《基于最小必要評(píng)估原則（方法）的車載應(yīng)用程序使用權(quán)限評(píng)估規(guī)范》

基于最小必要評(píng)估原則（方法）的車載應(yīng)用

程序使用權(quán)限評(píng)估規(guī)范

Specificationforevaluationofusagerightsofon-boardapplicationsbasedonthe

minimumnecessaryevaluationprinciple(method)

（征求意見(jiàn)稿）

XXXX-XX-XX發(fā)布XXXX-XX-XX實(shí)施

發(fā)布

SJ/TXXXXX—XXXX

基于最小必要評(píng)估原則（方法）的車載應(yīng)用程序使用權(quán)限評(píng)估規(guī)范

1范圍

本文件規(guī)定了基于最小必要評(píng)估原則（方法）的車載應(yīng)用程序使用權(quán)限評(píng)估規(guī)范中術(shù)語(yǔ)的定義，以

及收集使用車輛權(quán)限的基本原則及要求。

本文件適用于各種制式的智能網(wǎng)聯(lián)汽車終端及汽車終端上的應(yīng)用軟件，個(gè)別條款不適用于特殊行

業(yè)、專業(yè)應(yīng)用，其他終端也可參考使用。

2規(guī)范性引用文件

下列文件對(duì)本文件的應(yīng)用是必不可少的。凡是注日期的應(yīng)用文件，僅注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T25069-2010信息安全技術(shù)術(shù)語(yǔ)

GB/T35273-2020信息安全技術(shù)個(gè)人信息安全規(guī)范

TC260-001汽車采集數(shù)據(jù)處理安全指南

Xxxxxxxx智能網(wǎng)聯(lián)汽車車載系統(tǒng)開(kāi)放權(quán)限的分類分級(jí)標(biāo)準(zhǔn)

3術(shù)語(yǔ)和定義

3.1

智能網(wǎng)聯(lián)汽車Intelligentconnectedvehicle

指車聯(lián)網(wǎng)與智能車的有機(jī)聯(lián)合，是搭載先進(jìn)的車載傳感器、控制器、執(zhí)行器等裝置，并融合現(xiàn)代通

信與網(wǎng)絡(luò)技術(shù)，實(shí)現(xiàn)車與人、路、后臺(tái)等智能信息交換共享，實(shí)現(xiàn)安全、舒適、節(jié)能、高效行駛，并最

終可替代人來(lái)操作的新一代汽車。

3.2

車載應(yīng)用軟件automobileapplicationsoftware

可安裝在智能汽車終端內(nèi)，能夠利用智能汽車終端操作系統(tǒng)提供的公開(kāi)開(kāi)發(fā)接口，實(shí)現(xiàn)某項(xiàng)或某幾

項(xiàng)特定任務(wù)的計(jì)算機(jī)軟件，包含智能汽車終端預(yù)置應(yīng)用軟件，小程序以及互聯(lián)網(wǎng)信息服務(wù)提供者提供的

可以通過(guò)網(wǎng)站、應(yīng)用商店等移動(dòng)應(yīng)用分發(fā)平臺(tái)下載、安裝、升級(jí)的應(yīng)用軟件。

3.3

車載終端automobileterminal

汽車中可以提供應(yīng)用程序開(kāi)發(fā)接口，具有安裝、運(yùn)行應(yīng)用程序等能力，能夠通過(guò)WIFI、4G/5G等方

式接入互聯(lián)網(wǎng)的汽車終端。

3.4

汽車數(shù)據(jù)automobiledata

汽車設(shè)計(jì)、生產(chǎn)、銷售、使用、運(yùn)維等過(guò)程中的涉及個(gè)人信息數(shù)據(jù)和重要數(shù)據(jù)。

1

SJ/TXXXXX—XXXX

3.5

汽車數(shù)據(jù)所有者automobiledataowner

是指通過(guò)使用智能網(wǎng)聯(lián)汽車產(chǎn)生汽車數(shù)據(jù)的使用者，以及智能網(wǎng)聯(lián)汽車的車主。

注：本文件中簡(jiǎn)稱“用戶”。

3.6

汽車數(shù)據(jù)處理者automobiledataprocessor

是指開(kāi)展汽車數(shù)據(jù)處理活動(dòng)的組織，包括汽車制造商、車載應(yīng)用軟件和第三方硬件供應(yīng)商等。

3.7

告知同意informconsent

車載應(yīng)用通過(guò)彈窗或產(chǎn)品界面等方式提示通知個(gè)人信息主體知曉其個(gè)人信息處理活動(dòng)及其有關(guān)規(guī)

則，并獲個(gè)人信息主體做出自愿、明確授權(quán)的行為。

3.8

去標(biāo)識(shí)化de-identification

是指?jìng)€(gè)人信息經(jīng)過(guò)處理，使其在不借助額外信息的情況下無(wú)法識(shí)別特定自然人的過(guò)程。

3.9

eSIM卡Embedded-SIM

是指SIM卡的電子化，免去了插入實(shí)體SIM卡的過(guò)程。SIM卡數(shù)據(jù)以電子形式發(fā)放給客戶后寫(xiě)入

eSIM終端。

4縮略語(yǔ)

下列縮略語(yǔ)適用于本文件

APP應(yīng)用軟件Application

SDK軟件工具開(kāi)發(fā)包SoftwareDevelopmentKit

5權(quán)限的分類與使用場(chǎng)景

5.1權(quán)限的分類與定義

智能網(wǎng)聯(lián)汽車車載系統(tǒng)開(kāi)放權(quán)限按是否涉及隱私信息分為2個(gè)大類：公開(kāi)權(quán)限和隱私權(quán)限，其中公

開(kāi)權(quán)限可以分為3個(gè)小類：一般權(quán)限、重要權(quán)限、危險(xiǎn)權(quán)限。

一般權(quán)限：指以讀取汽車相關(guān)數(shù)據(jù)為目的的權(quán)限，這些讀取動(dòng)作不會(huì)對(duì)車輛產(chǎn)生負(fù)面影響，且數(shù)據(jù)

內(nèi)容不涉及敏感信息。

重要權(quán)限：指可以對(duì)車輛產(chǎn)生控制行為，但對(duì)行車安全無(wú)不良影響的權(quán)限。車載應(yīng)用申請(qǐng)重要權(quán)限

使用時(shí)，需用戶授權(quán)同時(shí)車載系統(tǒng)應(yīng)以顯性的方式提示用戶。

危險(xiǎn)權(quán)限：指可以對(duì)車輛產(chǎn)生控制行為的權(quán)限，并且可以影響行車安全的權(quán)限。申請(qǐng)使用該權(quán)限需

2

SJ/TXXXXX—XXXX

要用戶授權(quán)，車載系統(tǒng)以顯性的方式提示用戶，同時(shí)車載APP需接受資質(zhì)審查（危險(xiǎn)

權(quán)限主要涉及汽車行駛狀態(tài)，開(kāi)發(fā)者需要具備自動(dòng)駕駛或輔助駕駛準(zhǔn)入資質(zhì)）。

隱私權(quán)限：指可以獲取車輛以及用戶敏感信息的權(quán)限。隱私權(quán)限涉及唯一標(biāo)識(shí)類信息可按《智能汽

車匿名標(biāo)識(shí)技術(shù)要求》進(jìn)行匿名化處理，其它則需要用戶授權(quán)，同時(shí)車載系統(tǒng)必須以顯

性的方式提示用戶。

表1汽車權(quán)限的分類分級(jí)

權(quán)限類別權(quán)限名稱

車輛型號(hào)、尺寸、燃油類型、輪胎基本信息、品牌信息、駕駛位信息、車速、擋

一般權(quán)限

位、總里程、排量、油箱容積、溫度、光照、空氣指數(shù)等

公開(kāi)空調(diào)控制、音量控制、媒體播放控制、氛圍燈控制、話筒控制、藍(lán)牙鑰匙、電子圍

重要權(quán)限

權(quán)限欄等

檔位控制、轉(zhuǎn)向控制、車燈控制、制動(dòng)控制、雨刷控制、玻璃水噴涂控制、引擎蓋

危險(xiǎn)權(quán)限

控制、后備箱控制、門鎖控制等

隱私權(quán)限車架號(hào)、發(fā)動(dòng)機(jī)號(hào)、位置信息、指紋、eSIM卡號(hào)、通訊錄、攝像頭、GPS定位等

注：各類權(quán)限具體內(nèi)容，見(jiàn)《智能網(wǎng)聯(lián)汽車車載系統(tǒng)開(kāi)放權(quán)限的分類分級(jí)標(biāo)準(zhǔn)》

5.2使用場(chǎng)景

表2權(quán)限的使用場(chǎng)景

權(quán)限類別使用場(chǎng)景

一般權(quán)限為默認(rèn)最小無(wú)風(fēng)險(xiǎn)的只讀類型權(quán)限，不涉及敏感信

一般權(quán)限

息，車載系統(tǒng)自動(dòng)授權(quán)。

a）車況健康管理場(chǎng)景；

b）車輛運(yùn)動(dòng)服務(wù)類場(chǎng)景；

重要權(quán)限

c）座艙管理類場(chǎng)景；

d）K歌類場(chǎng)景；

a）移動(dòng)端遠(yuǎn)程控制類場(chǎng)景；

危險(xiǎn)權(quán)限

b）自動(dòng)駕駛類場(chǎng)景；

a)位置導(dǎo)航類場(chǎng)景；

b)視頻通話類場(chǎng)景；

隱私權(quán)限

c)生物信息識(shí)別類場(chǎng)景；

d)車外信息采集類場(chǎng)景；

3

SJ/TXXXXX—XXXX

6基本原則

車載應(yīng)用在權(quán)限申請(qǐng)使用過(guò)程中,應(yīng)遵循以下基本原則：

a)目的明確原則：通過(guò)權(quán)限獲取汽車數(shù)據(jù)應(yīng)具有特定、明確、合理的目的，不擴(kuò)大使用范固，不

在用戶不知情的情況下改變處理汽車數(shù)據(jù)的目的。

b)最小必要原則：只申請(qǐng)與處理目的有關(guān)的最小必要信息的相關(guān)權(quán)限，達(dá)到處理目的后，在最短

時(shí)間內(nèi)刪除相關(guān)汽車數(shù)據(jù)信息。

c)公開(kāi)告知原則：對(duì)用戶要盡到告知，說(shuō)明和警示的義務(wù)。以明確、易懂和適宜的方式如實(shí)向用

戶告知處理汽車數(shù)據(jù)的目的、相關(guān)數(shù)據(jù)的收集和使用范圍，以及對(duì)收集到的數(shù)據(jù)的保護(hù)措施等通

知。

d)個(gè)人同意原則：處理汽車數(shù)據(jù)前要征得用戶的同意。

e)安全保障原則：采取適當(dāng)且與汽車數(shù)據(jù)遭受損害的可能性和嚴(yán)重性相應(yīng)的管理措施和技術(shù)手段，

保護(hù)汽車數(shù)據(jù)安全，防止汽車數(shù)據(jù)處理者授權(quán)的信息檢索、丟失、泄露、損毀以及篡改行為的發(fā)

生。

g)誠(chéng)信履行原則：按照收集時(shí)的承諾,或基于法定事由處理汽車數(shù)據(jù)，在達(dá)到既定目的后不再繼續(xù)

處理數(shù)據(jù)信息。

7車載應(yīng)用權(quán)限申請(qǐng)使用、數(shù)據(jù)管理要求

7.1權(quán)限申請(qǐng)

a)車載應(yīng)用權(quán)限的申請(qǐng)應(yīng)遵循最小必要原則，即只申請(qǐng)與業(yè)務(wù)功能相關(guān)的權(quán)限，不應(yīng)過(guò)度申請(qǐng)權(quán)

限。若引用了第三方SDK等外部代碼，車載應(yīng)用需確認(rèn)該部分的權(quán)限申請(qǐng)同樣滿足最小必要原

則。如車載應(yīng)用的業(yè)務(wù)場(chǎng)景中，不包含位置相關(guān)場(chǎng)景，則不應(yīng)申請(qǐng)位置權(quán)限。

b)車載應(yīng)用宜優(yōu)先采用系統(tǒng)自身功能，代替調(diào)用相關(guān)敏感權(quán)限。在存在替代功能實(shí)現(xiàn)方式的情況

下，不應(yīng)以提升用戶體驗(yàn)為由，強(qiáng)迫用戶授予權(quán)限。

c)申請(qǐng)危險(xiǎn)權(quán)限時(shí)必須有明確的應(yīng)用場(chǎng)景和相關(guān)資質(zhì)審核，如涉及自動(dòng)駕駛功能的車載應(yīng)用必須

擁有自動(dòng)駕駛的相關(guān)資質(zhì)認(rèn)證。

7.2告知同意

a)告知同意應(yīng)遵循最小必要原則，即車載應(yīng)用所提供服務(wù)涵蓋多項(xiàng)業(yè)務(wù)功能的，申請(qǐng)權(quán)限時(shí)宜按

業(yè)務(wù)功能進(jìn)行單項(xiàng)或分項(xiàng)征得用戶同意，不宜要求用戶一次性接受并授權(quán)同意其未申請(qǐng)或使用的

業(yè)務(wù)功能權(quán)限申請(qǐng)的請(qǐng)求。

b)申請(qǐng)使用權(quán)限時(shí)車載系統(tǒng)應(yīng)以顯性的方式提示用戶，方式可以為彈框、通知、浮窗等。需要用

戶主動(dòng)確認(rèn)同意授予后才可繼續(xù)執(zhí)行相應(yīng)操作。

c)告知同意的時(shí)機(jī)及頻率，宜在權(quán)限使用之前或權(quán)限使用之時(shí)的適當(dāng)時(shí)機(jī)告知，且不應(yīng)影響車輛

的行駛安全，并以必要最小限度的頻率告知，確保用戶的服務(wù)體驗(yàn)質(zhì)量。

7.3權(quán)限授予

權(quán)限授予可分為：允許、禁止、詢問(wèn)，用戶可自由選擇。

4

SJ/TXXXXX—XXXX

7.4權(quán)限使用

a)使用權(quán)限的類型、數(shù)量及頻率應(yīng)遵循最小必要原則，不應(yīng)超出業(yè)務(wù)場(chǎng)景的實(shí)際需要，法律法規(guī)

要求的除外。

b)使用權(quán)限時(shí)，除目的所必需外，應(yīng)消除明確身份指向性，避免精確定位到特定個(gè)人、車輛等，

如指紋、車牌、聲紋等。

7.5版本升級(jí)

已授予的權(quán)限在車載系統(tǒng)或車載應(yīng)用軟件版本升級(jí)前后應(yīng)保持一致，如需調(diào)用額外的權(quán)限，應(yīng)對(duì)該

權(quán)限進(jìn)行申請(qǐng)，并征得用戶授權(quán)。

7.6數(shù)據(jù)存儲(chǔ)

a)存儲(chǔ)汽車數(shù)據(jù)的類型、數(shù)量和存儲(chǔ)時(shí)間均應(yīng)遵循最小必要原則，不應(yīng)超出業(yè)務(wù)場(chǎng)景的實(shí)際需要，

法律法規(guī)另有規(guī)定或者信息主體另行授權(quán)同意的除外。

b)對(duì)于通過(guò)隱私權(quán)限獲取的數(shù)據(jù)，非必要情況下采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施進(jìn)行存

儲(chǔ)，使其在不借助額外信息的情況下，無(wú)法識(shí)別或者關(guān)聯(lián)到信息主體。

7.7數(shù)據(jù)刪除

超出存儲(chǔ)期限后，應(yīng)對(duì)汽車數(shù)據(jù)進(jìn)行刪除或匿名化處理。

8車載系統(tǒng)權(quán)限管理要求

8.1安全管控

車載系統(tǒng)需為各權(quán)限覆蓋范圍下的數(shù)據(jù)或接口提供安全防護(hù)能力，使未被授權(quán)的車載應(yīng)用無(wú)法獲取

對(duì)應(yīng)權(quán)限覆蓋范圍下的數(shù)據(jù)，或調(diào)用相應(yīng)接口。

8.2查詢撤銷

車載應(yīng)用申請(qǐng)權(quán)限后，車載系統(tǒng)需有授權(quán)明細(xì)查詢撤銷入口，即在車載系統(tǒng)設(shè)置中存在單獨(dú)功能模

塊，使用戶可查詢到當(dāng)前各應(yīng)用的授權(quán)明細(xì)，并且具備權(quán)限狀態(tài)更改功能，用戶可在權(quán)限管理界面針對(duì)

單獨(dú)應(yīng)用軟件進(jìn)行撤銷權(quán)限授予操作，可修改為禁止或詢問(wèn)，并且相關(guān)操作保留日志記錄。

8.3系統(tǒng)提醒

車載系統(tǒng)發(fā)現(xiàn)車載應(yīng)用有非法處理汽車數(shù)據(jù)風(fēng)險(xiǎn)的，應(yīng)當(dāng)對(duì)用戶做出合理的風(fēng)險(xiǎn)提示。

5

SJ/TXXXXX—XXXX

9權(quán)限申請(qǐng)使用最小必要評(píng)估方法

9.1權(quán)限申請(qǐng)?jiān)u估方法

評(píng)估編號(hào)9.1.1

評(píng)估項(xiàng)目7.1a）

權(quán)限的申請(qǐng)應(yīng)遵循評(píng)估要求，即只申請(qǐng)與業(yè)務(wù)功能相關(guān)的權(quán)限，不應(yīng)過(guò)度

評(píng)估要求

申請(qǐng)權(quán)限。對(duì)于第三方SDK等外部代碼的引用，車載應(yīng)用應(yīng)確認(rèn)其相關(guān)權(quán)

限的申請(qǐng)同樣滿足最小化原則，限制SDK過(guò)度申請(qǐng)權(quán)限。如車載應(yīng)用的業(yè)

務(wù)場(chǎng)景中，不包含位置相關(guān)場(chǎng)景，則不應(yīng)申請(qǐng)位置權(quán)限。

預(yù)置條件被測(cè)應(yīng)用處于正常運(yùn)行狀態(tài)

步驟1：打開(kāi)被測(cè)應(yīng)用，查看其隱私政策或其他相關(guān)個(gè)人信息收集使用規(guī)

則文檔中，權(quán)限申請(qǐng)使用的目的、方式、范圍的說(shuō)明。

測(cè)試步驟

步驟2：使用測(cè)試工具檢測(cè)應(yīng)用運(yùn)行過(guò)程中權(quán)限的申請(qǐng)與使用是否與告知一

致，是否滿足收集使用要求。

在步驟2后，如應(yīng)用權(quán)限的申請(qǐng)與使用與告知一致，且滿足收集使用評(píng)估要

預(yù)期結(jié)果

求，則該項(xiàng)評(píng)估結(jié)果為“未見(jiàn)異?！?，否則該項(xiàng)評(píng)估結(jié)果為“不符合要求”，

評(píng)估結(jié)束。

備注--

評(píng)估編號(hào)9.1.2

評(píng)估項(xiàng)目7.1b）

車載應(yīng)用宜優(yōu)先采用系統(tǒng)自身功能，代替調(diào)用相關(guān)敏感權(quán)限。在存在替代

評(píng)估要求

功能實(shí)現(xiàn)方式的情況下，不應(yīng)以提升用戶體驗(yàn)為由，強(qiáng)迫用戶授予權(quán)限。

預(yù)置條件被測(cè)應(yīng)用處于正常運(yùn)行狀態(tài)

步驟1：打開(kāi)被測(cè)應(yīng)用，查看其隱私政策或其他相關(guān)個(gè)人信息收集使用規(guī)

測(cè)試步驟

則文檔中權(quán)限申請(qǐng)使用的目的、方式、范圍的說(shuō)明。

步驟2：檢查應(yīng)用運(yùn)行過(guò)程中，是否存在申請(qǐng)使用敏感權(quán)限來(lái)代替系統(tǒng)自身功能

的情況。

在步驟2后，如應(yīng)用不存在申請(qǐng)使用敏感權(quán)限來(lái)代替系統(tǒng)自身功能的情況，

預(yù)期結(jié)果

則該項(xiàng)評(píng)估結(jié)果為“未見(jiàn)異?！?，否則該項(xiàng)評(píng)估結(jié)果為“不符合要求”，評(píng)估

結(jié)束。

備注--

評(píng)估編號(hào)9.1.3

評(píng)估項(xiàng)目7.1c）

申請(qǐng)危險(xiǎn)權(quán)限的車載應(yīng)用對(duì)應(yīng)開(kāi)發(fā)者必須有明確的應(yīng)用場(chǎng)景，和相關(guān)資

評(píng)估要求

質(zhì)審核，如涉及自動(dòng)駕駛應(yīng)用必須擁有自動(dòng)駕駛的相關(guān)資質(zhì)認(rèn)證。

預(yù)置條件被測(cè)應(yīng)用處于正常運(yùn)行狀態(tài)

6

SJ/TXXXXX—XXXX

步驟1：打開(kāi)被測(cè)應(yīng)用，查看其隱私政策或其他相關(guān)個(gè)人信息收集使用規(guī)則

測(cè)試步驟文檔中權(quán)限申請(qǐng)使用的目的、方式、范圍的說(shuō)明。

步驟2：使用測(cè)試工具檢測(cè)應(yīng)用運(yùn)行過(guò)程中權(quán)限的申請(qǐng)與使用是否與告知一

致，是否滿足收集使用要求。

步驟3：審查應(yīng)用開(kāi)發(fā)者是否擁有權(quán)限對(duì)應(yīng)業(yè)務(wù)場(chǎng)景的資質(zhì)。

在步驟2后，如應(yīng)用存在申請(qǐng)使用敏感權(quán)限來(lái)代替系統(tǒng)自身功能的情況，則

預(yù)期結(jié)果

該項(xiàng)評(píng)估結(jié)果為“不符合要求”，否則進(jìn)行步驟3評(píng)估。

在步驟3后，如果應(yīng)用開(kāi)發(fā)者可以提供權(quán)限使用業(yè)務(wù)場(chǎng)景的相關(guān)資質(zhì)，則該

項(xiàng)評(píng)估結(jié)果“未見(jiàn)異?！?，否則該項(xiàng)評(píng)估結(jié)果為“不符合要求”，評(píng)估結(jié)束。

備注--

9.2告知同意評(píng)估方法

評(píng)估編號(hào)9.2.1

評(píng)估項(xiàng)目7.2a）

告知同意應(yīng)遵循評(píng)估規(guī)范，即車載應(yīng)用所提供服務(wù)涵蓋多項(xiàng)業(yè)務(wù)功能的，申

請(qǐng)權(quán)限時(shí)宜按業(yè)務(wù)功能進(jìn)行單項(xiàng)或分項(xiàng)征得用戶同意，不宜要求用戶一次性

評(píng)估要求接受并授權(quán)同意其未申請(qǐng)或使用的業(yè)務(wù)功能權(quán)限申請(qǐng)的請(qǐng)求。

預(yù)置條件被測(cè)應(yīng)用處于正常運(yùn)行狀態(tài)

步驟1：打開(kāi)被測(cè)應(yīng)用，查看其隱私政策或其他相關(guān)權(quán)限使用規(guī)則文檔中，

其提供產(chǎn)品或服務(wù)涉及的多項(xiàng)業(yè)務(wù)功能，以及使用權(quán)限的目的、方式、范圍的說(shuō)

明。

步驟2：檢查應(yīng)用運(yùn)行過(guò)程中，是否存在捆綁方式強(qiáng)迫用戶一次性同意多種

測(cè)試步驟

業(yè)務(wù)功能權(quán)限申請(qǐng)的行為。

步驟3：檢查應(yīng)用運(yùn)行過(guò)程中，如用戶拒絕應(yīng)用某一業(yè)務(wù)功能相關(guān)的權(quán)限

申請(qǐng)，是否影響應(yīng)用其他功能的正常使用。

在步驟1后，如存在捆綁方式強(qiáng)迫用戶一次性同意多種業(yè)務(wù)功能權(quán)限申請(qǐng)

的行為，則該項(xiàng)評(píng)估結(jié)果為“不符合要求”，否則，進(jìn)行步驟3。

預(yù)期結(jié)果在步驟3后，如果存在用戶拒絕某一業(yè)務(wù)功能權(quán)限授權(quán)，影響APP其他功能

正常使用的行為，則該項(xiàng)評(píng)估結(jié)果為“不符合要求”，否則該項(xiàng)評(píng)估結(jié)果為“未見(jiàn)異

?！?，評(píng)估結(jié)束。

備注--

評(píng)估編號(hào)9.2.2

評(píng)估項(xiàng)目7.2b）

申請(qǐng)使用權(quán)限時(shí)車載系統(tǒng)應(yīng)以顯性的方式提示用戶，并需用戶主動(dòng)確認(rèn)同

評(píng)估要求

意授予后才可繼續(xù)執(zhí)行相應(yīng)操作。

7

SJ/TXXXXX—XXXX

預(yù)置條件被測(cè)應(yīng)用處于正常運(yùn)行狀態(tài)

步驟1：打開(kāi)被測(cè)應(yīng)用，查看其隱私政策或其他相關(guān)權(quán)限使用規(guī)則文檔中，

申請(qǐng)權(quán)限的目的、方式、范圍的說(shuō)明。

測(cè)試步驟

步驟2：使用測(cè)試工具檢測(cè)應(yīng)用運(yùn)行過(guò)程中，查看在應(yīng)用申請(qǐng)權(quán)限時(shí)是否以

顯性方式提示用戶，方式可以為彈框、通知、浮窗等。

步驟3：出現(xiàn)提示頁(yè)面時(shí)，查看用戶是否有同意和拒絕的選擇。

在步驟3后，如應(yīng)用第一次申請(qǐng)權(quán)限時(shí)出現(xiàn)提示頁(yè)面，則該項(xiàng)評(píng)估結(jié)果為“未

預(yù)期結(jié)果

見(jiàn)異?！?，否則該項(xiàng)評(píng)估結(jié)果為“不符合要求”，評(píng)估結(jié)束。

備注--

評(píng)估編號(hào)9.2.3

評(píng)估項(xiàng)目7.2c）

告知同意的時(shí)機(jī)及頻率，宜在權(quán)限使用之前或權(quán)限使用之時(shí)的適當(dāng)時(shí)機(jī)告

評(píng)估要求

知，增進(jìn)用戶對(duì)告知與所收集的權(quán)限之間關(guān)聯(lián)性的理解。

預(yù)置條件被測(cè)應(yīng)用處于正常運(yùn)行狀態(tài)

步驟1：打開(kāi)被測(cè)應(yīng)用，查看其隱私政策或其他相關(guān)權(quán)限使用規(guī)則文檔中，

申請(qǐng)權(quán)限的目的、方式、范圍的說(shuō)明。

步驟：使用測(cè)試工具檢測(cè)應(yīng)用運(yùn)行過(guò)程中，其告知同意的時(shí)機(jī)是否在使用

測(cè)試步驟2

之前或使用之時(shí)。

在步驟2后，如應(yīng)用告知同意的時(shí)機(jī)在使用之前或使用之時(shí)，則該項(xiàng)評(píng)估結(jié)

預(yù)期結(jié)果

果為“未見(jiàn)異?！?，否則該項(xiàng)評(píng)估結(jié)果為“不符合要求”，評(píng)估結(jié)束。

備注--

9.3權(quán)限授予評(píng)估方法

評(píng)估編號(hào)9.3

評(píng)估項(xiàng)目7.3

應(yīng)用進(jìn)行權(quán)限申請(qǐng)時(shí)，需提供允許、禁止、詢問(wèn)等選項(xiàng)，用戶可根據(jù)自身

評(píng)估要求

情況自由選擇，應(yīng)用不得強(qiáng)迫授權(quán)。

預(yù)置條件被測(cè)應(yīng)用處于正常運(yùn)行狀態(tài)

步驟1：打開(kāi)被測(cè)應(yīng)用，查看其隱私政策或其他相關(guān)權(quán)限使用規(guī)則文檔中，

申請(qǐng)權(quán)限的目的、方式、范圍的說(shuō)明。

測(cè)試步驟步驟2：使用測(cè)試工具檢測(cè)應(yīng)用運(yùn)行過(guò)程中，應(yīng)用申請(qǐng)授權(quán)時(shí)是否提供多種

8

SJ/TXXXXX—XXXX

選擇，是否存在強(qiáng)制授權(quán)行為。

在步驟2后，如應(yīng)用提供多種選擇時(shí)，則該項(xiàng)評(píng)估結(jié)果為“未見(jiàn)異常”，否則

預(yù)期結(jié)果

該項(xiàng)評(píng)估結(jié)果為“不符合要求”，評(píng)估結(jié)束。

備注--

9.4權(quán)限使用評(píng)估方法

評(píng)估編號(hào)9.4.1

評(píng)估項(xiàng)目7.4a）

使用權(quán)限的類型、數(shù)量及頻率應(yīng)遵循評(píng)估要求，不應(yīng)超出業(yè)務(wù)場(chǎng)景的實(shí)際

評(píng)估要求

需要，法律法規(guī)要求的除外。

預(yù)置條件被測(cè)應(yīng)用處于正常運(yùn)行狀態(tài)

步驟1：打開(kāi)被測(cè)應(yīng)用，查看其隱私政策或其他相關(guān)權(quán)限使用規(guī)則文檔中，

使用權(quán)限的目的、方式、范圍的說(shuō)明。

測(cè)試步驟

步驟2：使用測(cè)試工具檢測(cè)應(yīng)用，使用權(quán)限的情況是否與告知一致，是否滿

足評(píng)估要求。

在步驟2后，如應(yīng)用使用權(quán)限情況與告知一致，且滿足評(píng)估要求，則該項(xiàng)評(píng)

預(yù)期結(jié)果

估結(jié)果為“未見(jiàn)異?！?，否則該項(xiàng)評(píng)估結(jié)果為“不符合要求”，評(píng)估結(jié)束。

備注--

評(píng)估編號(hào)9.4.2

評(píng)估項(xiàng)目7.4b）

使用權(quán)限時(shí)，除目的所必需外，應(yīng)消除明確身份指向性，避免精確定位到

評(píng)估要求

特定個(gè)人、車輛等，如指紋、車牌、聲紋等。

預(yù)置條件被測(cè)應(yīng)用處于正常運(yùn)行狀態(tài)

步驟1：打開(kāi)被測(cè)應(yīng)用，查看其隱私政策或其他相關(guān)權(quán)限使用規(guī)則文檔中，

使用權(quán)限的目的、方式、范圍的說(shuō)明。

步驟：檢查應(yīng)用使用權(quán)限時(shí)，是否消除明確身份指向性，避免精確定位到

測(cè)試步驟2

特定個(gè)人及外部環(huán)境等。

在步驟2后，如應(yīng)用使用權(quán)限獲得相應(yīng)數(shù)據(jù)時(shí)消除明確身份指向性，避免精

預(yù)期結(jié)果確定位到特定個(gè)人及外部環(huán)境，則該項(xiàng)評(píng)估結(jié)果為“未見(jiàn)異?！?，否則該項(xiàng)

評(píng)估結(jié)果為“不符合要求”，評(píng)估結(jié)束。

備注--

9

SJ/TXXXXX—XXXX

9.5版本升級(jí)評(píng)估方法

評(píng)估編號(hào)9.5

評(píng)估項(xiàng)目7.5

已授予的權(quán)限在車載系統(tǒng)或車載應(yīng)用軟件版本升級(jí)前后應(yīng)保持一致，若調(diào)用

評(píng)估要求

額外的權(quán)限，應(yīng)對(duì)該權(quán)限進(jìn)行申請(qǐng)，并征得用戶授權(quán)。

預(yù)置條件被測(cè)應(yīng)用處于正常運(yùn)行狀態(tài)

步驟1：使用測(cè)試工具檢測(cè)應(yīng)用運(yùn)行過(guò)程中所授權(quán)的明細(xì)。

測(cè)試步驟步驟2：與升級(jí)前的版本權(quán)限的授權(quán)明細(xì)進(jìn)行比對(duì)，若不一致，查看應(yīng)用是

否再次發(fā)起過(guò)權(quán)限申請(qǐng)。

在步驟2后，如應(yīng)用當(dāng)前權(quán)限的使用情況與升級(jí)前一致，或者重新按照新版

預(yù)期結(jié)果

本所需的權(quán)限提交權(quán)限申請(qǐng)，則該項(xiàng)評(píng)估結(jié)果為“未見(jiàn)異?！?，否則該項(xiàng)評(píng)估

結(jié)果為“不符合要求”，評(píng)估結(jié)束。

備注--

9.6數(shù)據(jù)存儲(chǔ)評(píng)估方法

評(píng)估編號(hào)9.6.1

評(píng)估項(xiàng)目7.6a)

車載應(yīng)用存儲(chǔ)在本地和服務(wù)器遠(yuǎn)端的汽車數(shù)據(jù)，數(shù)據(jù)的類型、數(shù)量以及存儲(chǔ)

評(píng)估要求

時(shí)間，均應(yīng)遵循最小必要原則。

使用測(cè)試工具檢測(cè)應(yīng)用后臺(tái)對(duì)數(shù)據(jù)的存儲(chǔ)，檢測(cè)收集到的數(shù)據(jù)是否根據(jù)最小

測(cè)試步驟必要原則進(jìn)行存儲(chǔ)。

如應(yīng)用存儲(chǔ)的數(shù)據(jù)符合最小必要原則，則該項(xiàng)評(píng)估結(jié)果為“未見(jiàn)異常”，否則

預(yù)期結(jié)果

該項(xiàng)評(píng)估結(jié)果為“不符合要求”，評(píng)估結(jié)束。

備注--

評(píng)估編號(hào)9.6.2

評(píng)估項(xiàng)目7.6b)

對(duì)于通過(guò)隱私權(quán)限獲取的數(shù)據(jù)，非必要情況下采取相應(yīng)的加密、去標(biāo)識(shí)化等

評(píng)估要求

安全技術(shù)措施進(jìn)行存儲(chǔ)。

使用分析工具對(duì)通過(guò)隱私權(quán)限獲取的數(shù)據(jù)進(jìn)行分析，查看其在不借助額外信

測(cè)試步驟息的情況下，能否識(shí)別或者關(guān)聯(lián)到信息主體。

如不能關(guān)聯(lián)到信息主體，則該項(xiàng)評(píng)估結(jié)果為“未見(jiàn)異常”，否則該項(xiàng)評(píng)估結(jié)果

預(yù)期結(jié)果

為“不符合要求”，評(píng)估結(jié)束。

備注--

10

SJ/TXXXXX—XXXX

9.7數(shù)據(jù)刪除評(píng)估方法

評(píng)估編號(hào)9.7

評(píng)估項(xiàng)目7.7

超出存儲(chǔ)期限后，應(yīng)對(duì)汽車數(shù)據(jù)進(jìn)行刪除或匿名化處理。

評(píng)估要求

使用測(cè)試工具檢測(cè)應(yīng)用后臺(tái)對(duì)數(shù)據(jù)的存儲(chǔ)，檢測(cè)超出存儲(chǔ)期限的數(shù)據(jù)是否進(jìn)

測(cè)試步驟行了刪除或匿名化處理。

如應(yīng)用后臺(tái)無(wú)存儲(chǔ)到期的非匿名化數(shù)據(jù)，則該項(xiàng)評(píng)估結(jié)果為“未見(jiàn)異?！?，否

預(yù)期結(jié)果

則該項(xiàng)評(píng)估結(jié)果為“不符合要求”，評(píng)估結(jié)束。

備注--

9.8安全管控評(píng)估方法

評(píng)估編號(hào)9.8

評(píng)估項(xiàng)目8.1

車載系統(tǒng)需為各權(quán)限覆蓋范圍下的數(shù)據(jù)或接口提供安全防護(hù)能力，使未被

評(píng)估要求

授權(quán)的車載應(yīng)用無(wú)法獲取對(duì)應(yīng)權(quán)限覆蓋范圍下的數(shù)據(jù)，或調(diào)用相應(yīng)接口。

測(cè)試步驟使用測(cè)試工具檢測(cè)應(yīng)用運(yùn)行過(guò)程中，應(yīng)用是否可以使用未被授權(quán)的權(quán)限。

對(duì)于未授權(quán)的權(quán)限應(yīng)用無(wú)法使用或無(wú)法調(diào)用相應(yīng)接口，則該項(xiàng)評(píng)估結(jié)果為

預(yù)期結(jié)果

未見(jiàn)異常，否則該項(xiàng)評(píng)估結(jié)果為不符合要求，評(píng)估結(jié)束。

“”“”

備注--

9.9查詢撤銷評(píng)估方法

評(píng)估編號(hào)9.9