（目次前言 II引言 III范圍 1規性用1術和1縮2權的類使場景 2限分與2用3基原則 4車應權申使、數管要求 4限4知4限4限5本5據5據5車系權管要求 5全5詢5統5權申使最必評估法 6限請估6知意估7限予估8限用估9本級估10據儲估10據除估11全控估11詢銷估11系提評方法 12參考獻 13PAGEPAGE11PAGEPAGE10基于最小必要評估原則（方法）的車載應用程序使用權限評估規范范圍本文件適用于各種制式的智能網聯汽車終端及汽車終端上的應用軟件，個別條款不適用于特殊行下列文件對本文件的應用是必不可少的。凡是注日期的應用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069-2010信息安全技術術語GB/T35273-2020信息安全技術個人信息安全規范TC260-001汽車采集數據處理安全指南Xxxxxxxx智能網聯汽車車載系統開放權限的分類分級標準3.1智能網聯汽車Intelligentconnectedvehicle指3.2車載應用軟件automobileapplicationsoftware3.3車載終端automobileterminalWIFI4G/5G等方3.4汽車數據automobiledata汽車設計、生產、銷售、使用、運維等過程中的涉及個人信息數據和重要數據。3.5汽車數據所有者automobiledataowner是指通過使用智能網聯汽車產生汽車數據的使用者，以及智能網聯汽車的車主。注：本文件中簡稱“用戶”。3.6汽車數據處理者automobiledataprocessor是指開展汽車數據處理活動的組織，包括汽車制造商、車載應用軟件和第三方硬件供應商等。3.7告知同意informconsent車載應用通過彈窗或產品界面等方式提示通知個人信息主體知曉其個人信息處理活動及其有關規則，并獲個人信息主體做出自愿、明確授權的行為。3.8去標識化de-identification是指個人信息經過處理，使其在不借助額外信息的情況下無法識別特定自然人的過程。□3.9eSIM卡Embedded-SIM是指SIM卡的電子化，免去了插入實體SIM卡的過程。SIM卡數據以電子形式發放給客戶后寫入eSIM終端。下列縮略語適用于本文件APP應用軟件ApplicationSDKSoftwareDevelopmentKit權限的分類與定義智能網聯汽車車載系統開放權限按是否涉及隱私信息分為2個大類：公開權限和隱私權限，其中公開權限可以分為3個小類：一般權限、重要權限、危險權限。危險權限：指可以對車輛產生控制行為的權限，并且可以影響行車安全的權限。申請使用該權限需要用戶授權，車載系統以顯性的方式提示用戶，同時車載APP需接受資質審查（危險權限主要涉及汽車行駛狀態，開發者需要具備自動駕駛或輔助駕駛準入資質）。表1汽車權限的分類分級權限類別權限名稱公開權限一般權限車輛型號、尺寸、燃油類型、輪胎基本信息、品牌信息、駕駛位信息、車速、擋位、總里程、排量、油箱容積、溫度、光照、空氣指數等重要權限空調控制、音量控制、媒體播放控制、氛圍燈控制、話筒控制、藍牙鑰匙、電子圍欄等危險權限檔位控制、轉向控制、車燈控制、制動控制、雨刷控制、玻璃水噴涂控制、引擎蓋控制、后備箱控制、門鎖控制等隱私權限車架號、發動機號、位置信息、指紋、eSIM卡號、通訊錄、攝像頭、GPS定位等注：各類權限具體內容，見《智能網聯汽車車載系統開放權限的分類分級標準》使用場景2權限類別使用場景一般權限一般權限為默認最小無風險的只讀類型權限，不涉及敏感信息，車載系統自動授權。重要權限a）車況健康管理場景；b）車輛運動服務類場景；c）座艙管理類場景；d）K歌類場景；危險權限隱私權限車載應用在權限申請使用過程中,應遵循以下基本原則：知。g)權限申請 SDK 告知同意告知同意應遵循最小必要原則，即車載應用所提供服務涵蓋多項業務功能的，申請權限時宜按 權限授予權限授予可分為：允許、禁止、詢問，用戶可自由選擇。權限使用 版本升級數據存儲數據刪除超出存儲期限后，應對汽車數據進行刪除或匿名化處理。安全管控查詢撤銷系統提醒車載系統發現車載應用有非法處理汽車數據風險的，應當對用戶做出合理的風險提示。權限申請評估方法評估編號9.1.1評估項目7.1a）評估要求權限的申請應遵循評估要求，即只申請與業務功能相關的權限，不應過度申請權限。對于第三方SDK等外部代碼的引用，車載應用應確認其相關權限的申請同樣滿足最小化原則，限制SDK過度申請權限。如車載應用的業務場景中，不包含位置相關場景，則不應申請位置權限。預置條件被測應用處于正常運行狀態測試步驟步驟1：打開被測應用，查看其隱私政策或其他相關個人信息收集使用規則文檔中，權限申請使用的目的、方式、范圍的說明。步驟致，是否滿足收集使用要求。預期結果2求，則該項評估結果為“未見異常”，否則該項評估結果為“不符合要求”，評估結束。備注--評估編號9.1.2評估項目7.1b）評估要求車載應用宜優先采用系統自身功能，代替調用相關敏感權限。在存在替代功能實現方式的情況下，不應以提升用戶體驗為由，強迫用戶授予權限。預置條件被測應用處于正常運行狀態測試步驟步驟1：打開被測應用，查看其隱私政策或其他相關個人信息收集使用規則文檔中權限申請使用的目的、方式、范圍的說明。步驟的情況。預期結果2”“”，評估結束。備注--評估編號9.1.3評估項目7.1c）評估要求預置條件被測應用處于正常運行狀態測試步驟步驟步驟步驟3：審查應用開發者是否擁有權限對應業務場景的資質。預期結果2“”3項評估結果“未見異常”，否則該項評估結果為“不符合要求”，評估結束。備注--告知同意評估方法評估編號9.2.1評估項目7.2a）評估要求預置條件被測應用處于正常運行狀態測試步驟步驟1步驟步驟3：檢查應用運行過程中，如用戶拒絕應用某一業務功能相關的權限申請，是否影響應用其他功能的正常使用。預期結果在步驟1后，如存在捆綁方式強迫用戶一次性同意多種業務功能權限申請的行為，則該項評估結果為“不符合要求”，否則，進行步驟3。3APP常”，評估結束。備注--評估編號9.2.2評估項目7.2b）評估要求申請使用權限時車載系統應以顯性的方式提示用戶，并需用戶主動確認同意授予后才可繼續執行相應操作。預置條件被測應用處于正常運行狀態測試步驟步驟步驟顯性方式提示用戶，方式可以為彈框、通知、浮窗等。步驟3：出現提示頁面時，查看用戶是否有同意和拒絕的選擇。預期結果3未””備注--評估編號9.2.3評估項目7.2c）評估要求告知同意的時機及頻率，宜在權限使用之前或權限使用之時的適當時機告知，增進用戶對告知與所收集的權限之間關聯性的理解。預置條件被測應用處于正常運行狀態測試步驟步驟步驟之前或使用之時。預期結果2果為””備注--權限授予評估方法評估編號9.3評估項目7.3評估要求應用進行權限申請時，需提供允許、禁止、詢問等選項，用戶可根據自身情況自由選擇，應用不得強迫授權。預置條件被測應用處于正常運行狀態測試步驟步驟步驟選擇，是否存在強制授權行為。預期結果2“”備注--權限使用評估方法評估編號9.4.1評估項目7.4a）評估要求使用權限的類型、數量及頻率應遵循評估要求，不應超出業務場景的實際需要，法律法規要求的除外。預置條件被測應用處于正常運行狀態測試步驟步驟步驟足評估要求。預期結果2””備注--評估編號9.4.2評估項目7.4b）評估要求使用權限時，除目的所必需外，應消除明確身份指向性，避免精確定位到特定個人、車輛等，如指紋、車牌、聲紋等。預置條件被測應用處于正常運行狀態測試步驟步驟步驟特定個人及外部環境等。預期結果2”“”備注--版本升級評估方法評估編號9.5評估項目7.5評估要求預置條件被測應用處于正常運行狀態測試步驟步驟1：使用測試工具檢測應用運行過程中所授權的明細。步驟2：與升級前的版本權限的授權明細進行比對，若不一致，查看應用是否再次發起過權限申請。預期結果2““”備注--數據存儲評估方法評估編號9.6.1評估項目7.6a)評估要求測試步驟預期結果““”備注--評估編號9.6.2評估項目7.6b)評估要求測試步驟預期結果為“”備注--數據刪除評估方法評估編號9.7評估項目7.7評估要求超出存儲期限后，應對汽車數據進行刪除或匿名化處理。測試步驟預期結果”備注--安全管控評估方法評估編號9.8評估項目8.1評估要求車載系統需為各權限覆蓋范圍下的數據或接口提供安全防護能力，使未被授權的車載應用無法獲取對應權限覆蓋范圍下的數據，或調用相應接口。測試步驟使用測試工具檢測應用運行過程中，應用是否可以使用未被授權的權限。預期結果對于未授權的權限應用無法使用或無法調用相應接口，則該項評估結果為“未見異常”，否則該項評估結果為“不符合要求”，評估結束。備注--查詢撤銷評估方法評估編號9.9評估項目8.2評估要求車載系統具有授權明細查詢撤銷入口，且具備權限狀態更改功能。測試步驟步驟1：打開車載系統設置模塊，查看其是否具有授權明細。步驟預期結果1“”，在步驟2后，如車載系統具備可修改權