部分资料来源：数据安全推进计划

汽车数据安全若干问题合规实践指南

一、车内处理原则

《规定》中明确，国家鼓励汽车数据依法合理有效利用，倡导数据处理者在开展汽车数据处理活动时坚持车内处理原则，除非确有必要，不向车外提供数据。

车内处理原则：
指基于汽车本身产生的数据，应在车内完成处理，除非确有必要，不应传输至车外设备系统或第三方。“通过网络向外传输”指通过移动通信网络、无线局域网、充电桩接口等方式将数据传输到车外。同时，为保证行车安全，已进行匿名化处理的视频、图像数据除外。

（注：是否等同于本地化处理有待行业实践观察）

（一）典型场景

①“哨兵模式”可通过车身装载的摄像头持续监控周围环境，当探测到可疑行为时， 车辆会自动根据威胁的严重程度做出反应。如果摄像头采集到的视频不是在车内处理，而 是通过APP推送等方式向车外传输，可能会威胁到车辆数据安全及车外行人的隐私安全。 ②V2X的实现依赖汽车和外界进行信息交换，在车路协同、智慧交通等应用过程中需 要落实车内处理原则。

（二）合规实践建议

汽车企业需要提高车内数据处理能力。为了实现数据安全合规，尽量在车端对数据进 行处理，通过改进算法、提升芯片性能等手段提高车端算力，为“车内处理”提供客观条件。 例如，传感器端可以将收集到的数据先进行预处理和优化，并提取出原始数据中的代表性 特征，再由车端计算平台将这些特征数据进行融合，并基于融合后的数据做识别判断以及 输出决策，这一方案能够有效缓解车端计算平台的负载；或者通过车、路、云三者的信息 交互，实现协同感知和协同计算，将云端对目标物的识别结果输出至车端，减少在车端的 识别和计算。

汽车企业需要在设计产品功能阶段以“车内处理”为原则。尽量降低向车外提供数据 的功能需求，对于属于未来技术发展趋势并涉及数据安全的功能，要提前识别和评估可能 与法规产生冲突的风险，从而实现数据安全保护和汽车技术发展的平衡。产品设计阶段制 定功能实现方案时，首先应识别数据流向，如存在向外传输的需求，应考虑是否有满足车 内处理原则的替代方案，合理设计电子电气架构及算力资源分配。

汽车企业应贯彻落实“默认不收集”原则。即在汽车场景下，除非驾驶人自主设定， 每次驾驶时默认设定为不收集状态。例如汽车企业收集座舱数据时，只有当驾驶人通过实 体按键或触摸按键等方式主动选择后才能开始收集。 汽车企业应对数据访问权限、数据存储安全等技术进行全面合规建设。例如： • 可建立数据访问权限的控制机制，进一步降低人为泄露汽车数据的风险； • 建立汽车企业制度规范，确立数据存储技术安全标准等； • 可结合自身情况，定期开展数据安全评估评测，并根据监管要求及时上报。

汽车企业需要梳理“确有必要向车外传输”的情形。汽车企业首先应遵循法律法规规 定的“车内处理”原则。根据法律法规和行业技术实践发展，在确需向车外传输数据的场 景下，梳理“确有必要向车外传输”的情形，如为保证车辆行驶安全的车辆报警信息和其 他充分必要性目的，具体可参考表1。汽车企业应根据行业技术发展实践，将不符合上述“确 有必要向车外传输”的数据做车端本地化存储、处理，如一般车内音视频数据、不影响行 车安全和道路安全的车辆信息以及车内人员生物识别信息等。

汽车企业需落实“向车外传输”信息的匿名化处理。具体措施包括对视频、图像中可 识别个人身份的人脸、车牌等信息进行擦除等，确保无法利用视频、图像数据识别个人身份， 从而确保“车内处理”原则实现保护个人信息与汽车数据安全的目标。匿名化处理的标准 可参考团体标准《汽车传输视频及图像脱敏技术要求与方法》。

| 汽车数据分类示例

二、脱敏处理原则

《规定》中明确，国家鼓励汽车数据依法合理有效利用，倡导数据处理者在开展数据处理活动时坚持脱敏处理原则，即尽可能对数据进行匿名化、去标识化处理。

根据数据处理不同阶段，数据脱敏可分为：

• 车端数据脱敏：

  在车端数据处理设备上，通过一定方法消除原始环境数据中的敏感信息，使信息主体无法被识别或关联，且处理后的信息不可复原，同时保留业务所需的数据特征。

• 车外数据脱敏：

  指上述脱敏处理行为发生在云端服务器或位于车外的物理服务器上。为贯彻“车内处理”原则，向车端以外的第三方传输的数据必须进行脱敏处理；同时，当车端内数据或个人信息达到法律或行业规定的脱敏标准时，也应进行脱敏处理。

  （注：车外数据在未完成匿名化前不应向车外提供，且过程数据应立即删除）

（一）典型场景

汽车企业适用“脱敏处理”原则的场景包括但不限于：

• 汽车数据向车外系统传输
• 汽车数据向第三方传输或共享
• 汽车数据向境外传输
• 汽车数据中包含道路车辆信息
• 汽车数据中包含敏感个人信息

（二）合规实践建议

汽车数据全生命周期的脱敏处理典型应用场景包括：