《汽車數據安全管理若干規(guī)定》解讀大全

《汽車數據安全管理若干規(guī)定》解讀大全2021年8月16日，國家互聯(lián)網信息辦公室、國家發(fā)展和改革委員會、工業(yè)和信息化部、公安部和交通運輸部共同頒布《汽車數據安全管理若干規(guī)定》（以下簡稱“《汽車數據規(guī)定》”），距離2021年5月12日國家互聯(lián)網信息辦公室會同有關部門發(fā)布該規(guī)定的征求意見稿才過去短短3個月的時間。在智能網聯(lián)汽車行業(yè)如火如荼發(fā)展、個人信息保護、數據安全等基礎立法有重大突破的2021年，汽車數據的行業(yè)規(guī)定來得迅猛又及時。

《汽車數據規(guī)定》將于2021年10月1日起生效，留給涉及汽車數據的企業(yè)開展自查、合規(guī)工作的時間并不充裕。

《汽車數據規(guī)定》的法律依據主要包括《網絡安全法》（以下簡稱“《網安法》”）和《數據安全法》（以下簡稱“《數安法》”），從規(guī)定的全文來看，《汽車數據規(guī)定》落實了上述法律確立的若干基本制度在汽車行業(yè)內實際施行的方式和途徑，包括個人信息處理的必要性原則、獲取數據主體的同意的具體方式要求、重要數據出境的審批規(guī)則等。

一、什么是汽車數據？汽車數據，包括汽車設計、生產、銷售、使用、運維等過程中的涉及個人信息數據和重要數據。

個人信息：以電子或者其他方式記錄的與已識別或者可識別的車主、駕駛人、乘車人、車外人員等有關的各種信息，不包括匿名化處理后的信息。

重要數據：一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益或者個人、組織合法權益的數據，包括：1、軍事管理區(qū)、國防科工單位以及縣級以上黨政機關等重要敏感區(qū)域的地理信息、人員流量、車輛流量等數據；2、車輛流量、物流等反映經濟運行情況的數據；3、汽車充電網的運行數據；4、包含人臉信息、車牌信息等的車外視頻、圖像數據；5、涉及個人信息主體超過10萬人的個人信息；6、國家網信部門和國務院發(fā)展改革、工業(yè)和信息化、公安、交通運輸等有關部門確定的其他可能危害國家安全、公共利益或者個人、組織合法權益的數據。

可以看出，個人信息的定義主要沿用了《個人信息保護法》（以下簡稱“《個保法》”）的定義。

重要數據的概念從2017年《網安法》提出以來，始終沒有明確的劃定范圍。《數安法》（詳情請見《數據安全法）正式發(fā)布）中，明確了數據分類分級保護的制度，要求各地區(qū)、各部門根據數據在經濟社會發(fā)展中的重要程度確定本地區(qū)、本部門、相關行業(yè)領域的重要數據目錄。

《汽車數據規(guī)定》是有強制性法律效力的法規(guī)文件中首次明確圈定某個特定行業(yè)的重要數據范圍，這對于汽車行業(yè)相關數據處理者判斷哪些數據屬于重要數據，需要遵守《數安法》、《網安法》下的特定義務有明確的指導意義。

但我們同時也看到，重要數據的范圍和定義仍存在一定的不明確，例如，哪些數據構成“反映經濟運行情況的數據”？如何界定“涉及個人信息主體超過10萬人的個人信息”？這些在實踐中如何解釋仍有待主管部門的進一步解釋說明。

另外，“涉及個人信息主體超過10萬人的個人信息”落入重要數據的范圍，也是第一次在法律法規(guī)層面提出重要數據可能包含有個人信息的集合這一情形。這一點與過往幾年時間內出臺的有關重要數據的若干法律法規(guī)征求意見稿均不相同，甚至2019年發(fā)布的《數據安全管理辦法（征求意見稿）》中還專門提出過“重要數據一般不包括企業(yè)生產經營和內部管理信息、個人信息等”，可見，監(jiān)管機關對于重要數據和個人信息的關系的考慮發(fā)生了較大的變化。

二、誰需要遵守《汽車數據規(guī)定》？

開展汽車數據處理活動的組織均需要遵守。5月12日發(fā)布的征求意見稿中規(guī)定的義務主體“運營者”是指汽車設計、制造、服務企業(yè)或者機構，而《汽車數據規(guī)定》則更為科學的將適用聚焦在數據本身。但凡處理“汽車數據”的處理者即需要遵守《汽車數據規(guī)定》。

《汽車數據規(guī)定》也列舉了主要的汽車數據處理者，包括汽車制造商、零部件和軟件供應商、經銷商、維修機構以及出行服務企業(yè)等。

三、處理汽車數據需要遵守哪些要求？

1、合法、正當、具體、明確

根據《汽車數據規(guī)定》的規(guī)定，汽車數據處理者處理汽車數據應當合法、正當、具體、明確，與汽車的設計、生產、銷售、使用、運維直接相關。（第4條）雖然此處并未直接使用《民法典》、《網安法》中的合法、正當、必要原則的表述，但從內容上看是前述三項基本原則在汽車數據處理活動中的適用。

2、網絡安全等級保護和數據安全

《數安法》要求數據處理者落實網絡安全等級保護制度，這一要求在《汽車數據規(guī)定》中亦有體現(xiàn)，其要求“利用互聯(lián)網等信息網絡開展汽車數據處理活動，應當落實網絡安全等級保護等制度，加強汽車數據保護，依法履行數據安全義務”。（第5條）

3、特定的處理原則

《汽車數據規(guī)定》第6條規(guī)定，“國家鼓勵汽車數據依法合理有效利用，倡導汽車數據處理者在開展汽車數據處理活動中堅持：（一）車內處理原則，除非確有必要不向車外提供；（二）默認不收集原則，除非駕駛人自主設定，每次駕駛時默認設定為不收集狀態(tài)；（三）精度范圍適用原則，根據所提供功能服務對數據精度的要求確定攝像頭、雷達等的覆蓋范圍、分辨率；（四）脫敏處理原則，盡可能進行匿名化、去標識化等處理?！?/p>

這一部分的規(guī)定采用了比較軟性的詞匯“鼓勵”、“倡導”，僅從文義來看，似乎并未強制汽車數據處理者遵守這些要求。但是，考慮到《個保法》對于處理敏感個人信息要求開展個人信息保護影響評估的要求，我們理解，企業(yè)如要突破上述原則，亦需要有充分理由、并采取足夠的保護措施以降低對個人權益的影響。

4、具體的個人信息處理要求

告知

“汽車數據處理者處理個人信息應當通過用戶手冊、車載顯示面板、語音、汽車使用相關應用程序等顯著方式，告知個人以下事項：

（一）處理個人信息的種類，包括車輛行蹤軌跡、駕駛習慣、音頻、視頻、圖像和生物識別特征等；（二）收集各類個人信息的具體情境以及停止收集的方式和途徑；（三）處理各類個人信息的目的、用途、方式；（四）個人信息保存地點、保存期限，或者確定保存地點、保存期限的規(guī)則；（五）查閱、復制其個人信息以及刪除車內、請求刪除已經提供給車外的個人信息的方式和途徑；（六）用戶權益事務聯(lián)系人的姓名和聯(lián)系方式；（七）法律、行政法規(guī)規(guī)定的應當告知的其他事項?！保ǖ?條）

同意以及其他合法性基礎

與征求意見稿不同的是，《汽車數據規(guī)定》明確增加了處理個人信息除同意以外的其他法律基礎，第8條規(guī)定，“汽車數據處理者處理個人信息應當取得個人同意或者符合法律、行政法規(guī)規(guī)定的其他情形”，這與《個保法》的內容相呼應，也更加符合網聯(lián)汽車這一特定場景的需求。

由于智能網聯(lián)汽車運行中，對車輛運行數據、車外環(huán)境數據的收集、處理與汽車質量、車輛行駛安全、汽車事故責任分配等有密不可分的關系，如一味要求以授權同意為基礎，可能會影響汽車對必要數據的采集。結合這一實際情況，《汽車數據規(guī)定》第8條還特別規(guī)定，“因保證行車安全需要，無法征得個人同意采集到車外個人信息且向車外提供的，應當進行匿名化處理，包括刪除含有能夠識別自然人的畫面，或者對畫面中的人臉信息等進行局部輪廓化處理等?！?/p>

敏感個人信息的處理

《汽車數據規(guī)定》第9條規(guī)定了汽車數據處理者處理敏感個人信息的特別要求：“（一）具有直接服務于個人的目的，包括增強行車安全、智能駕駛、導航等；（二）通過用戶手冊、車載顯示面板、語音以及汽車使用相關應用程序等顯著方式告知必要性以及對個人的影響；（三）應當取得個人單獨同意，個人可以自主設定同意期限；（四）在保證行車安全的前提下，以適當方式提示收集狀態(tài)，為個人終止收集提供便利；（五）個人要求刪除的，汽車數據處理者應當在十個工作日內刪除。汽車數據處理者具有增強行車安全的目的和充分的必要性，方可收集指紋、聲紋、人臉、心律等生物識別特征信息?！?/p>

可以看出，以上要求基本是《個保法》中既有的要求，但10個工作日內應要求刪除是《汽車數據規(guī)定》提出的新要求。

處理重要數據的風險評估和報告義務

根據《汽車數據規(guī)定》第10-14條的規(guī)定，重要數據的處理應當開展風險評估，并向網信部門和有關部門報送風險評估報告（第10條）；重要數據應當在境內存儲，出境需通過安全評估（第11條）；汽車數據處理者必須按照出境安全評估時明確的目的、范圍、方式、數據種類和規(guī)模等出境重要數據，國家網信部門會同國務院有關部門以抽查方式核驗（第12條）；同時，汽車數據處理者應履行年度重要數據安全管理情況的報告義務（第13條、第14條）。

根據第15條的規(guī)定，國家網信部門、國務院發(fā)展改革、工業(yè)和信息化、公安、交通運輸等有關部門將依據職責，對汽車數據處理者開展數據安全評估。

四、我們的觀察

近來網聯(lián)汽車、自動駕駛、新勢力造車等話題持續(xù)升溫，但與此同時，智能汽車帶來的隱私問題、數據安全問題也屢見不鮮，引起了社會的廣泛關注。在國家網信辦有關負責人就《汽車數據規(guī)定》答記者問中提到，汽車產業(yè)涉及國家經濟、裝備制造、金融、交通運輸、生產生活等諸多領域，汽車數據處理能力日益增強、汽車數據規(guī)模龐大，同時暴露出的汽車數據安全問題和風險隱患也日益突出。

《汽車數據規(guī)定》基本沿用了我國現(xiàn)行法律法規(guī)中對于個人信息與重要數據保護的基本框架，但同時結合汽車產業(yè)的具體情況提出了新的要求與規(guī)定。對于智能網聯(lián)汽車企業(yè)，以及其他可能處理汽車數據的相關企業(yè)而言