随着智能网联汽车的快速发展，车辆在运行过程中产生的数据量呈指数级增长，涉及个人隐私、地理位置、车辆状态等敏感信息。与此同时，数据泄露、滥用和跨境流动风险日益突出，引发监管机构和社会公众的高度关注。全国信息安全标准化技术委员会于2022年10月12日发布了GB/T 41871-2022《信息安全技术 汽车数据处理安全要求》（以下简称“GB/T 41871标准”），并于2023年5月1日起实施。GB/T 41871重点针对智能网联汽车数据全生命周期（包括采集、存储、传输、使用、共享及跨境流动）的安全管理要求，特别强调敏感数据保护、最小必要原则和合规处理，旨在保护车辆和乘客的隐私，进一步保护消费者的权益。

图1 标准框架

一、标准范围

标准规定了汽车数据处理者对汽车数据进行收集、传输等处理活动的通用安全要求、车外数据安全要求、座舱数据安全要求和管理安全要求。标准适用于汽车数据处理者开展汽车数据处理活动，适用于汽车的设计、生产、销售、使用和运维，也适用于主管监管部门和第三方评估机构等对汽车数据处理活动进行监督、管理和评估。不适用于警车、消防车、救护车以及工程救险车等执行紧急任务时的汽车数据处理活动，不适用于装置有专用设备或器具的作业车辆在封闭场所内从事作业活动时的汽车数据处理活动，不适用于测试车辆在封闭场地开展科研以及定型试验等活动时的汽车数据处理活动。

二、标准内容

1.通用安全要求

GB/T 41871标准对汽车数据通用安全要求引用了GB/T 35273-2020《信息安全技术 个人信息安全规范》和GB/T 40660《信息安全技术 生物特征识别信息保护基本要求》的内容，并在此基础上提出了个人信息告知规范的要求、敏感个人信息处理要求、个人信息运营者要求和重要数据要求。

表1 处理个人信息要求

2.车外数据安全要求因保证行车安全需要，无法征得个人同意采集到车外个人信息且向车外提供的，应当匿名化处理，在处理时，未完成匿名化处理前，不应向车外提供。（匿名化方式：完全删除、局部轮廓化处理）

3.座舱数据安全要求通过摄像头、红外传感器、指纹传感器或传声器等部件从汽车座舱采集的可能包含个人信息的数据，以及对其进行加工后产生的数据。

4.管理安全要求GB/T 41871标准对汽车数据风险评估、汽车数据安全管理负责人、安全事件应急处置机制、投诉处理、汽车制造商对零部件供应商数据监督等问题作出具体规定，细化了《汽车数据安全管理若干规定（试行）》的相关要求。

三、影响与意义

GB/T 41871-2022为汽车行业构建了全方位的数据安全防护体系。标准实施后，将系统性指导汽车从研发设计到报废回收全生命周期的数据安全管理，重点规范了三类核心场景：车外环境数据采集的匿名化处理、座舱生物特征数据的分级保护、供应链协同中的数据流向监控。通过建立“技术防护+管理机制+责任追溯”的三维保障体系，不仅填补了行业空白，更为智能网联时代的数据合规流通提供了实施路径，对保障国家数据安全、维护消费者权益具有里程碑意义。

中汽研科技有限公司（简称“中汽研科技”）智能网联汽车研究部网联通信测试平台技术总监李奇表示，该标准构建了覆盖数据全生命周期管理的安全框架，重点要求落实"最小必要"采集原则、敏感数据匿名化处理、跨境数据安全评估三项核心要求；同时明确企业需建立专职管理团队、完善风险评估和应急响应机制；特别强调汽车制造商对供应链的数据监管责任和用户权益保障义务。未来汽车数据管理需重点关注四大方向：严格把控数据采集范围与处理规范、健全跨境数据传输合规流程、强化供应链数据安全管控、优化用户数据透明化披露机制，以全面提升企业数据安全治理水平。

中汽研科技严格遵循GB/T 41871-2022标准要求，围绕车外数据安全、座舱数据安全及管理安全三大核心领域，构建了覆盖"功能验证—合规摸底测试——整改分析"的全流程检测能力体系，为行业提供专业、规范的汽车数据安全检测服务。未来，中汽研科技将持续深化检测技术研究，重点突破智能网联汽车数据安全前沿检测技术，通过技术创新和服务升级，助力企业高效满足合规要求，为汽车数据安全保驾护航。