DB4403/TXXX—XXXX

智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全要求

1范圍

本文件規(guī)定了智能網(wǎng)聯(lián)汽車數(shù)據(jù)的一般要求、個人信息保護要求、重要數(shù)據(jù)保護要求、審核評估

要求等。

本文件適用于智能網(wǎng)聯(lián)汽車及其數(shù)據(jù)處理者。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文

件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適

用于本文件。

GB14886道路交通信號燈設置與安裝規(guī)范

GB14887道路交通信號燈

GB/T38636—2021信息安全技術傳輸層密碼協(xié)議（TLCP）

DB4403/TXXX—XXXX智能網(wǎng)聯(lián)汽車整車信息安全技術要求

3術語和定義

下列術語和定義適用于本文件。

3.1

智能網(wǎng)聯(lián)汽車intelligentandconnectedvehicle

具備環(huán)境感知、智能決策和自動控制，或與外界信息交互，乃至協(xié)同控制功能的汽車。

3.2

汽車數(shù)據(jù)vehicledata

汽車設計、生產(chǎn)、銷售、使用、運維、報廢等過程中涉及的個人信息和重要數(shù)據(jù)。

[來源：汽車數(shù)據(jù)安全管理若干規(guī)定（試行）,第三條,有修改]

3.3

汽車數(shù)據(jù)處理vehicledataprocessing

汽車數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開、刪除等過程。

[來源：汽車數(shù)據(jù)安全管理若干規(guī)定（試行）,第三條,有修改]

3.4

汽車數(shù)據(jù)處理者vehicledataprocessor

開展汽車數(shù)據(jù)處理活動的組織，包括汽車制造商、零部件和軟件供應商、經(jīng)銷商、維修機構(gòu)以及

出行服務企業(yè)等。

[來源：汽車數(shù)據(jù)安全管理若干規(guī)定（試行）,第三條]

3.5

汽車數(shù)據(jù)安全管理體系vehicledatasecuritymanagementsystem

一種與汽車數(shù)據(jù)安全相關的要素集合，包括組織內(nèi)部建立的汽車數(shù)據(jù)安全方針和目標、完成目標

1

DB4403/TXXX—XXXX

使用的方法和系統(tǒng)、確立的汽車安全組織架構(gòu)和角色責任以及形成文件化管理體系的過程。

3.6

審計audit

獲取審核證據(jù)并對其進行客觀評價以確定滿足審核準則程度的，系統(tǒng)的、獨立的和文檔化的過程。

[來源：GB/T25069—2022,3.515]

3.7

個人信息personalinformation

以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后

的信息。

示例：自然人包括車主、駕駛?cè)?、乘車人、車外人員等。

注：個人信息包括敏感個人信息和一般個人信息。

[來源：中華人民共和國個人信息保護法,第四條]

3.8

敏感個人信息sensitivepersonalinformation

一旦泄露或者非法使用，可能導致車主、駕駛?cè)恕⒊塑嚾?、車外人員等受到歧視或者人身、財產(chǎn)

安全受到嚴重危害的個人信息，包括車輛行蹤軌跡、音頻、視頻、圖像和生物識別特征等信息。

[來源：汽車數(shù)據(jù)安全管理若干規(guī)定（試行）,第三條]

3.9

一般個人信息generalpersonalinformation

除敏感個人信息外的其他個人信息。

3.10

匿名化anonymization

個人信息經(jīng)過處理無法識別特定自然人且不能復原的過程。

[來源：中華人民共和國個人信息保護法,第七十三條]

3.11

個人信息主體personalinformationsubject

個人信息所標識的自然人。

[來源：GB/T35273-2020,3.3,有修改]

3.12

人臉目標humanfaceobject

自然人的頭部正面眉毛最上端至頦底線之間、左耳到右耳（不包括耳朵）之間的部分。

3.13

人臉邊界框humanfaceboundaryframe

覆蓋人臉目標范圍的最小矩形或旋轉(zhuǎn)矩形。

示例：人臉范圍示意圖見圖1。

圖1人臉范圍示意圖

2

DB4403/TXXX—XXXX

3.14

汽車號牌目標vehiclelicenseplateobject

基材為金屬的準予汽車在中華人民共和國境內(nèi)道路上行駛的法定標志，其號碼是機動車登記編號。

[來源：GA36-2018,3.1,有修改]

注：本文所指汽車號牌目標均指基材為金屬的正式機動車號牌，不包含噴涂的放大號牌、紙質(zhì)臨時機動車號牌。

3.15

汽車號牌邊界框vehiclelicenseplateboundaryframe

汽車號牌外延組成的矩形或旋轉(zhuǎn)矩形。

3.16

交并比intersection-over-union,IoU

對于符合本文件5.6.2.1要求的單個匿名化對象，應進行匿名化處理的區(qū)域與已進行匿名化處理的

區(qū)域的交集與并集的比值，如圖2所示。

注1：應進行匿名化處理的區(qū)域與已進行匿名化處理的區(qū)域完全重疊時，交并比為1。

注2：應進行匿名化處理但未進行匿名化處理的目標，交并比為0。

圖2交并比示意圖

3.17

檢出率recallrate

某類目標的正檢數(shù)與真實目標數(shù)（正檢數(shù)＋漏檢數(shù)）的比值。

注：漏檢數(shù)是未被檢出為真實目標，但實際為真實目標的數(shù)量。

3.18

誤檢率falsedetectionrate

某類目標的誤檢數(shù)與檢出目標數(shù)的比值。

注：誤檢數(shù)是被檢出來為真實目標，但實際為虛假目標的數(shù)量。

3.19

重要數(shù)據(jù)importantdata

一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益或者個人、

組織合法權益的數(shù)據(jù)，包括：

a)軍事管理區(qū)、國防科工單位以及縣級以上黨政機關等重要敏感區(qū)域的地理信息、人員流

量、車輛流量等數(shù)據(jù)；

b)車輛流量、物流等反映經(jīng)濟運行情況的數(shù)據(jù)；

c)汽車充電網(wǎng)的運行數(shù)據(jù)；

d)包含人臉信息、車牌信息等的車外視頻、圖像數(shù)據(jù)；

e)涉及個人信息主體超過10萬人的個人信息；

f)國家網(wǎng)信部門和國務院發(fā)展改革、工業(yè)和信息化、公安、交通運輸?shù)扔嘘P部門確定的其

他可能危害國家安全、公共利益或者個人、組織合法權益的數(shù)據(jù)。

[來源：汽車數(shù)據(jù)安全管理若干規(guī)定（試行）,第三條]

3

DB4403/TXXX—XXXX

4一般要求

4.1汽車數(shù)據(jù)安全管理體系要求

4.1.1汽車數(shù)據(jù)處理者應建立汽車數(shù)據(jù)安全管理體系。

4.1.2汽車數(shù)據(jù)處理者應執(zhí)行必要活動，以支持汽車數(shù)據(jù)安全管理體系的建立，必要活動包括：

a)制定汽車數(shù)據(jù)安全方針，以明確汽車數(shù)據(jù)處理者的汽車數(shù)據(jù)安全方向和目標；

b)分析汽車數(shù)據(jù)安全管理體系建立環(huán)境，以確定與汽車數(shù)據(jù)安全管理體系目的以及影響達

成預期效果的內(nèi)外部問題；

c)確定汽車數(shù)據(jù)安全管理體系的邊界及其適用范圍；

d)建立汽車數(shù)據(jù)安全組織機構(gòu)并確定相關人員職責，以確保汽車數(shù)據(jù)安全管理的決策、管

理和執(zhí)行活動的完成；

e)建立并維護汽車數(shù)據(jù)安全文化，以提升相關人員汽車數(shù)據(jù)安全保護意識與能力。

4.1.3汽車數(shù)據(jù)處理者應建立汽車數(shù)據(jù)分類分級制度，形成數(shù)據(jù)資產(chǎn)管理臺賬，可參考附錄A。

4.1.4汽車數(shù)據(jù)安全管理體系應覆蓋數(shù)據(jù)全生命周期，應制定數(shù)據(jù)收集、存儲、使用、加工、傳輸、

提供、公開、刪除等過程的具體分級防護要求和操作規(guī)程，并確保數(shù)據(jù)全生命周期可追溯。

4.1.5汽車數(shù)據(jù)處理者應制定車輛全生命周期數(shù)據(jù)安全流程管理制度。

注：車輛全生命周期包括車輛的開發(fā)階段、生產(chǎn)階段及后生產(chǎn)階段。

4.1.6汽車數(shù)據(jù)處理者應建立汽車數(shù)據(jù)安全風險管理和事件處置制度，及時排查安全隱患，發(fā)生數(shù)據(jù)

安全事件時，應立即采取處置措施，有效降低影響。

4.1.7汽車數(shù)據(jù)處理者應建立與合同供應商、服務提供商、車輛生產(chǎn)企業(yè)子組織之間數(shù)據(jù)安全依賴關

系的流程管理制度。

4.1.8汽車數(shù)據(jù)處理者應建立投訴舉報處理機制，建立數(shù)據(jù)安全投訴舉報渠道并及時受理、處置數(shù)據(jù)

安全投訴舉報。

4.1.9汽車數(shù)據(jù)處理者應建立數(shù)據(jù)安全審計制度，以持續(xù)改進汽車數(shù)據(jù)安全管理體系。

4.2個人信息和重要數(shù)據(jù)的一般要求

4.2.1汽車數(shù)據(jù)處理者處理個人信息應符合第5章的要求，法律法規(guī)及具有強制效力的標準另有規(guī)定

的除外。

4.2.2汽車數(shù)據(jù)處理者處理重要數(shù)據(jù)應符合第6章的要求，法律法規(guī)及具有強制效力的標準另有規(guī)定

的除外。

4.2.3汽車數(shù)據(jù)處理者處理的數(shù)據(jù)既屬于個人信息也屬于重要數(shù)據(jù)，應同時符合第5章和第6章的要

求。

5個人信息保護要求

5.1個人信息處理通用要求

5.1.1汽車數(shù)據(jù)處理者應只處理滿足處理目的所必需的個人信息。

5.1.2處理汽車個人信息的系統(tǒng)應符合相關法律法規(guī)的要求。

5.2個人同意的取得

5.2.1顯著告知

4

DB4403/TXXX—XXXX

處理個人信息的汽車數(shù)據(jù)處理者應在處理個人信息前以顯著方式告知個人，具體要求如下：

——告知方式可選取彈窗、文字說明、提示條、提示音、產(chǎn)品說明書、合同書、個人信息保護政

策等；

——告知內(nèi)容應至少包含：

a)處理個人信息的種類、處理各類個人信息的目的、用途、方式；

b)收集各類個人信息的具體情境以及停止收集的方式和途徑；

c)個人信息存儲地點、存儲期限，或者確定存儲地點、存儲期限的規(guī)則；

d)查閱、復制其個人信息以及刪除車內(nèi)、請求刪除已經(jīng)提供給車外的個人信息的方式和途

徑；

e)汽車數(shù)據(jù)處理者的名稱或者用戶權益事務聯(lián)系人的姓名和聯(lián)系方式；

f)法律、行政法規(guī)規(guī)定的應當告知的其他事項。

5.2.2取得個人同意的選項設置

向個人進行符合本文件5.2.1要求的顯著告知后，汽車數(shù)據(jù)處理者應取得個人同意并按如下要求設

置取得個人同意的選項：

——提供同意和拒絕同意的選項；

——處理敏感個人信息，應取得單獨同意，并提供自主設定同意期限的途徑；

——不應僅依賴于個人生物識別特征信息保障車輛基礎功能的正常使用。

5.2.3取得個人同意的例外

5.2.3.1滿足以下例外情形時，汽車數(shù)據(jù)處理者處理個人信息可不取得個人同意：

——提高車輛行駛安全性且不向車外傳輸個人信息的功能，例如駕駛員注意力監(jiān)測功能等；

——用于事故或緊急救援的服務功能，例如車載事故緊急呼叫系統(tǒng)等；

——處理個人自行公開或者其他已經(jīng)合法公開的個人信息；

——無法通過有效的技術手段取得個人同意的情形；

——其他為了滿足法律、行政法規(guī)、地方性法規(guī)、部門規(guī)章、規(guī)范性文件、具有強制效力的國家

標準要求處理個人信息的情形。

5.2.3.2汽車數(shù)據(jù)處理者應通過產(chǎn)品說明書、合同書、個人信息保護政策等形式提供取得個人同意例

外的功能清單及例外理由。

5.2.4個人同意范圍和時效性要求

5.2.4.1汽車數(shù)據(jù)處理者應依據(jù)取得的同意范圍處理個人信息，若超出同意范圍，應重新取得個人同

意。

5.2.4.2當個人同意期限屆滿時，若汽車數(shù)據(jù)處理者仍有必要繼續(xù)進行除刪除外的個人信息處理活動，

應重新取得個人同意。

5.2.5個人同意的撤回

5.2.5.1汽車數(shù)據(jù)處理者應提供個人撤回同意的途徑并告知撤回同意所帶來的影響。

5.2.5.2個人撤回同意后，若汽車數(shù)據(jù)處理者仍需要繼續(xù)進行除刪除外的個人信息處理活動，應重新

取得個人同意。

5.3個人信息收集

5

DB4403/TXXX—XXXX

5.3.1收集個人信息時，汽車數(shù)據(jù)處理者應根據(jù)所提供功能服務對數(shù)據(jù)精度的要求確定攝像頭、雷達

等的覆蓋范圍、分辨率。

5.3.2因同一數(shù)據(jù)收集設備支持多個功能服務且所需數(shù)據(jù)精度要求不同，至少應有一個功能服務符合

5.3.1要求，針對其他不符合5.3.1要求的功能服務，汽車數(shù)據(jù)處理者應在個人信息處理相關文檔中

當作出合理說明。

5.4個人信息存儲

5.4.1汽車數(shù)據(jù)處理者存儲個人信息的期限應與取得同意的個人信息存儲時間一致。

5.4.2存儲個人信息時，汽車數(shù)據(jù)處理者應制定數(shù)據(jù)訪問控制策略并實施訪問控制機制。

5.4.3采用非易失性存儲介質(zhì)在車內(nèi)存儲個人信息時，汽車數(shù)據(jù)處理者應進行加密，使用的密碼技術

應滿足以下要求：

a）汽車數(shù)據(jù)處理者應使用公開的、已發(fā)布的、有效的密碼算法，并選擇適當?shù)膮?shù)和選項；應根

據(jù)不同密碼算法和場景，選擇適當長度和有效的密鑰。

注：有效的密碼算法指安全有效且未被破解的算法，如MD5已被破解，此類算法相對不安全。

b）汽車數(shù)據(jù)處理者應將密鑰及密鑰相關信息存放在可控且專用的存儲區(qū)域，防止通過軟硬件接口

的非法訪問以及物理攻擊等手段獲取密鑰及密鑰相關信息。

注：專用指該存儲區(qū)域僅用于存儲密鑰及密鑰相關信息；可控是指密鑰及相關信息不被非法訪問并且得到安全應

用。

5.5個人信息使用

使用個人信息時，汽車數(shù)據(jù)處理者應制定數(shù)據(jù)訪問控制策略并實施訪問控制機制。

5.6個人信息傳輸

5.6.1車外傳輸要求

5.6.1.1向車外傳輸敏感個人信息過程中，汽車數(shù)據(jù)處理者應對敏感個人信息進行真實性、完整性、

保密性和抗抵賴保護。

5.6.1.2向車外傳輸敏感個人信息過程中，汽車數(shù)據(jù)處理者使用的密碼技術應滿足以下要求：

a）汽車數(shù)據(jù)處理者應使用公開的、已發(fā)布的、有效的密碼算法，并選擇適當?shù)膮?shù)和選項；應根

據(jù)不同密碼算法和場景，選擇適當長度和有效的密鑰。

注：有效的密碼算法指安全有效且未被破解的算法，如MD5已被破解，此類算法相對不安全。

b）汽車數(shù)據(jù)處理者應將密鑰及密鑰相關信息存放在可控且專用的存儲區(qū)域，防止通過軟硬件接口

的非法訪問以及物理攻擊等手段獲取密鑰及密鑰相關信息。

注：專用指該存儲區(qū)域僅用于存儲密鑰及密鑰相關信息；可控是指密鑰及相關信息不被非法訪問并且得到安全應

用。

5.6.1.3向車外傳輸敏感個人信息過程中，汽車數(shù)據(jù)處理者使用的數(shù)據(jù)傳輸通道應滿足以下要求：

a）應至少對個人信息接收方進行身份認證；

b）應采用符合GB/T38636-2020或等級不低于TLS1.2的安全協(xié)議。

5.6.1.4對于汽車數(shù)據(jù)處理者無法獲得個人信息傳輸授權同意的情形，應于車端進行匿名化處理后再

向車外傳輸。其中，對于車外的人臉目標及汽車號牌目標的匿名化處理應滿足5.6.2要求。

5.6.2匿名化要求

5.6.2.1匿名化對象

6

DB4403/TXXX—XXXX

5.6.2.1.1人臉匿名化對象

汽車數(shù)據(jù)處理者至少應對圖像或視頻中滿足以下要求的人臉目標進行匿名化處理：

——人臉目標對應的人臉邊界框最小邊長像素大于等于32像素；

——人臉目標對應的頭部姿態(tài)水平偏轉(zhuǎn)角絕對值小于等于45°、俯仰角絕對值小于等于30°且傾

斜角絕對值小于等于45°。

5.6.2.1.2汽車號牌匿名化對象

汽車數(shù)據(jù)處理者至少應對圖像或視頻中汽車號牌邊界框高度像素大于等于圖像或視頻有效像素高

度的六十分之一的汽車號牌目標進行匿名化處理。

注：標識框高度指汽車號牌標識框上沿至下沿的距離。

5.6.2.2匿名化處理性能要求

5.6.2.2.1檢出率要求

根據(jù)附錄C.5進行試驗并按照C.6進行試驗結(jié)果處理，人臉目標和汽車號牌目標的檢出率均應不低

于90%。

5.6.2.2.2誤檢率要求

根據(jù)附錄C.5進行試驗并按照C.6進行試驗結(jié)果處理，人臉目標和汽車號牌目標的誤檢率均應不高

于10%。

5.6.2.3匿名化效果要求

根據(jù)附錄C.8.1進行試驗，已進行匿名化處理的人臉目標和汽車號牌目標應無法被識別。

5.7個人信息刪除

5.7.1刪除條件

5.7.1.1汽車數(shù)據(jù)處理者應提供個人請求的刪除個人信息的途徑。

5.7.1.2有下列情形之一的，汽車數(shù)據(jù)處理者應當主動刪除個人信息或匿名化處理：

a)處理目的已實現(xiàn)、無法實現(xiàn)或者為實現(xiàn)處理目的不再必要；

b)汽車數(shù)據(jù)處理者停止提供產(chǎn)品或者服務，或者保存期限已屆滿；

c)個人撤回同意；

d)汽車數(shù)據(jù)處理者違反法律、行政法規(guī)或者違反約定處理個人信息；

e)法律、行政法規(guī)規(guī)定的其他情形。

5.7.1.3若法律、行政法規(guī)規(guī)定的保存期限未屆滿，或者刪除個人信息從技術上難以實現(xiàn)的，汽車數(shù)

據(jù)處理者應當停止除存儲和采取必要的安全保護措施之外的處理。

5.7.2刪除要求

5.7.2.1個人信息主體主動發(fā)起刪除個人信息請求的，汽車數(shù)據(jù)處理者應在刪除個人信息前告知刪除

個人信息可能會造成的影響。

5.7.2.2個人請求刪除敏感個人信息的，汽車數(shù)據(jù)處理者應在10個工作日內(nèi)完成刪除；其他情形，

汽車數(shù)據(jù)處理者應在15個工作日內(nèi)完成刪除；法律、行政法規(guī)另有規(guī)定的按照其規(guī)定執(zhí)行。

5.7.2.3被刪除的個人信息應不可檢索、不可訪問且不被任何汽車數(shù)據(jù)處理者處理。

7

DB4403/TXXX—XXXX

5.8個人信息出境

個人信息通過車輛出境應符合DB4403/TXXX—XXXX《智能網(wǎng)聯(lián)汽車整車信息安全技術要求》的要

求。

個人信息通過其他方式確需向境外提供的，應當符合法律法規(guī)的有關規(guī)定。

5.9個人信息的處理記錄

5.9.1有下列情形之一時，汽車數(shù)據(jù)處理者應對處理情況進行記錄：

a)處理敏感個人信息；

b)利用個人信息進行自動化決策；

c)委托處理個人信息、向其他汽車數(shù)據(jù)處理者提供個人信息、公開個人信息；

d)向境外提供個人信息；

e)其他對個人權益有重大影響的個人信息處理活動。

5.9.2記錄內(nèi)容應該包括但不限于處理的個人信息種類、數(shù)據(jù)量、處理方式、處理時間。

6重要數(shù)據(jù)保護要求

6.1重要數(shù)據(jù)處理通用要求

6.1.1汽車數(shù)據(jù)處理者應只處理滿足處理目的所必需的重要數(shù)據(jù)。

6.1.2處理汽車重要數(shù)據(jù)的系統(tǒng)應符合相關法律法規(guī)的要求。

6.2重要數(shù)據(jù)收集

6.2.1收集重要數(shù)據(jù)時，汽車數(shù)據(jù)處理者應根據(jù)所提供功能服務對數(shù)據(jù)精度的要求確定攝像頭、雷達

等的覆蓋范圍、分辨率。

6.2.2因同一數(shù)據(jù)收集設備支持多個功能服務且所需數(shù)據(jù)精度要求不同，至少應有一個功能服務符合

6.2.1要求，針對其他不符合6.2.1要求的功能服務，汽車數(shù)據(jù)處理者應在重要數(shù)據(jù)處理相關文檔中

當作出合理說明。

6.3重要數(shù)據(jù)存儲

6.3.1存儲重要數(shù)據(jù)時，汽車數(shù)據(jù)處理者應制定數(shù)據(jù)訪問控制策略并實施訪問控制機制。

6.3.2采用非易失性存儲介質(zhì)在車內(nèi)存儲重要數(shù)據(jù)時，汽車數(shù)據(jù)處理者應進行加密，使用的密碼技術

應滿足以下要求：

a）汽車數(shù)據(jù)處理者應使用公開的、已發(fā)布的、有效的密碼算法，并選擇適當?shù)膮?shù)和選項；應根

據(jù)不同密碼算法和場景，選擇適當長度和有效的密鑰；

注：有效的密碼算法指安全有效且未被破解的算法，如MD5已被破解，此類算法相對不安全。

b）汽車數(shù)據(jù)處理者應將密鑰及密鑰相關信息存放在可控且專用的存儲區(qū)域，防止通過軟硬件接口

的非法訪問以及物理攻擊等手段獲取密鑰及密鑰相關信息。

注：專用指該存儲區(qū)域僅用于存儲密鑰及密鑰相關信息；可控是指密鑰及相關信息不被非法訪問并且得到安全應

用。

6.4重要數(shù)據(jù)使用

使用重要數(shù)據(jù)時，汽車數(shù)據(jù)處理者應制定數(shù)據(jù)訪問控制策略并實施訪問控制機制。

8

DB4403/TXXX—XXXX

6.5重要數(shù)據(jù)傳輸

6.5.1向車外傳輸重要數(shù)據(jù)過程中，汽車數(shù)據(jù)處理者應對重要數(shù)據(jù)進行真實性保護、完整性保護、保

密性保護和抗抵賴保護。

6.5.2汽車數(shù)據(jù)處理者應使用公開的、已發(fā)布的、有效的密碼算法，并選擇適當?shù)膮?shù)和選項；應根

據(jù)不同密碼算法和場景，選擇適當長度和有效的密鑰。

注：有效的密碼算法指安全有效且未被破解的算法，如MD5已被破解，此類算法相對不安全。

6.5.3汽車數(shù)據(jù)處理者應將密鑰及密鑰相關信息存放在可控且專用的存儲區(qū)域，防止通過軟硬件接口

的非法訪問以及物理攻擊等手段獲取密鑰及密鑰相關信息。

注：專用指該存儲區(qū)域僅用于存儲密鑰及密鑰相關信息；可控是指密鑰及相關信息不被非法訪問并且得到安全應

用。

6.5.4向車外傳輸重要數(shù)據(jù)過程使用的數(shù)據(jù)傳輸通道應滿足以下要求中：

a）應至少對重要數(shù)據(jù)接收方進行身份認證；

b）應采用符合GB/T38636-2020或不低于TLS1.2的安全協(xié)議。

6.6重要數(shù)據(jù)刪除

被刪除的重要數(shù)據(jù)應不可檢索、不可訪問且不被任何汽車數(shù)據(jù)處理者處理。

6.7重要數(shù)據(jù)出境

重要數(shù)據(jù)通過車輛出境應符合DB4403/TXXX—XXXX《智能網(wǎng)聯(lián)汽車整車信息安全技術要求》的要

求。

重要數(shù)據(jù)通過其他方式確需向境外提供的，應當符合法律法規(guī)的有關規(guī)定。

6.8重要數(shù)據(jù)的處理記錄

6.8.1當出現(xiàn)下列情形之一時，汽車數(shù)據(jù)處理者應對處理情況進行記錄：

a)處理重要數(shù)據(jù)；

b)越權訪問、篡改重要數(shù)據(jù)等行為；

c)向境外提供重要數(shù)據(jù)。

6.8.2記錄內(nèi)容應該應包括但不限于處理的個人信息種類、數(shù)據(jù)量、處理方式、處理時間。

7審核評估要求

依據(jù)本標準開展個人信息及重要數(shù)據(jù)保護要求試驗前，汽車數(shù)據(jù)處理者應通過4.1的符合性評估。

依據(jù)本標準開展個人信息及重要數(shù)據(jù)傳輸和存儲試驗前，汽車數(shù)據(jù)處理者應通過針對5.1、5.2、

5.3、5.5、5.7、5.8、5.9、6.1、6.2、6.4、6.6、6.7、6.8要求的符合性評估。

按照附錄B進行個人信息和重要數(shù)據(jù)的存儲及傳輸試驗，應滿足5.4、5.6、6.3和6.5的要求。

審核評估方法可參考附錄E。

9

DB4403/TXXX—XXXX

附錄A

（資料性）

智能網(wǎng)聯(lián)汽車數(shù)據(jù)分類分級要求

A.1數(shù)據(jù)分類分級原則

智能網(wǎng)聯(lián)汽車數(shù)據(jù)分類分級應遵循以下原則：

a)科學性：按照智能網(wǎng)聯(lián)汽車數(shù)據(jù)的多維特征以及相互間客觀存在的邏輯關聯(lián)進行科學和

系統(tǒng)化的分類分級；

b)實用性：智能網(wǎng)聯(lián)汽車數(shù)據(jù)的分類分級要確保每個類目下要有數(shù)據(jù)，不設沒有意義的類

目；

c)擴展性：智能網(wǎng)聯(lián)汽車數(shù)據(jù)分類分級方案在總體上應具有概括性和包容性，能夠?qū)崿F(xiàn)各

種類型數(shù)據(jù)的分類，以及滿足將來可能出現(xiàn)的數(shù)據(jù)類型；

d)合法合規(guī)性：數(shù)據(jù)分類分級應遵循國家法律法規(guī)及行業(yè)主管部門有關規(guī)定；

e)可執(zhí)行性：數(shù)據(jù)分類分級規(guī)則應避免過于復雜以保證數(shù)據(jù)分類分級的可行性；

f)時效性：數(shù)據(jù)分級應具有一定的有效期限，超過有效期限數(shù)據(jù)級別應按照級別變更策略

及時調(diào)整；

g)穩(wěn)定性：分類分級要基于智能網(wǎng)聯(lián)汽車數(shù)據(jù)最穩(wěn)定的特征和屬性，以保持分類分級結(jié)果

穩(wěn)定，并在總體上利于對同一類別或級別的數(shù)據(jù)適用相同的安全要求；

h)顯著性：根據(jù)數(shù)據(jù)在產(chǎn)生、采集、使用等方面的成果或內(nèi)容上的顯著特征確定智能網(wǎng)聯(lián)

汽車的分類方案。

A.2數(shù)據(jù)分類

根據(jù)智能網(wǎng)聯(lián)汽車數(shù)據(jù)的類型、特性及業(yè)務使用場景等因素，并綜合數(shù)據(jù)安全管理的總體目標和

安全策略要求，對數(shù)據(jù)資產(chǎn)進行梳理、歸類和細分后形成的智能網(wǎng)聯(lián)汽車數(shù)據(jù)分類見表A.1。

表A.1數(shù)據(jù)分類表

一級分類名稱二級分類名稱定義示例

如汽車號牌、車輛識別號VIN、車

車輛標識數(shù)據(jù)能識別或關聯(lián)出特定車輛的數(shù)據(jù)輛廠商、商標、品牌、車輛產(chǎn)品型

號等

車輛靜態(tài)屬性數(shù)據(jù)（不能識別或關如車輛外廓尺寸、傳動比、軸距、

車輛屬性數(shù)據(jù)

聯(lián)出特定車輛的數(shù)據(jù)）輪距等

影響車輛感知、決策、數(shù)據(jù)記錄的車載傳感器、域控制器、、

核心零部件標識數(shù)據(jù)EDR

核心零部件數(shù)據(jù)DSSAD軟硬件型號、版本號

車輛鑒別數(shù)據(jù)用于驗證車輛及零部件身份的信息如密碼和證書等

車輛基本數(shù)據(jù)

車輛的診斷、維修、檢查、定期監(jiān)

測、維修、重新編程或重新初始化

或遠程診斷支持所需的所有信息，

這些信息是制造商為其授權經(jīng)銷商如車輛保險信息、車輛維護信息、

車輛維保數(shù)據(jù)

和維修商提供的，包括對此類信息車輛保養(yǎng)信息等

的所有后續(xù)修訂和補充。該信息包

括將零件或設備安裝到車輛上所需

的所有信息

通過車載激光雷達獲取到的原始數(shù)

感知數(shù)據(jù)激光雷達數(shù)據(jù)點云數(shù)據(jù)信息

據(jù)

10

DB4403/TXXX—XXXX

表A.1數(shù)據(jù)分類表（續(xù)）

一級分類名稱二級分類名稱定義示例

通過車載毫米波雷達獲取到的原始數(shù)

毫米波雷達數(shù)據(jù)點云數(shù)據(jù)或目標物信息

據(jù)

攝像頭數(shù)據(jù)通過車載攝像頭獲取到的原始數(shù)據(jù)視頻、圖片等信息

通過車載超聲波雷達獲取到的原始數(shù)障礙物信息（如與障礙物的相對距

超聲波雷達數(shù)據(jù)

據(jù)離）

IMU數(shù)據(jù)通過車載IMU獲取到的原始數(shù)據(jù)角速度和加速度等信息

相比傳統(tǒng)導航地圖，能提供精度更

高、內(nèi)容更豐富的道路拓撲、拓撲關道路信息、車道信息、道路附屬設

高精地圖數(shù)據(jù)系、位置、幾何、交通標識、交通信施信息等靜態(tài)信息，

號設施等地圖屬性，為智能網(wǎng)聯(lián)汽車實時路況、交通事件等動態(tài)信息

提供環(huán)境信息的地圖的數(shù)據(jù)

GNSS數(shù)據(jù)通過衛(wèi)星或基準站獲取到的定位數(shù)據(jù)載波，偽距（用于計算車的位置）

紅綠燈、標識、目標物等信息

V2X數(shù)據(jù)通過C-V2X獲取到的相關數(shù)據(jù)

（BSM，RSM，SPAT等消息集）

通過車載麥克風采集的車內(nèi)乘員與車

語音——

機進行語音交互的數(shù)據(jù)

融合后的目標（機動

目標物的類型、相對位置、相對速

車及其他道路交通參各感知模塊融合后的輸出數(shù)據(jù)

感知數(shù)據(jù)度等

與者）數(shù)據(jù)

融合后的交通信息數(shù)交通標志、信號燈、路況信息、限

通過車載部件獲取到的交通信息數(shù)據(jù)

據(jù)速信息等

融合后的自然條件數(shù)白天、黑夜、晴天、雨天、雪天、

通過車載部件獲取到的自然條件數(shù)據(jù)

據(jù)車外溫度等

融合后的道路屬性數(shù)道路類別（高速公路、城市道路、

通過車載部件獲取到的道路屬性數(shù)據(jù)

據(jù)鄉(xiāng)村路等）

融合后的自車車身姿航向角，橫擺角速度，側(cè)傾角速度

通過車載部件獲取到的車身姿態(tài)數(shù)據(jù)

態(tài)等

融合后的自車位置數(shù)通過車載部件獲取到的絕對或相對位

絕對位置信息，相對位置信息

據(jù)置數(shù)據(jù)

通過采集到的語音解析得出的與車機如用來喚醒車載語音交互系統(tǒng)的特

語義

交互的一類數(shù)據(jù)定關鍵語句等

用來識別特定用戶身份的聲波頻段數(shù)用來完成說話人辨認和確認過程的

聲紋

據(jù)信息

其他感知部件采集的

以上未能涵蓋的車輛感知數(shù)據(jù)——

數(shù)據(jù)

其他的感知融合數(shù)據(jù)以上未能涵蓋的車輛感知融合數(shù)據(jù)——

如檔位信息、加速踏板開度、剎車

由人類駕駛員進行的操作類數(shù)據(jù)，包

人類駕駛員操作數(shù)據(jù)踏板開度、轉(zhuǎn)向角度、用戶操作指

含非駕駛控制類數(shù)據(jù)

令等

如車輛遠程開關門鎖、遠程開關空

通過遠程控制指令對車輛進行操作的

決策數(shù)據(jù)遠程操作數(shù)據(jù)調(diào)、遠程鳴笛和閃燈等遠程啟動或

數(shù)據(jù)

泊車等

如系統(tǒng)請求的檔位、橫向加速度、

由車輛系統(tǒng)進行的駕駛決策控制類數(shù)

系統(tǒng)決策數(shù)據(jù)轉(zhuǎn)向角、轉(zhuǎn)向力矩、縱向加速度、

據(jù)

燈光狀態(tài)、雨刮狀態(tài)等

如上電狀態(tài)、控制模式、動力模

式、充電狀態(tài)、擋位、制動狀態(tài)、

剩余油量電量、車輛控制模式等

運行數(shù)據(jù)整車狀態(tài)數(shù)據(jù)車輛在運行工況下的狀態(tài)數(shù)據(jù)/

如實時車速、橫或縱向加速度、航

向角、橫擺角速度、側(cè)傾角速度、

俯仰角速度等

11

DB4403/TXXX—XXXX

表A.1數(shù)據(jù)分類表（續(xù)）

一級分類名稱二級分類名稱定義示例

如安全氣囊狀態(tài)、GNSS運行狀態(tài)、

IMU運行狀態(tài)、駕駛自動化系統(tǒng)運行

狀態(tài)、高精地圖運行狀態(tài)、OBU運行

系統(tǒng)及部件運行狀態(tài)狀態(tài)、攝像頭運行狀態(tài)、激光雷達

表征部件及系統(tǒng)運行狀態(tài)的數(shù)據(jù)

數(shù)據(jù)運行狀態(tài)、超聲波雷達運行狀態(tài)、

運行數(shù)據(jù)毫米波雷達運行狀態(tài)、夜視系統(tǒng)運

行狀態(tài)等（正常、異常、表示異

常、無效）

安全日志數(shù)據(jù)與安全相關的日志數(shù)據(jù)——

其他日志數(shù)據(jù)與安全相關性較低的日志數(shù)據(jù)——

汽車充電網(wǎng)運行數(shù)據(jù)——充電量、充電樁類別、編號等

經(jīng)過處理后的用戶數(shù)據(jù)，無法單獨

用戶行為匯聚分析

或者與其他信息結(jié)合識別特定用戶——

數(shù)據(jù)

的各種數(shù)據(jù)

其他數(shù)據(jù)

用戶身份標識數(shù)據(jù)用于標識用戶身份的數(shù)據(jù)如用戶賬號、密碼等

用戶與座艙交互數(shù)據(jù)用于描述用戶與座艙交互產(chǎn)生的相如用戶通訊錄、通訊記錄和內(nèi)容、

（非操控類數(shù)據(jù)）關數(shù)據(jù)上網(wǎng)記錄等

A.3重要數(shù)據(jù)識別參考

A.3.1分級要素

A.3.1.1智能網(wǎng)聯(lián)汽車數(shù)據(jù)分級應評估危害程度和重要程度兩個方面，評估要素應至少包括影響對象

和影響程度。若數(shù)據(jù)分級過程中出現(xiàn)多個影響對象，應按照程度的較高等級進行判定。

A.3.1.2評估數(shù)據(jù)遭到篡改、破壞、泄露或者非法獲取、非法利用后對國家安全、公共利益、個人權

益和企業(yè)權益的危害程度的方法見表A.2。

表A.2危害程度評估表

危害程度影響對象影響程度數(shù)據(jù)一般特征

影響國家的安全保衛(wèi)工作、經(jīng)濟競爭力、科技實力、涉及國家安全的其他事

項。

嚴重國家安全任何

對國家政權、主權、統(tǒng)一和領土完整、人民福祉、經(jīng)濟社會可持續(xù)發(fā)展和國家

其他重大利益造成影響。

影響社會公眾接受公共服務的活動、使用公共設施的活動、涉及公共利益的其

嚴重公共利益嚴重他事項。

對經(jīng)濟運行、社會穩(wěn)定、公共健康和安全和其他重要社會公共利益造成影響。

中等/嚴重個人敏感信息，一旦泄露或者非法使用，可能導致車主、駕駛?cè)?、乘車人、?/p>

中等個人權益

影響外人員等受到歧視或者人身、財產(chǎn)安全受到嚴重危害。

對企業(yè)的科研、生產(chǎn)秩序、經(jīng)濟活動、涉及企業(yè)權益的其他事項造成嚴重影

中等企業(yè)權益中等

響。

個人非敏感信息，個人信息主體可被識別，一旦泄露或者非法使用，可能會給

輕度個人權益輕度

個人信息主體合法權益帶來負面影響。

對企業(yè)的科研、生產(chǎn)秩序、經(jīng)濟活動、涉及企業(yè)權益的其他事項造成有限影

輕度企業(yè)權益輕度

響。

相關數(shù)據(jù)在任何場景下均無法關聯(lián)或識別到個人信息主體；或個人信息主體可

無影響個人權益無影響

主動公開或經(jīng)授權公開的數(shù)據(jù)。

無影響企業(yè)權益無影響對企業(yè)權益不造成影響；或數(shù)據(jù)處理者可主動公開或經(jīng)授權公開的數(shù)據(jù)。

12

DB4403/TXXX—XXXX

A.3.1.3評估汽車數(shù)據(jù)處理者為處理數(shù)據(jù)所投入的各項成本、對達成預設目標及可能帶來的利益的重

要程度方法見表A.3。

表A.3重要程度評估表

重要程度影響對象影響程度數(shù)據(jù)一般特征

數(shù)據(jù)處理者所投入的

極高極高數(shù)據(jù)處理需在軟硬件、技術、人力、經(jīng)濟等方面投入巨大成本。

成本

對數(shù)據(jù)處理者達成預達成預設目標對數(shù)據(jù)的依賴程度非常高，沒有數(shù)據(jù)支撐無法完成，或者

極高極高

設目標的關鍵程度數(shù)據(jù)起到?jīng)Q定性作用，沒有可替代方案。

數(shù)據(jù)處理可以給數(shù)據(jù)處理者在技術進步、業(yè)務發(fā)展、社會影響、經(jīng)濟收

給數(shù)據(jù)處理者可能帶

極高極高入等方面帶來巨大利益，顯著地促進技術進步、開拓新的業(yè)務模式、提

來的利益

升業(yè)務規(guī)模、增加業(yè)務營收。

數(shù)據(jù)處理者所投入的

高高數(shù)據(jù)處理需在軟硬件、技術、人力、經(jīng)濟等方面投入較高成本。

成本

對數(shù)據(jù)處理者達成預達成預設目標對數(shù)據(jù)的依賴程度較高，數(shù)據(jù)起到關鍵性作用，沒有可替

高高

設目標的關鍵程度代方案或者可替代方案成本較高。

數(shù)據(jù)可能給數(shù)據(jù)處理者在業(yè)務發(fā)展、技術進步、社會影響、經(jīng)濟收入等

給數(shù)據(jù)處理者可能帶

高高方面帶來較大利益，有效地促進技術進步、提升業(yè)務規(guī)模、增加業(yè)務營

來的利益

收。

數(shù)據(jù)處理者所投入的

中中數(shù)據(jù)處理需在軟硬件、技術、人力、經(jīng)濟等方面投入一定成本。

成本

對數(shù)據(jù)處理者達成預

中中達成預設目標對數(shù)據(jù)處理有一定依賴，但有可替代方案。

設目標的關鍵程度

給數(shù)據(jù)處理者可能帶數(shù)據(jù)可能給數(shù)據(jù)處理者在業(yè)務發(fā)展、技術進步、社會影響、經(jīng)濟收入等

中中

來的利益方面帶來有限利益。

數(shù)據(jù)處理者所投入的

低低數(shù)據(jù)處理幾乎無額外成本。

成本

對數(shù)據(jù)處理者達成預

低低數(shù)據(jù)對達成預設目標無影響。

設目標的關鍵程度

給數(shù)據(jù)處理者可能帶

低低數(shù)據(jù)無法帶來利益。

來的利益

A.3.2分級要求

智能網(wǎng)聯(lián)汽車數(shù)據(jù)分級應按照表A.2和表A.3的要求評估數(shù)據(jù)遭到篡改、破壞、泄露或者非法獲取、

非法利用后的危害程度和對汽車數(shù)據(jù)處理者的重要程度，形成的數(shù)據(jù)分級應符合表A.4的要求。

若數(shù)據(jù)定級要素出現(xiàn)不同程度，應按照程度對應的較高數(shù)據(jù)級別進行判定。

表A.4數(shù)據(jù)分級表

數(shù)據(jù)級別定級要素

危害程度：嚴重，或

S3

重要程度：極高

危害程度：中等，或

S2

重要程度：高

危害程度：輕度，或

S1

重要程度：中

危害程度：無影響，或

S0

重要程度：低

A.3.3數(shù)據(jù)定級規(guī)則參考

13

DB4403/TXXX—XXXX

數(shù)據(jù)定級要素主要從影響對象和影響程度兩方面進行考慮，具體如下：

a)智能網(wǎng)聯(lián)汽車重要數(shù)據(jù)安全等級不低于S2；

b)同一數(shù)據(jù)由于數(shù)據(jù)量的增加可能會造成數(shù)據(jù)級別上升；

c)不同種類數(shù)據(jù)的組合可能會造成數(shù)據(jù)級別上升。

A.3.4數(shù)據(jù)分類分級映射參考

數(shù)據(jù)分類分級的映射關系可參考附錄D。

A.4個人信息識別參考

以下列舉汽車數(shù)據(jù)處理者處理較為廣泛的個人信息作為示例，若存在表中未列舉的個人信息類型

可參考3.7和3.8進行判定。

表A.5個人信息分類分級示例表

分級

分類

一般個人信息敏感個人信息

個人姓名、出生日期、電子郵箱地

個人基本資料址、住址、個人電話號碼、年齡、性——

別、家庭關系

個人身份信息個人賬戶的系統(tǒng)賬號（不包含密碼）身份證、駕駛證、個人賬戶的系統(tǒng)賬號（包含密碼）

個人車輛標識車輛VIN、車牌號、行駛證

個人生物識別信個人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部特征

——

息等數(shù)據(jù)，數(shù)據(jù)能夠識別或確定自然人的獨特標識

銀行賬號、鑒別信息（口令）、存款信息（包括資金數(shù)

量、支付收款記錄等）、房產(chǎn)信息、信貸記錄、征信信

個人財產(chǎn)信息——息、交易和消費記錄、流水記錄等、虛擬貨幣、虛擬交

易、游戲類兌換碼等虛擬財產(chǎn)、風評記錄、資產(chǎn)信息