DB4403/T 361-2023 智能网联汽车数据安全要求

ICS43.020

CCST40

DB4403

深圳市地方标准

DB4403/T361—2023

智能网联汽车数据安全要求

Requirementsofdatasecurityforintelligentandconnectedvehicles

2023-08-22发布2023-09-01实施

深圳市市场监督管理局发布

DB4403/T361—2023

目次

前言...............................................................................II

1范围.............................................................................1

2规范性引用文件...................................................................1

3术语和定义.......................................................................1

4一般要求.........................................................................4

5个人信息保护要求.................................................................5

6重要数据保护要求.................................................................7

7审核评估要求.....................................................................8

附录A（资料性）数据分类分级要求...................................................9

附录B（资料性）数据分类与分级映射表..............................................15

附录C（规范性）个人信息和重要数据处理试验方法及要求..............................17

附录D（规范性）雷达、摄像头等数据收集设备参数....................................19

附录E（规范性）个人信息匿名化处理试验方法........................................20

附录F（资料性）匿名化误检率试验方法..............................................25

Ⅰ

DB4403/T361—2023

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

本文件以推荐性国家标准《汽车数据通用要求》（计划号：20213606-T-339）（2022年10月版本）

为基础制定，主要用于支持深圳市智能网联汽车准入管理工作的实施。

本文件由深圳市工业和信息化局提出并归口。

本文件起草单位：深圳市工业和信息化局。

II

DB4403/T361—2023

智能网联汽车数据安全要求

1范围

本文件规定了智能网联汽车数据的一般要求、个人信息保护要求、重要数据保护要求、审核评估

要求等。

本文件适用于具备汽车数据处理功能的车辆及其数据处理者。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文

件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适

用于本文件。

GB14886道路交通信号灯设置与安装规范

GB14887道路交通信号灯

GB/T38636—2020信息安全技术传输层密码协议（TLCP）

DB4403/T355—2023智能网联汽车整车信息安全技术要求

3术语和定义

下列术语和定义适用于本文件。

3.1

汽车数据vehicledata

汽车设计、生产、销售、使用、运维、报废等过程中涉及的个人信息和重要数据。

[来源：汽车数据安全管理若干规定（试行）,第三条,有改写]

3.2

汽车数据处理vehicledataprocessing

汽车数据收集、存储、使用、加工、传输、提供、公开、删除等过程。

[来源：汽车数据安全管理若干规定（试行）,第三条,有改写]

3.3

收集collect

通过一定方式获取汽车数据的行为。

3.4

汽车数据处理者vehicledataprocessor

开展汽车数据处理活动的组织。

注：汽车数据处理者包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等。

[来源：汽车数据安全管理若干规定（试行）,第三条]

3.5

汽车数据安全管理体系vehicledatasecuritymanagementsystem

一种规范汽车数据处理者开展数据处理活动过程中保护汽车数据安全的系统性方法。

1

DB4403/T361—2023

3.6

审计audit

获取审核证据并对其进行客观评价以确定满足审核准则程度的，系统的、独立的和文档化的过程。

[来源：GB/T25069—2022,3.515]

3.7

个人信息personalinformation

以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。

注：个人信息包括敏感个人信息和一般个人信息，不包括匿名化处理后的信息。

示例：自然人包括车主、驾驶人、乘车人、车外人员等。

[来源：中华人民共和国个人信息保护法,第四条]

3.8

敏感个人信息sensitivepersonalinformation

一旦泄露或者非法使用，可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产

安全受到严重危害的个人信息。

注：包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。

[来源：汽车数据安全管理若干规定（试行）,第三条]

3.9

一般个人信息generalpersonalinformation

除敏感个人信息外的其他个人信息。

3.10

座舱数据cabindata

通过摄像头、红外传感器、指纹传感器或传声器等部件从汽车座舱采集的可能包含个人信息的数

据，以及对其进行加工后产生的数据。

[来源：GB/T41871—2022，3.6]

3.11

匿名化anonymization

个人信息经过处理无法识别特定自然人且不能复原的过程。

[来源：中华人民共和国个人信息保护法,第七十三条]

3.12

个人信息主体personalinformationsubject

个人信息所标识的自然人。

[来源：GB/T35273-2020,3.3，有改写]

3.13

人脸目标humanfaceobject

自然人的头部正面眉毛最上端至颏底线之间、左耳到右耳（不包括耳朵）之间的部分。

3.14

人脸边界框humanfaceboundaryframe

覆盖人脸目标范围的最小矩形或旋转矩形。

示例：人脸范围示意图见图1。

2

DB4403/T361—2023

图1人脸范围示意图

3.15

汽车号牌目标vehiclelicenseplateobject

基材为金属的准予汽车在中华人民共和国境内道路上行驶的法定标志，其号码是机动车登记编号。

[来源：GA36-2018,3.1，有改写]

注：本文件所指汽车号牌目标均指基材为金属的正式机动车号牌，不包含喷涂的放大号牌、纸质临时机动车号牌。

3.16

汽车号牌边界框vehiclelicenseplateboundaryframe

汽车号牌外延组成的矩形或旋转矩形。

3.17

遮盖率coveragerate

对于符合本文件5.6.2.1要求的单个匿名化对象，边界框内进行匿名化处理区域与整个边界框区

域的面积比值。

示例：遮盖率示意图见图2，其中实线区域为人脸边界框，虚线部分为匿名化区域，遮盖率为阴影部分与实线区域

的面积比值。

图2遮盖率示意图

3.18

检出率detectionrate

某类目标的正检数除以正检数与漏检数之和的数值。

注：漏检数是未被检出的应进行匿名化目标数量。

3.19

误检率falsedetectionrate

某类目标的误检数与检出目标数的比值。

注：误检数是被检出且不满足目标定义的目标数量。

3.20

重要数据importantdata

3

DB4403/T361—2023

一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益或者个人、

组织合法权益的数据。

注：重要数据包括：

——军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据；

——车辆流量、物流等反映经济运行情况的数据；

——汽车充电网的运行数据；

——包含人脸信息、车牌信息等的车外视频、图像数据；

——涉及个人信息主体超过10万人的个人信息；

——国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、

公共利益或者个人、组织合法权益的数据。

[来源：汽车数据安全管理若干规定（试行），第三条]

4一般要求

4.1汽车数据安全管理体系要求

4.1.1汽车数据处理者应建立汽车数据安全管理体系，落实汽车数据安全管理制度。

4.1.2汽车数据处理者应采取汽车数据安全保护技术措施，保证数据持续处于有效保护和合法利用的

状态。

4.1.3汽车数据处理者应制定汽车数据安全方针、分析汽车数据安全管理体系内外部环境并确定汽车

数据安全管理体系的边界及其适用范围。

4.1.4汽车数据处理者应建立汽车数据安全管理机构、确定相关人员职责并形成汽车数据安全文化。

4.1.5汽车数据处理者应建立汽车数据分类分级制度，可参考附录A，形成数据资产管理台账。

4.1.6汽车数据安全管理体系应覆盖数据全生命周期，应制定数据收集、存储、使用、加工、传输、

提供、公开、删除等过程的具体分级防护要求和操作规程。

4.1.7汽车数据处理者在境内收集和产生的个人信息和重要数据应按照有关法律法规规定在境内存储，

如需向境外提供，应通过数据出境安全评估。

4.1.8汽车数据处理者应针对车辆全生命周期制定数据安全流程管理制度。

注：车辆全生命周期包括车辆的概念设计、产品开发、验证确认、运维及报废等阶段。

4.1.9汽车数据处理者应建立汽车数据安全监测和事件管理制度，发现汽车数据安全缺陷、漏洞等风

险时，应立即采取补救措施；发生汽车数据安全事件时应立即采取处置措施，按照规定及时告知用户

并向有关主管部门报告。

4.1.10汽车数据处理者应建立投诉举报处理机制，建立数据安全投诉举报渠道并及时受理、处置数

据安全投诉举报。

4.1.11汽车数据处理者开展汽车数据处理活动应进行风险管理。

4.2汽车数据处理的一般要求

4.2.1汽车数据处理者处理个人信息应符合第5章的要求。

4.2.2汽车数据处理者处理敏感个人信息应符合第5章的要求。

4.2.3汽车数据处理者处理个人信息时，车内处理和默认不收集行为应符合5.1.1的要求，精度范围

适用应符合5.3的要求，脱敏处理行为应符合5.6.1.4的要求，显著告知行为应符合5.2.1的要求。

4.2.4汽车数据处理者处理重要数据应符合第6章的要求。

4.2.5汽车数据处理者处理重要数据时，车内处理和默认不收集行为应符合6.1的要求，精度范围适

4

DB4403/T361—2023

用应符合6.2的要求。

4.2.6汽车数据处理者处理的数据既属于个人信息也属于重要数据时，应同时符合第5章和第6章的

要求。

5个人信息保护要求

5.1个人信息处理通用要求

5.1.1汽车数据处理者处理个人信息应具有明确、合理的目的，并应与处理目的直接相关，采取对个

人权益影响最小的方式。除非驾驶人自主设定，车辆应默认设定为不收集个人信息的状态；除非取得

个人信息主体同意，不应向车外提供个人信息。

5.1.2满足以下例外情形时，汽车数据处理者处理个人信息可不取得个人同意：

——用于紧急情况下为保护自然人的生命健康和财产安全所必需的功能；

——处理个人自行公开或者其他已经合法公开的个人信息；

——因保证行车安全需要，无法征得个人同意收集到车外个人信息。

5.1.3其它符合法律、行政法规和强制性国家标准等规定的情形。汽车数据处理者应通过产品说明书、

合同书、个人信息保护政策等至少一种形式提供取得个人同意的例外情形及理由。

5.1.4撤回个人同意，不影响撤回前基于个人同意已进行的个人信息处理活动的效力。

5.1.5基于个人同意而处理的个人信息，存储期限应与取得同意的个人信息存储期限或其规则一致。

5.1.6除取得个人同意外，汽车不应向车外提供座舱数据。

5.1.7有下列情形之一的，汽车数据处理者应主动删除个人信息或匿名化处理，汽车数据处理者未删

除的，个人有权请求删除：

——处理目的已实现、无法实现或者为实现处理目的不再必要；

——汽车数据处理者停止提供产品或者服务，或者保存期限已届满；

——个人撤回同意；

——汽车数据处理者违反法律、行政法规或者违反约定处理个人信息。

5.1.8法律、行政法规规定的其他情形。法律、行政法规规定的保存期限未届满，或者删除个人信息

从技术上难以实现的，个人信息处理者应停止除存储和采集必要的安全保护措施之外的处理。

5.2个人同意的取得

5.2.1显著告知

汽车数据处理者处理个人信息应取得个人同意，处理敏感个人信息，应取得单独同意，通过至少

一种显著方式向个人告知，清晰地说明个人信息的具体情境和必要性，并提供便捷的查阅、复制和删

除等个人信息管理功能。具体要求如下：

——告知方式可选取弹窗、文字说明、提示条、提示音、产品说明书、合同书、个人信息保护政

策等；

——告知内容应至少包含：

处理个人信息的种类、处理各类个人信息的必要性，包括目的、用途、方式等；

收集各类个人信息的具体情境以及停止收集的方式和途径；

个人信息存储地点、存储期限，或者确定存储地点、存储期限的规则；

查阅、复制其个人信息以及删除车内、请求删除已经提供给车外的个人信息的方式和途

径；

用户权益事务联系人的姓名和联系方式；

5

DB4403/T361—2023

法律、行政法规规定的应告知的其他事项。

5.2.2取得个人同意的选项设置

向个人进行符合5.2.1要求的显著告知后，汽车数据处理者应取得个人同意并按照如下要求设置取

得个人同意的选项：

——提供同意和拒绝同意的方式；

——处理敏感个人信息提供自主设定同意期限的途径，且期限不应设置为始终允许或永久。

5.2.3重新取得个人同意的要求

5.2.3.1汽车数据处理者应在取得的同意期限内处理个人信息，当个人同意期限届满后，若汽车数据

处理者仍有必要继续进行除删除外的个人信息处理活动，应重新取得个人同意。

5.2.3.2个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，汽车数据处理者应重新

取得个人同意。

5.2.4个人同意的撤回

汽车数据处理者应提供个人撤回同意的途径。

5.3个人信息收集

5.3.1收集个人信息时，汽车数据处理者应根据所提供功能服务对数据精度的要求确定摄像头、雷达

等的覆盖范围、分辨率。

5.3.2因同一数据收集设备支持多个功能服务且所需数据精度要求不同，至少应有一个功能服务符合

5.3.1要求，针对其他不符合5.3.1要求的功能服务，汽车数据处理者应做出合理说明。

5.4个人信息存储

个人信息的存储应符合DB4403/T355—2023中对于个人信息存储的相关要求。

5.5个人信息使用

5.5.1使用个人信息时，汽车数据处理者应采取访问控制措施，防止非授权访问存储的个人信息。

5.5.2车辆个人身份认证功能不应仅使用个人生物特征识别信息。

5.6个人信息传输

5.6.1车外传输要求

5.6.1.1向车外传输个人信息应符合DB4403/T355—2023中对于个人信息传输的相关要求。

5.6.1.2因保证行车安全需要，无法征得个人同意收集到车外个人信息且向车外提供的，应进行匿名

化处理，包括删除含有能够识别自然人的画面，或者对画面中的人脸信息等进行局部轮廓化处理等。

匿名化处理应符合5.6.2的要求，匿名化处理完成后，过程数据应及时删除，不应向车外提供。

5.6.2匿名化要求

5.6.2.1匿名化对象

5.6.2.1.1人脸匿名化对象

汽车数据处理者至少应对图像或视频中满足以下要求的人脸目标进行匿名化处理：

6

DB4403/T361—2023

——人脸目标对应的人脸边界框最小边长像素大于等于32像素；

——人脸目标边界框内可见范围比值大于50%且可见范围内眼睛、鼻子或嘴清晰可见。

注：可见范围比值指人脸目标框内可见范围与人脸目标边界框的面积比值，其中可见范围为人脸由于旋转、遮挡

等导致部分不可直接观察时，人脸目标框内可直接观察无遮挡的人脸目标的矩形面积。

示例：广告牌、光滑表面倒影中出现的具有人脸目标特征的图像不属于真实人脸目标，不属于匿名化对象。

5.6.2.1.2汽车号牌匿名化对象

汽车数据处理者至少应对图像或视频中满足以下要求的汽车号牌目标进行匿名化处理：

——汽车号牌边界框最小边长像素大于等于16像素；

——汽车号牌全部数字及文字内容无遮挡且可识别。

注：边界框高度指汽车号牌边界框上沿至下沿的距离。

5.6.2.2匿名化处理性能要求

5.6.2.2.1检出率要求

人脸目标和汽车号牌目标的检出率均应不低于90%。

5.6.2.2.2误检率要求

误检率可不大于10%。

5.6.2.3匿名化效果要求

已进行匿名化处理的人脸目标和汽车号牌目标应无法被识别。

5.7个人信息删除

5.7.1个人请求删除敏感个人信息的，汽车数据处理者应在10个工作日内完成删除，法律、行政法

规另有规定的按照其规定执行。

5.7.2被删除的个人信息应不可检索、不可访问。

5.8个人信息出境

5.8.1个人信息通过车辆出境应符合DB4403/T355—2023的要求。

5.8.2个人信息通过其他方式确需向境外提供的，应符合法律法规的有关规定。

6重要数据保护要求

6.1重要数据处理通用要求

汽车数据处理者处理重要数据应具有明确、合理的目的，并应与处理目的直接相关。除非驾驶人

自主设定，车辆应默认设定为不收集重要信息的状态，不应向车外提供重要数据。

6.2重要数据收集

6.2.1收集重要数据时，汽车数据处理者应根据所提供功能服务对数据精度的要求确定摄像头、雷达

等的覆盖范围、分辨率。

6.2.2因同一数据收集设备支持多个功能服务且所需数据精度要求不同，至少应有一个功能服务符合

6.2.1要求，针对其他不符合6.2.1要求的功能服务，汽车数据处理者应做出合理说明。

7

DB4403/T361—2023

6.3重要数据存储

重要数据的存储应符合DB4403/T355—2023中对于敏感个人信息存储的相关要求。

6.4重要数据使用

使用重要数据时，汽车数据处理者应采取访问控制措施，防止非授权访问存储的重要数据。

6.5重要数据传输

向车外传输重要数据应符合DB4403/T355—2023中对于敏感个人信息传输的相关要求。

6.6重要数据删除

被删除的重要数据应不可检索、不可访问。

6.7重要数据出境

重要数据通过车辆出境应符合DB4403/T355—2023的要求。重要数据通过其他方式确需向境外提

供的，应符合法律法规的有关规定。

7审核评估要求

7.1汽车数据处理者宜满足4.1要求的符合性评估。

7.2应按照附录C对车辆进行个人信息及重要数据处理试验，并按照附录E对车辆进行个人信息匿名

化处理试验。

7.3宜参考附录F对车辆进行匿名化误检率试验。

8

DB4403/T361—2023

附录A

（资料性）

数据分类分级要求

A.1数据分类分级原则

汽车数据分类分级原则如下：

——科学性：按照汽车数据的多维特征以及相互间客观存在的逻辑关联进行科学和系统化的分类

分级；

——实用性：汽车数据的分类分级要保证每个类目下要有数据，不设没有意义的类目；

——扩展性：汽车数据分类分级方案在总体上具有概括性和包容性，能够实现各种类型数据的分

类，以及满足将来可能出现的数据类型；

——合法合规性：数据分类分级遵循国家法律法规及行业主管部门有关规定；

——可执行性：数据分类分级规则避免过于复杂以保证数据分类分级的可行性；

——时效性：数据分级具有一定的有效期限，超过有效期限数据级别应按照级别变更策略及时调

整；

——稳定性：分类分级要基于智能网联汽车数据最稳定的特征和属性，以保持分类分级结果稳定，

并在总体上利于对同一类别或级别的数据适用相同的安全要求；

——显著性：根据数据在产生、收集、使用等方面的成果或内容上的显著特征确定汽车的分类方

案。

A.2数据分类

根据汽车数据的类型、特性及业务使用场景等因素，并综合数据安全管理的总体目标和安全策略

要求，对数据资产进行梳理、归类和细分后形成的汽车数据分类见表A.1。

表A.1数据分类表

一级分类名称二级分类名称定义示例

如汽车号牌、车辆识别号VIN、车辆

车辆标识数据能识别或关联出特定车辆的数据厂商、商标、品牌、车辆产品型号

等

车辆静态属性数据（不能识别或关联出如车辆外廓尺寸、传动比、轴距、

车辆属性数据

特定车辆的数据）轮距等

核心零部件标识影响车辆感知、决策、数据记录的核心车载传感器、域控制器、EDR、

数据零部件数据DSSAD软硬件型号、版本号

车辆基本数据车辆鉴别数据用于验证车辆及零部件身份的信息如密码和证书等

车辆的诊断、维修、检查、定期监测、

重新编程或重新初始化或远程诊断支持

所需的所有信息，这些信息是制造商为

如车辆保险信息、车辆维护信息、

车辆维保数据其授权经销商和维修商提供的，包括对

车辆保养信息等

此类信息的所有后续修订和补充。该信

息包括将零件或设备安装到车辆上所需

的所有信息

9

DB4403/T361—2023

表A.1数据分类表（续）

一级分类名称二级分类名称定义示例

激光雷达数据