《信息安全技术 汽车数据处理安全要求》规定了汽车数据处理者对汽车数据进行收集、传输等处理活动的通用安全要求、车外数据安全要求、座舱数据安全要求和管理安全要求。

具体而言：

(1)关于通用安全要求，标准规定了汽车数据处理者处理个人信息时的告知方式、告知内容、保存期限、保存地点，并要求汽车数据处理者向用户提供方便管理其个人信息的功能。同时，规定明确了处理敏感个人信息时的特殊要求，包括处理目的限制、同意期限范围、删除时限要求和获得单独同意的形式。收集生物特征识别信息的，还必须具有增强行车安全的目的和充分的必要性，并符合《信息技术安全 生物特征识别信息保护基本要求》的全部内容。此外，汽车数据处理者还需要设立具备专业知识，能及时处理投诉和举报的用户权益事务联系人，并向用户告知其联系方式。

(2)关于车外数据安全要求，标准再次强调了因保证行车安全需要，无法征得个人同意采集到车外个人信息且向车外提供的，应当匿名化处理。未完成匿名化处理前，不应向车外提供。

(3)关于座舱数据安全要求，标准明确座舱数据默认不收集原则，如需收集的，应在车内处理，不向车外传输，但语音指令、云存储、远程查看、执法或监管要求等情形除外。

(4)关于管理安全要求，标准要求汽车数据处理者设立数据安全管理负责人、建立汽车数据安全应急处置机制、及时受理并于10个工作日内完成处理汽车数据相关举报和投诉、对汽车数据处理活动开展风险分析和评价、掌握供应商处理汽车数据的行为并进行约束和监督。

汽车数据处理相关法律文件的频繁出台，进一步提高了车企(尤其是智能网联领域车企)的合规标准，我们建议相关企业自查是否存在合规风险，从而保证汽车数据处理的合规性。

来源：全国信安标委