ICS43.020 CCST40DB4403 深圳市地方标准 DB4403/T361—2023 智能网联汽车数据安全要求 Requirementsofdatasecurityforintelligentandconnectedvehicles 2023-08-22发布 2023-09-01实施 深圳市市场监督管理局发布 DB4403/T361—2023 Ⅰ目次 前言...............................................................................II 1范围.............................................................................1 2规范性引用文件...................................................................1 3术语和定义.......................................................................1 4一般要求.........................................................................4 5个人信息保护要求.................................................................5 6重要数据保护要求.................................................................7 7审核评估要求.....................................................................8 附录A（资料性）数据分类分级要求...................................................9 附录B（资料性）数据分类与分级映射表..............................................15 附录C（规范性）个人信息和重要数据处理试验方法及要求..............................17 附录D（规范性）雷达、摄像头等数据收集设备参数....................................19 附录E（规范性）个人信息匿名化处理试验方法........................................20 附录F（资料性）匿名化误检率试验方法..............................................25 DB4403/T361—2023 II前言 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件以推荐性国家标准《汽车数据通用要求》（计划号：20213606-T-339）（2022年10月版本） 为基础制定，主要用于支持深圳市智能网联汽车准入管理工作的实施。 本文件由深圳市工业和信息化局提出并归口。 本文件起草单位：深圳市工业和信息化局。 DB4403/T361—2023 1智能网联汽车数据安全要求 1范围 本文件规定了智能网联汽车数据的一般要求、个人信息保护要求、重要数据保护要求、审核评估 要求等。 本文件适用于具备汽车数据处理功能的车辆及其数据处理者。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适 用于本文件。 GB14886道路交通信号灯设置与安装规范 GB14887道路交通信号灯 GB/T38636—2020信息安全技术传输层密码协议（TLCP） DB4403/T355—2023智能网联汽车整车信息安全技术要求 3术语和定义 下列术语和定义适用于本文件。 3.1 汽车数据vehicledata 汽车设计、生产、销售、使用、运维、报废等过程中涉及的个人信息和重要数据。 [来源：汽车数据安全管理若干规定（试行）,第三条,有改写] 3.2 汽车数据处理vehicledataprocessing 汽车数据收集、存储、使用、加工、传输、提供、公开、删除等过程。 [来源：汽车数据安全管理若干规定（试行）,第三条,有改写] 3.3 收集collect 通过一定方式获取汽车数据的行为。 3.4 汽车数据处理者vehicledataprocessor 开展汽车数据处理活动的组织。 注：汽车数据处理者包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等。 [来源：汽车数据安全管理若干规定（试行）,第三条] 3.5 汽车数据安全管理体系vehicledatasecuritymanagementsystem 一种规范汽车数据处理者开展数据处理活动过程中保护汽车数据安全的系统性方法。 DB4403/T361—2023 23.6 审计audit 获取审核证据并对其进行客观评价以确定满足审核准则程度的，系统的、独立的和文档化的过程。 [来源：GB/T25069—2022,3.515] 3.7 个人信息personalinformation 以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。 注：个人信息包括敏感个人信息和一般个人信息，不包括匿名化处理后的信息。 示例：自然人包括车主、驾驶人、乘车人、车外人员等。 [来源：中华人民共和国个人信息保护法,第四条] 3.8 敏感个人信息sensitivepersonalinformation 一旦泄露或者非法使用，可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产 安全受到严重危害的个人信息。 注：包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。 [来源：汽车数据安全管理若干规定（试行）,第三条] 3.9 一般个人信息generalpersonalinformation 除敏感个人信息外的其他个人信息。 3.10 座舱数据cabindata 通过摄像头、红外传感器、指纹传感器或传声器等部件从汽车座舱采集的可能包含个人信息的数 据，以及对其进行加工后产生的数据。 [来源：GB/T41871—2022，3.6] 3.11 匿名化anonymization 个人信息经过处理无法识别特定自然人且不能复原的过程。 [来源：中华人民共和国个人信息保护法,第七十三条] 3.12 个人信息主体personalinformationsubject 个人信息所标识的自然人。 [来源：GB/T35273-2020,3.3，有改写] 3.13 人脸目标humanfaceobject 自然人的头部正面眉毛最上端至颏底线之间、左耳到右耳（不包括耳朵）之间的部分。 3.14 人脸边界框humanfaceboundaryframe 覆盖人脸目标范围的最小矩形或旋转矩形。 示例：人脸范围示意图见图1。 DB4403/T361—2023 3 图1人脸范围示意图 3.15 汽车号牌目标vehiclelicenseplateobject 基材为金属的准予汽车在中华人民共和国境内道路上行驶的法定标志，其号码是机动车登记编号。 [来源：GA36-2018,3.1，有改写] 注：本文件所指汽车号牌目标均指基材为金属的正式机动车号牌，不包含喷涂的放大号牌、纸质临时机动车号牌。 3.16 汽车号牌边界框vehiclelicenseplateboundaryframe 汽车号牌外延组成的矩形或旋转矩形。 3.17 遮盖率coveragerate 对于符合本文件5.6.2.1要求的单个匿名化对象，边界框内进行匿名化处理区域与整个边界框区 域的面积比值。 示例：遮盖率示意图见图2，其中实线区域为人脸边界框，虚线部分为匿名化区域，遮盖率为阴影部分与实线区域 的面积比值。 图2遮盖率示意图 3.18 检出率detectionrate 某类目标的正检数除以正检数与漏检数之和的数值。 注：漏检数是未被检出的应进行匿名化目标数量。 3.19 误检率falsedetectionrate 某类目标的误检数与检出目标数的比值。 注：误检数是被检出且不满足目标定义的目标数量。 3.20 重要数据importantdata DB4403/T361—2023 4一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益或者个人、 组织合法权益的数据。 注：重要数据包括： ——军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据； ——车辆流量、物流等反映经济运行情况的数据； ——汽车充电网的运行数据； ——包含人脸信息、车牌信息等的车外视频、图像数据； ——涉及个人信息主体超过10万人的个人信息； ——国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、 公共利益或者个人、组织合法权益的数据。 [来源：汽车数据安全管理若干规定（试行），第三条] 4一般要求 4.1汽车数据安全管理体系要求 4.1.1汽车数据处理者应建立汽车数据安全管理体系，落实汽车数据安全管理制度。 4.1.2汽车数据处理者应采取汽车数据安全保护技术措施，保证数据持续处于有效保护和合法利用的 状态。 4.1.3汽车数据处理