標準解讀 | GB/T 44464-2024《汽車數據通用要求》解讀
智能網聯汽車作為移動智能終端的代表,正以新一代信息技術為驅動,引領汽車產業向智能化、網聯化方向實現革命性轉型與跨越式發展。然而智能網聯汽車在與云端、移動終端及車端設備的海量數據交互過程中涉及大量車輛運行信息和用戶隱私,若缺乏有效監管將引發重大安全風險。為應對這一挑戰,2024年8月23日,GB/T 44464-2024《汽車數據通用要求》正式發布,該標準系統規范了個人信息與重要數據的全流程保護標準,涵蓋收集、存儲、傳輸等關鍵環節的安全要求及評估機制。這一里程碑式標準的出臺,進一步完善了汽車數據安全領域的監管體系,為智能網聯汽車的合規發展構筑了堅實的數據安全屏障。
《汽車數據通用要求》標準基本框架
一、標準解析
1.強標引用要點
GB 44495-2024《汽車整車信息安全技術要求》關于個人信息保護要求引用主要內容如下:
二、企業關注要點
依據GB/T 44464-2024《汽車數據通用要求》對車輛進行摸底測試,出現過的典型案例如下:
匿名化測試
問題描述:在對某車型的個人信息傳輸檢測中發現,車企預裝的行車記錄儀在傳輸過程中存在數據隱私泄露風險,其預置行車記錄儀采集的原始數據在傳輸至外部服務器或第三方平臺時,未按要求進行有效的匿名化處理。
應對要點:(1)強制匿名化處理:傳輸至車外的所有原始數據(包括車輛自帶的行車記錄儀采集的視頻、音頻、位置信息等)需經過嚴格的匿名化處理,確保數據無法直接關聯至特定個人或車輛。(2)過程數據生命周期管理:建立自動化清理機制,匿名化處理后的過程數據需及時刪除,避免數據被非法獲取或濫用。
個人信息出境
問題描述:在某車型的跨境數據傳輸合規性測試中,通過專業數據流量監測工具捕獲到境外服務器通信的IP地址信息。
應對要點:車輛網絡連接里不應存在直接連接境外的IP流量,應關閉境外代理,并對研發過程中的底層代碼進行分析管控,防止信息外泄。
車內處理測試
問題描述:在某車型的通信傳輸測試中,經專業數據分析發現,系統在未獲得用戶明確授權的情況下,將車內采集的語音指令數據(包括語音交互內容、聲紋特征等敏感信息)傳輸至云端進行處理。
應對要點:在用戶首次使用語音功能時,需以顯著方式(如彈窗+語音提示)明確告知數據收集的具體內容范圍、數據傳輸的用途及目的地和數據存儲的期限及處置方式,需獲得用戶主動勾選同意后,方可啟動相關數據采集功能。
中汽研科技有限公司(簡稱“中汽研科技”)平臺技術總監李奇表示,《汽車數據通用要求》標準中明確提出了對汽車個人信息保護全生命周期要求,車型中涉及個人信息處理的場景均需滿足此要求。作為智能網聯汽車數據治理的核心框架,GB/T 44464和GB 44495兩項標準為智能網聯汽車提供了全面的安全保障支撐,車企亟需針對當前存在的隱私保護設計缺位、數據精度失準、授權機制虛化等突出問題,建立“技術+管理”雙輪驅動的解決方案。另外車企特別需聚焦三個戰略轉型:將法規條款轉化為可量化的技術參數、構建“ECU-域控-云平臺”立體防護架構,從而在滿足默認不收集、顯著性告知等強制要求的同時,將數據合規能力轉化為智能網聯時代的核心競爭力。
三、結語
總體而言,GB/T 44464-2024《汽車數據通用要求》標準促進了智能網聯汽車的發展與進步。中汽研科技基于該標準要求構建了個人信息保護要求測試、個人信息傳輸要求測試和匿名化要求測試體系,為規范高效實現汽車數據安全檢測保駕護航。未來,我們將持續推進汽車數據安全檢驗能力建設,深入研究和推廣前沿的數據安全檢測方法,確保為客戶提供更高效、更安全的測試服務。
專家介紹
李奇,中汽研科技網聯通信測試平臺技術總監,從事智能網聯汽車信息安全、軟件升級、數據安全等方面的測試研究工作,負責多項省部級汽車科研項目申報執行,主持或主理多次世界智能駕駛挑戰賽信息安全組賽事,支撐深圳市智能網聯汽車10項地方標準制定發布。負責R155、R156、《汽車整車信息安全技術要求》、《汽車軟件升級 通用技術要求》等國內外法規檢測工作。