新国标规范智能汽车数据安全，明确个人信息保护要求

新国标规范智能汽车数据安全，明确个人信息保护要求

随着智能网联汽车的快速发展，汽车数据安全问题日益凸显。2024年8月23日，全国汽车标准化技术委员会发布了GB/T 44464-2024《汽车数据通用要求》标准，对汽车数据处理、个人信息保护和重要数据保护等方面提出了详细规定，为智能网联汽车的数据安全提供了重要保障。

标准适用范围

《汽车数据通用要求》适用于具备数据处理功能的汽车及其数据处理者，并规定了汽车数据的一般要求、个人信息保护要求、重要数据保护要求、审核评估及试验要求等。

主要规定与要求

汽车数据安全管理体系

《汽车数据通用要求》在一般要求中规定汽车数据处理者应建立汽车数据安全管理体系，并明确管理体系中的具体内容。

汽车数据安全管理体系构成

个人信息保护要求

《汽车数据通用要求》中关于个人信息保护要求主要内容如下：

• 个人信息处理目的与方式：明确信息处理需具备合理目的，且与目的直接相关，最小化对个人权益的影响。默认不收集个人信息，除非得到个人同意或法律规定。

• 个人同意的例外：列出在紧急情况下保护生命健康、处理已公开信息、保障行车安全等无需个人同意即可处理信息的特定情形，并要求以多种方式告知用户。

• 信息提供与存储：强调除特殊情形外，不得向车外提供座舱数据，且个人信息存储期限应与同意期限一致。

• 个人同意的管理：详细规定了获取个人同意的方式、内容、选项设置及重新获取同意的时机，同时确保个人有权撤回同意。

• 信息收集与存储：要求根据功能服务需求精准确定传感器覆盖范围与分辨率，个人信息存储需符合GB 44495-2024《汽车整车信息安全技术要求》标准。

• 信息使用与传输：明确访问控制措施，不应将生物特征识别作为唯一认证手段；车外传输需符合GB 44495-2024《汽车整车信息安全技术要求》标准，尤其对于保证行车安全而收集的信息需进行匿名化处理。

• 匿名化处理：详细规定了人脸与汽车号牌等敏感信息的匿名化对象、处理性能要求及效果，确保处理后信息无法被识别。

• 信息删除与出境：规定个人请求删除敏感信息的响应时间，确保删除信息不可恢复，并明确个人信息出境需符合GB 44495-2024《汽车整车信息安全技术要求》及相关法律法规要求。

重要数据保护要求

《汽车数据通用要求》规定汽车在处理重要数据时，需根据功能服务对数据精度的需求设定摄像头、雷达等设备的参数，确保至少一项功能满足最高精度要求，并对其他功能做出合理解释。同时，重要数据的存储、使用、传输均需符合GB 44495-2024《汽车整车信息安全技术要求》标准，确保数据不被非授权访问。删除的数据应彻底不可恢复，而出境数据则需严格遵守数据出境规定及法律法规。

审核评估及试验要求

《汽车数据通用要求》规定汽车数据处理者应满足符合性评估要求，并按附录B、D分别进行个人信息匿名化及重要数据处理试验，确保符合试验标准。此外，推荐根据附录C进行匿名化误检率试验，以进一步优化数据处理效果。

中汽研科技平台技术总监李奇表示，《汽车数据通用要求》标准要求中明确提出了汽车个人信息保护全生命周期要求，车型中涉及个人信息处理的场景均需满足此要求。在汽车数据处理链中各环节技术复杂，各数据处理环节都会引入不同的数据安全问题，需明确内容及情况、何时、何人来做风险评估，要做什么、怎么做，风险如何处置等问题。此外，本标准的实施还为未来汽车产品的市场准入设立了严格且明确的数据安全准则，为产业界提供了权威的参考依据。

总体而言，GB/T 44464-2024《汽车数据通用要求》标准促进了智能网联汽车的发展与进步。中汽研科技基于该标准要求构建了个人信息保护要求测试、个人信息传输要求测试和匿名化要求测试体系，为规范高效实现汽车数据安全检测保驾护航。未来，我们将持续推进汽车数据安全检验能力建设，深入研究和推广前沿的数据安全检测方法，确保为客户提供更高效、更安全的测试服务。