智能网联汽车数据分类分级实践指南1智能网联汽车数据分类分级实践指南版权声明本报告版权属于数据安全推进计划,并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的,应注明“来源:数据安全推进计划”。违反上述声明者,编者将追究其相关法律责任。智能网联汽车数据分类分级实践指南参编单位特别鸣谢专家吉利汽车研究院、上海融孚律师事务所、杭州比智科技有限公司、沙龙机甲科技有限公司、深圳红途科技有限公司、浙江寰福科技有限公司、深圳元戎启行科技有限公司、阿里云计算有限公司、紫光展锐(上海)科技有限公司、一汽丰田汽车有限公司、中电科拟态安全技术有限公司韩勇、李成、金庆德、许立昕、王梓旭、商哲峰、何夕、曾博、王思涵、李溳、李晓文、黄鹏程、孙权、甘铜、陈俊旭、刘颖男、李印、杨洁静、汪舒舒、温馨、敖榕蔚、王铱、孙璐菲智能网联汽车数据分类分级实践指南前言随着汽车的电动化、网联化以及智能化发展,智能网联汽车产业的发展过程中交融了车辆运行安全、数据安全等合规风险。智能网联汽车垂直行业“诞生”了诸多政策法规及各效力位阶的标准和实践标准,特别是《汽车数据安全管理若干规定(试行)》《关于加强车联网网络安全和数据安全工作的通知》等的各类国家、行业及团体类标准,明确了智能网联汽车数据应当进行分类和分级处理,对数据进行打标或建立数据目录,须区分敏感个人信息、重要数据、车外数据、座舱数据、运行数据、位置轨迹数据等数据类型;并应具备识别技术,并配置不同的安全措施。然而很多企业在落实法规政策时却遇到诸多困难。本指南正在此背景下进行编制,旨在以合规为主要导向,明确智能网联汽车数据分类分级的方法论,及对应不同等级的数据,在其不同生命周期,给出通用的安全措施,为实现智能网联汽车数据在数据全生命周期中安全治理落实提供指导性建议。智能网联汽车数据分类分级实践指南目录一、概述(一)智能网联汽车数据分类分级的意义/1(二)智能网联汽车数据面临多重安全风险/7二、智能网联汽车数据分类分级原则与方法(一)数据分类分级的原则/13(二)数据分类分级的方法/13(三)数据分类分级实践14三、智能网联汽车数据全生命周期保护要求(一)通用生命周期保护要求/21(二)高敏感级别数据的特殊保护要求/23(三)重要数据(核心级)(四级)的安全保护要求/25四、智能网联汽车数据分类分级案例(一)某头部汽车企业智能网联汽车数据分类分级/30(二)某自动驾驶解决方案提供商数据分类分级实践/32智能网联汽车数据分类分级实践指南1一概述(一)智能网联汽车数据分类分级的意义1.1智能网联汽车发展现状随着数字化程度的不断推进,汽车逐渐由原本的机械化交通工具,转变成与汽车、电子、通信等各个业态相互连通的移动终端。汽车行业正由传统硬件制造向以“新四化(汽车电动化、智能互联、汽车共享以及自动驾驶)”为特征的未来移动出行终端转变,而智能网联是汽车行业数字化的载体和加速器,将全方位推进汽车行业的数字化转型。工信部数据显示,2022年上半年,具备组合驾驶辅助功能的乘用车销量达288万辆,渗透率升至32.4%,同比增长46.2%;17个测试示范区、16个“双智”试点城市完成3500多公里道路智能化升级改造,装配路侧网联设备4000余台,智能网联汽车已成为汽车产业创新发展的重要方向。2020年2月,国家发改委等11部委联合印发《智能汽车创新发展战略》,对我国智能汽车发展的战略愿景给出了明确目标——到2025年,中国标准智能汽车的技术创新、产业生态、基础设施、法规标准、产品监管和网络安全体系基本形成;实现有条件自动驾驶的智能汽车达到规模化生产,实现高度自动驾驶的智能汽车在特定环境下市场化应用;2035年到2050年,中国标准智能汽车体系全面建成,更加完善。同年,在2020世界智能网联汽车大会开幕式上发布的《智能网联汽车技术路线图2.0》更加详尽地制定了面向2035年,以2025/2030/2035年定为三个关键结点的智能网联汽车发展目标与规划。此外,根据2020年《德勤全球汽车消费者调用报告》,76%的中国受访者赞同车联网的发展将为驾乘带来更多便利,比例远高于美国、德国、日本和韩国的消费者,车联网的到来可以有效利用驾驶的时间为司乘提供生活、娱乐、后市场等服务,全方位满足用户需求,释放巨大的商业价值。同时,人工智能、5G、自动驾驶等技术的发展及应用,为用户和企业创造了更多的应用场景和商业模式。在政策支持、技术进步、消费者意愿三方面的助推下,未来,汽车行业的智能网联化将迎来一轮高速推进。智能网联汽车产业链可以从智能车机和车联网两个方面进行归类,因而智能网联汽车产业是一个多方共建的生态体系,参与者包括整车厂、互联网公司、ICT企业、传统一级供应商和政府等。在众多参与者中,整车厂作为最终的整合方,需要把软硬件、功能及生态服务商等各方角色集中起来,完成从整车制造到长期出行服务的交付;传统一级供应商与整车厂以及人工智能和软件等领域的IT技术公司合作,推动车联网发展并加强自身的研智能网联汽车数据分类分级实践指南2发能力;ICT企业拥有领先的智能网联科技,推动汽车的智能化和网联化,让人车交互向人车关系转变,让整车实时在线连接万物。互联网企业需要持续挖掘“人、车、生活”等应用场景,并基于数据分析提升服务的主动性和精准性,打造互联网服务生态;而政府负责搭建平台,从立法、政策、标准的方面着手营造良好发展环境,大力推进新技术应用。由此,生态紧密合作才能实现多方共赢。11.2数据对智能网联汽车的意义智能网联汽车存在三大要素,即智能交互、智能驾驶和智能服务,同时覆盖十大核心能力,包括交互终端、交互即使、智能算法、自动驾驶技术、地图等环境、智能硬件、场景引擎、ID+数据中台、生态资源和用户运营。数据能力作为构建智能服务的核心底座,支撑智能网联汽车向上构建实时场景获取、用户偏好理解、服务体系构建、用户运营等核心应用场景,助力汽车制造商由“卖产品”向“卖服务”模式转变2,提升“人与车”业务模式的构建能力。用户数据、车辆数据和周围场景数据的有效分析与利用是构建“人与车”核心业务场景的原料与基石。一方面,实时场景获取可收集车辆数据、位置数据、时间数据以及周围场景数据,从而判断用户所处场景,并主动预测用户需求;另一方面,基于用户身份的识别获得基本信息,如性别、年龄、职业等,并根据用户历史偏好可判断未来行为与需求。如通过在服务场景和运营场景下匹配人、车、场的数据进行交叉分析,提供场景触发式精准服务,以提升服务价值,并持续建立互动机制,以提升用户粘性与活跃度,从而最大化释放数据之于智能网联汽车的价值。上述数据覆盖了车辆和用户的个人信息、行为模式、地理测绘数据等敏感信息,在提升服务能力的同时,带来的数据安全风险隐患同样不容小觑。近年来,我国在数据安全方面的监管逐渐从严,如何有效平衡智能网联汽车中数据价值的最大化利用和数据安全的有效性保护是值得深思的重要议题。1.3智能网联汽车数据立法和监管现状在智能网联汽车数据安全方面,我国以《网络安全法》《数据安全法》《个人信息保护法》等法律为基本原则,配套人机交互、自动驾驶、车路协同、地图测绘等多场景下的法规、规范性文件及标准化指引,细化多项安全管理要求。同时,智能网联汽车作为我国数据安全的“强监管”领域,相关行业、地方主管部门相继推动合规自查、信息报送等管理工作,逐步加强行政执法力度,督促行业安全整改。1参见德勤(Deloitte)、同济大学AMMI人车关系实验室:《如何打造面向未来的智能网联汽车》,载德勤中国网站2同前注1智能网联汽车数据分类分级实践指南31.3.1智能网联汽车数据安全政策法规制度持续完善♦政策规划层面2018年12月,工信部印发《车联网(智能网联汽车)产业发展行动计划》,表示将充分发挥政策引领作用,分阶段实现车联网(智能网联汽车)产业高质量发展的目标,并提出了包括加强组织领导、加大政策支持力度、构建产业生态体系、优化产业发展环境、健全人才培养体系和推进国际及港澳台交流合作在内的六项重点保障措施。2020年2月24日,发改委、工信部、科技部等11部委联合发布《智能汽车创新发展战略》,指出发展智能汽车对我国的重要战略意义,要求构建技术创新、产业生态、基础设施等配套体系,完善扶持政策,鼓励智能网联汽车发展。♦法律法规/规范性文件层面近些年,我国《网络安全法》《数据安全法》《个人信息保护法》等法律相继颁布,建立了较为完善的数据安全法律体系,确定了数据安全管理要求,和严格的法律责任。同时,各行业主管部门也下发多个针对汽车数据安全管理的法规、规定,不断申明数据安全保护原则,减少对汽车数据的无序收集和违规滥用,以充分保护个人信息安全和合法权益,加强重要数据存储监管,从而使得智能网联汽车数据安全得到有力保障。2021年10月1日,国家网信办、工信部等五部委联合发布的《汽车数据安全管理若干规定(试行)》正式施行,作为行业垂直监管的典型,该《规定》聚焦汽车领域个人信息和重要数据的安全风险,从汽车重要数据定义、收集原则、定期报送制度等方面,配套落实《数据安全法》等上位法律原则在汽车数据领域的具体规范。同时,该《规定》强调了国家加强智能网联汽车网络平台的建设,开展智能网联汽车运行和安全保证服务等,并协同汽车数据处理者加强智能网联汽车网络和数据安全防护。32021年8月12日,工信部发布《关于加强智能网联汽车生产企业及产品准入管理的意见》,强调了对智能网联汽车生产企业的网络安全和数据安全要求,加强数据和网络安全管理、规范软件在线升级、加强产品管理,并明确实施数据分类分级管理、制定重要数据目录、数据境内存储等规定。同时,针对配备自动驾驶功能的智能网联汽车,提出应建立事件数据记录系统,记录车辆及系统基本信息、车辆状态及动态信息、自动驾驶系统运行信息、行车环境信息、驾乘人员操作及状态信息、故障信息等。此外,《关于促进智能网联汽车发展维护测绘地理信息安全的通知》《公路水路关键信息基础设施安全保护管理办法(征求意见稿)》《智能网联汽车道路测试与示范应用管理规范(试行)》《车联网(智能网联汽车)直连通信使用5905-5925MHz频段管理规定(暂行)》等部门规范性文件也从地理信息、CII安全、道路测试、网络安全等多个维度,提出具体管理要求。3《汽车数据安全管理若干规定(试行)》,第十六条智能网联汽车数据分类分级实践指南4♦标准性文件层面在标准指引性文件方面,多项国家标准、行业标准及技术指南共同形成对法律法规的落地支撑。2017年12月,工信部和国家标准化管理委员会联合发布《国家车联网产业标准体系建设指南(智能网联汽车)》,提出建设能够支撑高级别自动驾驶的智能网联汽车标准体系的目标。2022年3月,工信部印发《车联网网络安全和数据安全标准体系建设指南》,指出要在2025年前,在基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等方向,形成较为完善的车联网网络安全和数据安全标准体系。推荐性国家标准GB/T41871-2022《信息安全技术汽车数据处理安全要求》、行业标准YD/T3751-2020《车联网信息服务数据安全技术要求》、以及全国信息安全标准化技术委员会(TC260)发布的技术文件《汽车采集数据处理安全指南》规定了汽车采集、使用、存储和出境等处理活动的安全要求,网联汽车相关的通用技术规范、车外数据、座舱数据、车联网信息服务等多方面均应参照适用。行业标准YD/T3746-2020《车联网信息服务用户个人信息保护要求》将智能网联汽车用户个人信息进行分类分级整理,对相关汽车厂商、零部件供应商、软件供应商等运营者的个人信息保护工作提出参考细则。同时,随着GB39732-2020《汽车事件数据记录系统》、GB/T40429-2021《汽车驾驶自动化分级》、GB/T38628-2020《信息安全技术汽车电子系统网络安全指南》、《智能网联汽车数据安全评估指南(征求意见稿)》、YD/T3750-2020《车联网无线通信安全技术指南》等一系列标准性文件的制定和推广,我国针对智能网联汽车的各工况场景下的数据安全标准进一步完善。♦地方法规/规范性文件层面深圳、上海等地陆续出台了关于智能网联汽车的管理条例或办法,对可以由自动驾驶系统替代人的操作在道路上安全行驶的汽车进行了地域性管理规定。4同时,北京、上海、江苏、重庆、浙江等地相继出台了关于智能网联汽车自动驾驶道路测试的地方规定,并陆续发放了道路测试牌照。1.3.2行业主管部门强化智能网联汽车数据安全监管近些年,智能网联汽车的主要监管机构(国家网信办、工信部、公安部)开展了多项监管活动,主要围绕规范信息定期报送、组织数据安全自查、推动行业应用试点、加强合规执法力度等方面,立足自身职责,切实推进行业数据安全监管,提升行业企业数据安全意识。4参见《深圳经济特区智能网联汽车管理条例》《上海市智能网联汽车测试与应用管理办法》《上海市智能网联汽车测试与示范实施办法》《上海市智能网联汽车示范运营实施细则(试行)》(征求意见稿)智能网联汽车数据分类分级实践指南5♦数据安全自查报送常态化要求2021年9月,工信部发布《关于开展汽车数据安全、网络安全等自查工作的通知》及“自查表”,要求各汽车生产企业开展自我核查,如实填写并报送企业数据安全和网络安全情况、汽车数据处理情况、数据安全管理情况、汽车网络安全情况、在线升级情况、驾驶辅助功能情况等信息。2021年12月起,为落实《汽车数据安全管理若干规定(试行)》关于汽车数据处理者数据安全管理情况报送的规定,北京、上海、江苏、天津等地网信办开展了汽车数据安全管理情况常态化报送活动。如江苏省网信办要求汽车企业报告年度数据基本情况、境外数据接收方情况、数据资产规模、处理个人信息的必要性、数据安全事件处置情况等等多项内容,对企业数据安全管理能力提出了较高要求。5♦推动产品安全管理试点工作2022年4月,工信部发布《关于开展汽车软件在线升级备案的通知》,强化对汽车OTA管理,要求企业实施OTA升级活动,应确保符合法律要求,保障汽车产品生产一致性,并依次完成企业管理能力备案、车型及功能备案和具体升级活动备案;在OTA升级执行前,履行向车辆用户告知义务;支持实施升级追溯管理。2022年8月,自然资源部发布《关于做好智能网联汽车高精度地图应用试点有关工作的通知》,选择北京、上海、广州等六个城市开展高精度地图应用试点。2022年11月2日,工信部会同公安部组织起草了《关于开展智能网联汽车准入和上路通行试点工作的通知(征求意见稿)》,表示将遴选符合条件的道路机动车辆生产企业和具备量产条件的搭载自动驾驶功能的智能网联汽车产品,在特定公共道路区域内开展准入通行试点。♦加强汽车领域执法力度在网络安全与个人信息保护领域,工信部、市监总局、公安部等对汽车企业违反网络安全、违法违规收集个人信息等行为作出行政处罚决定,或对违法产品进行整改通报。此外,2022年3月,市监总局、工信部等五部委联合发布《关于试行汽车安全沙盒监管制度的通告》,创新性引入在后市场阶段针对车辆应用的前沿技术进行深度安全测试的机制,更有利于消费者权益保障、企业技术创新和政府主动监管。5参见江苏省互联网信息办公室《关于报送2021年江苏省汽车数据安全管理情况的通知》,载江苏网信网智能网联汽车数据分类分级实践指南61.4中、美、欧三大地区关于车联网数据保护法律的差异1.4.1我国以政策为引导落实安全监管,各环节车联网安全责任体系初步形成近年来我国不断强化车联网网络安全管理,从车联网发展战略、行动计划等宏观指导性政策提出网络安全监管,到《车联网(智能网联汽车)网络安全管理工作的通知(征求意见稿)》、《工业互联网创新发展行动计划(2021-2023年)》等政策,对车联网全生命周期从技术安全防护、平台安全、数据安全等多维度提出网络安全要求,车联网各环节安全责任体系初步形成,积极推动车联网相关安全测试评估体系的建立,取得初步进展。1.4.2欧盟以数据分类安全管理为手段,通过行业协同强化车联网产业安全能力欧盟明确车联网网络安全与数据安全基线,推动车联网产业发展。一是对车联网数据分类进行针对性保护。欧盟《车联网个人数据保护指南》将车联网个人数据根据其敏感性分类,提出数据最小化原则,确保厂商及数据使用者只收集与处理相关且必要的个人数据,保证数据的安全性和保密性。二是强化汽车行业协同,助力车联网安全产业发展。以德国为代表的欧洲汽车行业组织和龙头企业,通过共建车企供应链网络安全评估交换机制,强化对汽车供应链网络安全管控和协同管理,推动车联网产业安全发展。1.4.3美以车辆安全审查评估为主线,持续收紧监管力度保障车联网供应链安全美国在车联网领域全球领先,将车联网视为工业强国产业竞争的高地。在车联网高速发展的同时,网络安全重要性逐步凸显,2017年,美国众议院提出《自动驾驶法案》(SelfDriveAct),旨在强化车联网网络安全监管。一方面,法案的提出推动构建严谨的标准体系,重点明确自动驾驶汽车软硬件产品设备网络安全要求,并定期进行安全评估审查和更新。另一方面,聚焦车联网供应链网络安全评估,要求参与车联网开发供应商提交安全评估证明,保障车联网产品、数据、功能方面的网络安全性。同时,加大对引进或进口车联网产品、系统限制,保障车联网供应链的安全性。美国车联网安全管理重点在于明确车联网企业网络安全责任,从风险管理与安全评估角度持续发力,加强供应链安全监管推动车链。智能网联汽车数据分类分级实践指南7(二)智能网联汽车数据面临多重安全风险如前所述,智能网联汽车是指通过网络与远程信息服务平台连接并进行数据交换的汽车,这是新一代网络通信技术和汽车大型终端深度融合的产品形态,实现了车与车、路、人、云端等智能信息交换、共享,以“安全、高效、舒适、节能”的行驶体验目标,进行智能化的研发。但随着汽车的电动化、网联化以及智能化发展,智能网联汽车产业的发展过程中交融了车辆运行安全、数据安全等合规风险。这些安全及合规风险贯穿于智能网联汽车投入市场之后的全生命周期之中,也体现于更多新型用户交互功能模块之中。本节旨在立足智能网联汽车领域实践,从智能网联汽车数据所涉重点数据类型风险、数据出境风险、数据生命周期等视角,对可能涉及的合规风险进行评估。2.1智能网联汽车所涉重点数据类型的合规风险我国《数据安全法》规定,国家应建立数据分类分级保护制度,各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。智能网联汽车数据也应当进行分类和分级处理,对数据进行打标或建立数据目录,须区分敏感个人信息、重要数据、车外数据、座舱数据、运行数据、位置轨迹数据等数据类型。其中,针对重点数据类型,如敏感个人信息、重要数据、座舱数据、车外数据等数据,也应具备识别技术,并配置不同的安全措施。以下将重点阐述几个重点数据类型的合规风险。2.1.1智能网联汽车敏感个人信息我国《个人信息保护法》将敏感个人信息界定为“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”。根据这一定义,自然人的生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息均属于敏感个人信息。《汽车数据安全管理若干规定(试行)》结合汽车行业具体情况,将敏感个人信息定义为“一旦泄露或者非法使用,可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的个人信息,包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息”6。由于敏感个人信息关乎自然人的人格尊严与人身财产安全,一旦泄6《汽车数据安全管理若干规定(试行)》,第三条智能网联汽车数据分类分级实践指南8露或者非法使用,可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害,在处理上述信息的过程中,处理者须具有特定的目的和充分的必要性,应当告知处理敏感个人信息的必要性以及对个人权益的影响,并取得单独同意,遵循及时删除等规则。结合上述规定,智能网联汽车行业有严格的敏感个人信息处理规则,相关企业须识别出行业内的敏感个人信息,并严格遵循相关规定。否则,一旦发生敏感个人信息泄露或者被非法采集使用等,相关企业可能面临民事纠纷、行政处罚、社会负面舆论、以及企业品牌形象受损等风险。2.1.2智能网联汽车重要数据重要数据是指以电子方式存在的,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。7在处理重要数据时,处理者应当遵循成立数据安全管理机构、向设区的市级网信部门备案、组织开展全员数据安全教育培训、开展数据安全评估等规则。8在汽车行业,重要数据有更详细的结合行业特征的相关规定,例如军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据,车辆流量、物流等反映经济运行情况的数据,汽车充电网的运行数据,包含人脸信息、车牌信息等的车外视频、图像数据,涉及个人信息主体超过10万人的个人信息等,都属于汽车行业的重要数据。此外,汽车行业的重要数据有一系列严格的数据处理规定,包括但不限于报送风险评估报告、严格出境管理、报送年度汽车数据安全管理情况等。9结合上述规定,虽然目前法律法规并未完全明确和划定重要数据的范围,但重要数据涉及国家安全、公众利益,且智能网联汽车行业有一系列严格的重要数据处理规则,汽车企业应当根据业务发展以及有关法律法规、识别和指引,开展企业掌握数据的分类分级安全保护工作,高度重视可能涉及重要数据的处理行为,制定对应的安全保障措施。否则,一旦发生重要数据泄露或被非法使用,可能直接影响国家安全和公众利益,导致企业被处以重罚。♦案例:2021年12月,某知名汽车制造商6个月内收集43万张敏感人脸个人信息实施门店流量统计等营销处理,被上海市徐汇区市场监督管理局罚款10万元。除敏感个人信息、重要数据等重点数据类型外,结合汽车行业特征、有关规章制度及7《信息安全技术重要数据识别指南》3.2重要数据KeyData8《网络数据安全管理条例(征求意见稿)》第二十八条、第二十九条、第三十二条9前注3,第十一条、第十三条智能网联汽车数据分类分级实践指南910《汽车采集数据处理安全指南》,4b)11《信息安全技术汽车数据处理安全要求》,第5条12《远程拍照功能或涉及敏感个人数据及区域信息,比亚迪、东风日产已停用》,载21世纪财经网行业规定标准分别从座舱数据和车外数据两种场景对于智能网联汽车的数据处理情况进行具体规制。2.1.3智能网联汽车座舱数据座舱数据是指通过摄像头、红外传感器、指纹传感器、麦克风等传感器从汽车座舱采集的数据,以及对其进行加工后产生的数据。10座舱数据强调了对于车主、驾驶人、乘客知情权和控制权的保障。通过车内处理、默认不收集、明确告知、单独同意、随时终止、方便查阅以及限时删除、匿名化的模式赋予数据主体的对于自身敏感个人信息深度控制权。如果未经同意收集、使用、加工、提供、公开、未及时删除或匿名化车内自然人的个人信息,可能因违反有关规定导致企业面临民事纠纷、行政处罚、社会负面舆论、商誉受损等风险。2.1.4智能网联汽车车外数据车外数据是指通过摄像头、雷达等传感器从汽车外部环境采集的道路、建筑、地形、交通参与者等数据,以及对其进行加工后产生的数据。关于车外数据,特别是通过车载外部摄像头收集车外个人信息(如行人图像、车牌等),以及其他高度敏感数据,如位置轨迹数据等,有匿名化或删除的要求。没有及时删除位置轨迹数据的风险。车外数据中包含大量位置轨迹数据。根据《汽车采集数据处理安全指南》中规定的存储要求,除了为优化行驶安全功能而存储的特定场景数据,每车每天不超过3个连续时间的数据片段,每个片段不超过2分钟以外,车外数据、位置轨迹数据在远程信息服务平台等车外位置中保存时间均不应超过14天。若未及时删除位置轨迹数据,如涉及军事国防地区的,可能因影响国家安全被行政监管机关处以重罚。没有及时匿名化处理车外数据的风险。根据《信息安全技术汽车数据处理安全要求》,汽车收集车外视频、图像数据,如需向车外提供,应在车端对数据中的人脸、车牌信息进行匿名化处理。11如果车外影像功能处理未尽合理评估,没有及时被匿名化处理,则有不符合法律法规要求导致产品下线、引起民事纠纷、行政机关处罚的风险。♦案例:根据21世纪财经报道,2022年3月,某知名汽车制造商可远程查看车外摄像头影像的“千里眼”功能因不符合汽车数据法规要求的相关规定被下线。12智能网联汽车数据分类分级实践指南102.2智能网联汽车数据出境的主要安全风险国家互联网应急中心(CNCERT)联合智联出行研究院(ICMA)对15类主流车型2021年8月至11月的数据出境情况分析显示,境内与境外汽车数据通联732.77万次,其中汽车数据出境262.13万次,存在汽车数据出境行为的汽车品牌占所分析品牌的73.3%。13整体来看,汽车数据出境是众多汽车品牌的普遍行为。在智能网联汽车数据大规模出境的背景下,我国也相继出台多部法律法规监管数据出境行为。结合汽车数据出境的实际场景和有关规定要求,智能网联汽车数据出境可能主要面临以下三种合规风险。2.2.1重要数据未本地化存储、未做数据出境安全评估申报的风险重要数据应存储在境内,确需向境外提供的,应当通过网信部门等有关部门组织的安全评估。向境外提供也不得超过出境安全评估确定的目的、范围、方式和数据种类规模等,网信部门会以抽查方式进行核验。14没有遵守关于重要数据需要进行本地化存储,以及数据出境需要进行安全评估的规定的,可能有影响国家安全、公众利益的风险。2.2.2境外车联网服务商跨境服务的安全隐患风险在合资汽车、境外进口汽车的情况下,其车联网服务可能由境外企业及其子公司提供,需将车主身份信息、使用习惯、车辆状态及行驶路径等用户信息传往境外。特别地,当通信数据及车联网数据传往境外时,可能会有泄露国家地理位置信息,危害国家安全,以及侵害车主隐私的风险。2.2.3境内外云平台数据共享的安全风险当合资企业车联网服务以境内云平台为主,且其外资公司通常负责全球车联网运营的时候,境内平台与境外平台是否互联,是否存在数据传输共享,是国家数据管理需要关注的重点内容。即使合资企业以境内云平台运营为主,如果与境内平台互联、进行数据传输共享,可能会泄露车主个人信息、国家地理位置信息,危害国家安全、公众利益和个人权益。2.3智能网联汽车数据全生命周期合规风险根据《汽车数据安全管理若干规定(试行)》规定,汽车数据处理活动,包括汽车数据的采集、存储、使用加工、传输提供、公开等环节。13参见国家互联网应急中心(CNCERT)、智联出行研究院(ICMA):《汽车数据出境态势分析报告(第二期)》14《汽车数据安全管理若干规定(试行)》,第十一条、第十二条智能网联汽车数据分类分级实践指南1115参见上海宝骅汽车销售服务有限公司行政处罚信息(沪市监松处〔2022〕272021005286号),载国家企业信用信息公示系统16参见《上海市徐汇区市场监督管理局行政处罚决定书》(沪市监徐处〔2021〕042021000759号)17参见《30万客户信息被泄露,知名车企道歉》,载腾讯新闻网18参见《再上热搜特斯拉车内摄像头画面曝光》,载腾讯新闻网19参见《车车互联”功能被质疑泄露用户隐私高合汽车回应》,载中国新闻网20《特斯拉风波不断,自动驾驶跌落神坛》,载易车网2.3.1汽车数据采集环节未经用户同意采集用户个人信息/敏感个人信息的,有被行政处罚、陷入社会负面舆论、及企业品牌形象受损等风险。♦案例一:2022年10月11日,某汽车销售公司因未经消费者同意,收集、使用消费者个人信息,被上海市松江区市场监督管理局罚款5万元。15案例二:2021年11月26日,某致命汽车制造商因未经消费者同意,也无明示告知消费者收集、使用目的,在2021年1月至6月期间收集消费者43万余张人脸照片,被上海市徐汇区市场监督管理局罚款10万元。162.3.2汽车数据存储环节因数据安全管理措施不足、黑客攻击导致用户数据泄露的,有被行政处罚风险、陷入社会负面舆论、以及企业品牌形象受损等风险。♦案例一:根据澎湃新闻报道,2022年10月,某日本知名汽车集团因数据安全管理不善,导致其T-Connect服务中有296019条客户个人信息疑似被泄露,泄露的内容包含了客户电子邮件地址和客户号码。17♦案例二:根据腾讯新闻报道,2021年4月,某款知名电动汽车车内摄像头因遭到黑客入侵,导致驾驶员和乘客人脸数据被泄露。182.3.3汽车数据使用加工等环节未经用户同意使用、加工、提供、公开用户的个人信息,涉嫌侵犯用户隐私权利、个人信息主体权利的,有被行政处罚、陷入民事纠纷、陷入社会负面舆论、及企业品牌形象受损等风险;若涉及处理重要数据,则有威胁国家安全被巨额行政处罚的风险。♦案例一:根据中国新闻网报道,2022年5月,用户在社交媒体曝光,其通过使用某智能纯电品牌汽车的“车车互联”功能,能看到多位同品牌汽车用户的行车记录仪实时画面,涉嫌未经用户同意使用用户的隐私信息,也存在泄露国家相关机密的可能。19♦案例二:根据易车报道,2021年4月,某知名电动汽车公司未经用户同意,通过车内摄像头拍摄车内外数据信息,并监控车主使用FSDbeta功能的情况,该行为涉嫌侵犯用户隐私权利、个人信息权利。20智能网联汽车数据分类分级实践指南122.3.4汽车用户主体权利保护企业未向用户清晰提供数据处理规则、数据主体权利不明的,有陷入社会负面舆论的风险,以及企业品牌形象受损的风险。♦案例一:根据央视网报道,2021年4月,某知名新能源品牌汽车车主张女士因汽车刹车失灵向企业维权,该汽车企业拒绝“无条件提供”车辆发生事故前半小时完整行车数据。郑州市郑东新区市场监督管理局责成该品牌销售服务公司立即无条件向张女士提供该车事故发生前半小时的完整行车数据。2121《特斯拉车主维权事件后续调解人员的一句话让车主及其丈夫产生警惕》,载央视网智能网联汽车数据分类分级实践指南13二智能网联汽车数据分类分级原则与方法(一)数据分类分级的原则为实现智能网联汽车数据在数据全生命周期的安全治理,根据以下原则针对智能网联汽车数据进行分类分级:合规合法:智能网联汽车数据分类分级应遵循有关法律、法规和标准的要求,对数据进行识别及管理,并配套相应的数据安全管理办法,保证数据全生命周期的合法合规。科学合理:智能网联汽车数据分类分级应充分考虑车、路、人、云的数据特征,合理设定数据类别和级别,在确保全面覆盖的同时也要明确界限并符合客观逻辑。客观明确:数据分类分级方法应是客观且可校验的,通过数据自身的属性和定级规则即可判定相应级别,且数据定级应明确对应到数据本身,确保数据定级结果可复核。简单易用:智能网联汽车数据分类分级方法应精炼且易于理解,避免设置真实运行场景和业务实践中不存在的数据项,便于各机构或部门、企业理解和运用。(二)数据分类分级的方法智能网联汽车数据分类分级工作的重点应从数据源(车、路、云、人)的角度与产业链(智能网联汽车产业链上的公司/机构/业务部门等)联动进行数据的盘点,制定数据分类分级方法,并制定数据安全保护要求。其中数据分类维度以及数据分级指标是分类分级方法的核心。基于数据来源的角度对智能网联汽车数据进行分类:为了全面梳理智能网联汽车数据类型,参考《信息安全技术网络数据分类分级要求(征求意见稿)》、YD/T3751-2020《车联网信息服务数据安全技术要求》、YD/T3746-2020《车联网信息服务用户个人信息保护要求》《北京市高级别自动驾驶测试示范区数据分类分级白皮书》,采用平行分类法对拟分类的数据进行梳理,从数据来源的视角,分成相互之间平行关系的门类,每个门类包含具备相同来源特征的一组数据类目。同时,采用等级分类法,将各门类数据分类为一类、二类、三类、四类四个层级,每个层级、又分为若干子条目,同级类目之间构成并列关系,不同层级类目之间构成从属关系,数据第四类作为分级的最细化类目,应清晰描述相关数据的内容或者应用场景。智能网联汽车数据分类分级实践指南14基于定性指标判定智能网联汽车数据的重要性等级:针对一般数据和重要数据,本指南给出了四个等级划分方式:一般数据一级(一般级)、一般数据二级(重要级)、一般数据三级(敏感级)、重要数据四级(核心级)。针对已经确定的级别的数据,企业应根据等级分别明确数据保护要求,为后续实施不同强度的数据保护手段(包含隐私合规要求)提供依据。(三)数据分类分级实践3.1数据分类方法3.1.1数据资产识别在开展智能网联汽车数据分类之前,需要为数据分类提供数据资产全景,便于确定数据分类分级方法。可以根据数据基本信息、应用/功能场景、传输方法和位置状态,对数据拥有者的数据资产进行盘点,需要形成数据资产识别清单。3.1.2数据属性分析通过数据项、格式、数据来源、域/部门四个维度针对数据基本信息进行识别。1)数据项:即信息本身。一个单独的数据项可以是单一的数据点(例如名称),也可以是相关数据的集合(一个数据主体的所有信息)。2)格式:数据项存储的状态。虽然越来越多的组织会选择在云端存储数字信息,但仍需识别实际使用的数据格式(包括照片、U盘等)。3)传输方法:传输方法是指数据项从一个位置移动到另一个位置的明确方法,无论位置和传输方式是物理的还是电子的,都会产生新的数据项。4)位置:存储数据项和进行处理的位置。根据数据量、存储周期、备份存储等维度确定几种不同“粒度”的位置。例如:可以将数据存储在HSM中,也可以存储在EMMC中,存储周期过30天后,需要删除,不能备份。3.1.3数据分类实践本文中的数据分类方法结合产业链上的实际运营情况,从“车、人、路、云”四个类别对智能网联汽车数据进行梳理,整体将数据分类架构分为一类、二类、三类三个层级,一类示例如下,整体分类分级示例在附录中展示。智能网联汽车数据分类分级实践指南151)车端:包含基本数据类、感知数据类、决策数据类、运行数据类、车控类数据类5个大类。2)用户:包含用户身份证明信息类、用户服务相关信息类、用户其他相关信息3个大类。3)路端:包含基本信息类、感知数据类、融合计算类、应用服务类、运行状态数据类、地图数据类、交通大数据类7个大类。4)云端:基本信息类、控制数据类、网络监测数据类、生活服务类、车辆服务类、应用服务类、用户服务内容信息类、用户资料信息类、车辆销售数据类10个大类。3.2数据分级方法针对数据从影响对象和影响程度两个方面,确定智能网联汽车数据的重要性级别。其中影响对象是指数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能影响的对象。数据安全风险涉及的影响对象包括国家安全、公共利益、组织权益、个人权益。影响程度是指数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能造成的影响程度。影响程度从高到低可分为特别严重危害、严重危害、一般危害。对不同影响对象进行影响程度判断时,采取的基准不同。如果影响对象是组织或个人权益,则以本单位或本人的总体利益作为判断影响程度的基准。如果影响对象是国家安全、经济运行、社会稳定或公共利益,则以国家、社会或行业领域的整体利益作为判断影响程度的基准。3.2.1影响对象分析参照《信息安全技术网络数据分级分类要求(征求意见稿)》针对影响对象层面定义如下:1)国家安全:数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能影响国家政治、国土、经济、科技、文化、社会、生态、军事、网络、人工智能、核、生物、太空、深海、极地、海外利益等领域国家利益安全。2)公共利益:数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能影响社会公众使用公共服务、公共设施、公共资源或影响公共健康安全等。3)组织/企业权益:数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能影响法人和其他组织的生产运营、声誉形象、公信力、知识产权等。智能网联汽车数据分类分级实践指南164)个人利益:数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能直接影响自然人的人身权、财产权以及其他合法权益。3.2.2影响程度分析参照《信息安全技术网络数据分级分类要求(征求意见稿)》针对影响程度层面定义如下:1)特别严重危害:可能导致组织遭到监管部门严重处罚(包括取消经营资格、长期暂停相关业务等),或者影响重要/关键业务无法正常开展的情况,造成重大经济或技术损失,严重破坏机构声誉,企业面临破产;个人信息主体可能会遭受重大的、不可消除的、可能无法克服的影响,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害。如遭受无法承担的债务、失去工作能力、导致长期的心理或生理疾病、导致死亡等。2)严重危害:直接危害公共健康和安全,如严重影响疫情防控、传染病的预防监控和治疗等;可能导致重大突发公共卫生事件,造成社会公众健康严重损害的重大传染病疫情、群体性不明原因疾病、重大食物和职业中毒等严重影响公众健康的事件;导致一个或多个地市大部分地区的社会公共资源供应较长期中断,较大范围社会成员无法使用公共设施、获取公开数据资源、接受公共服务;可能导致组织遭到监管部门处罚(包括一段时间内暂停经营资格或业务等),或者影响部分业务无法正常开展的情况,造成较大经济或技术损失,破坏机构声誉;个人信息主体可能遭受较大影响,个人信息主体克服难度高,消除影响代价较大。如遭受诈骗、资金被盗用、被银行列入黑名单、信用评分受损、名誉受损、造成歧视、被解雇、被法院传唤、健康状况恶化等。3)一般危害对国土、经济、科技、文化、社会、生态、军事、网络、人工智能、核、生物、太空、深海、极地、海外利益等任一领域国家安全造成直接威胁;对公共利益产生一般危害,影响小范围社会成员使用公共设施、获取公开数据资源、接受公共服务等;可能导致个别诉讼事件,或在某一时间造成部分业务中断,使组织的经济利益、声誉、技术等轻微受损;智能网联汽车数据分类分级实践指南17个人信息主体可能会遭受困扰,但尚可以克服。如付出额外成本、无法使用应提供的服务、造成误解、产生害怕和紧张的情绪、导致较小的生理疾病等。3.2.3数据分级实践根据上述内容,通过判断数据一旦被泄露、篡改、破坏或者非法获取、非法利用、非法共享,对国家安全、公共利益、组织、个体合法权益的影响程度,将数据等级分为如下4个级别:1)一般数据一级(一般级):是指在车联网信息服务过程中,数据在被泄露、篡改、破坏或者非法获取、非法利用、非法共享后,对个人权益、组织权益公共利益造成一般危害的数据;2)一般数据二级(重要级):是指在车联网信息服务过程中,数据在被泄露、篡改、破坏或者非法获取、非法利用、非法共享后,对个人权益、组织权益公共利益造成严重危害的数据;3)一般数据三级(敏感级):是指在车联网信息服务过程中,数据在被泄露、篡改、破坏或者非法获取、非法利用、非法共享后,对个人权益、组织权益造成特别严重危害、对公益利益造成一般危害的数据;4)重要数据四级(核心级):是指在车联网信息服务过程中,数据在被泄露、篡改、破坏或者非法获取、非法利用、非法共享后,对公共利益造成严重危害、对国家安全造成一般危害的数据;注:1.本次指南不会对重要数据进行进一步的层级划分,暂定参考级为四级。数据分级方法如表1所示:表1数据分级方法影响对象/影响等级特别严重危害严重危害一般危害国家安全----重要数据公共利益--重要数据一般数据(1级)组织权益一般数据(3级)一般数据(2级)一般数据(1级)个人权益一般数据(3级)一般数据(2级)一般数据(1级)智能网联汽车数据分类分级实践指南183.3数据分类分级优化明确定义智能网联汽车数据分类分级框架和方法后,企业在落地执行数据分类分级保护机制过程中,需要依赖于已有或新建的数据平台承载数据分类分级方法的落地。以下对平台建设中分类分级流程和技术功能进行建议说明。3.3.1分类分级流程图具体流程中,需要考虑包含数据资产盘点、敏感数据规则配置、敏感数据识别和敏感数据处理在内的4个步骤,实现平台用户可基于业务需求和上述数据分类分级方法灵活配置并有效管理智能网联汽车相关的分类分级规则,并对已有涉及合规相关的敏感数据资产进行有效的识别和保护处理。(见图1)3.3.2建立数据分类分级平台为有效承载数据分类分级方法落地,支撑平台用户灵活配置、高效管理、有效识别并保护敏感数据资产,满足合规需求。以下分别对数据资产盘点、敏感数据规则配置、敏感数据识别、敏感数据处理4个方面,提出平台建设建议:图1数据分类分级流程图来源:数据安全推进计划智能网联汽车数据分类分级实践指南19(1)数据资产盘点通过平台自动扫描发现数据资产,同时对数据资产进行梳理和盘点,最终形成一套完整的数据资产清单,为企业数据资产管理和数据安全体系建设打好基础。数据资产和元数据关联,盘点过程中平台应有效管理和维护数据资产相关元数据。(2)敏感数据规则配置根据已有的数据分类分级方法,用户可自定义新建敏感数据分级分类以及敏感数据识别规则,用于识别现有系统中的敏感字段。帮助用户可以快速标识数据库内敏感数据,为其后期保护该类数据奠定了基础,可更好地保护企业的重要数据信息,降低泄露风险。在分类和分级规则配置过程中,用户可以通过低代码的方式自定义级别和类别的定义与描述,形成一整套标准的数据分类分级规则,便于后续识别任务的引用。对于级别配置来说,建议考虑平台功能应与国家相关规定进行匹配,同时支持用户基于业务需求自定义创建级别规则。对于类别配置来说,建议考虑平台中既支持内置通用基础的标准分类模版,也支持不同行业的分类模版,方便用户直接引用。同时,平台也应支持用户自定义分类规则。另外,数据的分类分级建议与用户权限进行联动管控,完成对平台用户的访问权限控制,为后续敏感数据保护提供基础。实际操作中,仅授权用户可对平台中高敏感级别的数据进行CRUD操作。基于已完成配置的分类和分级规则,需要在平台中配置敏感数据的识别规则,用于后续执行敏感数据识别任务。选定需要识别的敏感数据类别和级别后,需要配置识别策略。目前业界主流策略包括:正则表达式、语种类型匹配、数据内容分析、机器学习模型训练等。(3)敏感数据识别通过已创建的识别规则进行全库或指定范围库表的敏感数据识别,帮助用户发现一个数据库内哪些表内存在对应的敏感字段,即敏感数据分布情况,并可对识别结果,即敏感字段,进行统一管理。在数据平台中,基于已创建的识别规则,对盘点后的数据配置对应的识别任务,帮助用户识别和发现当前数据库内所包含的敏感数据分布情况。平台内应支持用户对规则和识别结果进行统一的管理,并可根据业务需求对识别结果进行调整。(4)敏感数据处理对于已识别的敏感数据设置有效的安全保护策略是数据分类分级的落脚点,即分类分级管理具体如何有效衔接技术措施,从而对敏感数据进行安全保障。考虑到数据生命周期过程中存在传输、存储、使用等阶段,在不同角色的用户使用场景下,均需保障敏感数据的安全性。建议平台使用脱敏、加密等方式对敏感数据进行处理。a)数据脱敏智能网联汽车数据分类分级实践指南20数据脱敏是屏蔽敏感数据,对某些敏感信息通过脱敏规则进行数据变形,实现敏感数据的可靠保护。目前业界主流的脱敏规则包括:替换、重排、加密、截断、掩码等。具体来说,数据脱敏可以分为静态数据脱敏和动态数据脱敏。•静态数据脱敏:静态数据脱敏是将数据抽取进行脱敏处理,下发给下游环节随意取用和读写。脱敏后数据与生产环境相隔离,满足业务需求的同时保障生产数据库的安全。•动态数据脱敏:在访问敏感数据的同时,实时进行脱敏处理,可以为不同角色、不同权限、不同数据类型执行不同的脱敏方案,从而确保返回的数据可用且安全。表2针对不同字段类型,给出建议的脱敏方式:b)数据加密数据加密是通过对数据进行编码来保护数据,检索原始值的唯一方法是使用解密密钥解码数据。加密的目的是为了防止信息被不应该获取、不允许获取的人得到。为保证数据存储的安全,数据平台中建议使用数据加密的方式对数据进行存储,保障存储介质上的数据始终处于加密状态,防止数据文件被物理拷贝的风险。建议平台内使用国家标准的加密方式,如SM2、SM4、AES、RSA等。表2脱敏方式示例字段类型建议脱敏方式String遮盖脱敏、哈希脱敏、顺序重排Boolean随机替换Int、Long比特移位Byte[]哈希脱敏Double数值取整Date日期取整适用所有数据类型Null脱敏智能网联汽车数据分类分级实践指南21三智能网联汽车数据全生命周期保护要求针对本指南框架中的各级数据对应的全生命周期保护均适用的通用保护要求如下。(一)通用生命周期保护要求1.1数据收集安全1)明确数据收集过程中个人信息和重要数据的知悉范围和安全管控措施,确保收集数据的合规性、完整性和真实性;2)收集的企业客户数据应与公司提供的产品或服务直接相关,并与合同协议条款、隐私政策中约定收集的内容保持一致,不应超范围收集数据;3)通过系统批量收集数据时,应采用摘要、消息认证码、数字签名等密码技术确保收集过程数据的完整性;4)应对数据收集过程进行日志记录,并采取技术措施确保信息来源的可追溯性。1.2数据传输安全1)涉及数据传输的相关人员应记录时间、传输数据、数据接收方等相关信息,以作为数据传输记录备案;2)技术手段上应对传输过程的通信双方进行身份认证,确保数据传输双方是可信任的;采用安全、可靠的加密协议,对通信信道进行安全加密;采用密码技术或非密码技术等方式,确保数据的完整性;选用安全的密码算法,确保数据的安全性;3)向国家机关、行业主管和监管单位传输数据,应按照国家及行业相关管理要求进行传输。1.3数据存储安全1)应依据最小够用原则存储数据,针对不同类型的数据设定数据存储期,存储时间应为业务必需的最短时间,对于多个不同存储期数据的集合,保存期限选择最长时限为该数据集合的保存期,不应以任何形式存储非业务必需的数据,国家及行业主管部门另有规定的除外,且数据存储不应因其存储形式或存储时效的改变而降低安全保护强度;智能网联汽车数据分类分级实践指南222)相关人员应定期对数据存储过程中可能产生的影响进行风险评估,并采取相应安全防护措施;3)应对数据存储区域进行规划,并对不同区域之间的数据流动进行安全管控;4)对于高敏感级别数据,应采用密码技术、权限控制等技术措施保证数据完整性,同时应采取加密等技术措施保证数据存储的保密性;5)根据数据分类分级和数据对系统运行的影响,制定数据备份策略和恢复策略,备份策略应至少指明备份数据的放置场所、文件命名规则、介质替换频率、备份周期或频率、备份范围等;6)应定期开展灾难恢复演练,应对技术方案中关键技术应用的可行性进行验证测试,并记录和保存验证测试的结果;7)数据备份应基于多冗余策略,可采用磁带、磁盘镜像、磁盘冷备、热备、双活等技术实现,备份频度及保存期限不低于相关监管和业务使用要求。1.4数据使用、加工安全1)梳理数据提供使用的各类场景,明确各类场景的安全要求和责任部门,并建立相应的审核批准机制,对数据使用目的、内容、使用时间、技术防护措施、数据使用后的处置方式等进行审批,并留存相关记录;2)应明确原始数据在数据加工过程中的数据获取方式、访问接口、授权机制、逻辑安全、处理结果安全等内容;3)在数据加工之前应进行数据安全影响评估,并采用加密、脱敏等技术措施,保证数据加工过程的数据安全性;4)应根据数据的不同安全级别,执行数据访问控制过程中的相关安全措施,保障数据在被访问过程中的保密性和完整性,包括但不限于身份认证、多因素认证、二次授权等;5)利用自动化工具如代码、脚本、接口、算法模型、软件开发工具包等提供数据时,应通过身份认证、数据加密、反爬虫机制、攻击防护和流量监控等手段,有效防范网络监听、接口滥用等网络攻击,并定期检查和评估自动化工具安全性和可靠性。1.5数据销毁安全1)应制定数据存储介质销毁操作规程,明确数据存储介质销毁场景、销毁技术措施,以及销毁过程的安全管理要求,并对已提供或者已被使用的数据提出有针对性的数据存储介质销毁管控规程;智能网联汽车数据分类分级实践指南232)存储数据的介质如不再使用,应采用不可恢复的方式如消磁、焚烧、粉碎等对介质进行销毁处理;存储介质如需继续使用,不应只采用删除索引、删除文件系统的方式进行数据销毁,应通过多次覆写等方式安全地擦除数据,确保介质中的数据不可再被恢复或者以其他形式被利用;3)应定期对数据销毁效果进行抽样认定,通过数据恢复工具或数据发现工具进行数据的尝试恢复及检查,验证结果。(二)高敏感级别数据的特殊保护要求对于本指南分级框架中的高敏感级别,即一般数据敏感级(三级)和重要数据(核心级),需要采取的特殊保护要求枚举如下。2.1一般数据敏感级(三级)的安全保护要求本指南中“敏感级数据”以未达到10万人的敏感个人信息为典型,一旦泄露或者非法使用,可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害,包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。在处理智能网联汽车涉及的敏感个人信息时,相关单位应满足《个人信息保护法》《汽车数据安全管理若干规定(试行)》《信息安全技术汽车数据处理安全要求》等规范要求,具体罗列如下并针对各细项要求给出具体保护建议要求。2.1.1敏感个人信息的收集1)对处理敏感个人信息的合法性、必要性及正当性进行审查,重点排除非必要收集敏感个人信息的场景。原则上不应以改善服务质量、提升用户体验以及研发新产品等为目的处理敏感个人信息。【保护建议】对涉及敏感个人信息收集或使用的设备端口,车企等相关单位应建立清单,并进行合规审查,审查内容包括:敏感个人信息是否具有合法性来源、是否必须收集该信息才能实现某项重要功能、处理活动的手段是否正当。比如车内座舱数据中的人脸信息拟包含后排乘客时,需评估车内娱乐或舒适性功能与人脸信息的关联度大小,以确定是否存在收集的必要性。智能网联汽车数据分类分级实践指南24对于人脸、声纹或指纹等生物识别信息,应评估是否具有增强行车安全的目的和充分的必要性,并应满足国家标准《信息安全技术生物特征识别信息保护基本要求》(GB/T40660-2021)。2)除《个人信息保护法》第十七条第一款规定事项外,还应向用户告知处理敏感个人信息的必要性以及对个人权益的影响。【保护建议】以弹窗、用户协议等方式向用户(车主及访客)明确告知处理敏感个人信息的必要性以及对个人权益的影响,不得以用户主动点击的方式告知该等信息。3)应对每项敏感个人信息取得个人信息主体单独同意,不应一次性针对多项敏感个人信息或多种处理活动取得同意。取得单独同意时,不得将处理敏感个人信息的同意期限设置为“始终允许”或“永久”。【保护建议】相关单位应识别敏感个人信息的收集场景,关联到具体用户交互场景,制定细致的授权路径。比如,汽车数据处理者为驾驶员提供语音识别功能需要处理语音数据,可针对该功能单独设置弹窗取得驾驶员同意,也可在告知同意中针对该功能设置可勾选的单独选项取得驾驶员同意。4)对座舱数据中的敏感个人信息,应设置为默认不收集状态,包括不开启摄像头、红外感知、指纹识别等,除非驾驶员选择相应收集模式。【保护建议】相关单位可将图像或视频中包含人脸以及车牌等敏感个人信息的区域彻底擦除,或者将这些区域替代为无法关联个人信息主体且不可复原的其他图像。且,不应进行人脸比对、人脸识别、步态识别、语音识别等处理。2.1.2敏感个人信息的存储1)事前进行个人信息保护影响评估,并留存相关记录至少三年。【保护建议】个人信息保护影响评估应包括以下内容:a)个人信息的处理目的、处理方式等是否合法、正当、必要;b)对个人权益的影响及安全风险;c)所采取的保护措施是否合法、有效并与风险程度相适应。2)智能座舱、位置轨迹、车外视频和车外图像场景下的敏感个人信息,应依法在中国境内存储。智能网联汽车数据分类分级实践指南252.1.3敏感个人信息的使用、加工1)持续处理敏感个人信息的,还应满足如下告知要求:a)应通过车载显示面板图标或信号装置指示灯的闪烁或长亮等方式提示收集状态。b)持续提示收集敏感个人信息时,应根据信息类型的不同设置差异明显且清晰易懂的提示。如,可通过摄像图标闪烁或长亮提示正在收集车内视频数据,通过录音图标闪烁或长亮提示正在收集车内语音数据,通过斜向上三角图标的闪烁或长亮提示正在收集位置数据。2)建议对敏感个人信息进行匿名化或去标识化后,再进行处理;处理完成后,应立即删除过程数据。3)对车外数据中的敏感个人信息,在未完成匿名化处理前,不应向车外提供。【保护建议】相关单位可将图像或视频中包含人脸以及车牌等敏感个人信息的区域彻底擦除,或者将这些区域替代为无法关联个人信息主体且不可复原的其他图像。且,不应进行人脸比对、人脸识别、步态识别、语音识别等处理。4)对座舱数据中的敏感个人信息,应设置为默认不向外提供,除非:a)为实现语音识别功能以实时判断汽车控制指令,将语音指令数据在车外处理,并取得个人信息主体同意;b)为实现远程查看车内情况或云存储功能,向使用者提供数据,取得个人信息主体同意,并采取安全措施,但应严格控制访问权限,除使用者外的其他组织和个人不能访问;c)道路运输车辆、出租汽车和公共汽车依据相关规定向所属运输企业监控平台、公共管理平台和监管机构传输数据;d)道路交通事故发生后按执法部门要求传输数据。(三)重要数据(核心级)的安全保护要求本指南的第四级(核心级)数据是指汽车行业的重要数据,即《汽车数据安全管理若干规定(试行)》第三条规定的“一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益的数据”,包括:1)军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据;2)车辆流量、物流等反映经济运行情况的数据;智能网联汽车数据分类分级实践指南263)汽车充电网的运行数据;4)包含人脸信息、车牌信息等的车外视频、图像数据;5)涉及个人信息主体超过10万人的个人信息;6)国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。相关单位在处理该级别数据前,应充分评估处理场景的必要性,以最小必要为原则;在处理该级别信息时,应采取最严格的保护措施,减少数据安全风险。3.1重要数据的收集1)应遵循默认不收集原则,除非驾驶人自主设定,每次驾驶时默认设定为不收集状态。【保护建议】相关单位应采取技术手段,控制重要数据(核心级)收集端口的运行逻辑。例如,某些智能网联汽车为实现辅助驾驶、碰撞预警等功能必须收集车外影像信息,难以避免会记录到人脸图像信息,需在驾驶人设定前进行提示告知,并对汽车行驶中记录到的真实影像信息进行虚拟人像化处理,仅收集人物轮廓,不收集人脸信息。2)应以最小程度收集重要数据。【保护建议】在收集前,应当事先规划,主动避免收集军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据。3.2重要数据的存储1)严格限制重要数据(核心级)的存储期限,不得超期存储。【保护建议】在远程信息服务平台(TSP)等车外位置中保存时间不应超过14天。除非:a)为优化行驶安全功能而存储的特定场景数据,但每车每天不应超过3个连续时间的数据片段,每个片段不应超过2分钟。b)为实现用户远程监控车内外情况、使用云盘存储用户数据等直接服务于用户的功能,用户传输到远程信息服务平台的数据。c)由收集训练数据的专用收集车辆或在特定区域行驶的专用测试车辆收集的数据,但车辆外部应有“测试车辆”或“数据收集车辆”及所属单位的显著标识,且驾驶人员为具备授权的特定人员。智能网联汽车数据分类分级实践指南27d)新能源汽车、道路运输车辆、网络预约出租汽车依据相关行政管理要求进行存储的数据。e)用于生产经营的汽车产生的,生产经营者可控的位置轨迹数据。2)应当采取安全存储措施,实施容灾备份管理。【保护建议】相关单位应采用校验技术、密码技术等措施进行安全存储,不得直接提供存储系统的公共网络访问,并实施数据容灾备份和存储介质安全管理。涉及国家核心数据存储的,还应当实施异地容灾备份。3)在中国境内收集和产生的重要数据(核心级),原则上应在境内存储。【保护建议】在识别重要数据(核心级)的基础上,相关单位应制定重要数据(核心级)本地化存储的管理制度。对于本地存储的数据,需对数据存储硬件设备、存储网络环境进行安全检查,并做必要的物理隔离;对于存储在云端的数据,需严格审查数据云端存储相关协议,并评估云端服务提供商的数据安全保护能力。3.3重要数据的使用、加工1)应征得用户主体的单独同意,并明确使用目的、范围和期限。2)使用、加工重要数据(核心级)时,应当加强访问控制,建立登记、审批机制并留存记录。【保护建议】相关单位应控制内部对重要数据(核心级)的调用权限,每项数据的调用需经过内部审批流程,并留存所有记录。3)使用自动化决策技术处理大量个人信息时,应保障自动化决策过程的透明度和结果,并取得用户的明确同意。【保护建议】相关单位在取得用户的单独授权同意后,才可以对算法技术构建的用户画像进行自动化辅助决策,以及向用户定向推送服务或广告。此外,在该项功能运行后,应对结果进行安全评估。4)相关单位将其控制的汽车重要数据(核心级)委托第三方处理时,如进行协助开发、产品测试等,需要采取严格的合规管理。具体要求为:a)在自评估的基础上,与境外接收方协商初拟数据出境相关协议文本(标准合同)。智能网联汽车数据分类分级实践指南28应当对受托方的数据安全保护能力、资质进行核实,确保符合网信部门的相关要求。b)就委托处理的重要数据(核心级)的来源、处理目的、范围、期限、方法等签订合同,并通过定期现场检查的方式进行监督管理。c)应当委托取得相应认证资质的检测评估机构对被委托方进行安全评估。3.4重要数据的公开重要数据原则上不得公开,确需公开的,应在公开前进行安全评估。3.5重要数据的出境相关单位将在中国境内运营中收集和产生的数据传输、存储至境外,或虽存储在中国境内,但境外的机构、组织或者个人可以访问或者调用的,构成数据出境行为。根据《数据出境安全评估办法》第四条、《汽车数据安全管理若干规定(试行)》第十一条规定,涉及汽车行业重要数据出境的,应申报数据出境安全评估。依据本指南的分级方法,重要数据(核心级)即主要指汽车行业的重要数据,只能通过数据出境安全评估路径出境。安全评估的主要要求如下:1)因业务需要确需向境外提供的,应当通过国家网信部门组织的安全评估。【保护建议】相关单位首先应按《数据出境安全评估办法》提供的基础合同条款,与境外接收方订立数据出境法律文件。其次,相关单位开展数据出境风险自评估,包括重要数据(核心级)出境的合法性、正当性、必要性,出境数据对国家安全、公共利益、个人或组织可能带来的风险,境外接收方的安全保障能力、数据传输风险等。再次,相关单位应按《数据出境安全评估申报指南》的要求,向所在地省级网信部门申报出境事宜。最后,由国家网信办审查材料,并进行安全评估。若评估通过的,评估结果在两年内有效;评估不通过的,申请人可在15个工作日内向国家网信部门申请复评,复评结果为最终结果。2)重要数据(核心级)出境时,不得超出出境安全评估时明确的目的、范围、方式和数据种类、规模等。【保护建议】相关单位应通过数据出境风险自评估工作对出境数据的目的、范围、方式和数据种类、规模等予以确定,并在管理层面和技术层面严格执行,不得超出。3)根据业务需求必要性,制定可出境的重要数据(核心级)的范围,并定期更新。智能网联汽车数据分类分级实践指南294)重要数据(核心级)出境前三个月内,应开展数据出境安全自评估,根据自评估结果进行整改(如需)。自评估的要点如下:a)数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;b)出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;c)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;d)数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等;e)与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等是否充分约定了数据安全保护责任义务;f)其他可能影响数据出境安全的事项。5)在自评估的基础上,与境外接收方协商初拟数据出境相关协议文本(标准合同)。6)按照《数据出境安全评估申报指南(第一版)》要求的材料内容,向所在地省级网信部门申报数据出境安全评估,由省级网信部门进行材料完备性审查。7)省级网信部门审核通过后,转移至国家网信办进行评估;由国家网信办组织国务院有关部门、省级网信部门、专门机构等进行安全评估;根据国家网信办的要求进行补正,修订出境协议等。8)自出境安全评估结果出具之日起,结果有效期为2年,超出有效期后,或在有效期内出现以下情形之一的,应重新申报评估:a)向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的,或者延长个人信息和重要数据境外保存期限的;b)境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的。3.6重要数据的安全审计对记录重要数据(核心级)的处理情况、权限管理安排、人员操作日志等信息,至少每半年进行一次审计。智能网联汽车数据分类分级实践指南30四智能网联汽车数据分类分级案例(一)某头部汽车企业智能网联汽车数据分类分级1.1数据分类分级痛点2020年工信部发布的行业标准YD/T3751-2020《车联网信息服务数据安全技术要求》中,明确了车联网信息服务数据包括“基础属性类、车辆工况类、环境感知类、车控类、应用服务类及用户个人信息”六类数据和“敏感、重要、一般”三个敏感度等级。2021年中国汽车工程学会发布团体标准T/CSAE211-2021《智能网联汽车数据共享安全要求》,对数据种类进行扩展,范围包括车厂数据及第三方数据,数据安全等级采用GB/T37973-2019《信息安全技术大数据安全管理指南》的五级分级。国内已发布的上述数据安全及分类分级标准仍无法完全契合智能网联汽车运营实际,在智能网联汽车运行过程中,车端和路侧传感器对公共区域、车流、人流、高精地图等重要数据开展了大规模采集和传输,使海量数据在交通参与者、数据平台运营企业及第三方服务提供商之间常态化流转交互。由此可能产生的数据过度采集、不当存储、越界使用等问题给国家安全、行业利益和个人权益带来了安全隐患。1.1.1数据分类分级标识在国家安全标准《GB/T35273-2020信息安全技术个人信息安全规范》出台以后,汽车行业的《YD/T3746-2020车联网信息服务用户个人信息保护要求》以及《YD/T3751-2020车联网信息服务数据安全技术要求》,对智能网联汽车的数据分类分级已经非常清晰明了,针对智能网联数据中具有比较明显特征的数据,如个人信息,在办公场景的WE应用,业界内已经形成了比较成熟的解决方案,但转化到车端应用,如何对车端涉及的个人信息以及其它工况类、车控类、环境感知类、基础属性类数据进行自动化的标记,为已定义好密级的车联网数据打上所属的标签成为了整个行业亟待解决的难点,也是目前汽车集团的业务痛点。1.1.2数据资产梳理不清要想管好数据的安全,首要前提就是掌握企业和组织内的智能网联汽车数据资产信息,知道数据资产有什么、在哪里、有何特点、以及如何使用。目前的情况是智能网联汽车分智能网联汽车数据分类分级实践指南31类分级虽然已经有明确的行业分类标准,车企也按照行业标准梳理出了智能网联汽车数据清单,但是随着智能网联汽车业务快速发展,业务运行过程中衍生的汽车数据往往体量大、数据类型繁多、应用场景复杂。梳理智能网联汽车数据资产并非一件容易的事情,具体的智能网联汽车数据字段落在哪些数据资产上,如应用资产、数据库资产、访问的用户账号等等数据资产的识别和梳理,往往需要进行人海战术,投入大量的人力,才能将企业各个系统海量的数据梳理完毕。1.1.3数据使用流转不明数据资产只有流通起来,才能释放出数据价值,但是数据流通又会给数据隐私合规管控工作带来新的挑战。智能网联汽车数据是从何而来、经于何地、存于何处,这些散布于车、路、云、网、端的汽车数据链路信息已成为当前企业和组织极其重要的关注点,也是当前智能网联汽车数据合规管控工作的难点。智能网联汽车数据使用流向不明(车与车,车与去端等流向),对于数据的流转路径、数据流转具体字段、数据流转量级、数据流转的接口等,无从进行车内以及对外数据流转的识别和监控,无法在数据使用过程中执行有效的安全防护手段,还会增加数据安全事件事后处置难度。1.1.4数据风险监测不准智能网联汽车数据一旦发生泄露,不仅会对企业造成名誉损失,而且会面临监管机构处罚,以往的技术手段只能进行单一维度数据风险监测,存在风险误报、漏报等痛点,造成数据风险监测不准,为企业带来极大的数据安全隐患。1.1.5数据安全防护不足行业内基于智能网联汽车数据的安全防护尚未形成成熟的解决方案,企业在业务经营过程中积累了大量各种类型的车联网数据,如姓名、电话、身份证等个人隐私类数据,以及大量的车端数据。由于数据量大、类型繁多、分布广泛,企业在开展数据分类分级工作时,需要业务方、安全、咨询顾问等多方人员共同参与,人力成本高、周期长、见效慢。1.1.6审计溯源能力不足在智能网联汽车数据使用和流转过程中,会涉及车、路、云、网、端等各种各样的账号、应用、数据库和数据等重要对象,传统技术难以对智能网联汽车数据重要对象进行关联审计。即使通过业务系统改造或者使用其他安全产品,也只能获取一部分对象的日志信息,无法针对各个关注的对象进行链路级关联审计,使得开展审计溯源工作时面临要素不全或者耗时过久的痛点。智能网联汽车数据分类分级实践指南321.2智能网联汽车数据分类分级解决思路对外参与智能网联汽车数据分类分级国家标准/行业标准/团体标准的制定,从标准顶层汇集行业的经验,输出汽车集团的数据分类分级管理规范,并基于集团级的管理规范,细化形成汽车集团智能网联汽车数据分类分级管理细则,明确智能网联汽车数据全生命周期管理的具体要求。1.2.1车联网数据高效分类分级自主研发数据识别引擎,突破传统数据识别方法局限,支持个人信息和和智能网联汽车全类型数据识别和分类分级,自动化标识,覆盖全面,智能高效。1.2.2智能追踪数据流转链路支持车、路、云、网、端等车联网环境,借助链路追踪引擎,以数据为起点,自动梳理由用户访问产生的南北向数据流转链路和由车端应用(内部及外部)调用产生的东西向数据流转链路,全面掌握企业内数据流转的全链路资产信息。1.2.3数据资产持续动态运营伴随业务过程持续动态更新数据资产,有效保障智能网联汽车数据分类分级工作的准确性和及时性。(二)某自动驾驶解决方案提供商数据分类分级实践2.1汽车自动驾驶数据分类现状某智能网联汽车中智能化等级达到L4级(高度自动驾驶(HA))的自动驾驶解决方案提供商,在自动驾驶测试及试运营过程中涉及的汽车自动驾驶数据分类见下表:智能网联汽车数据分类分级实践指南33表3自动驾驶数据分类一级分类名称二级分类名称定义示例车辆基本数据车辆标识数据能识别或关联出特定车辆的数据如车牌号、车辆识别号VIN、注册号、车辆厂商、商标、品牌、车辆产品型号等车辆属性数据车辆静态属性数据(不能识别或关联出特定车辆的数据)如车辆外廓尺寸、传动比、轴距、轮距等核心零部件标识数据影响车辆感知、决策、数据记录的核心零部件数据车载传感器、域控制器、EDR、DSSAD软硬件型号、版本号车辆鉴别数据用于验证车辆及零部件身份的信息如密码和证书等OTA数据感知数据激光雷达数据通过车载激光雷达获取到的原始数据点云数据信息毫米波雷达数据通过车载毫米波雷达获取到的原始数据点云数据或目标物信息摄像头数据通过车载摄像头获取到的原始数据。视频、图片等信息超声波雷达数据通过车载超声波雷获取到的原始数据障碍物信息(如与障碍物的相对距离)IMU数据通过车载IMU获取到的原始数据角速度和加速度等信息GNSS数据通过卫星或基准站获取到的定位数据载波,伪距(用于计算车的位置)融合后的目标【机动车及其他道路交通参与者】数据各感知模块融合后的输出数据目标物的类型、相对位置、相对速度等融合后的交通信息数据通过车载部件获取到的交通信息数据交通标志、信号灯、路况信息、限速信息等融合后的自然条件数据通过车载部件获取到的自然条件数据白天、黑夜、晴天、雨天、雪天、车外温度等融合后的道路属性数据通过车载部件获取到的道路属性数据道路类别(高速公路、城市道路、乡村路等)融合后的自车车身姿态通过车载部件获取到的车身姿态数据航向角,横摆角速度,侧倾角速度等融合后的自车位置数据通过车载部件获取到的绝对或相对位置数据绝对位置信息,相对位置信息其他感知部件采集的数据以上未能涵盖的车辆感知数据智能网联汽车数据分类分级实践指南34其他的感知融合数据以上未能涵盖的车辆感知融合数据决策数据人类驾驶员操作数据由人类驾驶员进行的驾驶控制类数据如档位信息、加速踏板开度、刹车踏板开度、转向角度等系统决策数据由车辆系统进行的驾驶决策控制类数据如系统请求的档位、横向加速度、转向角、转向力矩、纵向加速度、灯光状态、雨刮状态等运行数据整车状态数据车辆在运行工况下的状态数据如上电状态、控制模式、动力模式、充电状态、挡位、制动状态、剩余油量/电量等,如实时车速、横或纵向加速度、航向角、横摆角速度、侧倾角速度、俯仰角速度等系统及部件运行状态数据表征部件及系统运行状态的数据如安全气囊状态、GNSS运行状态、IMU运行状态、驾驶自动化系统运行状态、高精地图运行状态、OBU运行状态、摄像头运行状态、激光雷达运行状态、超声波雷达运行状态、毫米波雷达运行状态、夜视系统运行状态等(正常、异常、表示异常、无效)安全日志数据其他日志数据客户数据个人非敏感信息除个人敏感信息外的个人信息用户打车订单ID信息、时间、终端等信息用户个人身份标识数据用于标识用户身份的数据如用户年龄、性别、手机号、账号、密码等2.2数据分类分级现状痛点目前企业在业务开展过程中面临的数据分类分级主要痛点如下:1)数据分类分级原则是什么?2)如何评估定义汽车自动驾驶数据级别及规则;3)智能网联汽车自动驾驶数据分级应如何评估危害程度和重要程度?4)智能网联汽车自动驾驶数据分级评估数据遭到篡改、破坏、泄露或者非法获取、非法利用后对国家安全、公共利益、个人权益和企业权益的危害程度的方法是什么?智能网联汽车数据分类分级实践指南355)智能网联汽车自动驾驶数据分级评估汽车数据处理者为处理数据所投入的各项成本、对达成预设目标及可能带来的利益的重要程度方法是什么?2.3数据分类分级解决方案针对企业业务开展过程中碰到的实际问题以及痛点,再结合深圳地标《智能网联汽车数据安全要求(征求意见稿)》及国家日益趋于严格的合规要求,企业分别从以下几个方面开展了智能网联汽车数据分类分级实践工作:2.3.1明确数据分类分级原则结合国家监管要求以及企业实际业务场景,明确并强调了企业自动驾驶数据分类分级应遵循的原则:1)科学性:按照智能网联汽车数据的多维特征以及相互间客观存在的逻辑关联进行科学和系统化的分类分级;2)实用性:智能网联汽车数据的分类分级要确保每个类目下要有数据,不设没有意义的类目;3)扩展性:智能网联汽车数据分类分级方案在总体上应具有概括性和包容性,能够实现各种类型数据的分类,以及满足将来可能出现的数据类型。4)合法合规性:数据分类分级应遵循国家法律法规及行业主管部门有关规定;5)可执行性:数据分类分级规则应避免过于复杂以保证数据分类分级的可行性;6)时效性:数据分类分级应具有一定的有效期限,超过有效期限数据级别应按照级别变更策略及时调整;7)稳定性:分类分级要基于智能网联汽车数据最稳定的特征和属性,以保持分类分级结果稳定,并在总体上利于对同一类别或级别的数据适用相同的安全要求。8)显著性:根据数据在产生、采集、使用等方面的成果或内容上的显著特征确定智能网联汽车的分类方案(不涉及分级)。2.3.2危害程度和重要程度评估智能网联汽车自动驾驶数据分级应评估危害程度和重要程度,评估要素应至少包括影响对象和影响程度。若数据分级过程中出现多个影响对象,应按照程度的较高等级进行判定。1)评估数据遭到篡改、破坏、泄露或者非法获取、非法利用后对国家安全、公共利益、个人权益和企业权益的危害程度的方法见下表:智能网联汽车数据分类分级实践指南36表4危害程度评估表表5重要程度评估表危害评估影响对象影响程度数据一般特征严重国家安全任何影响国家的安全保卫工作、经济竞争力、科技实力、涉及国家安全的其他事项。严重公共利益严重影响社会公众接受公共服务的活动、使用公共设施的活动、涉及公共利益的其他事项。中等个人权益中等/严重影响个人敏感信息,一旦泄露或者非法使用,可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害。中等企业权益中等对企业的科研、生产秩序、经济活动、涉及企业权益的其他事项造成严重影响。轻度个人权益轻度个人非敏感信息,个人信息主体可被识别,一旦泄露或者非法使用,可能会给个人信息主体合法权益带来负面影响。轻度企业权益轻度对企业的科研、生产秩序、经济活动、涉及企业权益的其他事项造成有限影响。无影响个人权益无影响相关数据在任何场景下均无法关联或识别到个人信息主体;或个人信息主体可主动公开或经授权公开的数据。无影响企业权益无影响对企业权益不造成影响;或数据处理者可主动公开或经授权公开的数据。影响方面影响程度数据一般特征数据处理者所投入的成本极高数据处理需在软硬件、技术、人力、经济等方面投入巨大成本。对数据处理者达成预设目标的关键程度极高达成预设目标对数据的依赖程度非常高,没有数据支撑无法完成,或者数据起到决定性作用,没有可替代方案。给数据处理者可能带来的利益极高数据处理可以给数据处理者在技术进步、业务发展、社会影响、经济收入等方面带来巨大利益,显著地促进技术进步、开拓新的业务模式、提升业务规模、增加业务营收。数据处理者所投入的成本高数据处理需在软硬件、技术、人力、经济等方面投入较高成本。对数据处理者达成预设目标的关键程度高达成预设目标对数据的依赖程度较高,数据起到关键性作用,没有可替代方案或者可替代方案成本较高。2)评估汽车数据处理者为处理数据所投入的各项成本、对达成预设目标及可能带来的利益的重要程度方法见下表:智能网联汽车数据分类分级实践指南37表6数据分级表数据级别定级要素4危害程度:严重,或重要程度:极高3危害程度:中等,或重要程度:高2危害程度:轻度,或重要程度:中1危害程度:无影响,或重要程度:低2.3.3汽车自动驾驶数据级别及规则1)智能网联汽车数据分级应按照表4和表5的要求评估数据遭到篡改、破坏、泄露或者非法获取、非法利用后的危害程度和对汽车数据处理者的重要程度,形成的数据分级应符合表6的要求。若数据定级要素出现不同程度,应按照程度对应的较高数据级别进行判定。2)数据定级规则:数据定级要素主要从影响对象和影响程度两方面进行考虑,要求如下:a)智能网联汽车重要数据安全等级应不低于3级。b)同一数据由于数据量的增加会造成数据级别上升。给数据处理者可能带来的利益高数据可能给数据处理者在业务发展、技术进步、社会影响、经济收入等方面带来较大利益,有效地促进技术进步、提升业务规模、增加业务营收。数据处理者所投入的成本中数据处理需在软硬件、技术、人力、经济等方面投入一定成本。对数据处理者达成预设目标的关键程度中达成预设目标对数据处理有一定依赖,但有可替代方案。给数据处理者可能带来的利益中数据可能给数据处理者在业务发展、技术进步、社会影响、经济收入等方面带来有限利益。数据处理者所投入的成本低数据处理几乎无额外成本。对数据处理者达成预设目标的关键程度低数据对达成预设目标无影响。给数据处理者可能带来的利益低数据无法带来利益。智能网联汽车数据分类分级实践指南38附录:数据分类分级规则参考表本指南涉及汽车数据分类分级范围覆盖车联网汽车数据合规分类分级内容,此部分数据安全管理是国家监管部门关注的重点,一旦发生泄露、篡改或者其他损害,可能会对个人信息安全和国家安全造成直接安全威胁。这部分数据包含车辆数据、个人数据、道路数据、云端数据、网联数据、地图数据、以及网联服务数据。详见下表。备注:1.本指南主要是对车联网相关汽车数据合规内容重点关注,其他类型数据合规应对不在此次指南编写范围内。2.本指南分级只涉及一般级、重要级、敏感级。重要数据待今后优化。数据分类分级规则参考表智能网联汽车数据类别智能网联汽车数据范围和示例分级依据一类二类三类车基本数据车辆基本数据车牌号、车辆识别号VIN、注册号、车辆厂商、商标品牌、车辆产品型号等、车辆类型数据(车型、用途、动力类型等)、车辆配置数据(外观、长宽高、轴距、百公里续航等参数配置信息)、自动驾驶系统配置一级(一般级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》车辆重要属性数据,如车辆的车架号、发动机号、标识等数据二级(重要级)《车联网信息服务数据安全技术要求》车辆敏感属性数据,如与车辆设计相关的核心数据三级(敏感级)车联网移动终端应用软件基础属性数据车联网移动终端应用软件一级(一般级)属性数据,如移动终端应用软件的品牌、型号、操作系统类型等一级(一般级)《车联网信息服务数据安全技术要求》车联网移动终端应用软件重要属性数据,如移动终端应用软件唯一标识码等二级(重要级)车联网移动终端应用软件敏感属性数据,如移动终端应用软件的身份鉴权信息三级(敏感级)车联网服务平台基础属性数据车联网服务平台一般属性数据,如车联网服务平台主机或操作系统的品牌、型号等一级(一般级)《车联网信息服务数据安全技术要求》车联网服务平台重要属性数据,如车联网服务平台的主机及软件配置信息二级(重要级)车联网服务平台敏感属性数据,如车联网平台网络及系统运行状态信息、网络及系统运行维护日志等信息三级(敏感级)智能网联汽车数据分类分级实践指南39零部件数据零部件标识数据(发动机号、电机号、动力电池编号、Tbox编号等部件编号)、零部件属性数据(动力电池容量、发动机扭矩、排量、电动机扭矩等零部件参数)一级(一般级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》车辆保险数据车辆保险信息(机动车商业保险、强制险等保险信息)一级(一般级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》鉴别数据CA证书数据、密钥二级(重要级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》感知数据激光雷达数据点云数据信息二级(重要级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》毫米波雷达数据点云数据或目标物信息二级(重要级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》超声波雷达数据障碍物信息二级(重要级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》摄像头数据视频、图片信息三级(敏感级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》IMU数据角速度和加速度信息二级(重要级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》时空定位信息GNSS速度、时间戳、载波、伪距等二级(重要级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》经纬度信息三级(敏感级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》融合后的自车位置数据绝对位置信息三级(敏感级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》相对位置信息二级(重要级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》目标物识别数据目标物属性二级(重要级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》V2X数据车辆基本安全消息(BSM)二级(重要级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》智能网联汽车数据分类分级实践指南40车辆外部环境感知一般数据如道路情况(高速公路还是乡间道路或是人行道)路面情况(路面几何结构、是否完好、是否存在路面湿滑)、道路限速情况、信号灯分布情况、信号灯状态信息、路灯状态信息、道路拥堵情况、交通事故情况等,以及车辆行驶周边可能公交车站点,地铁站点、酒店、商厦、公共设施等公共交通、公共服务的位置信息,以及其他自然环境相关的例如车辆出行时的天气情况(是否是雨雪天气)等一级(一般级)《车联网信息服务数据安全技术要求》车辆外部环境感知重要数据如与车-车通信场景相关的临近车辆的物理位置,经纬度,更新时间、行驶速度、前进方向,变道信息等数据信息:与车-行人通信场景下的。例如临近行人的位置数据、与临近行人的距离、行人的行驶速度和运动状态、行人的行驶方向、有无发生碰撞的可能等相关的数据二级(重要级)《车联网信息服务数据安全技术要求》车辆外部环境感知敏感数据如车-车通信场景中相邻车辆一定时间段内的出行路线、位置、时间、停车信息等,或驾驶员的身体健康状况等数据三级(敏感级)《车联网信息服务数据安全技术要求》决策数据人类驾驶员操作数据人类驾驶档位信息、人类驾驶加速踏板开度、人类驾驶刹车踏板开度、人类驾驶方向盘转向角二级(重要级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》自动驾驶系统决策数据自动驾驶请求档位信息、自动驾驶请求横纵向加速度、自动驾驶请求转向角、自动驾驶请求转向力矩、自动驾驶请求灯光雨刮状态二级(重要级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》预测规划数据感知目标物轨迹预测数据、车辆路径规划数据三级(敏感级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》运行数据运行统计信息行程统计信息、功耗续航统计一级(一般级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》车辆状态数据电动车电池SOC、燃油车剩余油量、自动驾驶与人工切换信息一级(一般级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》车辆运行数据挡位信息、车速、车辆航向角、车辆侧倾角速度、横摆角速度、横纵向加速度一级(一般级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》零部件状态数据车灯喇叭状态、制动标志、雨刮状态、GNSS运行状态、IMU运行状态、TBox运行状态、OBU运行状态、其他设备运行状态一级(一般级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》智能网联汽车数据分类分级实践指南41零部件运行数据驱动电机转速、驱动电机扭矩、发动机转速、发动机扭矩、制动主缸压力、制动分泵压力、油门踏板开度、制动踏板开度、方向盘转角、方向盘转向扭矩一级(一般级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》车辆故障信息ECU故障、系统故障一级(一般级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》车辆运行工况类数据车辆运行工况类一般数据,如车内空调使用数据等车辆使用过程中的一般性动态数据一级(一般级)《车联网信息服务数据安全技术要求》车辆运行工况类重要数据,如发动机转速、发动机输出功率、节气门开度及挡位使用和变化情况等二级(重要级)《车联网信息服务数据安全技术要求》车辆运行工况类敏感数据,如基于某个或多个数据可唯一标识或识别出特定品牌车辆核心属性的动态数据三级(敏感级)《车联网信息服务数据安全技术要求》车辆静态工况类数据车辆静态工况类一般数据,如车辆一定时间内的平均行驶速度、年行驶里程等一级(一般级)《车联网信息服务数据安全技术要求》车辆静态工况类重要数据,如车辆在特定时间特定路线内的车辆停车次数或制动次数等二级(重要级)《车联网信息服务数据安全技术要求》车辆静态工况类敏感数据,如基于某个或多个数据可唯一标识或识别出特定品牌车辆核心属性的静态工况类数据三级(敏感级)《车联网信息服务数据安全技术要求》车控类数据智能决策控车类数据智能决策车控类一般数据,如倒车辅助中倒车提示声音数据一级(一般级)《车联网信息服务数据安全技术要求》智能决策车控类重要数据,如智能辅助驾驶的车道保持应用中,车辆趋于偏离行驶车道时发送的方向盘抖动,仪表盘红灯或绿灯指示等提醒指令二级(重要级)《车联网信息服务数据安全技术要求》智能决策车控类敏感数据,如智能泊车系统中的自动泊车确认指令三级(敏感级)《车联网信息服务数据安全技术要求》智能网联汽车数据分类分级实践指南42车辆远程监控类数据车辆远程监控类一般数据,如与车联网远程监控相关的一般读取类数据一级(一般级)《车联网信息服务数据安全技术要求》车辆远程监控类重要数据,如车辆远程开关门锁、远程开关空调、远程鸣笛和闪灯等远程启动或制动车辆等相关指令二级(重要级)《车联网信息服务数据安全技术要求》车辆远程监控类敏感数据,如通过车联网服务平台实现对车队规模的多辆汽车进行远程操控相关的指令包含远程故障、故障代码等信息三级(敏感级)《车联网信息服务数据安全技术要求》《汽车个人信息保护白皮书》人用户身份证明类信息驾驶员/安全员个人直接标识姓名一级(一般级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》驾驶证信息、身份证信息二级(重要级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》驾驶员/安全员生物特征安全员人脸、安全员声纹三级(敏感级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》乘客个人资料姓名一级(一般级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》手机号二级(重要级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》位置行程三级(敏感级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》乘客生物特征乘客人脸、乘客声纹、指纹三级(敏感级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》用户自然人身份和标识信息用户基本资料,姓名、证件类型及号码、年龄、性别、职业、工作单位、地址、宗教信仰、民族、国籍、电话号码等一级(一般级)《车联网信息服务用户个人信息保护要求》用户身份证明,身份证、军官证、护照、机动车驾驶证、社保卡等证件影印件二级(重要级)《车联网信息服务用户个人信息保护要求》用户生理标识,指纹、声纹、虹膜、脸谱等人脸、语音授权、声音识别、语音感知、车内录音录像、疲劳、抽烟、打电话识别等用于ADAS分享的数据元信息、人脸信息、语音录音、视频录像、位置等信息三级(敏感级)《车联网信息服务用户个人信息保护要求》《汽车个人信息保护白皮书》智能网联汽车数据分类分级实践指南43用户虚拟身份和鉴权信息普通车联网信息服务身份标识和鉴权信息,电话号码、账号、邮箱地址、用户个人数字证书以及服务涉及的密码、口令、密码保护答案、解锁图案等、账号、秘钥、头像、昵称、性别、生日、民族、国籍、家属关系、车辆基本信息、个人权限、收藏记录、播放记录三级(敏感级)《车联网信息服务用户个人信息保护要求》《汽车个人信息保护白皮书》车联网交易类信息服务身份标识和鉴权信息,各类交易账号和相应的密码、密码保护答案、解锁图案、系统或平台中登录的个人银行账号、交易验证码、动态口令、交易信息等三级(敏感级)《车联网信息服务用户个人信息保护要求》用户服务相关信息用户服务使用信息业务订购、订阅关系,业务订购信息、业务注册时间、修改、注销状况信息等一级(一般级)《车联网信息服务用户个人信息保护要求》服务记录,车联网信息服务平台、智能网联汽车及车联网智能终端中存储或缓存的直接或间接产生的用户操作记录,如信息服务中涉及的照片、音频、视频、通话记录等;浏览的新闻或购物浏览器访问的网址列表:娱乐软件记录、汽车远程操控指令记录、语音服务的系统备份信息、网页购物记录等个人支付、个人订单、会员等级、活动参与信息硬件序列号、IMEI号、设备Mac地址、软件列表、个人上网信息、视频音频、网上购物、游戏大厅等信息办公文档、视频音频会议等、办公地址访问信息个人相关大数据埋点信息、数据画像信息、大数据营销信息等车险信息、身份证信息、驾驶证信息、汽车基本信息、保险信息、投诉、事故、保养、维修、零配件、诊断码记录三级(敏感级)《车联网信息服务用户个人信息保护要求》《汽车个人信息保护白皮书》日志,反映用户操作记录的如日志信息、日志文件等三级(敏感级)《车联网信息服务用户个人信息保护要求》交易服务信息、交易信息、消费记录、流水记录、买车贷款信息、银行卡账号、支付信息、资产信息、信贷信息、交易和消费流水、虚拟货币、虚拟效益、游戏兑换码等虚拟财务信息三级(敏感级)《车联网信息服务用户个人信息保护要求》《汽车个人信息保护白皮书》用户车辆基本标识信息车辆基本资料,车辆类型、车辆品牌、车辆型号、车辆底盘型号、发动机号、燃油种类、车牌号、发动机号、车辆识别代码(VIN码)等一级(一般级)《车联网信息服务用户个人信息保护要求》用户设备、系统和平台信息设备、系统或平台信息、硬件型号、唯一设备识别码IMEI设备/系统或平台MAC地址、SIM卡IMSI信息等三级(敏感级)《车联网信息服务用户个人信息保护要求》智能网联汽车数据分类分级实践指南44用户其他相关信息用户状态检测驾驶员状态监测,诸如疲劳、抽烟、接打电话、乘客状态监测、驾驶行为习惯、应用使用习惯一级(一般级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》人机交互操作记录多媒体大屏操作记录、方控/中控操作记录一级(一般级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》路基本信息路侧编号信息摄像头、雷达、RSU、MEC等设备编号、道路编号信息一级(一般级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》路侧设备属性数据设备类型、使用性质、性能参数、设备通信模式一级(一般级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》安装位置安装位置行政区划一级(一般级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》安装位置经纬度、安装高度、角度二级(重要级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》OTA数据版本信息、升级中心信息下发、升级状态和日志二级(重要级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》感知数据摄像头视频视频图像数据三级(敏感级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》毫米波雷达数据毫米波雷达结构化数据二级(重要级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》激光雷达数据激光雷达原始点云数据二级(重要级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》雷视一体机数据感知结构化数据二级(重要级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》交通控制信号信号灯数据二级(重要级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》智能网联汽车数据分类分级实践指南45融合计算数据融合计算感知目标物数据目标物结构化数据二级(重要级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》融合计算交通流数据交通流量(自然数)、交通流量(当量数)、路口车辆平均通行时间、绿灯启亮时刻排队车辆数(自然数)、绿灯启亮时刻排队车辆数(当量数)、绿灯启亮时刻排队长度、排队长度、红灯启亮时刻未通过车辆数(自然数)、红灯启亮时刻未通过车辆数(当量数)、绿灯启亮类排队车辆数(自然数)、绿灯启亮类排队车辆数(当量数)、停车次数(感知)、车头时距、浪费时间、绿灯时间、溢流次数、溢流时间、溢流系数、定时长ROI范围车辆自然数、定时长ROI范围车辆当量数二级(重要级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》应用服务数据协同决策数据信号灯消息(SPAT)、交通事件信息以及交通标志信息(RSI)、路侧安全消息(RSM)二级(重要级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》地图消息(MAP)三级(敏感级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》信息服务充电桩状态二级(重要级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》高速电子收费三级(敏感级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》交通安全管控类数据交通安全管控类一般数据,如道路交通前方拥堵提醒、交通事故实时提醒数据等一级(一般级)《车联网信息服务数据安全技术要求》交通安全管控类重要数据,如车辆列队行驶中因前方车辆急停而采取的车辆碰撞预警数据二级(重要级)《车联网信息服务数据安全技术要求》交通安全管控类敏感数,如道路交通车辆远程监控数据三级(敏感级)《车联网信息服务数据安全技术要求》智能网联汽车数据分类分级实践指南46车辆后市场服务类数据车辆后市场服务类一般数据,与车载娱乐系统等使用、操作等信息相关的记录相关的娱乐系统使用行为数据一级(一般级)《车联网信息服务数据安全技术要求》车辆后市场服务类重要数据,如与汽车驾驶行为密切相关的车辆行为数据二级(重要级)《车联网信息服务数据安全技术要求》车辆后市场服务类敏感数据,基于车辆出行时间、路线、位置,以及信息娱乐系统使用行为数据等分析出的车主某些个人喜好、行为习惯类数据:或基于车辆自身状态和环培感知数据等分析识别出的某些车辆核心参数数据三级(敏感级)《车联网信息服务数据安全技术要求》运行状态数据系统运行状态远程访问下发、远程访问上报二级(重要级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》部件运行状态设备行为状态二级(重要级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》日志记录设备故障历史、设备异常日志、设备状态日志二级(重要级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》地图数据静态高精地图数据道路边界、道路拓扑、路口、车道中心线、车道标线、车道拓扑、停止线、人行横道、箭头、导流带、地面文字、地面符号、禁止停车区、紧急停车区、紧急避险区、交通信号灯、安全岛、自行车道、公交车站、建筑物、减速线、路牙、护栏、路口内导向线、警告区、填充区、停车场、停车位、龙门架、收费站、服务区、杆/柱子、其他道路设施、重要属性(纵坡、横坡、航向、曲率、高程、物理限制)二级(重要级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》准静态高精地图数据交通标牌、可变标志牌、限速信息一级(一般级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》准动态高精地图数据施工信息、天气信息、事故事件信息(交通事故、交通管制)、生活服务类信息一级(一般级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》动态高精地图数据实时路况(交通状态等级)、交通信号灯信息(灯色、剩余时长、信号控制方案等)、交通参与者(车辆、行人、三轮车、电瓶车等)、交通运行数据(如停车场的空闲车位数、充电桩的可用性)一级(一般级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》智能网联汽车数据分类分级实践指南47交通大数据交通流量交通流量一级(一般级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》平均行程速度平均行程速度一级(一般级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》平均行程时间平均行程时间一级(一般级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》车均延误车均延误一级(一般级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》停车次数由多个路口组成的路段,平均停车次数一级(一般级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》交通拥堵指数统计交通拥堵指数一级(一般级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》云基本信息云控平台建设基本信息平台编号、平台类别(中心云、区域云)、行政区划代码、路口路段列表、设备列表、车辆列表一级(一般级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》展示信息实时视频数据、历史视频数据、道路状态统计数据、路侧设备故障统计数据、车辆驾驶统计数据、车辆系统故障统计数据一级(一般级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》控制数据协同控制数据匝道汇入协同、绿波车速引导、网联式超级巡航二级(重要级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》信号配时方案周期、绿信比、相位差二级(重要级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》基本信息网络类别C-V2X、EUHT一级(一般级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》网络性能指标通信性能数据(丢包率、端到端时延、验签时延等)、信道忙率CBR、信道质量指示CQI一级(一般级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》智能网联汽车数据分类分级实践指南48网络监测数据网络状态监测数据网络状态监测数据一级(一般级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》流量监测数据流量监测数据一级(一般级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》网络异常和安全事件监测网络异常事件、网络安全事件监测信息一级(一般级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》生活服务日常生活服务美食、影视、酒店、外卖服务一级(一般级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》电商电商服务一级(一般级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》信息娱乐类数据信息娱乐类一般数据,如车联网信息服务的天气预报推送数据一级(一般级)《车联网信息服务数据安全技术要求》信息娱乐类重要数据,如多媒体下载、网页购物浏览记录、收听的广播等二级(重要级)《车联网信息服务数据安全技术要求》信息娱乐类敏感数据,如语音服务的通话和视频记录等手机和座舱语音、视频社交功能(聊天室、足迹、动态、评论、头像等)信息三级(敏感级)《车联网信息服务数据安全技术要求》《汽车个人信息保护白皮书》IOT手机、智能家居控制一级(一般级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》车辆服务维保预约维修保养服务(4S店地址、行政区划)一级(一般级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》预约加油加油服务(加油站地址、联系方式、油价)一级(一般级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》违章查询违章信息一级(一般级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》天气预报天气服务(行政区划、当地天气)一级(一般级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》商业保险保险服务一级(一般级)《北京市高级别自动驾驶测试示范区数据分类分级白皮书》智能网联汽车数据分类分级实践指南49应用服务数据交通安全管控类数据交通安全管控类一般数据,如道路交通前方拥堵提醒、交通事故实时提醒数据等一级(一般级)《车联网信息服务用户个人信息保护要求》交通安全管控类重要数据,如车辆列队行驶中因前方车辆急停而采取的车辆碰撞预警数据一级(一般级)《车联网信息服务用户个人信息保护要求》交通安全管控类敏感数,如道路交通车辆远程监控数据三级(敏感级)《车联网信息服务用户个人信息保护要求》用户服务内容信息驾驶及行车安全服务类信息智能辅助驾驶相关服务场景下的车辆驾驶行为、行经路线等信息;车联网在车辆防碰撞(如碰撞预警、紧急刹车预警、变道预警、车辆失控预警、异常车辆预警等)、车车编队辅助和防撞人或物等服务中相关的用户个人信息个人行程信息、个人输入目的地历史记录、个人家庭住址、个人单位住址、经纬度、收藏夹、路径规划、加油信息等信息、家庭住址、联系人姓名、电话号码、身份证号码等信息、快递到车服务、ETC支付、ETC账户信息、ETC记录三级(敏感级)《车联网信息服务用户个人信息保护要求》《汽车个人信息保护白皮书》生活服务信息车联网生活服务相关的内容信息,如个人数据文件、邮件服务、广播服务、网页浏览、购物、在线音乐和视频服务、天气预报及推送、社交服务、移动办公服务等用户个人信息三级(敏感级)《车联网信息服务用户个人信息保护要求》交通出行管理车联网在交通动态信息通知服务(如信号灯信息推送、红绿灯车速引导、闯红灯预警等信息)中相关的个人信息;车联网在浮动车交通管理(如车辆信息动态交换采集、违法信息抓拍上报、停车诱导和管理、交通流量疏导、交通应急信息发布等)服务中相关的用户个人信息三级(敏感级)《车联网信息服务用户个人信息保护要求》《汽车个人信息保护白皮书》涉车服务信息车联网在涉车服务(如UBI保险和交易、分时租赁和约车拼车、车辆检修保养救援)等相关的用户个人信息二级(重要级)《车联网信息服务用户个人信息保护要求》行业营运服务车联网在行业营运服务中相关的内容信息(如公交、处在、物流、换位、港口、景区等运营车辆管理),如与车况和位置信息、远程控制、越界和超速预警、特定区域特定路线特定行业下自动驾驶等相关的用户个人信息一级(一般级)《车联网信息服务用户个人信息保护要求》用户资料信息联系人信息通信录、好友列表等用户资料数据;车内蓝牙配对拷贝的联系人列表二级(重要级)《车联网信息服务用户个人信息保护要求》用户私有资料数据用户云存储、终端、SD卡等存储的用户文字、多媒体等资料数据信息三级(敏感级)《车联网信息服务用户个人信息保护要求》智能网联汽车数据分类分级实践指南50信息服务内容衍生信息基于定位及导航服务内容分析获取的车辆活动轨迹、精准定位信息、个人生活习惯、健康状况等资料信息三级(敏感级)《车联网信息服务用户个人信息保护要求》《汽车个人信息保护白皮书》车辆销售数据专营店专营店ID、专营店号、专营店名称、专营店简称、所属区域经销商ID、所属区域经销商编号、所属区域经销商简称、销售店面名称、销售状态、合作方式、店面级别、店面类别、省份、城市、区县、销售店地址、销售合作时间、邮编、销售热线、销售邮箱、销售传真、销售店经度、销售店纬度、父级店、总经理、总经理电话、销售撤销时间、销售车型、所属投资人名称、店面性质、统一社会信用代码、品牌一级(一般级)无参考组织与行政区划组织ID、组织编号、组织名称、组织简称、组织类别、组织性质、区域所在省份、区域所在城市、状态、撤销时间、合作时间、销售车型、所属组织ID、所属组织名称、所属组织编号、组织品牌、品牌、创建人、创建时间、修改人、修改时间、消息、主键ID、父级ID、行政区域名称、是否可用、等级、行政区域代码、备注、时间节点、返回结果、返回消息、数据信息一级(一般级)无参考中台发送客户订单(新增、修改)经销商编号、交付中心编号、订单编号、订单创建时间、订单审核时间、退单日期、退单人、客户名称、客户电话、品牌、车型编码、整车型号、款式、配置、发动机、颜色、选装、订单状态、销售顾问名称、备注、数量、车主车辆主键、客户ID、用户随机码、客户下单编号、客户大定时间、客户订单类型、操作类型、是否电子合同签收二级(重要级)无参考销售汇报是否提车、提车日期、是否开票、开票日期、销售员、售价、车主ID、车主姓名、年龄、户籍性质、单位名称、客户类型、客户类型细分、文化程度、收入、证件号码、联系地址、固定电话、手机、车辆用途、性别、工作职业、省份、城市、县区、邮编、岗位、传真、邮箱、备注、VIN、专营店ID、专营店号、专营店全称、专营店省份、专营店城市、专营店类型、发票号、三包凭证是否填写并盖章、是否贷款、贷款类型、发票图片地址、证件类型、是否置换、置换品牌、置换车型、置换颜色、置换里程、置换车VIN、是否报废车、其他手机、联系人、联系人电话、民族、爱好、产业、生日、购买意图、职业、家庭结构、微信、QQ、购买途径、驾驶技能、学历、是否为阴历生日、购车预算、制作人、销售时间、成交时间、是否属地、属地文件、属地类型、到店照片、保单照片、充电桩、充电桩安装日期、充电桩安装地点、发票代码、发票销货单位名称、发票地址、主管税务机关、主管税务机关代码、降价免责协议附件URL、是否主店、非主店名称、交车照片、与门店的距离、城市类型、是否本地客户、服务方、底盘号三级(敏感级)无参考智能网联汽车数据分类分级实践指南51