GB/T 44464-2024 汽车数据通用要求

ICS43020

CCST.40

中华人民共和国国家标准

GB/T44464—2024

汽车数据通用要求

Generalrequirementsofvehicledata

2024-08-23发布2024-08-23实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T44464—2024

目次

前言

…………………………Ⅲ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

一般要求

4…………………3

汽车数据安全管理体系要求

4.1………………………3

汽车数据处理一般要求

4.2……………3

个人信息保护要求

5………………………4

个人信息处理通用要求

5.1……………4

个人同意

5.2……………4

个人信息收集

5.3………………………5

个人信息存储

5.4………………………5

个人信息使用

5.5………………………5

个人信息传输

5.6………………………5

个人信息删除

5.7………………………6

个人信息出境

5.8………………………6

重要数据保护要求

6………………………6

重要数据处理通用要求

6.1……………6

重要数据收集

6.2………………………6

重要数据存储

6.3………………………7

重要数据使用

6.4………………………7

重要数据传输

6.5………………………7

重要数据删除

6.6………………………7

重要数据出境

6.7………………………7

审核评估及试验要求

7……………………7

附录资料性汽车数据分类分级示例

A()………………8

数据分类分级原则

A.1…………………8

数据分类

A.2……………8

数据分级

A.3……………8

个人信息分类分级示例

A.4……………9

附录规范性个人信息匿名化处理试验方法

B()………11

试验条件

B.1……………11

试验设备

B.2……………11

Ⅰ

GB/T44464—2024

匿名化处理性能要求试验过程

B.3……………………12

匿名化处理性能要求试验结束条件

B.4………………12

试验结果处理

B.5………………………13

匿名化处理效果评估

B.6………………14

附录资料性匿名化误检率计算方法

C()………………16

人脸目标误检数计算方式

C.1…………16

人脸目标检出数计算方式

C.2…………16

人脸目标误检率计算方法

C.3…………16

汽车号牌目标误检数计算方式

C.4……………………16

汽车号牌目标检出数计算方式

C.5……………………16

汽车号牌目标误检率计算方法

C.6……………………17

附录规范性个人信息和重要数据处理试验方法

D()…………………18

试验输入信息

D.1………………………18

个人同意试验方法

D.2…………………18

个人信息和重要数据收集试验方法

D.3………………18

个人信息和重要数据存储试验方法

D.4………………18

个人信息使用试验方法

D.5……………19

个人信息和重要数据传输试验方法

D.6………………19

个人信息和重要数据删除试验方法

D.7………………19

个人信息和重要数据出境试验方法

D.8………………19

参考文献

……………………20

Ⅱ

GB/T44464—2024

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由中华人民共和国工业和信息化部提出

。

本文件由全国汽车标准化技术委员会归口

(SAC/TC114)。

本文件起草单位工业和信息化部装备工业发展中心中国汽车技术研究中心有限公司北京地平

:、、

线信息技术有限公司重庆长安汽车股份有限公司长城汽车股份有限公司蔚来汽车科技安徽有限

、、、()

公司上海机动车检测认证技术研究中心有限公司华为技术有限公司广州小鹏汽车科技有限公司比

、、、、

亚迪汽车工业有限公司高通无线通信技术中国有限公司北京赛目科技股份有限公司中国信息通

、()、、

信科技集团有限公司中国软件评测中心工业和信息化部软件与集成电路促进中心北京车和家汽车

、()、

科技有限公司北京汽车研究总院有限公司三六零数字安全科技集团有限公司斑马网络技术有限公

、、、

司梅赛德斯一奔驰中国投资有限公司沃尔沃汽车亚太投资控股有限公司泛亚汽车技术中心有

、()、()、

限公司宝马中国服务有限公司一汽解放汽车有限公司吉利汽车研究院宁波有限公司国家工业

、()、、()、

信息安全发展研究中心国汽北京智能网联汽车研究院有限公司安徽江淮汽车集团股份有限公司

、()、、

大众汽车中国投资有限公司上海临港绝影智能科技有限公司北京百度智行科技有限公司东软睿

()、、、

驰汽车技术沈阳有限公司博泰车联网科技上海股份有限公司上海淞泓智能汽车科技有限公司

()、()、。

本文件主要起草人邱彬吴含冰孙航解瀚光张路田生明张小东金秀莲夏显召赵梓健

:、、、、、、、、、、

潘凯陈金凤钟益林王江胜张亚楠李广友侯昕田白智敏房家奕王伟张春旺牟洪雨严敏睿

、、、、、、、、、、、、、

满志勇刘帆李彤顾今今吴岩赵超夏欢潘妍陈桂华朱陈伟赵闻石建萍程周祁帅李予佳

、、、、、、、、、、、、、、、

李雪松滕添益邹博松邹雪唐焱霍燕燕

、、、、、。

Ⅲ

GB/T44464—2024

汽车数据通用要求

1范围

本文件规定了汽车产品在研发设计和生产制造过程中产生和收集的数据的一般要求个人信息保

、

护要求重要数据保护要求审核评估及试验要求描述了相应试验方法

、、,。

本文件适用于汽车产品及汽车数据处理者

。

2规范性引用文件

本文件没有规范性引用文件

。

3术语和定义

下列术语和定义适用于本文件

。

31

.

收集collect

通过一定方式获取汽车数据的行为

。

32

.

汽车数据安全管理体系vehicledatasecuritymanagementsystem

对汽车数据处理活动过程进行规范以确保汽车数据安全的系统性方法

。

33

.

座舱数据cabindata

通过摄像头红外传感器指纹传感器或传声器等各种方式从汽车座舱收集的可能包含个人信息的

、、

数据以及对其进行加工后产生的数据

,。

来源有修改

[:GB/T41871—2022,3.6,]

34

.

个人信息主体personalinformationsubject

个人信息所标识的自然人

。

来源有修改

[:GB/T35273—2020,3.3,]

35

.

人脸目标faceobject

自然人的头部正面眉毛最上端至颏底线之间左耳到右耳不包括耳朵之间的部分

、()。

36

.

人脸边界框faceboundaryframe

覆盖人脸目标的最小矩形或旋转矩形

。

示例人脸边界框示意图见图

:1。

1

GB/T44464—2024

图1人脸边界框示意图

37

.

汽车号牌目标vehiclelicenseplateobject

安装于汽车基材为金属的正式机动车号牌

、。

注不包含喷涂的放大号牌纸质临时机动车号牌

:、。

38

.

汽车号牌边界框vehiclelicenseplateboundaryframe

汽车号牌目标外沿组成的最小矩形或旋转矩形

。

39

.

遮盖率maskcoveringrate

人脸或汽车号牌边界框内进行匿名化处理的区域与整个边界框区域的面积比值

。

示例遮盖率示意图见图其中实线部分为人脸边界框区域虚线部分为已进行匿名化处理区域阴影部分为实

:2。,,

线部分与虚线部分重叠的区域遮盖率为阴影部分与实线部分的面积比值

,。

图2遮盖率示意图

310

.

检出率detectionrate

人脸或汽车号牌目标的正检数占应检数的百分比

。

注1正检数是按照本文件要求已进行匿名化处理的目标数量

:。

注2应检数是按照本文件要求应进行匿名化处理的目标数量

:。

311

.

误检率falsedetectionrate

人脸或汽车号牌目标的误检数占检出目标数的百分比

。

注1检出目标数是被标记为匿名化对象并进行匿名化处理的目标数量

:。

注2误检数是检出目标数中不满足本文件匿名化对象定义的目标数量

:。

2

GB/T44464—2024

4一般要求

41汽车数据安全管理体系要求

.

411汽车数据处理者应建立并实施汽车数据安全管理体系采取汽车数据安全保护技术措施保证

..,,

汽车数据持续处于有效保护和合法利用的状态

。

412汽车数据处理者应制定汽车数据安全目标方针分析汽车数据安全管理体系内外部环境并确

..、,

定汽车数据安全管理体系的边界及其适用范围

。

413汽车数据处理者应建立汽车数据安全管理机构确定相关人员职责

..,。

414汽车数据处理者应建立汽车数据分类分级制度形成汽车数据资产管理台账

..,。

注汽车数据分类分级示例见附录

:A。

415汽车数据处理者应针对汽车数据全生命周期制定数据收集存储使用加工传输提供公

..,、、、、、、

开删除等过程的具体分级防护要求和操作规程

、。

416汽车数据处理者至少应针对研发设计和生产制造等车辆全生命周期环节制定数据安全流程管

..

理制度

。

注运维及报废等其他环节参照执行

:。

417汽车数据处理者如需存储在中华人民共和国境内收集和产生的个人信息和重要数据应在境内

..,

存储如需向境外提供应通过数据出境安全评估

;,。

418汽车数据处理者应建立汽车数据安全风险监测和事件管理制度发现汽车数据安全风险时应

..,,

立即采取补救措施发生汽车数据安全事件时应立即采取处置措施按照规定及时告知用户并向有关

;,,

主管部门报告并应按照规定对重要数据的处理活动定期开展风险评估向有关主管部门报送风险评估

,,

报告

。

419汽车数据处理者应建立投诉举报处理机制建立数据安全投诉举报渠道并及时处理用户投诉

..,

举报

。

4110汽车数据处理者应建立对数据处理相关方的数据安全管理制度包括签订数据安全协议核验

..,、

数据安全保护能力等内容

。

42汽车数据处理一般要求

.

421汽车数据处理者处理汽车产品研发设计和生产制造过程中产生和收集的个人信息时应符合第

..,

章的要求强制性国家标准规定的其他情形除外汽车产品应具备相应的能力保障汽车数据处理者

5,;,

处理个人信息时符合第章的要求或者符合法律行政法规和强制性国家标准规定的其他情形

5、。

422汽车产品应具备相应的能力保障汽车数据处理者处理个人信息时车内处理和默认不收集应符

..,

合的要求精度范围适用应符合的要求采用匿名化进行脱敏处理应符合的要求显著告知

5.1,5.3,5.6,

应符合的要求

5.2。

423汽车数据处理者处理汽车产品研发设计和生产制造过程中产生和收集的重要数据时应符合第

..,

章的要求强制性国家标准规定的其他情形除外汽车产品应具备相应的能力保障汽车数据处理者

6,;,

处理重要数据时符合第章的要求或者符合法律行政法规和强制性国家标准规定的其他情形

6、。

424汽车数据处理者处理的汽车产品研发设计和生产制造过程中产生和收集的数据既属于个人信

..

息又属于重要数据时应同时符合第章和第章的要求

,56。

3

GB/T44464—2024

5个人信息保护要求

51个人信息处理通用要求

.

511汽车数据处理者处理个人信息应具有明确合理的目的并应与处理目的直接相关采取对个人

..、,,

权益影响最小的方式除非驾驶人自主设定车辆应默认设定为不收集个人信息的状态除非取得个人

。,;

信息主体同意不应向车外提供个人信息

,。

512有下列例外情形之一的汽车数据处理者处理个人信息可不取得个人同意

..,:

用于紧急情况下为保护自然人的生命健康和财产安全所必需的功能

———;

在合理范围内处理个人自行公开或者其他已经合法公开的个人信息

———;

因保证行车安全需要无法征得个人同意收集到车外个人信息

———,;

法律行政法规和强制性国家标准等规定的其他情形

———、。

汽车数据处理者应通过用户手册车载显示面板语音汽车使用相关应用程序等至少一种形式说

、、、

明取得个人同意的例外情形及理由