中汽協：特斯拉等6家企業76款車型符合數據安全合規要求

爲規範汽車數據處理活動，保障用户合法權益，鼓勵頭部汽車製造商發揮標杆作用，推動形成全社會共同維護汽車數據安全和促進汽車行業發展的良好環境，中國汽車工業協會、國家計算機網絡應急技術處理協調中心依據《汽車數據安全管理若干規定（試行）》、GB/T 41871-2022《信息安全技術 汽車數據處理安全要求》等法規標準有關規定，按照企業自願送檢原則，2023年11月起組織對汽車製造商2022-2023年度新上市智能網聯汽車數據安全合規情況（車外人臉信息等匿名化處理、默認不收集座艙數據、座艙數據車內處理、處理個人信息顯著告知等4項合規要求）進行檢測，其中比亞迪、理想、路特斯、合衆新能源、特斯拉、蔚來等6家企業的76款車型符合汽車數據安全4項合規要求。具體汽車車型名單如下：

中國汽車工業協會

國家計算機網絡應急技術處理協調中心

2024年4月28日

附件

檢測標準與方法

本次檢測根據《汽車數據安全管理若干規定（試行）》有關要求，按照GB/T 41871-2022《信息安全技術 汽車數據處理安全要求》和T/CAAMTB 77-2022《汽車傳輸視頻及圖像脱敏技術要求與方法》相關技術標準，並參考《汽車數據通用要求（報批稿）》附錄C組織實施。

一、檢測對象

截至2023年11月15日前，按照《關於開展汽車數據安全合規工作的通知》（中汽協函字【2023】243號），汽車製造商自願向中國汽車工業協會送檢的2022-2023年度新上市智能網聯汽車。

二、檢測標準

檢測採用相同的測試要求、測試環境、技術標準和測試流程，包括車外人臉信息等匿名化處理、默認不收集座艙數據、座艙數據車內處理以及處理個人信息顯著告知4項要求。檢測標準如下：

1.車外人臉信息等匿名化處理要求

a.車外數據未完成匿名化處理前，不應向車外提供；

b.車端匿名化處理的視頻、圖像中的人臉目標和汽車號牌目標的匿名化檢出率均應大於等於90%。

2.默認不收集座艙數據要求

a.除非駕駛人自主設定，汽車應默認設定為不收集座艙數據的狀態，當駕駛人通過實體按鍵或觸摸按鍵等方式主動選擇后才能開始收集，汽車可根據駕駛人設定，保持駕駛人選擇的狀態或恢復默認狀態；

b.應提供便利的終止收集座艙數據的方式；

c.應對每項敏感個人信息取得個人信息主體單獨同意；

d.處理敏感個人信息的同意期限不應設置為「始終允許」或「永久」。

3.座艙數據車內處理要求

除實現語音識別、遠程查看車內情況、雲存儲功能以及依據相關規定向監管或執法機構傳輸數據的情形外，汽車不應向車外提供座艙數據；

4.處理個人信息的顯著告知要求

汽車數據處理者處理個人信息應當通過用户手冊、車載顯示面板、語音、汽車使用相關應用程序等顯著方式，告知個人以下事項：

a.處理個人信息的種類；

b.收集各類個人信息的具體情境以及停止收集的方式和途徑；

c.處理各類個人信息的目的、用途、方式；

d.個人信息保存地點、保存期限，或者確定保存地點、保存期限的規則；

e.查閲、複製其個人信息以及刪除車內、請求刪除已經提供給車外的個人信息的方式和途徑；

f.用户權益事務聯繫人的姓名和聯繫方式。

三、檢測方法

針對不同車型（區分年款）的各項數據處理功能，在相同的標準下進行4項合規要求的檢測，並根據相關功能的技術特點採取不同的檢測方法。具體包括：

1.車外人臉信息等匿名化處理的檢測方法：由技術人員從車端進行數據採樣，並進行匿名化效果分析和數據統計；

2.默認不收集座艙數據的檢測方法：在車內進行各項座艙數據收集功能的符合性確認；

3.座艙數據車內處理的檢測方法：在車端進行車輛對外通信數據的抓取和分析；

4.個人信息顯著告知的檢測方法：在企業官方網站、車載應用程序或移動通信終端應用程序上進行《用户隱私協議》的符合性確認。