发布 | CNCERT通报汽车数据处理4项安全要求检测情况(第一批)
2024-4-30 02:22:0 Author: mp.weixin.qq.com(查看原文) 阅读量:7 收藏

扫码订阅《中国信息安全》

邮发代号 2-786

征订热线:010-82341063

为规范汽车数据处理活动,保障用户合法权益,鼓励头部汽车制造商发挥标杆作用,推动形成全社会共同维护汽车数据安全和促进汽车行业发展的良好环境,中国汽车工业协会、国家计算机网络应急技术处理协调中心依据《汽车数据安全管理若干规定(试行)》、GB/T 41871-2022《信息安全技术 汽车数据处理安全要求》等法规标准有关规定,按照企业自愿送检原则,2023年11月起组织对汽车制造商2022-2023年度新上市智能网联汽车数据安全合规情况(车外人脸信息等匿名化处理、默认不收集座舱数据、座舱数据车内处理、处理个人信息显著告知等4项合规要求)进行检测,其中比亚迪、理想、路特斯、合众新能源、特斯拉、蔚来等6家企业的76款车型符合汽车数据安全4项合规要求。具体汽车车型名单如下:

序号

车型名称

车辆型号

年款

合规车型生产企业

1

比亚迪汉DM-i

BYD7150YT6HEV5

2022

比亚迪汽车工业有限公司

2

BYD7150YT6HEV7

3

BYD7150YT6HEV9

4

BYD7150YT6HEV10

5

比亚迪汉DM-p

BYD7150YT6HEV4

6

BYD7150YT6HEV8

7

比亚迪汉EV

BYD7009BEV5

8

BYD7009BEV6

9

BYD7009BEV7

10

BYD7009BEV8

11

BYD7009BEV9

12

比亚迪唐DM-i

BYD6490ST6HEV14

13

BYD6490ST6HEV16

14

BYD6490ST6HEV20

15

比亚迪唐DM-p

BYD6490ST6HEV10

16

比亚迪唐EV

BYD6490SBEV7

17

BYD6490SBEV9

18

BYD6490SBEV10

19

理想L7 Air

LXA6502SHEVX03

2023

北京理想汽车有限公司

20

LXA6502SHEVX04

21

 理想L7 Max

LXA6502SHEVX01

22

理想L7 Pro

LXA6502SHEVX02

23

理想L8 Air

LXA6511SHEVX04

24

 理想L8 Max

LXA6511SHEVX01

25

理想L8 Pro

LXA6511SHEVX03

26

LXA6511SHEVX05

27

 理想L9 Max

LXA6520SHEVX04

28

理想L9 Pro

LXA6520SHEVX01

29

路特斯Eletre

LTS6510H1BEV

2023

武汉路特斯科技有限公司

30

LTS6510H2BEV

31

LTS6510H4BEV

32

LTS6510H5BEV

33

哪吒GT

THZ7000BEVS361

2023

合众新能源汽车股份有限公司

34

THZ7000BEVS362

35

THZ7000BEVS363

36

THZ7000BEVS364

37

THZ7000BEVS365

38

THZ7000BEVS366

39

哪吒S

THZ7000BEVS401

2022

2023

40

THZ7000BEVS402

41

THZ7000BEVS403

42

THZ7000BEVS404

43

THZ7000BEVS405

44

THZ7000BEVS407

45

THZ7150SHEVS401

46

THZ7150SHEVS402

47

THZ7150SHEVS403

48

THZ7150SHEVS404

49

特斯拉Model 3

TSL7000BEVAR0

2022

2023

特斯拉(上海)有限公司

50

TSL7000BEVAR3

51

TSL7000BEVAR4

52

TSL7000BEVAR5

53

TSL7000BEVAR6

54

TSL7000BEVAR7

55

TSL7000BEVBA0

56

TSL7000BEVBA1

57

TSL7000BEVBA2

58

TSL7000BEVBA3

59

TSL7000BEVBA4

60

TSL7000BEVBR0

61

特斯拉Model Y

TSL6480BEVAR0

62

TSL6480BEVAR2

63

TSL6480BEVBA0

64

TSL6480BEVBA1

65

TSL6480BEVBA2

66

TSL6480BEVBA3

67

TSL6480BEVBA4

68

TSL6480BEVBA5

69

蔚来EC6

HFC6483EC1SEV1-W

2023

上海蔚来汽车有限公司

70

蔚来EC7

HFC6494ECSEV2-W

2023

71

蔚来ES6

HFC6493EC1SEV1-W

2023

72

蔚来ES7

HFC6494ECSEV1-W

2022

73

蔚来ES8

HFC6512ECSEV1-W

2023

74

蔚来ET5

HFC7003CSEV1-W

2022

75

蔚来ET5T

HFC7004CSEV1-W

2023

76

蔚来ET7

HFC7002CSEV1-W

2022

2023

中国汽车工业协会

国家计算机网络应急技术处理协调中心

2024年4月28日

附件
检测标准与方法

本次检测根据《汽车数据安全管理若干规定(试行)》有关要求,按照GB/T 41871-2022《信息安全技术 汽车数据处理安全要求》和T/CAAMTB 77-2022《汽车传输视频及图像脱敏技术要求与方法》相关技术标准,并参考《汽车数据通用要求(报批稿)》附录C组织实施。

一、检测对象
截至2023年11月15日前,按照《关于开展汽车数据安全合规工作的通知》(中汽协函字【2023】243号),汽车制造商自愿向中国汽车工业协会送检的2022-2023年度新上市智能网联汽车。
二、检测标准
检测采用相同的测试要求、测试环境、技术标准和测试流程,包括车外人脸信息等匿名化处理、默认不收集座舱数据、座舱数据车内处理以及处理个人信息显著告知4项要求。检测标准如下:
1.车外人脸信息等匿名化处理要求
a.车外数据未完成匿名化处理前,不应向车外提供;
b.车端匿名化处理的视频、图像中的人脸目标和汽车号牌目标的匿名化检出率均应大于等于90%。
2.默认不收集座舱数据要求
a.除非驾驶人自主设定,汽车应默认设定为不收集座舱数据的状态,当驾驶人通过实体按键或触摸按键等方式主动选择后才能开始收集,汽车可根据驾驶人设定,保持驾驶人选择的状态或恢复默认状态;
b.应提供便利的终止收集座舱数据的方式;
c.应对每项敏感个人信息取得个人信息主体单独同意;
d.处理敏感个人信息的同意期限不应设置为“始终允许”或“永久”。
3.座舱数据车内处理要求
除实现语音识别、远程查看车内情况、云存储功能以及依据相关规定向监管或执法机构传输数据的情形外,汽车不应向车外提供座舱数据;
4.处理个人信息的显著告知要求
汽车数据处理者处理个人信息应当通过用户手册、车载显示面板、语音、汽车使用相关应用程序等显著方式,告知个人以下事项:
a.处理个人信息的种类;
b.收集各类个人信息的具体情境以及停止收集的方式和途径;
c.处理各类个人信息的目的、用途、方式;
d.个人信息保存地点、保存期限,或者确定保存地点、保存期限的规则;
e.查阅、复制其个人信息以及删除车内、请求删除已经提供给车外的个人信息的方式和途径;
f.用户权益事务联系人的姓名和联系方式。
三、检测方法
针对不同车型(区分年款)的各项数据处理功能,在相同的标准下进行4项合规要求的检测,并根据相关功能的技术特点采取不同的检测方法。具体包括:
1.车外人脸信息等匿名化处理的检测方法:由技术人员从车端进行数据采样,并进行匿名化效果分析和数据统计;
2.默认不收集座舱数据的检测方法:在车内进行各项座舱数据收集功能的符合性确认;
3.座舱数据车内处理的检测方法:在车端进行车辆对外通信数据的抓取和分析;
4.个人信息显著告知的检测方法:在企业官方网站、车载应用程序或移动通信终端应用程序上进行《用户隐私协议》的符合性确认。

(来源:CNCERT)

分享网络安全知识 强化网络安全意识

欢迎关注《中国信息安全》杂志官方抖音号

《中国信息安全》杂志倾力推荐

“企业成长计划”

点击下图 了解详情


文章来源: https://mp.weixin.qq.com/s?__biz=MzA5MzE5MDAzOA==&mid=2664212076&idx=4&sn=923520d4d908262b3dd1210ef539a014&chksm=8b59a495bc2e2d83f148334c26dfd5c4e2098b2abec18dd8552f151f09b9960893320221c3e0&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh