標準解讀丨GB/T 41871-2022《信息安全技術 汽車數據處理安全要求》解讀
隨著智能網聯汽車的快速發展,車輛在運行過程中產生的數據量呈指數級增長,涉及個人隱私、地理位置、車輛狀態等敏感信息。與此同時,數據泄露、濫用和跨境流動風險日益突出,引發監管機構和社會公眾的高度關注。全國信息安全標準化技術委員會于2022年10月12日發布了GB/T 41871-2022《信息安全技術 汽車數據處理安全要求》(以下簡稱“GB/T 41871標準”),并于2023年5月1日起實施。GB/T 41871重點針對智能網聯汽車數據全生命周期(包括采集、存儲、傳輸、使用、共享及跨境流動)的安全管理要求,特別強調敏感數據保護、最小必要原則和合規處理,旨在保護車輛和乘客的隱私,進一步保護消費者的權益。
圖1 標準框架
一、標準范圍
標準規定了汽車數據處理者對汽車數據進行收集、傳輸等處理活動的通用安全要求、車外數據安全要求、座艙數據安全要求和管理安全要求。標準適用于汽車數據處理者開展汽車數據處理活動,適用于汽車的設計、生產、銷售、使用和運維,也適用于主管監管部門和第三方評估機構等對汽車數據處理活動進行監督、管理和評估。不適用于警車、消防車、救護車以及工程救險車等執行緊急任務時的汽車數據處理活動,不適用于裝置有專用設備或器具的作業車輛在封閉場所內從事作業活動時的汽車數據處理活動,不適用于測試車輛在封閉場地開展科研以及定型試驗等活動時的汽車數據處理活動。
二、標準內容
1.通用安全要求
GB/T 41871標準對汽車數據通用安全要求引用了GB/T 35273-2020《信息安全技術 個人信息安全規范》和GB/T 40660《信息安全技術 生物特征識別信息保護基本要求》的內容,并在此基礎上提出了個人信息告知規范的要求、敏感個人信息處理要求、個人信息運營者要求和重要數據要求。
|
處理個人信息要求 |
要求內容 |
|
告知方式 |
用戶手冊單獨章條提示、語音播放等能夠便于用戶知曉的顯著方式告知 |
|
告知內容 |
收集信息的情境,必要性及其它處理活動相關信息 |
|
保存期限 |
30天、1年等具體且明確的時間限 |
|
保存地點 |
告知所有保存地點并精確到地級市 |
|
方便管理 |
向用戶提供便于管理其個人信息的功能 |
表1 處理個人信息要求
|
處理敏感個人信息要求 |
要求內容 |
|
單獨同意 |
對每一項敏感個人信息征得用戶單獨同意 |
|
同意期限 |
不得為“始終允許”、“永久”等 |
|
刪除時限 |
收到刪除請求10個工作日內完成刪除 |
|
處理目的 |
不能以提升用戶體驗、改善服務質量和研發為由處理敏感個人信息 |
2.車外數據安全要求因保證行車安全需要,無法征得個人同意采集到車外個人信息且向車外提供的,應當匿名化處理,在處理時,未完成匿名化處理前,不應向車外提供。(匿名化方式:完全刪除、局部輪廓化處理)
3.座艙數據安全要求通過攝像頭、紅外傳感器、指紋傳感器或傳聲器等部件從汽車座艙采集的可能包含個人信息的數據,以及對其進行加工后產生的數據。
|
座艙數據安全要求 |
要求內容 |
|
默認不收集 |
除非駕駛員自主設定,汽車默認為不收集座艙數據的狀態 |
|
車內處理 |
座艙數據在車內處理不向外傳輸(例外情況:語音指令、云存儲、遠程查看、執法、監管要求) |
|
終止收集 |
向用戶提供便于終止收集活動的功能(例外情況:正在提供公路營運服務的道路運輸車輛、正在提供出行服務的公共汽車持續收集座艙數據) |
4.管理安全要求GB/T 41871標準對汽車數據風險評估、汽車數據安全管理負責人、安全事件應急處置機制、投訴處理、汽車制造商對零部件供應商數據監督等問題作出具體規定,細化了《汽車數據安全管理若干規定(試行)》的相關要求。
三、影響與意義
GB/T 41871-2022為汽車行業構建了全方位的數據安全防護體系。標準實施后,將系統性指導汽車從研發設計到報廢回收全生命周期的數據安全管理,重點規范了三類核心場景:車外環境數據采集的匿名化處理、座艙生物特征數據的分級保護、供應鏈協同中的數據流向監控。通過建立“技術防護+管理機制+責任追溯”的三維保障體系,不僅填補了行業空白,更為智能網聯時代的數據合規流通提供了實施路徑,對保障國家數據安全、維護消費者權益具有里程碑意義。
中汽研科技有限公司(簡稱“中汽研科技”)智能網聯汽車研究部網聯通信測試平臺技術總監李奇表示,該標準構建了覆蓋數據全生命周期管理的安全框架,重點要求落實"最小必要"采集原則、敏感數據匿名化處理、跨境數據安全評估三項核心要求;同時明確企業需建立專職管理團隊、完善風險評估和應急響應機制;特別強調汽車制造商對供應鏈的數據監管責任和用戶權益保障義務。未來汽車數據管理需重點關注四大方向:嚴格把控數據采集范圍與處理規范、健全跨境數據傳輸合規流程、強化供應鏈數據安全管控、優化用戶數據透明化披露機制,以全面提升企業數據安全治理水平。
中汽研科技嚴格遵循GB/T 41871-2022標準要求,圍繞車外數據安全、座艙數據安全及管理安全三大核心領域,構建了覆蓋"功能驗證—合規摸底測試——整改分析"的全流程檢測能力體系,為行業提供專業、規范的汽車數據安全檢測服務。未來,中汽研科技將持續深化檢測技術研究,重點突破智能網聯汽車數據安全前沿檢測技術,通過技術創新和服務升級,助力企業高效滿足合規要求,為汽車數據安全保駕護航。