《基于最小必要評估原則（方法）的車載應用程序使

用權限評估規范》（征求意見稿）編制說明

一、工作簡況

1.1標準立項背景

隨著智能網聯汽車使用量的不斷增長，車載應用軟件得到爆發式

發展，同時汽車用戶隱私泄露事件層出不窮，智能網聯汽車信息安全

問題日益嚴峻。如何保護汽車用戶信息和行車安全，尤其是車輛識別

碼、人臉、指紋、聲紋、位置、圖片、環境等敏感信息和自動駕駛控

制等行車安全受到國家和社會公眾高度關注。

工業和信息化部印發《車聯網網絡安全和數據安全標準體系建設

指南》，提出到2023年底，初步構建起車聯網網絡安全和數據安全

標準體系。目前，根據該指南的建議，在數據安全領域展開深入研究，

在個人信息保護標準框架下，提出基于最小必要評估原則（方法）的

車載應用程序使用權限評估規范。

1.2標準立項公告

根據中國標協關于《產品碳足跡產品種類規則汽車座椅》(2023

年第147號)文件，本團體標準符合立項條件，批準立項。立項名稱

為《基于最小必要評估原則（方法）的車載應用程序使用權限評估規

范》。

1.3主要工作過程

1.3.1立項階段（2022.9-2023.2）

（1）2022年9月，進行內部研討會，對系列標準參編說明進行討論

編制。

（2）2022年10月，多次與車企就隱私保護和數據合規內容進行調

研交流。

（3）2023年2月，與中國標準化協會汽車分會、中國汽車技術研究

中心開會探討標準的可行性。

（4）2023年2月，向中國標準化協會汽車分會提交立項申請。

1.3.2準備階段（2023.3-4）

（1）成立編制組：按照參加編制標準的條件，通過和有關單位

協商，落實標準的參編單位及主要起草人員。

（2）編制工作大綱（草案）。

（3）召開編制組工作會議（啟動會）：2023年3月15日中國工

業互聯網研究院組織召開了《基于最小必要評估原則（方法）的車載

應用程序使用權限評估規范》啟動會暨編制組第一次工作會議。會議

明確了標準的主要內容。編制組成員對編制工作進行了討論，確定了

工作分工和進度安排（分工見表1）。

表1：編制組分工

章節承擔小組組長單位

1.范圍工聯院標準所工聯院標準所

2.規范性引用文件工聯院標準所工聯院標準所

3.術語和定義工聯院標準所工聯院標準所

4.縮略語工聯院標準所工聯院標準所

5.權限的分類與使用場景工聯院標準所工聯院標準所

6.基本原則工聯院標準所工聯院標準所

7.車載應用權限申請使用、數據

工聯院標準所工聯院標準所

管理要求

8.車載系統權限管理要求工聯院標準所工聯院標準所

9.權限申請使用最小必要評估方

工聯院標準所工聯院標準所

法

1.3.3編制階段（2023.3-4）

標準編制工作階段主要做了以下幾項工作：

（1）調研工作：包括對現行相關標準、規范的研究，對新科技、

新技術適用性和應用情況的調研，對涉及數據安全問題案例的調研。

調研、編制中著重考慮本標準的普適性、先進性和可操作性。

（2）編寫標準草稿及研討工作：根據標準編制大綱確定的工作

原則及分工責任，逐級開展標準的研究編制工作。編制組按照編制工

作計劃，召開了四次編制組和多次小組工作討論會議，對標準編制過

程中的技術問題進行分析研討，對已起草標準的主要章、節內容進行

深入細致地討論，對標準各部分提出了具體的修改意見和建議。標準

中大部分內容已在會議上取得了一致性意見，根據會議研討的內容對

初稿進行修改完善，形成了征求意見稿。

1.3.4征求意見階段（2023.4-5）

經過4次全體編制組的討論會，經過文獻研究和實地調研等方

式結合，目前標準編制相對比較成熟，已形成征求意見稿，準備面向

行業征求意見，以期進盡快審查，完成標準。

二、標準編制原則

本標準在充分調研分析總結汽車信息安全、數據安全以及個人信

息保護相關標準的基礎上，完成標準中有關內容的編寫，對車載應用

程序授權行為進行統一要求，以及對車載應用程序申請使用權限進行

規范，落實最小、必要的原則。

2.1通用性原則

本標適用于各種制式的汽車智能終端及汽車終端上的應用軟件，

其他終端也可參考使用，通用性較高。

2.2協調性原則

本標準根據汽車智能終端開放權限的分類分級，在車載應用程序

權限申請使用、數據管理以及車載應用程序權限管理方面提出了具體

要求，并且提供了權限申請使用最小必要評估方法。

2.3創新性原則

本項目補充了個人信息保護在智能網聯汽車領域的不足，目前尚

無同作用的服務標準。

三、標準主要內容

本標準對車載應用程序申請使用汽車權限、數據存儲管理提出了

具體要求，同時也規定了車載系統的權限管理要求，以及車載應用程

序向車載系統申請使用權限的最小必要評估方法。車載應用程序權限

的申請應遵循最小必要原則，即只申請與業務功能相關的權限，不應

過度申請權限。若引用了第三方軟件開發工具包SDK等外部代碼，車

載應用程序需確認該部分的權限申請同樣滿足最小必要原則。

四、主要驗證情況

車載應用程序通過本標準進行測試評估，已獲取的權限是否符合

自身業務的權限需求。

五、標準所涉及的專利

無

六、預期達到的社會效益、對產業發展的作用的情況

本標準規范了智能汽車產業生態企業的數據管理要求，避免數據

的非法獲取和濫用，降低了信息泄露的風險，保護了用戶的合法權益；

方便生態企業有統一的規范可遵循；有利于政府對企業的監管，保護

國家安全。

七、與國際、國外對比情況

工業和信息化部為了實現國內移動終端設備個人信息保護，制定

了《移動智能終端補充設備標識規范》和《移動互聯網應用程序（APP）

收集使用個人信息最小必要評估規范》，實現了移動設備的權限分級

管理。2021年8月，五部委聯合發布《汽車數據安全管理若干規定

（試行）》，要求解決汽車數據安全問題?；趪鴥刃畔a業的發展，

目前對于智能網聯汽車應用收集使用駕乘人員、車輛和行駛環境信息

的權限管理方面的規范仍有不足。本標準補充了個人信息保護在智能

網聯汽車領域的不足，目前尚無同作用的服務標準。

八、在標準體系中的位置，與現行相關法律、法規、規章及相關

標準，特別是強制性標準的協調性

依據個人信息保護法，提出建設車載應用程序權限申請使用最小

必要評估服務體系，本標準為該體系的重要組成部分，同時也屬于車

聯網網絡安全和數據安全標準體系中數據安全下的個人信息保護類

標準。

九、重大分歧意見的處理經過和依據

無。

十、標準性質的建議說明

本標準屬于團體標準，是自愿性標準，供會員和社會自愿采用。

十一、貫徹標準的要求、措施建議及使用范圍

1、本標準由中國標準化協會歸口管理。

2、實施標準的具體措施建議為：

1）本標準發布后分會及全體參編單位會通過會議、活動、行業

專家視頻公益講課等方式貫徹實施；

2）在官方網站公布標準和宣貫材料；

3）對使用單位進行培訓和宣傳普及；

4）對實施情況進行總結、分析與評估。