标准摘要
【适用范围】 本文件描述了车联网领域车端、车联网应用程序、车联网云端系统敏感个人信息保护能力测评的试验方法,规范了敏感个人信息在收集、存储、使用、加工、传输、提供、公开、删除等全生命周期各环节的技术要求。 本文件适用于在中国市场销售的智能网联汽车产品及其生产企业,以及从事车端设备、应用程序开发、车云通信系统建设的相关企业;可用于指导其开展敏感个人信息保护能力建设及测评工作。 【主要技术内容】 本团体标准适用于国内在售智能网联汽车产品及相关生产、研发、运维企业,围绕车端、车联网应用程序、云端系统三类主体,明确敏感个人信息全生命周期保护技术要求与测评规范。标准界定了生物识别、音视频、行踪轨迹、身份及财产信息、未成年人信息等敏感个人信息范畴,围绕收集、存储、使用、传输、删除、出境、共享、公开等环节提出管控要求:车端需落实告知同意、加密存储、车外数据本地匿名化、一键停采等能力;车联网应用严守最小必要原则,规范授权、脱敏展示、禁止违规推荐与境外直传;云端强化国密加密、权限管控、日志审计、TLS 加密通信、数据境内存储及合规出境管理。标准配套完整测评项目、计分方式与评级体系,按得分将三类主体划分为卓越、优秀、基础三级,并综合评定三星至无星四个成熟度等级,全面指导相关主体开展车联网敏感个人信息保护建设、自测与合规测评。
英文名称Evaluation specification for sensitive personal information protection capability in connected vehicles