汽车数据安全若干问题合规实践指南1 汽车数据安全若干问题合规实践指南本报告版权属于数据安全推进计划，并受法律保护。转载、摘 编或利用其它方式使用本报告文字或者观点的，应注明“来源： 数据安全推进计划”。 违反上述声明者，编者将追究其相关法律责任。版权声明汽车数据安全若干问题合规实践指南中国信息通信研究院云计算与大数据研究所、北京市金杜律师事务所、广州小鹏汽车 科技有限公司、 吉利汽车集团有限公司、 全知科技 （杭州） 有限责任公司、 福特汽车 （中 国）有限公司、沙龙机甲科技有限公司、浙江寰福科技有限公司、安徽江淮汽车集团 股份有限公司、 惠州市德赛西威汽车电子股份有限公司、 亿咖通 （湖北） 技术有限公司、 智马达汽车有限公司、一汽丰田汽车有限公司 张亚兰、李雪妮、李天阳、郝志婧、宁宣凤、吴涵、吴真恺、吴意晟、王潼、陈金凤、 姜雅君、孙雄涛、刘磊、徐志强、王璐瑶、宫昊、陈艺、姜杰仁、王思涵、李溳、甘铜、 孙权、王世全、刘捷、彭宇辉、张裁会、周靖、王伟、刘锋、王丹维、王铱特别鸣谢机构 特别鸣谢专家汽车数据安全若干问题合规实践指南前 言 在电动化、智能化、网联化、共享化的汽车“新四化”趋势下，汽车涉及数据交互 的功能越来越多，数据作为新型生产要素在汽车行业各个场景交互流动。车联网环境下 数据量大、数据种类复杂、数据协同访问涉及面广、承载形式多样，随之而来的各种数 据安全问题不容忽视。如何平衡数据安全保护和智能网联汽车自动驾驶技术发展？如何 落实数据在全生命周期各阶段、各功能、各场景下的合规管控要求？这些都需要在合规 实践过程中充分考虑。 国内近几年十分重视汽车数据安全问题，《中华人民共和国数据安全法》（以下简 称“《数据安全法》”）、《中华人民共和国个人信息保护法》（以下简称“《个人信息 保护法》”）对数据安全、个人信息保护等问题作了顶层规定。《汽车数据安全管理若 干规定（试行）》（以下简称《规定》）明确了汽车数据处理者的责任和义务，规范汽车 数据处理活动，指导行业开展汽车数据相关的技术研究与开发利用。车联网数据安全标 准体系正在逐步构建，在通用要求、分类分级、出境安全、个人信息保护、应用数据安 全等方面指导和规范车联网产业安全健康发展，为汽车企业提供数据安全合规实践指南。 为进一步提高汽车行业数据安全保护水平，增强汽车企业数据安全合规保障能力， 推动汽车数据价值安全使用，保障安全与发展的双向促进，特编制本合规实践指南。本指 南依据国家法律法规和标准， 同时参考行业最佳实践， 针对汽车数据安全的重要合规内容， 结合汽车行业特有场景，提出合规实践建议。汽车数据安全若干问题合规实践指南目 录 一、车内处理原则 （一）合规要点 （二）典型场景 （三）合规实践建议 二、脱敏处理原则 （一）合规要点 （二）典型场景 （三）合规实践建议 三、数据安全防护 （一）合规要点 （二）典型场景 （三）合规实践建议 四、告知与征得同意义务 （一）合规要点 （二）典型场景 （三）合规实践建议五、处理敏感个人信息 （一）合规要点 （二）典型场景 （三）合规实践建议 六、数据安全风险评估 （一）合规要点 （二）典型场景 （三）合规实践建议 七、数据出境 （一）合规要点 （二）典型场景 （三）合规实践建议1 15 4 18 8 23 121 1 215 15 16 4 4 518 18 18 8 8 923 23 24 12 12 13 汽车数据安全若干问题合规实践指南1 一、车内处理原则 《规定》中明确，国家鼓励汽车数据依法合理有效利用，倡导汽车数据处理者在开展 汽车数据处理活动中坚持车内处理原则，除非确有必要不向车外提供。 “车内处理”原则是指，基于汽车本身产生的数据，需要在车内完成处理，除确有必 要外， 不应传输至车外的设备系统或第三方。 “通过网络向外传输” 是指通过移动通信网络、 无线局域网、 充电桩接口等方式， 向位于车外的设备、 系统传输。 同时， 因保证行车安全需要， 已进行匿名化处理的视频、图像数据除外1 。“车内处理”是否等同于本地化处理有待行 业实践发展观察。落实“车内处理”原则，需要以充分保障个人信息权利和数据安全为衡 量尺度，同时兼顾行业与技术创新发展的必要空间。 ①“哨兵模式”可通过车身装载的摄像头持续监控周围环境，当探测到可疑行为时， 车辆会自动根据威胁的严重程度做出反应。如果摄像头采集到的视频不是在车内处理，而 是通过 APP 推送等方式向车外传输，可能会威胁到车辆数据安全及车外行人的隐私安全。 ②V2X的实现依赖汽车和外界进行信息交换，在车路协同、智慧交通等应用过程中需 要落实车内处理原则。 参见：全国信息安全标准化技术委员会技术文件《汽车采集数据处理安全指南》“5 传输要求” 1（一）合规要点 （二）典型场景汽车数据安全若干问题合规实践指南2 汽车企业需要提高车内数据处理能力。为了实现数据安全合规，尽量在车端对数据进 行处理，通过改进算法、提升芯片性能等手段提高车端算力，为“车内处理”提供客观条件。 例如，传感器端可以将收集到的数据先进行预处理和优化，并提取出原始数据中的代表性 特征，再由车端计算平台将这些特征数据进行融合，并基于融合后的数据做识别判断以及 输出决策，这一方案能够有效缓解车端计算平台的负载；或者通过车、路、云三者的信息 交互，实现协同感知和协同计算，将云端对目标物的识别结果输出至车端，减少在车端的 识别和计算。 汽车企业需要在设计产品功能阶段以“车内处理”为原则。尽量降低向车外提供数据 的功能需求，对于属于未来技术发展趋势并涉及数据安全的功能，要提前识别和评估可能 与法规产生冲突的风险，从而实现数据安全保护和汽车技术发展的平衡。产品设计阶段制 定功能实现方案时，首先应识别数据流向，如存在向外传输的需求，应考虑是否有满足车 内处理原则的替代方案，合理设计电子电气架构及算力资源分配。 汽车企业应贯彻落实“默认不收集”原则。即在汽车场景下，除非驾驶人自主设定， 每次驾驶时默认设定为不收集状态。例如汽车企业收集座舱数据时，只有当驾驶人通过实 体按键或触摸按键等方式主动选择后才能开始收集。 汽车企业应对数据访问权限、数据存储安全等技术进行全面合规建设。例如： • 可建立数据访问权限的控制机制，进一步降低人为泄露汽车数据的风险； • 建立汽车企业制度规范，确立数据存储技术安全标准等； • 可结合自身情况，定期开展数据安全评估评测，并根据监管要求及时上报。 汽车企业需要梳理“确有必要向车外传输”的情形。汽车企业首先应遵循法律法规规 定的“车内处理”原则。根据法律法规和行业技术实践发展，在确需向车外传输数据的场 景下，梳理“确有必要向车外传输”的情形，如为保证车辆行驶安全的车辆报警信息和其 他充分必要性目的， 具体可参考表1。 汽车企业应根据行业技术发展实践， 将不符合上述 “确 有必要向车外传输”的数据做车端本地化存储、处理，如一般车内音视频数据、不影响行 车安全和道路安全的车辆信息以及车内人员生物识别信息等。 汽车企业需落实“向车外传输”信息的匿名化处理。具体措施包括对视频、图像中可 识别个人身份的人脸、 车牌等信息进行擦除等， 确保无法利用视频、 图像数据识别个人身份， 从而确保“车内处理”原则实现保护个人信息与汽车数据安全的目标。匿名化处理的标准 可参考团体标准《汽车传输视频及图像脱敏技术要求与方法》。（三）合规实践建议汽车数据安全若干问题合规实践指南3 表 1 “确有必要向车外传输”的情形示例 来源：数据安全推进计划汽车座舱数据2 通过摄像头、红外传感 器、指纹传感器或传声器等 部件从汽车座舱采集的可能 包含个人信息的数据，包括 对其进行加工后产生的数据。• 语音指令：为实现语音识别功能以实时判断汽车控制指令； • 云存储：为实现远程查看车内情况或云存储功能； • 远程查看：为实现远程查看车内情况或云存储功能， 向使 用者提供数据，取得个人信息主体同意，并采取安全措施， 除使用者外的其他组织和个人不能访问； • 执法、监管要求：应监管部门或执法机构要求传输数据。 参见：《信息安全技术 汽车数据处理安全要求》3.6 2汽车企业需依法履行个人信息收集处理的“告知 - 同意”义务。建议汽车企业在与消 费者签署的《隐私政策》和《用户协议》中规定“车内处理”个人信息和数据的范围、方式、 目的等，包括是否已对“向车外传输”的信息进行匿名化处理、模糊擦除等安全技术措施， 汽车企业在“向车外传输”个人信息和数据时，应取得个人信息权利主体的单独同意。具 体文本可参考表 2。 表 2 《隐私政策》对“车内处理”的具体规定示例 来源：数据安全推进计划示例：汽车企业《隐私政策》对“车内处理”原则的具体规定 - 我们如何处理、存储您的个人信息 …… 对于您的个人信息和汽车产生的数据，我们将严格依照法律法规和国家标准处理、存 储。……基于汽车使用产生的个人信息和数据，原则上我们将在车端内处理、存储，对确有 必要向车外传输的信息我们将进行匿名化处理，采取模糊擦除等安全技术措施。 ……汽车数据分类示例 “确有必要向车外传输”限定情形示例