1、ICS 43.020CCS T 40DB4403深圳市地方标准DB4403/T 3612023智能网联汽车数据安全要求Requirements of data security for intelligent and connected vehicles2023-08-22 发布2023-09-01 实施深圳市市场监督管理局发 布DB4403/T 3612023目次前言.II1范围.12规范性引用文件.13术语和定义.14一般要求.45个人信息保护要求.56重要数据保护要求.77审核评估要求.8附录A(资料性)数据分类分级要求.9附录B(资料性)数据分类与分级映射表.15附录C(规范性)个人信
2、息和重要数据处理试验方法及要求.17附录D(规范性)雷达、摄像头等数据收集设备参数.19附录E(规范性)个人信息匿名化处理试验方法.20附录F(资料性)匿名化误检率试验方法.25DB4403/T 3612023II前言本文件按照GB/T 1.12020标准化工作导则第1部分:标准化文件的结构和起草规则的规定起草。本文件以推荐性国家标准汽车数据通用要求(计划号:20213606-T-339)(2022年10月版本)为基础制定,主要用于支持深圳市智能网联汽车准入管理工作的实施。本文件由深圳市工业和信息化局提出并归口。本文件起草单位:深圳市工业和信息化局。DB4403/T 36120231智能网联汽
3、车数据安全要求1范围本文件规定了智能网联汽车数据的一般要求、个人信息保护要求、重要数据保护要求、审核评估要求等。本文件适用于具备汽车数据处理功能的车辆及其数据处理者。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB 14886道路交通信号灯设置与安装规范GB 14887道路交通信号灯GB/T 386362020信息安全技术传输层密码协议(TLCP)DB4403/T 3552023智能网联汽车整车信息安全技术要求3术语和定义下列术语和定义适用
4、于本文件。3.1汽车数据vehicle data汽车设计、生产、销售、使用、运维、报废等过程中涉及的个人信息和重要数据。来源:汽车数据安全管理若干规定(试行),第三条,有改写3.2汽车数据处理vehicle data processing汽车数据收集、存储、使用、加工、传输、提供、公开、删除等过程。来源:汽车数据安全管理若干规定(试行),第三条,有改写3.3收集collect通过一定方式获取汽车数据的行为。3.4汽车数据处理者vehicle data processor开展汽车数据处理活动的组织。注:汽车数据处理者包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等。来源:汽
5、车数据安全管理若干规定(试行),第三条3.5汽车数据安全管理体系vehicle data security management system一种规范汽车数据处理者开展数据处理活动过程中保护汽车数据安全的系统性方法。DB4403/T 361202323.6审计audit获取审核证据并对其进行客观评价以确定满足审核准则程度的,系统的、独立的和文档化的过程。来源:GB/T 250692022,3.5153.7个人信息personal information以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。注:个人信息包括敏感个人信息和一般个人信息,不包括匿名化处理后的信息。示例:自
6、然人包括车主、驾驶人、乘车人、车外人员等。来源:中华人民共和国个人信息保护法,第四条3.8敏感个人信息sensitive personal information一旦泄露或者非法使用,可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的个人信息。注:包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。来源:汽车数据安全管理若干规定(试行),第三条3.9一般个人信息general personal information除敏感个人信息外的其他个人信息。3.10座舱数据cabin data通过摄像头、红外传感器、指纹传感器或传声器等部件从汽车座舱采集的可能包含个人信
7、息的数据,以及对其进行加工后产生的数据。来源:GB/T 418712022,3.63.11匿名化anonymization个人信息经过处理无法识别特定自然人且不能复原的过程。来源:中华人民共和国个人信息保护法,第七十三条3.12个人信息主体personal information subject个人信息所标识的自然人。来源:GB/T 35273-2020,3.3,有改写3.13人脸目标human face object自然人的头部正面眉毛最上端至颏底线之间、左耳到右耳(不包括耳朵)之间的部分。3.14人脸边界框human face boundary frame覆盖人脸目标范围的最小矩形或旋转矩
8、形。示例:人脸范围示意图见图1。DB4403/T 36120233图 1人脸范围示意图3.15汽车号牌目标vehicle license plate object基材为金属的准予汽车在中华人民共和国境内道路上行驶的法定标志,其号码是机动车登记编号。来源:GA 36-2018,3.1,有改写注:本文件所指汽车号牌目标均指基材为金属的正式机动车号牌,不包含喷涂的放大号牌、纸质临时机动车号牌。3.16汽车号牌边界框vehicle license plate boundary frame汽车号牌外延组成的矩形或旋转矩形。3.17遮盖率coverage rate对于符合本文件 5.6.2.1 要求的单个
9、匿名化对象,边界框内进行匿名化处理区域与整个边界框区域的面积比值。示例:遮盖率示意图见图 2,其中实线区域为人脸边界框,虚线部分为匿名化区域,遮盖率为阴影部分与实线区域的面积比值。图 2遮盖率示意图3.18检出率detection rate某类目标的正检数除以正检数与漏检数之和的数值。注:漏检数是未被检出的应进行匿名化目标数量。3.19误检率false detection rate某类目标的误检数与检出目标数的比值。注:误检数是被检出且不满足目标定义的目标数量。3.20重要数据important dataDB4403/T 36120234一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害
10、国家安全、公共利益或者个人、组织合法权益的数据。注:重要数据包括:军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据;车辆流量、物流等反映经济运行情况的数据;汽车充电网的运行数据;包含人脸信息、车牌信息等的车外视频、图像数据;涉及个人信息主体超过 10 万人的个人信息;国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。来源:汽车数据安全管理若干规定(试行),第三条4一般要求4.1汽车数据安全管理体系要求4.1.1汽车数据处理者应建立汽车数据安全管理体系,落实汽车数据安
11、全管理制度。4.1.2汽车数据处理者应采取汽车数据安全保护技术措施,保证数据持续处于有效保护和合法利用的状态。4.1.3汽车数据处理者应制定汽车数据安全方针、分析汽车数据安全管理体系内外部环境并确定汽车数据安全管理体系的边界及其适用范围。4.1.4汽车数据处理者应建立汽车数据安全管理机构、确定相关人员职责并形成汽车数据安全文化。4.1.5汽车数据处理者应建立汽车数据分类分级制度,可参考附录 A,形成数据资产管理台账。4.1.6汽车数据安全管理体系应覆盖数据全生命周期,应制定数据收集、存储、使用、加工、传输、提供、公开、删除等过程的具体分级防护要求和操作规程。4.1.7汽车数据处理者在境内收集和
12、产生的个人信息和重要数据应按照有关法律法规规定在境内存储,如需向境外提供,应通过数据出境安全评估。4.1.8汽车数据处理者应针对车辆全生命周期制定数据安全流程管理制度。注:车辆全生命周期包括车辆的概念设计、产品开发、验证确认、运维及报废等阶段。4.1.9汽车数据处理者应建立汽车数据安全监测和事件管理制度,发现汽车数据安全缺陷、漏洞等风险时,应立即采取补救措施;发生汽车数据安全事件时应立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。4.1.10汽车数据处理者应建立投诉举报处理机制,建立数据安全投诉举报渠道并及时受理、处置数据安全投诉举报。4.1.11汽车数据处理者开展汽车数据处理活动
13、应进行风险管理。4.2汽车数据处理的一般要求4.2.1汽车数据处理者处理个人信息应符合第 5 章的要求。4.2.2汽车数据处理者处理敏感个人信息应符合第 5 章的要求。4.2.3汽车数据处理者处理个人信息时,车内处理和默认不收集行为应符合 5.1.1 的要求,精度范围适用应符合 5.3 的要求,脱敏处理行为应符合 5.6.1.4 的要求,显著告知行为应符合 5.2.1 的要求。4.2.4汽车数据处理者处理重要数据应符合第 6 章的要求。4.2.5汽车数据处理者处理重要数据时,车内处理和默认不收集行为应符合 6.1 的要求,精度范围适DB4403/T 36120235用应符合 6.2 的要求。4
14、.2.6汽车数据处理者处理的数据既属于个人信息也属于重要数据时,应同时符合第 5 章和第 6 章的要求。5个人信息保护要求5.1个人信息处理通用要求5.1.1汽车数据处理者处理个人信息应具有明确、合理的目的,并应与处理目的直接相关,采取对个人权益影响最小的方式。除非驾驶人自主设定,车辆应默认设定为不收集个人信息的状态;除非取得个人信息主体同意,不应向车外提供个人信息。5.1.2满足以下例外情形时,汽车数据处理者处理个人信息可不取得个人同意:用于紧急情况下为保护自然人的生命健康和财产安全所必需的功能;处理个人自行公开或者其他已经合法公开的个人信息;因保证行车安全需要,无法征得个人同意收集到车外个
15、人信息。5.1.3其它符合法律、行政法规和强制性国家标准等规定的情形。汽车数据处理者应通过产品说明书、合同书、个人信息保护政策等至少一种形式提供取得个人同意的例外情形及理由。5.1.4撤回个人同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。5.1.5基于个人同意而处理的个人信息,存储期限应与取得同意的个人信息存储期限或其规则一致。5.1.6除取得个人同意外,汽车不应向车外提供座舱数据。5.1.7有下列情形之一的,汽车数据处理者应主动删除个人信息或匿名化处理,汽车数据处理者未删除的,个人有权请求删除:处理目的已实现、无法实现或者为实现处理目的不再必要;汽车数据处理者停止提供产品或者
16、服务,或者保存期限已届满;个人撤回同意;汽车数据处理者违反法律、行政法规或者违反约定处理个人信息。5.1.8法律、行政法规规定的其他情形。法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应停止除存储和采集必要的安全保护措施之外的处理。5.2个人同意的取得5.2.1显著告知汽车数据处理者处理个人信息应取得个人同意,处理敏感个人信息,应取得单独同意,通过至少一种显著方式向个人告知,清晰地说明个人信息的具体情境和必要性,并提供便捷的查阅、复制和删除等个人信息管理功能。具体要求如下:告知方式可选取弹窗、文字说明、提示条、提示音、产品说明书、合同书、个人信息保护政策
17、等;告知内容应至少包含:处理个人信息的种类、处理各类个人信息的必要性,包括目的、用途、方式等;收集各类个人信息的具体情境以及停止收集的方式和途径;个人信息存储地点、存储期限,或者确定存储地点、存储期限的规则;查阅、复制其个人信息以及删除车内、请求删除已经提供给车外的个人信息的方式和途径;用户权益事务联系人的姓名和联系方式;DB4403/T 36120236法律、行政法规规定的应告知的其他事项。5.2.2取得个人同意的选项设置向个人进行符合5.2.1要求的显著告知后,汽车数据处理者应取得个人同意并按照如下要求设置取得个人同意的选项:提供同意和拒绝同意的方式;处理敏感个人信息提供自主设定同意期限的
18、途径,且期限不应设置为始终允许或永久。5.2.3重新取得个人同意的要求5.2.3.1汽车数据处理者应在取得的同意期限内处理个人信息,当个人同意期限届满后,若汽车数据处理者仍有必要继续进行除删除外的个人信息处理活动,应重新取得个人同意。5.2.3.2个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,汽车数据处理者应重新取得个人同意。5.2.4个人同意的撤回汽车数据处理者应提供个人撤回同意的途径。5.3个人信息收集5.3.1收集个人信息时,汽车数据处理者应根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率。5.3.2因同一数据收集设备支持多个功能服务且所需数据精度要求
19、不同,至少应有一个功能服务符合5.3.1 要求,针对其他不符合 5.3.1 要求的功能服务,汽车数据处理者应做出合理说明。5.4个人信息存储个人信息的存储应符合DB4403/T 3552023中对于个人信息存储的相关要求。5.5个人信息使用5.5.1使用个人信息时,汽车数据处理者应采取访问控制措施,防止非授权访问存储的个人信息。5.5.2车辆个人身份认证功能不应仅使用个人生物特征识别信息。5.6个人信息传输5.6.1车外传输要求5.6.1.1向车外传输个人信息应符合 DB4403/T 3552023 中对于个人信息传输的相关要求。5.6.1.2因保证行车安全需要,无法征得个人同意收集到车外个人
20、信息且向车外提供的,应进行匿名化处理,包括删除含有能够识别自然人的画面,或者对画面中的人脸信息等进行局部轮廓化处理等。匿名化处理应符合 5.6.2 的要求,匿名化处理完成后,过程数据应及时删除,不应向车外提供。5.6.2匿名化要求5.6.2.1匿名化对象5.6.2.1.1人脸匿名化对象汽车数据处理者至少应对图像或视频中满足以下要求的人脸目标进行匿名化处理:DB4403/T 36120237人脸目标对应的人脸边界框最小边长像素大于等于 32 像素;人脸目标边界框内可见范围比值大于 50%且可见范围内眼睛、鼻子或嘴清晰可见。注:可见范围比值指人脸目标框内可见范围与人脸目标边界框的面积比值,其中可见
21、范围为人脸由于旋转、遮挡等导致部分不可直接观察时,人脸目标框内可直接观察无遮挡的人脸目标的矩形面积。示例:广告牌、光滑表面倒影中出现的具有人脸目标特征的图像不属于真实人脸目标,不属于匿名化对象。5.6.2.1.2汽车号牌匿名化对象汽车数据处理者至少应对图像或视频中满足以下要求的汽车号牌目标进行匿名化处理:汽车号牌边界框最小边长像素大于等于 16 像素;汽车号牌全部数字及文字内容无遮挡且可识别。注:边界框高度指汽车号牌边界框上沿至下沿的距离。5.6.2.2匿名化处理性能要求5.6.2.2.1检出率要求人脸目标和汽车号牌目标的检出率均应不低于90%。5.6.2.2.2误检率要求误检率可不大于10%
22、。5.6.2.3匿名化效果要求已进行匿名化处理的人脸目标和汽车号牌目标应无法被识别。5.7个人信息删除5.7.1个人请求删除敏感个人信息的,汽车数据处理者应在 10 个工作日内完成删除,法律、行政法规另有规定的按照其规定执行。5.7.2被删除的个人信息应不可检索、不可访问。5.8个人信息出境5.8.1个人信息通过车辆出境应符合 DB4403/T 3552023 的要求。5.8.2个人信息通过其他方式确需向境外提供的,应符合法律法规的有关规定。6重要数据保护要求6.1重要数据处理通用要求汽车数据处理者处理重要数据应具有明确、合理的目的,并应与处理目的直接相关。除非驾驶人自主设定,车辆应默认设定为
23、不收集重要信息的状态,不应向车外提供重要数据。6.2重要数据收集6.2.1收集重要数据时,汽车数据处理者应根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率。6.2.2因同一数据收集设备支持多个功能服务且所需数据精度要求不同,至少应有一个功能服务符合6.2.1 要求,针对其他不符合 6.2.1 要求的功能服务,汽车数据处理者应做出合理说明。DB4403/T 361202386.3重要数据存储重要数据的存储应符合DB4403/T 3552023中对于敏感个人信息存储的相关要求。6.4重要数据使用使用重要数据时,汽车数据处理者应采取访问控制措施,防止非授权访问存储的重要数据。6
24、.5重要数据传输向车外传输重要数据应符合DB4403/T 3552023中对于敏感个人信息传输的相关要求。6.6重要数据删除被删除的重要数据应不可检索、不可访问。6.7重要数据出境重要数据通过车辆出境应符合 DB4403/T 3552023 的要求。重要数据通过其他方式确需向境外提供的,应符合法律法规的有关规定。7审核评估要求7.1汽车数据处理者宜满足 4.1 要求的符合性评估。7.2应按照附录 C 对车辆进行个人信息及重要数据处理试验,并按照附录 E 对车辆进行个人信息匿名化处理试验。7.3宜参考附录 F 对车辆进行匿名化误检率试验。DB4403/T 36120239附录A(资料性)数据分类
25、分级要求A.1数据分类分级原则汽车数据分类分级原则如下:科学性:按照汽车数据的多维特征以及相互间客观存在的逻辑关联进行科学和系统化的分类分级;实用性:汽车数据的分类分级要保证每个类目下要有数据,不设没有意义的类目;扩展性:汽车数据分类分级方案在总体上具有概括性和包容性,能够实现各种类型数据的分类,以及满足将来可能出现的数据类型;合法合规性:数据分类分级遵循国家法律法规及行业主管部门有关规定;可执行性:数据分类分级规则避免过于复杂以保证数据分类分级的可行性;时效性:数据分级具有一定的有效期限,超过有效期限数据级别应按照级别变更策略及时调整;稳定性:分类分级要基于智能网联汽车数据最稳定的特征和属性
26、,以保持分类分级结果稳定,并在总体上利于对同一类别或级别的数据适用相同的安全要求;显著性:根据数据在产生、收集、使用等方面的成果或内容上的显著特征确定汽车的分类方案。A.2数据分类根据汽车数据的类型、特性及业务使用场景等因素,并综合数据安全管理的总体目标和安全策略要求,对数据资产进行梳理、归类和细分后形成的汽车数据分类见表A.1。表 A.1数据分类表一级分类名称一级分类名称二级分类名称二级分类名称定义定义示例示例车辆基本数据车辆标识数据能识别或关联出特定车辆的数据如汽车号牌、车辆识别号VIN、车辆厂商、商标、品牌、车辆产品型号等车辆属性数据车辆静态属性数据(不能识别或关联出特定车辆的数据)如车
27、辆外廓尺寸、传动比、轴距、轮距等核心零部件标识数据影响车辆感知、决策、数据记录的核心零部件数据车载传感器、域控制器、EDR、DSSAD软硬件型号、版本号车辆鉴别数据用于验证车辆及零部件身份的信息如密码和证书等车辆维保数据车辆的诊断、维修、检查、定期监测、重新编程或重新初始化或远程诊断支持所需的所有信息,这些信息是制造商为其授权经销商和维修商提供的,包括对此类信息的所有后续修订和补充。该信息包括将零件或设备安装到车辆上所需的所有信息如车辆保险信息、车辆维护信息、车辆保养信息等DB4403/T 361202310表A.1数据分类表(续)一级分类名称一级分类名称二级分类名称二级分类名称定义定义示例示
28、例感知数据激光雷达数据通过车载激光雷达获取到的原始数据点云数据信息毫米波雷达数据通过车载毫米波雷达获取到的原始数据点云数据或目标物信息摄像头数据通过车载摄像头获取到的原始数据视频和图片等信息超声波雷达数据通过车载超声波雷达获取到的原始数据障碍物信息(如与障碍物的相对距离)IMU数据通过车载IMU获取到的原始数据角速度和加速度等信息高精地图数据相比传统导航地图,能提供精度更高、内容更丰富的道路拓扑、拓扑关系、位置、几何、交通标识、交通信号设施等地图属性,为智能网联汽车提供环境信息的地图的数据道路信息、车道信息、道路附属设施信息等静态信息,实时路况、交通事件等动态信息GNSS数据通过卫星或基准站获
29、取到的定位数据载波和伪距(用于计算车的位置)V2X数据通过C-V2X获取到的相关数据红绿灯、标识、目标物等信息(BSM,RSM,SPAT等消息集)语音通过车载麦克风采集的车内乘员与车机进行语音交互的数据融合后的目标(机动车及其他道路交通参与者)数据各感知模块融合后的输出数据目标物的类型、相对位置、相对速度等融合后的交通信息数据通过车载部件获取到的交通信息数据交通标志、信号灯、路况信息、限速信息等融合后的自然条件数据通过车载部件获取到的自然条件数据白天、黑夜、晴天、雨天、雪天、车外温度等融合后的道路属性数据通过车载部件获取到的道路属性数据道路类别(高速公路、城市道路、乡村路等)融合后的自车车身姿
30、态通过车载部件获取到的车身姿态数据航向角、横摆角速度、侧倾角速度等融合后的自车位置数据通过车载部件获取到的绝对或相对位置数据绝对位置信息和相对位置信息语义通过采集到的语音解析得出的与车机交互的一类数据如用来唤醒车载语音交互系统的特定关键语句等声纹用来识别特定用户身份的声波频段数据用来完成说话人辨认和确认过程的信息其他感知部件采集的数据以上未能涵盖的车辆感知数据其他的感知融合数据以上未能涵盖的车辆感知融合数据DB4403/T 361202311表A.1数据分类表(续)一级分类名称一级分类名称二级分类名称二级分类名称定义定义示例示例决策数据人类驾驶员操作数据由人类驾驶员进行的操作类数据,包含非驾驶
31、控制类数据如挡位信息、加速踏板开度、刹车踏板开度、转向角度、用户操作指令等远程操作数据通过远程控制指令对车辆进行操作的数据如车辆远程开关门锁、远程开关空调、远程鸣笛和闪灯等远程启动或泊车等系统决策数据由车辆系统进行的驾驶决策控制类数据如系统请求的挡位、横向加速度、转向角、转向力矩、纵向加速度、灯光状态、雨刮状态等运行数据整车状态数据车辆在运行工况下的状态数据如上电状态、控制模式、动力模式、充电状态、挡位、制动状态、剩余油量/电量、车辆控制模式等如实时车速、横或纵向加速度、航向角、横摆角速度、侧倾角速度、俯仰角速度等运行数据系统及部件运行状态数据表征部件及系统运行状态的数据如安全气囊状态、GNS
32、S 运行状态、IMU运行状态、驾驶自动化系统运行状态、高精地图运行状态、OBU运行状态、摄像头运行状态、激光雷达运行状态、超声波雷达运行状态、毫米波雷达运行状态、夜视系统运行状态等(正常、异常、表示异常、无效)安全日志数据与安全相关的日志数据其他日志数据与安全相关性较低的日志数据汽车充电网运行数据充电桩类别、编号等其他数据用户行为汇聚分析数据经过处理后的用户数据,无法单独或者与其他信息结合识别特定用户的各种数据用户身份标识数据用于标识用户身份的数据如用户账号、密码等用户与座舱交互数据(非操控类数据)用于描述用户与座舱交互产生的相关数据如用户通讯录、通讯记录和内容、上网记录等A.3重要数据识别参
33、考A.3.1分级要素A.3.1.1汽车数据分级应评估危害程度和重要程度两个方面,评估要素应至少包括影响对象和影响程度。若数据分级过程中出现多个影响对象,应按照程度的较高等级进行判定。A.3.1.2评估数据遭到篡改、破坏、泄露或者非法获取、非法利用后对国家安全、公共利益、个人权DB4403/T 361202312益和企业权益的危害程度的方法见表 A.2。表 A.2危害程度评估表危害程度危害程度影响影响对象对象影响程度影响程度数据一般特征数据一般特征严重国家安全任何影响国家的安全保卫工作、经济竞争力、科技实力、涉及国家安全的其他事项。对国家政权、主权、统一和领土完整、人民福祉、经济社会可持续发展和
34、国家其他重大利益造成影响。严重公共利益严重影响社会公众接受公共服务的活动、使用公共设施的活动、涉及公共利益的其他事项。对经济运行、社会稳定、公共健康和安全和其他重要社会公共利益造成影响。中等个人权益中等/严重影响个人敏感信息,一旦泄露或者非法使用,可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害。轻度个人权益轻度个人非敏感信息,个人信息主体可被识别,一旦泄露或者非法使用,可能会给个人信息主体合法权益带来负面影响。无影响个人权益无影响相关数据在任何场景下均无法关联或识别到个人信息主体;或个人信息主体可主动公开或经授权公开的数据。A.3.1.3评估汽车数据处理者为处理
35、数据所投入的各项成本、对达成预设目标及可能带来的利益的重要程度方法见表 A.3。表 A.3重要程度评估表重要程度重要程度影响对象影响对象影响程度影响程度数据一般特征数据一般特征极高数据处理者所投入的成本极高数据处理需在软硬件、技术、人力、经济等方面投入巨大成本极高对数据处理者达成预设目标的关键程度极高达成预设目标对数据的依赖程度非常高,没有数据支撑无法完成,或者数据起到决定性作用,没有可替代方案极高给数据处理者可能带来的利益极高数据处理可以给数据处理者在技术进步、业务发展、社会影响、经济收入等方面带来巨大利益,显著地促进技术进步、开拓新的业务模式、提升业务规模、增加业务营收高数据处理者所投入的
36、成本高数据处理需在软硬件、技术、人力、经济等方面投入较高成本高对数据处理者达成预设目标的关键程度高达成预设目标对数据的依赖程度较高,数据起到关键性作用,没有可替代方案或者可替代方案成本较高高给数据处理者可能带来的利益高数据可能给数据处理者在业务发展、技术进步、社会影响、经济收入等方面带来较大利益,有效地促进技术进步、提升业务规模、增加业务营收中数据处理者所投入的成本中数据处理需在软硬件、技术、人力、经济等方面投入一定成本中对数据处理者达成预设目标的关键程度中达成预设目标对数据处理有一定依赖,但有可替代方案中给数据处理者可能带来的利益中数据可能给数据处理者在业务发展、技术进步、社会影响、经济收入
37、等方面带来有限利益DB4403/T 361202313表A.3重要程度评估表(续)重要程度重要程度影响对象影响对象影响程度影响程度数据一般特征数据一般特征低数据处理者所投入的成本低数据处理几乎无额外成本低对数据处理者达成预设目标的关键程度低数据对达成预设目标无影响低给数据处理者可能带来的利益低数据无法带来利益A.3.2分级要求汽车数据分级应按照表A.2和表A.3的要求评估数据遭到篡改、破坏、泄露或者非法获取、非法利用后的危害程度和对汽车数据处理者的重要程度,形成的数据分级应符合表A.4的要求。若数据定级要素出现不同程度,应按照程度对应的较高数据级别进行判定。表 A.4数据分级表数据级别数据级别
38、定级要素定级要素S3危害程度:严重,或重要程度:极高S2危害程度:中等,或重要程度:高S1危害程度:轻度,或重要程度:中S0危害程度:无影响,或重要程度:低A.3.3数据定级规则参考数据定级要素主要从影响对象和影响程度两方面进行考虑,具体如下:a)汽车重要数据安全等级不低于 S2;b)同一数据由于数据量的增加可能会造成数据级别上升;c)不同种类数据的组合可能会造成数据级别上升。A.3.4数据分类分级映射参考数据分类分级的映射关系可参考附录 B。A.4个人信息识别参考以下列举汽车数据处理者处理较为广泛的个人信息作为示例,若存在表中未列举的个人信息类型可参考3.7和3.8进行判定。DB4403/T
39、 361202314表A.5个人信息分类分级示例表分类分级一般个人信息敏感个人信息个人基本资料个人姓名、出生日期、电子邮箱地址、住址、个人电话号码、年龄、性别、家庭关系个人身份信息个人账户的系统账号(不包含密码)身份证、驾驶证、个人账户的系统账号(包含密码)个人车辆标识车辆VIN、车牌号、行驶证个人生物识别信息个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部特征等数据,数据能够识别或确定自然人的独特标识个人财产信息银行账号、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等、虚拟货币、虚拟交易、游戏类兑换码等虚拟财产、风评记录、资产
40、信息、信用记录个人通信信息短信、彩信、电子邮件以及个人通信的数据(元数据)通信记录和内容联系人信息电子邮箱地址列表通讯录、好友列表、群组列表个人应用操作信息通过日志存储的个人信息主体操作记录,如应用或软件使用记录、点击记录、收藏列表网站浏览记录个人常用设备信息描述个人常用设备基本情况的信息,如硬件序列号、设备MAC地址、软件列表、唯一设备识别码个人位置信息行踪轨迹、精准定位信息、住宿信息、经纬度其他信息个人音频、视频、图像数据注1:直连通信范围较小且车辆持续移动,导致数据接收者难以持续获得车辆的行驶路线,车辆行踪泄露风险较低,因此,通过直连通信发送的车辆位置和车辆历史位置信息均可不视为敏感个人
41、信息。注2:通过将标识车辆的信息(如标识和/或假名证书)频繁随机变化使得直连通信范围内的数据接收者凭借自身资源和技术手段无法识别特定自然人,属于一种匿名化技术。DB4403/T 361202315附录B(资料性)数据分类与分级映射表汽车数据分类与分级的映射关系参见表B.1,分级划分参考A.3.2。表 B.1数据分类与分级映射表一级分类名称一级分类名称二级分类名称二级分类名称分级映射分级映射车辆基本数据车辆标识数据S1/S0车辆属性数据S0核心零部件标识数据S1车辆鉴别数据S1/S2车辆维保数据S1/S2感知数据激光雷达数据车外的个人生物特征数据S2;车外的个人非生物特征数据S1;其他车辆车牌S
42、2;车牌以外的其他车辆信息S0;车内的个人生物特征(人脸、声纹、指纹等)S2;车流、人流等交通信息数据S3;自然条件数据S0;测绘数据S3;行踪轨迹数据S2;单点位置数据(不包含高程)S1/S2。毫米波雷达数据摄像头数据超声波雷达数据IMU数据高精地图数据GNSS数据V2X数据语音融合后的目标(机动车及其他道路交通参与者)数据融合后的交通信息数据融合后的自然条件数据融合后的道路属性数据融合后的自车车身姿态融合后的自车位置数据语义声纹其他感知部件收集的数据其他的感知融合数据决策数据人类驾驶员操作数据挡位信息S2;加速踏板开度S2;刹车踏板开度S2;转向盘角度S2远程操作数据S1/S2DB4403
43、/T 361202316表 B.1数据分类与分级映射表(续)一级分类名称一级分类名称二级分类名称二级分类名称分级映射分级映射决策数据系统决策数据AD系统请求挡位S2;AD系统请求横纵向加速度S2;AD系统请求转向角S2;AD系统请求转向力矩S2;AD系统请求纵向力矩S2;AD系统请求车辆灯光/雨刮状态S2运行数据整车状态数据上电、充电状态S2;控制、动力模式S2;挡位信息S2;制动状态S2;车灯、雨刮、安全带状态S2;电池SoH S2;当前油量、电量数据S2;累计里程数据S2实时车速S2;横纵向加速度S2;航向角S2;横摆、侧倾、俯仰角速度S2;平均和瞬时油耗/电耗S2等系统及部件运行状态数据
44、GNSS运行状态S2;IMU运行状态S2;AD系统运行状态S2;OBU运行状态S2;各类传感器运行状态S2;OBU、TBox运行状态S2其他数据安全日志数据S2其他日志数据S1汽车充电网运行数据S2/S3用户行为汇聚分析数据S1/S2用户身份标识数据S1用户与座舱交互数据(非操控类数据)S1DB4403/T 361202317附录C(规范性)个人信息和重要数据处理试验方法及要求C.1试验输入信息试验开始前,送检厂商应提供如下信息:试验车辆处理个人信息和重要数据的功能清单;撤回个人同意方式清单;试验车辆雷达和摄像头参数信息(参数信息应符合附录 D 的要求);试验车辆存储个人信息和重要数据的存储地
45、址。C.2个人信息和重要数据处理通用试验方法按照DB4403/T 3552023附录A进行试验,试验结果应符合5.4、5.5.1、5.6.1.1、5.8、6.3、6.4、6.5和6.7的要求。C.3个人同意的取得试验方法C.3.1按照处理个人信息的功能清单,启动除5.1.2所列例外情形的试验车辆各项个人信息处理功能,检查是否具备告知方式,并记录告知方式、告知内容和个人同意的方式,试验结果应符合5.2.1和5.2.2的要求。C.3.2按照处理个人信息的功能清单,除5.1.2所列例外情形外,当各项个人信息处理功能超出同意期限后,启动各项功能,检查是否重新取得个人同意并记录个人同意的方式,试验结果应
46、符合5.2.3.1的要求。C.3.3按照处理个人信息的功能清单,变更部分功能的处理目的、处理方式或处理种类,启动该功能,检查是否重新取得个人同意并记录个人同意的方式,试验结果应符合5.2.3.2的要求。C.3.4按照处理个人信息的功能清单,除5.1.2所列例外情形外,撤回各项功能的个人同意,记录各项功能撤回个人同意的途径,试验结果应满足5.2.4的要求。C.4个人信息和重要数据收集试验方法基于收集个人信息和重要数据的雷达和摄像头等数据收集设备参数,对比功能列表中各项功能所需的收集设备精度需求,记录对比结果,对比结果应符合5.3和6.2的要求。C.5个人信息使用试验方法基于个人信息处理的功能清单
47、,选择需要使用个人生物特征识别信息进行身份认证的功能,撤销个人生物特征信息同意,检查相关功能是否仍可通过其他方式正常运行,记录试验结果,试验结果应符合5.5.2的要求。C.6个人信息和重要数据传输试验方法C.6.1按照处理个人信息的功能清单,选取需要向车外提供座舱数据的功能,启动该功能,检查车辆是否发出向车外提供座舱数据的个人同意请求,记录试验结果,试验结果应符合5.1.5的要求。C.6.2按照处理个人信息的功能清单,对于符合5.6.1.2规定的情形,逐项启动相关功能,检查车辆对外传输的个人信息是否进行匿名化处理,记录试验结果,试验结果应符合5.6.1.2的要求。C.7个人信息和重要数据删除试
48、验方法DB4403/T 361202318C.7.1基于个人信息处理功能清单,选取涉及处理敏感个人信息的功能,若该功能对应的敏感个人信息存储在车端,请求删除敏感个人信息,检查删除情况,记录试验结果,试验结果应符合5.7.1的要求。C.7.2基于个人信息和重要数据处理功能清单,选取涉及处理个人信息和重要数据的功能,若该功能对应的个人信息和重要数据存储在车端,请求删除个人信息和重要数据,对删除的数据内容在车端进行检索,记录检索结果,试验结果应符合5.7.2和6.6的要求。DB4403/T 361202319附录D(规范性)雷达、摄像头等数据收集设备参数D雷达、摄像头等数据收集设备参数见表D.1、D
49、.2和表D.3。摄像头数据收集设备参数序序号号摄像头摄像头型号型号分辨率分辨率水平视场水平视场角、垂直视角、垂直视场角(度)场角(度)安装位置安装位置涉及功能(有标涉及功能(有标准要求,依据标准要求,依据标准要求填写)准要求填写)功能解释(若需)及必要性分功能解释(若需)及必要性分析析备注备注1示例:品牌及产品号示例:1280960示例:水平120、垂直示例:车辆正前方示例:自动泊车非标准功能在此进行解释2表 D.2激光雷达数据收集设备参数序序号号激光激光雷达雷达型号型号分辨率分辨率水平视场角、垂水平视场角、垂直视场角(度)直视场角(度)安装位置安装位置涉及功能涉及功能必要性分析必要性分析12
50、3表 D.3其他传感器数据收集设备参数序序号号其他其他传感传感器型器型号号分辨率分辨率覆盖范围覆盖范围安装位置安装位置涉及功能涉及功能必要性分析必要性分析123DB4403/T 361202320附录E(规范性)个人信息匿名化处理试验方法E.1试验车辆E.1.1应提供需要进行个人信息匿名化处理相关的功能清单并明确匿名化处理所涉及的相关传感器信息。E.1.2进行个人信息匿名化处理的试验车辆应满足以下要求:具备对包含车外人脸目标及汽车号牌目标的图像或视频数据进行匿名化处理及向车外传输的能力;具备明确的匿名化处理及向车外传输相关功能开启条件。E.1.3若具备提供匿名化区域范围文件的能力,区域化范围文
浙ICP备2021020529号-1 | 浙B2-2024(领证中) 
