,圍繞車外數(shù)據(jù)安全、座艙數(shù)據(jù)安全及管理安全三大核心領(lǐng)域,構(gòu)建了覆蓋"功能驗(yàn)證—合規(guī)摸底測(cè)試——整改分析"的全流程檢測(cè)能力體系,為行業(yè)提供專業(yè)、規(guī)范的汽車數(shù)據(jù)安全檢測(cè)服務(wù)。未來(lái),中汽研科技將持續(xù)深化檢測(cè)技術(shù)研究,重點(diǎn)突破智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全前沿檢測(cè)技術(shù),通過(guò)技術(shù)創(chuàng)新和服務(wù)升級(jí),助力企業(yè)高效滿足合規(guī)要求,為汽車數(shù)據(jù)安全保駕護(hù)航。