车载终端用户权益保护测评规范.pdfVIP

车载终端用户权益保护测评规范

1范围

本文件规定了服务于个人的接入电信和互联网的车载终端用户权益保护要求，包括通过移动互联网

与车载终端通信的外部设备、车载终端操作系统、车载APP，以及云平台处理个人信息时的个人信息保

护要求、保障要求和控制能力要求车载终端个人信息保护要求、车载终端安全能力要求、车载终端APP

用户权益保护要求、车载终端应用分发平台用户权益保护要求。

本文件适用于汽车数据处理者自评估，也适用于主管部门、第三方评估机构等组织对汽车数据处理

者处理个人信息行为进行监督、管理和评估。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T35273—2020信息安全技术个人信息安全规范

GB/T38636—2020信息安全技术传输层密码协议

GB/T40856—2021车载信息交互系统信息安全技术要求及试验方法

T/TAF078.1—2023APP用户权益保护测评规范第1部分：超范围收集个人信息

T/TAF078.2—2020APP用户权益保护测评规范第2部分：定向推送

T/TAF078.3—2020APP用户权益保护测评规范第3部分：个人信息获取行为

T/TAF078.4—2023APP用户权益保护测评规范第4部分：权限索取行为

T/TAF078.5—2020APP用户权益保护测评规范第5部分：违规使用个人信息

T/TAF078.6—2023APP用户权益保护测评规范第6部分：违规收集个人信息

T/TAF078.7—2023APP用户权益保护测评规范第7部分：欺骗误导强迫行为

T/TAF078.8—2020APP用户权益保护测评规范第8部分：移动应用分发平台管理

T/TAF078.9—2023APP用户权益保护测评规范第9部分：移动应用分发平台信息展示

T/TAF078.10—2023APP用户权益保护测评规范第10部分：自启动和关联启动行为

T/TAF149—2023移动应用分发平台个人信息保护保障能力评估规范

3术语和定义

T/TAF078界定的以及下列术语和定义适用于本文件。

3.1

汽车数据motorvehicledata

汽车设计、生产、销售、使用、运维、报废等过程中涉及的个人信息和重要数据。

1

3.2

个人信息personalinformation

以电子或者其他方式记录的与已识别或者可识别的车主、驾驶人、乘车人、车外人员等有关的各种

信息，不包括匿名化处理后的信息。

3.3

敏感个人信息sensitivepersonalinformation

一旦泄露或者非法使用，可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安

全受到严重危害的个人信息，包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。

3.5

汽车数据处理motorvehicledataprocess

汽车数据的收集、存储、使用、加工、传输、提供、公开、删除等过程。

3.6

汽车数据处理者motorvehicledataprocessor

开展汽车数据处理活动的组织，包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出

行服务企业等。

3.7

车载终端in-vehicleterminal

有独立操作系统和处理器，能搭载应用程序，且能接入电信和互联网并和用户进行交互的车载设备。

4缩略语

下列缩略语适用于本文件。

API：应用程序界面(ApplicationProgramInterface)

APP：应用程序(Application)

SDK：软件开发包(SoftwareDevelopmentKit)

5总体架构

用户权益保护范围为车载终端、外部设备和云平台与车载终端的交互过程，总体架构如图1所示，

其中车载终端包括车载APP、车载应用分发平台以及车载操作系统，