1、汽车数据安全若干问题合规实践指南1汽车数据安全若干问题合规实践指南本报告版权属于数据安全推进计划，并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的，应注明“来源：数据安全推进计划”。违反上述声明者，编者将追究其相关法律责任。版权声明汽车数据安全若干问题合规实践指南中国信息通信研究院云计算与大数据研究所、北京市金杜律师事务所、广州小鹏汽车科技有限公司、吉利汽车集团有限公司、全知科技（杭州）有限责任公司、福特汽车（中国）有限公司、沙龙机甲科技有限公司、浙江寰福科技有限公司、安徽江淮汽车集团股份有限公司、惠州市德赛西威汽车电子股份有限公司、亿咖通（湖北）技术有限公司、智马达汽车有限公司

2、、一汽丰田汽车有限公司张亚兰、李雪妮、李天阳、郝志婧、宁宣凤、吴涵、吴真恺、吴意晟、王潼、陈金凤、姜雅君、孙雄涛、刘磊、徐志强、王璐瑶、宫昊、陈艺、姜杰仁、王思涵、李溳、甘铜、孙权、王世全、刘捷、彭宇辉、张裁会、周靖、王伟、刘锋、王丹维、王铱特别鸣谢机构特别鸣谢专家汽车数据安全若干问题合规实践指南前 言在电动化、智能化、网联化、共享化的汽车“新四化”趋势下，汽车涉及数据交互的功能越来越多，数据作为新型生产要素在汽车行业各个场景交互流动。车联网环境下数据量大、数据种类复杂、数据协同访问涉及面广、承载形式多样，随之而来的各种数据安全问题不容忽视。如何平衡数据安全保护和智能网联汽车自动驾驶技术发展？

3、如何落实数据在全生命周期各阶段、各功能、各场景下的合规管控要求？这些都需要在合规实践过程中充分考虑。国内近几年十分重视汽车数据安全问题，中华人民共和国数据安全法（以下简称“数据安全法”）、中华人民共和国个人信息保护法（以下简称“个人信息保护法”）对数据安全、个人信息保护等问题作了顶层规定。汽车数据安全管理若干规定（试行）（以下简称规定）明确了汽车数据处理者的责任和义务，规范汽车数据处理活动，指导行业开展汽车数据相关的技术研究与开发利用。车联网数据安全标准体系正在逐步构建，在通用要求、分类分级、出境安全、个人信息保护、应用数据安全等方面指导和规范车联网产业安全健康发展，为汽车企业提供数据安全合规

4、实践指南。为进一步提高汽车行业数据安全保护水平，增强汽车企业数据安全合规保障能力，推动汽车数据价值安全使用，保障安全与发展的双向促进，特编制本合规实践指南。本指南依据国家法律法规和标准，同时参考行业最佳实践，针对汽车数据安全的重要合规内容，结合汽车行业特有场景，提出合规实践建议。汽车数据安全若干问题合规实践指南目 录一、车内处理原则（一）合规要点（二）典型场景（三）合规实践建议二、脱敏处理原则（一）合规要点（二）典型场景（三）合规实践建议三、数据安全防护（一）合规要点（二）典型场景（三）合规实践建议四、告知与征得同意义务（一）合规要点（二）典型场景（三）合规实践建议五、处理敏感个人信息（一）合

5、规要点（二）典型场景（三）合规实践建议六、数据安全风险评估（一）合规要点（二）典型场景（三）合规实践建议七、数据出境（一）合规要点（二）典型场景（三）合规实践建议11541882312112151516445181818889232324121213汽车数据安全若干问题合规实践指南1一、车内处理原则规定中明确，国家鼓励汽车数据依法合理有效利用，倡导汽车数据处理者在开展汽车数据处理活动中坚持车内处理原则，除非确有必要不向车外提供。“车内处理”原则是指，基于汽车本身产生的数据，需要在车内完成处理，除确有必要外，不应传输至车外的设备系统或第三方。“通过网络向外传输”是指通过移动通信网络、无线局域网、

6、充电桩接口等方式，向位于车外的设备、系统传输。同时，因保证行车安全需要，已进行匿名化处理的视频、图像数据除外1。“车内处理”是否等同于本地化处理有待行业实践发展观察。落实“车内处理”原则，需要以充分保障个人信息权利和数据安全为衡量尺度，同时兼顾行业与技术创新发展的必要空间。“哨兵模式”可通过车身装载的摄像头持续监控周围环境，当探测到可疑行为时，车辆会自动根据威胁的严重程度做出反应。如果摄像头采集到的视频不是在车内处理，而是通过 APP 推送等方式向车外传输，可能会威胁到车辆数据安全及车外行人的隐私安全。V2X 的实现依赖汽车和外界进行信息交换，在车路协同、智慧交通等应用过程中需要落实车内处理原