ChinaAutoRegs|GB/T英文版翻译 智能网联汽车 数据通用要求
Intelligent and connected vehicle-General requirements of data
1 范围
本文件规定了智能网联汽车数据的一般要求、个人信息保护要求、重要数据保护要求、审核评估要 求等。
本文件适用于智能网联汽车及其数据处理者。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件, 仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本 文件。
GA 36—2018 中国人民共和国机动车号牌
GB 14886 道路交通信号灯设置与安装规范
GB 14887 道路交通信号灯
GB/T 25069—2022 信息安全技术 术语
GB/T 33767.5—2018 信息技术 生物特征样本质量 第5部分:人脸图像数据
GB/T 38892—2020 车载视频行驶记录系统
GB XXXXX 汽车整车信息安全技术要求 GB/T XXXXX 智能网联汽车 术语和定义
3 术语和定义
下列术语和定义适用于本文件。
智能网联汽车 intelligent and connected vehicle 具备环境感知、智能决策和自动控制,或与外界信息交互,乃至协同控制功能的汽车。 [来源:GB/T xxxxx ,3.1]
汽车数据 vehicle data 汽车设计、生产、销售、使用、运维、报废等过程中涉及的个人信息和重要数据。 [来源:汽车数据安全管理若干规定(试行),第三条,有改写]
汽车数据处理 vehicle data processing 汽车数据收集、存储、使用、加工、传输、提供、公开、删除等过程。 [来源:汽车数据安全管理若干规定(试行),第三条,有改写]
汽车数据处理者 vehicle data processor
开展汽车数据处理活动的组织,包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出 行服务企业等。
[来源:汽车数据安全管理若干规定(试行),第三条]
汽车数据安全管理体系 vehicle data security management system
一种与汽车数据安全相关的要素集合,包括组织内部建立的汽车数据安全方针和目标、完成目标使 用的方法和系统、确立的汽车安全组织架构和角色责任以及形成文件化管理体系的过程。
审计 audit 获取审核证据并对其进行客观评价以确定满足审核准则程度的,系统的、独立的和文档化的过程。 [来源:GB/T 25069—2022,3.515]
个人信息 personal information
以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后 的信息。
示例:自然人包括车主、驾驶人、乘车人、车外人员等。 注:个人信息包括敏感个人信息和一般个人信息。 [来源:中华人民共和国个人信息保护法,第四条]
敏感个人信息 sensitive personal information
一旦泄露或者非法使用,可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安 全受到严重危害的个人信息,包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。
[来源:汽车数据安全管理若干规定(试行),第三条]
一般个人信息 general personal information
除敏感个人信息外的其他个人信息。
匿名化 anonymization 个人信息经过处理无法识别特定自然人且不能复原的过程。 [来源:中华人民共和国个人信息保护法,第七十三条]
个人信息主体 personal information subject
个人信息所标识的自然人。 [来源:GB/T 35273-2020,3.3,有改写]
人脸目标 human face object
自然人的头部正面眉毛最上端至颏底线之间、左耳到右耳(不包括耳朵)之间的部分。
人脸边界框 human face boundary frame 覆盖人脸目标范围的最小矩形或旋转矩形。 示例:人脸范围示意图见图 1。
图1 人脸范围示意图
汽车号牌目标 vehicle license plate object 基材为金属的准予汽车在中华人民共和国境内道路上行驶的法定标志,其号码是机动车登记编号。 [来源:GA 36-2018,3.1,有改写] 注:本文所指汽车号牌目标均指基材为金属的正式机动车号牌,不包含喷涂的放大号牌、纸质临时机动车号牌。
汽车号牌边界框 vehicle license plate boundary frame
汽车号牌外延组成的矩形或旋转矩形。
交并比 intersection-over-union, IoU
对于符合本文件5.6.2.1要求的单个匿名化对象,应进行匿名化处理的区域与已进行匿名化处理的 区域的交集与并集的比值。
示例:交并比示意图见图 2。 注1:应进行匿名化处理的区域与已进行匿名化处理的区域完全重叠时,交并比为1。 注2:应进行匿名化处理但未进行匿名化处理的目标,交并比为0。
图2 交并比示意图
检出率 recall rate 某类目标的正检数与真实目标数(正检数与漏检数之和)的比值。 注:漏检数是未被检出为真实目标,但实际为真实目标的数量。
误检率 false detection rate 某类目标的误检数与检出目标数的比值。 注:误检数是被检出来为真实目标,但实际为虚假目标的数量。
重要数据 important data
一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组 织合法权益的数据,包括:
——军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、 车辆流量等数据;
——车辆流量、物流等反映经济运行情况的数据;
——汽车充电网的运行数据;
——包含人脸信息、车牌信息等的车外视频、图像数据;
——涉及个人信息主体超过 10 万人的个人信息;
——国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可 能危害国家安全、公共利益或者个人、组织合法权益的数据。
[来源:汽车数据安全管理若干规定(试行),第三条]
4 一般要求
汽车数据安全管理体系要求
4.1.1 汽车数据处理者应建立汽车数据安全管理体系。
4.1.2 汽车数据处理者应执行必要活动,以支持汽车数据安全管理体系的建立,必要活动包括:
a) 制定汽车数据安全方针,以明确汽车数据处理者的汽车数据安全方向和目标;
b) 分析汽车数据安全管理体系建立环境,以确定与汽车数据安全管理体系目的以及影响达成预 期效果的内外部问题;
c) 确定汽车数据安全管理体系的边界及其适用范围;
d) 建立汽车数据安全组织机构并确定相关人员职责,以确保汽车数据安全管理的决策、管理和执 行活动的完成;
e) 建立并维护汽车数据安全文化,以提升相关人员汽车数据安全保护意识与能力。
4.1.3 汽车数据处理者应建立汽车数据分类分级制度,形成数据资产管理台账。
4.1.4 汽车数据安全管理体系应覆盖数据全生命周期,应制定数据收集、存储、使用、加工、传输、 提供、公开、删除等过程的具体分级防护要求和操作规程,并确保数据全生命周期可追溯。
4.1.5 汽车数据处理者应制定车辆全生命周期数据安全流程管理制度。
注:车辆全生命周期包括车辆的开发阶段、生产阶段及后生产阶段。
4.1.6 汽车数据处理者应建立汽车数据安全风险管理和事件处置制度,及时排查安全隐患,发生数据 安全事件时,应立即采取处置措施,有效降低影响。
4.1.7 汽车数据处理者应建立与合同供应商、服务提供商、车辆生产企业子组织之间数据安全依赖关 系的流程管理制度。
4.1.8 汽车数据处理者应建立投诉举报处理机制,建立数据安全投诉举报渠道并及时受理、处置数据 安全投诉举报。
4.1.9 汽车数据处理者应建立数据安全审计制度,以持续改进汽车数据安全管理体系。
个人信息和重要数据的一般要求
4.2.1 汽车数据处理者处理个人信息应符合第 5 章的要求,法律法规及具有强制效力的标准另有规定 的除外。
4.2.2 汽车数据处理者处理重要数据应符合第 6 章的要求,法律法规及具有强制效力的标准另有规定 的除外。
4.2.3 汽车数据处理者处理的数据既属于个人信息也属于重要数据,应同时符合第 5 章和第 6 章的要 求。
5 个人信息保护要求
个人信息处理通用要求
5.1.1 汽车数据处理者应只处理满足处理目的所必需的个人信息。
5.1.2 处理汽车个人信息的系统应符合相关法律法规的要求。
个人同意的取得
5.2.1 显著告知
处理个人信息的汽车数据处理者应在处理个人信息前以显著方式告知个人,具体要求如下:
——告知方式可选取弹窗、文字说明、提示条、提示音、产品说明书、合同书、个人信息保护政策 等。
——告知内容应至少包含:
a) 处理个人信息的种类、处理各类个人信息的目的、用途、方式; b) 收集各类个人信息的具体情境以及停止收集的方式和途径;
c) 个人信息存储地点、存储期限,或者确定存储地点、存储期限的规则;
d) 查阅、复制其个人信息以及删除车内、请求删除已经提供给车外的个人信息的方式和途径; e) 汽车数据处理者的名称或者用户权益事务联系人的姓名和联系方式;
f) 法律、行政法规规定的应当告知的其他事项。
5.2.2 取得个人同意的选项设置
向个人进行符合本文件5.2.1要求的显著告知后,汽车数据处理者应取得个人同意并按如下要求设 置取得个人同意的选项:
——提供同意和拒绝同意的选项;
——处理敏感个人信息,应取得单独同意,并提供自主设定同意期限的途径;
——不应仅依赖于个人生物识别特征信息保障车辆基础功能的正常使用。
5.2.3 取得个人同意的例外
5.2.3.1 满足以下例外情形时,汽车数据处理者处理个人信息可不取得个人同意:
——提高车辆行驶安全性且不向车外传输个人信息的功能,例如驾驶员注意力监测功能等;
——用于事故或紧急救援的服务功能,例如车载事故紧急呼叫系统等;
——处理个人自行公开或者其他已经合法公开的个人信息;
——无法通过有效的技术手段取得个人同意的情形;
——其他为了满足法律、行政法规、地方性法规、部门规章、规范性文件、具有强制效力的国家标 准要求处理个人信息的情形。
5.2.3.2 汽车数据处理者应通过产品说明书、合同书、个人信息保护政策等形式提供取得个人同意例 外的功能清单及例外理由。
5.2.4 个人同意范围和时效性要求
5.2.4.1 汽车数据处理者应依据取得的同意范围处理个人信息,若超出同意范围,应重新取得个人同 意。
5.2.4.2 当个人同意期限届满时,若汽车数据处理者仍有必要继续进行除删除外的个人信息处理活动, 应重新取得个人同意。
5.2.5 个人同意的撤回
5.2.5.1 汽车数据处理者应提供个人撤回同意的途径并告知撤回同意所带来的影响。
5.2.5.2 个人撤回同意后,若汽车数据处理者仍需要继续进行除删除外的个人信息处理活动,应重新 取得个人同意。
个人信息收集
5.3.1 收集个人信息时,汽车数据处理者应根据所提供功能服务对数据精度的要求确定摄像头、雷达 等的覆盖范围、分辨率。
5.3.2 因同一数据收集设备支持多个功能服务且所需数据精度要求不同,至少应有一个功能服务符合
5.3.1 要求,针对其他不符合 5.3.1 要求的功能服务,汽车数据处理者应在个人信息处理相关文档中当 作出合理说明。
个人信息存储
5.4.1 汽车数据处理者存储个人信息的期限应与取得同意的个人信息存储时间一致。
5.4.2 存储个人信息时,汽车数据处理者应制定数据访问控制策略并实施访问控制机制。
5.4.3 采用非易失性存储介质在车内存储个人信息时,汽车数据处理者应进行加密,使用的密码技术 应满足以下要求:
a)汽车数据处理者应使用公开的、已发布的、有效的密码算法,并选择适当的参数和选项;应根 据不同密码算法和场景,选择适当长度和有效的密钥。
注:有效的密码算法指安全有效且未被破解的算法,如MD5已被破解,此类算法相对不安全。
b)汽车数据处理者应将密钥及密钥相关信息存放在可控且专用的存储区域,防止通过软硬件接口 的非法访问以及物理攻击等手段获取密钥及密钥相关信息。
注:专用指该存储区域仅用于存储密钥及密钥相关信息;可控是指密钥及相关信息不被非法访问并且得到安全应用。
个人信息使用
使用个人信息时,汽车数据处理者应制定数据访问控制策略并实施访问控制机制。
个人信息传输
5.6.1 车外传输要求
5.6.1.1 向车外传输敏感个人信息过程中,汽车数据处理者应对敏感个人信息进行真实性、完整性、 保密性和抗抵赖保护。
5.6.1.2 向车外传输敏感个人信息过程中,汽车数据处理者使用的密码技术应满足以下要求:
a)汽车数据处理者应使用公开的、已发布的、有效的密码算法,并选择适当的参数和选项;应根 据不同密码算法和场景,选择适当长度和有效的密钥。
注:有效的密码算法指安全有效且未被破解的算法,如MD5已被破解,此类算法相对不安全。
b)汽车数据处理者应将密钥及密钥相关信息存放在可控且专用的存储区域,防止通过软硬件接口 的非法访问以及物理攻击等手段获取密钥及密钥相关信息。
注:专用指该存储区域仅用于存储密钥及密钥相关信息;可控是指密钥及相关信息不被非法访问并且得到安全应用。
5.6.1.3 向车外传输敏感个人信息过程中,汽车数据处理者使用的数据传输通道应满足以下要求:
a)应至少对个人信息接收方进行身份认证;
b)应采用符合GB/T 38636或等级不低于TLS1.2的安全协议。
5.6.1.4 对于汽车数据处理者无法获得个人信息传输授权同意的情形,应于车端进行匿名化处理后再向车外传输。其中,对于车外的人脸目标及汽车号牌目标的匿名化处理应满足 5.6.2 要求。
5.6.2 匿名化要求
5.6.2.1 匿名化对象
5.6.2.1.1 人脸匿名化对象
汽车数据处理者至少应对图像或视频中满足以下要求的人脸目标进行匿名化处理:
——人脸目标对应的人脸边界框最小边长像素大于等于 32 像素;
——人脸目标对应的头部姿态水平偏转角绝对值小于等于 45°、俯仰角绝对值小于等于 30°且倾 斜角绝对值小于等于 45°。
5.6.2.1.2 汽车号牌匿名化对象
汽车数据处理者至少应对图像或视频中汽车号牌边界框高度像素大于等于图像或视频有效像素高 度的六十分之一的汽车号牌目标进行匿名化处理。
注:标识框高度指汽车号牌标识框上沿至下沿的距离。
5.6.2.2 匿名化处理性能要求
5.6.2.2.1 检出率要求
根据附录C.5进行试验并按照C.6进行试验结果处理,人脸目标和汽车号牌目标的检出率均应不低 于90%。
5.6.2.2.2 误检率要求
根据附录C.5进行试验并按照C.6进行试验结果处理,人脸目标和汽车号牌目标的误检率均应不高 于10%。
5.6.2.3 匿名化效果要求
根据附录C.8.1进行试验,已进行匿名化处理的人脸目标和汽车号牌目标应无法被识别。
个人信息删除
5.7.1 删除条件
5.7.1.1 汽车数据处理者应提供个人请求的删除个人信息的途径。
5.7.1.2 有下列情形之一的,汽车数据处理者应当主动删除个人信息或匿名化处理:
a) 处理目的已实现、无法实现或者为实现处理目的不再必要;
b) 汽车数据处理者停止提供产品或者服务,或者保存期限已届满;
c) 个人撤回同意;
d) 汽车数据处理者违反法律、行政法规或者违反约定处理个人信息;
e) 法律、行政法规规定的其他情形。
5.7.1.3 若法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,汽车数 据处理者应当停止除存储和采取必要的安全保护措施之外的处理。
5.7.2 删除要求
5.7.2.1 个人信息主体主动发起删除个人信息请求的,汽车数据处理者应在删除个人信息前告知删除 个人信息可能会造成的影响。
5.7.2.2 个人请求删除敏感个人信息的,汽车数据处理者应在 10 个工作日内完成删除;其他情形,汽
车数据处理者应在 15 个工作日内完成删除;法律、行政法规另有规定的按照其规定执行。
5.7.2.3 被删除的个人信息应不可检索、不可访问且不被任何汽车数据处理者处理。
个人信息出境
个人信息通过车辆出境应符合GB XXXX-XXXX《汽车整车信息安全技术要求》的要求 个人信息通过其他方式确需向境外提供的,应当符合法律法规的有关规定。
个人信息的处理记录
5.9.1 有下列情形之一时,汽车数据处理者应对处理情況进行记录:
a) 处理敏感个人信息;
b) 利用个人信息进行自动化决策;
c) 委托处理个人信息、向其他汽车数据处理者提供个人信息、公开个人信息; d) 向境外提供个人信息;
e) 其他对个人权益有重大影响的个人信息处理活动。
5.9.2 记录内容应该包括但不限于处理的个人信息种类、数据量、处理方式、处理时间。
6 重要数据保护要求
重要数据处理通用要求
6.1.1 汽车数据处理者应只处理满足处理目的所必需的重要数据。
6.1.2 处理汽车重要数据的系统应符合相关法律法规的要求。
重要数据收集
6.2.1 收集重要数据时,汽车数据处理者应根据所提供功能服务对数据精度的要求确定摄像头、雷达 等的覆盖范围、分辨率。
6.2.2 因同一数据收集设备支持多个功能服务且所需数据精度要求不同,至少应有一个功能服务符合
6.2.1 要求,针对其他不符合 6.2.1 要求的功能服务,汽车数据处理者应在重要数据处理相关文档中当 作出合理说明。
重要数据存储
6.3.1 存储重要数据时,汽车数据处理者应制定数据访问控制策略并实施访问控制机制。
6.3.2 采用非易失性存储介质在车内存储重要数据时,汽车数据处理者应进行加密,使用的密码技术 应满足以下要求:
a)汽车数据处理者应使用公开的、已发布的、有效的密码算法,并选择适当的参数和选项;应根 据不同密码算法和场景,选择适当长度和有效的密钥。
注:有效的密码算法指安全有效且未被破解的算法,如MD5已被破解,此类算法相对不安全。
b)汽车数据处理者应将密钥及密钥相关信息存放在可控且专用的存储区域,防止通过软硬件接口 的非法访问以及物理攻击等手段获取密钥及密钥相关信息。
注:专用指该存储区域仅用于存储密钥及密钥相关信息;可控是指密钥及相关信息不被非法访问并且得到安全应用。
重要数据使用
使用重要数据时,汽车数据处理者应制定数据访问控制策略并实施访问控制机制。
重要数据传输
6.5.1.1 向车外传输重要数据过程中,汽车数据处理者应对重要数据进行真实性保护、完整性保护、 保密性保护和抗抵赖保护。
6.5.1.2 汽车数据处理者应使用公开的、已发布的、有效的密码算法,并选择适当的参数和选项;应 根据不同密码算法和场景,选择适当长度和有效的密钥。
注:有效的密码算法指安全有效且未被破解的算法,如MD5已被破解,此类算法相对不安全。
6.5.1.3 汽车数据处理者应将密钥及密钥相关信息存放在可控且专用的存储区域,防止通过软硬件接 口的非法访问以及物理攻击等手段获取密钥及密钥相关信息。
注:专用指该存储区域仅用于存储密钥及密钥相关信息;可控是指密钥及相关信息不被非法访问并且得到安全应用。
6.5.1.4 向车外传输重要数据过程使用的数据传输通道应满足以下要求中: a)应至少对重要数据接收方进行身份认证;
b)应采用符合GB/T 38636或不低于TLS1.2的安全协议。
重要数据删除
被删除的重要数据应不可检索、不可访问且不被任何汽车数据处理者处理。
重要数据出境
重要数据通过车辆出境应符合GB XXXX-XXXX《汽车整车信息安全技术要求》的要求 重要数据通过其他方式确需向境外提供的,应当符合法律法规的有关规定。
重要数据的处理记录
6.8.1 当出现下列情形之一时,汽车数据处理者应对处理情況进行记录:
a) 处理重要数据;
b) 越权访问、篡改重要数据等行为;
c) 向境外提供重要数据。
6.8.2 记录内容应该应包括但不限于处理的个人信息种类、数据量、处理方式、处理时间。
7 审核评估要求
依据本标准开展个人信息及重要数据保护要求试验前,汽车数据处理者应通过4.1的符合性评估。 依据本标准开展个人信息及重要数据传输和存储试验前,汽车数据处理者应通过针对5.1、5.2、5.3、
5.5、5.7、5.8、5.9、6.1、6.2、6.4、6.6、6.7、6.8要求的符合性评估。 按照附录B进行个人信息和重要数据的存储及传输试验,应满足5.4、5.6、6.3和6.5的要求。 审核评估方法可参考附录E。
附 录 A
(资料性) 智能网联汽车数据分类分级要求
A.1 数据分类分级原则
智能网联汽车数据分类分级原则如下:
a) 科学性:按照智能网联汽车数据的多维特征以及相互间客观存在的逻辑关联进行科学和系统 化的分类分级;
b) 实用性:智能网联汽车数据的分类分级要确保每个类目下要有数据,不设没有意义的类目; c) 扩展性:智能网联汽车数据分类分级方案在总体上具有概括性和包容性,能够实现各种类型数
据的分类,以及满足将来可能出现的数据类型。
d) 合法合规性:数据分类分级遵循国家法律法规及行业主管部门有关规定; e) 可执行性:数据分类分级规则避免过于复杂以保证数据分类分级的可行性;
f) 时效性:数据分级具有一定的有效期限,超过有效期限数据级别应按照级别变更策略及时调整; g) 稳定性:分类分级要基于智能网联汽车数据最稳定的特征和属性,以保持分类分级结果稳定,
并在总体上利于对同一类别或级别的数据适用相同的安全要求。
h) 显著性:根据数据在产生、采集、使用等方面的成果或内容上的显著特征确定智能网联汽车的 分类方案。
A.2 数据分类
根据智能网联汽车数据的类型、特性及业务使用场景等因素,并综合数据安全管理的总体目标和安 全策略要求,对数据资产进行梳理、归类和细分后形成的智能网联汽车数据分类见表A.1。
***********************************************
现成译文,到款即发。
任取样页验证译文质量。
免费提供正规增值税发票。
请联系手机/微信: 133-0649-6964/Email: standardtrans@foxmail.com 购买完整译文。
专业源于专注|舍吾予言标准翻译/ChinaAutoRegs/始终专注于机动车标准翻译!迄今为止已翻译上千个国内外汽车法规标准!独家打造千万级汽车专业术语库和记忆库。