2021.05.21 董潇 袁琼 董俊杰
2021年5月12日,国家互联网信息办公室会同有关部门起草并发布了《汽车数据安全管理若干规定(征求意见稿)》(以下简称“《汽车数据管理草案》”),并面向社会公开征求意见至2021年6月11日。
《汽车数据管理草案》主要针对汽车数据处理活动中个人信息与重要数据的保护进行了相关规定。其中主要要点总结如下:
一、 汽车数据的监管适用范围从传统汽车行业延伸至汽车相关行业
根据《汽车数据管理草案》的规定,运营者在中华人民共和国境内设计、生产、销售、运维、管理汽车过程中,收集、分析、存储、传输、查询、利用、删除以及向境外提供(以下统称“处理”)个人信息或重要数据,应当遵守相关法律法规和本规定的要求。
其中,运营者包括汽车设计、制造、服务企业或者机构,包括汽车制造商、部件和软件提供者、经销商、维修机构、网约车企业、保险公司等(第二、三条)。
从以上可看出,《汽车数据管理草案》的适用范围涵盖汽车从设计生产、销售、服务、运营的各个环节。特别值得关注的是,适用本规定的运营者不仅包括汽车制造商、经销商等传统意义上汽车行业中的主体,也囊括了服务型企业或机构,如维修商、网约车企业、保险公司。
二、 首次明确汽车相关的重要数据的范围
重要数据的概念从2017年《网络安全法》提出以来,始终没有明确的划定范围。在最新发布的《数据安全法》(草案二次审议稿)中,明确了数据分类分级保护的制度,要求各地区、各部门根据数据在经济社会发展中的重要程度确定本地区、本部门、相关行业领域的重要数据目录。(详情请见数据安全立法加速——《数据安全法(草案二次审议稿))发布)我们注意到,在2020年9月23日实施的金融行业标准《金融数据安全 数据安全分级指南》中,已经开始规定数据分级的标准,以及提供了金融行业内的数据定级规则参考表,其中最高等级的5级数据的特征是“重要数据”。但上述指南仅为行业标准,不具有强制性法律效力。
《汽车数据管理草案》是《数据安全法(草案二次审议稿)》发布后第一部出台的含有明确行业内重要数据范围的规范性文件。
《汽车数据管理草案》规定重要数据包括以下类型:(一)军事管理区、国防科工等涉及国家秘密的单位、县级以上党政机关等重要敏感区域的人流车流数据;(二)高于国家公开发布地图精度的测绘数据;(三)汽车充电网的运行数据;(四)道路上车辆类型、车辆流量等数据;(五)包含人脸、声音、车牌等的车外音视频数据;(六)国家网信部门和国务院有关部门明确的其他可能影响国家安全、公共利益的数据。(第三条)
三、 提出新的汽车相关数据处理原则,可能会实质影响现有汽车相关行业的实践操作
根据《汽车数据管理草案》的规定,运营者处理个人信息或重要数据的目的应当合法、具体、明确,与汽车的设计、制造、服务直接相关。(第四条)虽然此处并未直接使用《民法典》、《网络安全法》中的合法、正当、必要原则的表述,但从内容上看是前述三项基本原则在汽车数据处理活动中的更为具体的阐述。
运营者处理个人信息和重要数据过程中还应坚持以下原则:(一)车内处理原则,除非确有必要不向车外提供;(二)匿名化处理原则,确有必要向车外提供的,尽可能地进行匿名化和脱敏处理;(三)最小保存期限原则,根据所提供功能服务分类型确定数据保存期限;(四)精度范围适用原则,根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率;(五)默认不收集原则,除非确有必要,每次驾驶时默认为不收集状态,驾驶人的同意授权只对本次驾驶有效。(第六条)以上规定对于目前开展网联汽车研发生产、自动驾驶汽车研发、网约车企业均有重大影响。
此外,运营者还需落实网络安全保护制度,依法履行网络安全义务。(第五条)这也与《网络安全法》、《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》等现行规定中反复强调的网络安全保护义务保持一致。
四、 提出汽车数据处理细节要求,对现有汽车相关行业的实践提供操作细则
《汽车数据管理草案》对个人信息与重要数据的处理提出了下述基本要求。包括:
1、 明示个人信息收集的相关信息。运营者应通过用户手册、车载显示面板或其他适当方式告知数据类型、负责处理用户权益责任人的有效联系方式等信息。此外,特别是要提供与个人信息处理相关的信息、例如收集每种类型数据的触发条件以及停止收集的方法、收集各类型数据的目的、用途等。(第七条)
2、 运营者收集与处理敏感个人信息的要求。运营者收集和向车外提供敏感个人信息(例如车辆位置)以及用于判断违法违规驾驶的数据,应履行特定的义务与要求,包括“默认为不收集,每次都应当征得驾驶人同意授权,驾驶结束(驾驶人离开驾驶席)后本次授权自动失效”、“驾驶人要求运营者删除时,运营者应当在2周内删除”等。(第八条)
3、 个人信息收集的授权同意要求。运营者收集个人信息应当取得被收集人同意。对于实践上难以获取个人信息主体同意的个人信息类型(如通过摄像头收集车外音视频信息),在确需提供的前提下应进行匿名化或脱敏处理。(第九条)
4、 生物特征数据收集的必要性原则。运营者仅在为了实现方便用户使用、增加车辆电子和信息系统安全性等目的的前提下访客收集与处理生物特征数据,同时应当提供生物特征的替代方式。(第十条)
五、 提出数据本地化要求,对于数据出境评估要求仍然保持原则,留待与《个人信息保护法》和《数据安全法》及配套规则衔接
《汽车数据管理草案》确定了汽车数据处理活动中个人信息与重要数据的出境监管机制的总体框架与基本要求,运营者对境外提供个人信息与重要数据,应履行以下义务,具体包括:
1、 个人信息或者重要数据应当依法在境内存储,确需向境外提供的,应当通过国家网信部门组织的数据出境安全评估。(第十二条)
2、 应采取有效措施明确和监督接收者按照双方约定的目的、范围、方式使用数据。(第十三条)
3、 应当接受和处理所涉及的用户投诉;造成用户合法权益或公共利益受到损害的,应当依法承担相应责任。(第十四条)
4、 不得超出出境安全评估时明确的目的、范围、方式和数据类型、规模等,向境外提供个人信息或重要数据。(第十五条)
5、 科研和商业合作伙伴需要查询利用境内存储的个人信息和重要数据的,运营者应当采取有效措施保证数据安全,防止流失;严格限制对重要数据以及车辆位置、生物特征、驾驶人或者乘车人音视频,以及可以用于判断违法违规驾驶的数据等敏感数据的查询利用。(第十六条)
《汽车数据管理草案》的上述规定实际上呼应了《数据安全法》(草案二次审议稿)新增的第30条和《个人信息保护法》(草案二次审议稿)第40条的规定,即非关键信息基础设施运营者在境内收集和产生的个人信息和重要数据的出境需遵守相应的规则。但《个人信息保护法》(草案二次审议稿)要求“处理个人信息达到国家网信部门规定数量的个人信息处理者”本地化存储个人信息、出境前开展安全评估。而《汽车数据管理草案》下,实际上无论运营者是否处理个人信息达到一定数量,均应当在境内存储。这一点如何衔接仍有待立法和执法机关解释。
六、 首次提出数据处理报告义务
《汽车数据管理草案》明确了特定情况下,运营者收集与处理个人信息与重要数据的报告义务,具体如下:
1、 重要数据处理报告要求。运营者处理重要数据前,应向省级网信部门和有关部门履行报告义务,报告信息包括数据类型、规模、范围等。(第十一条)
2、 年度数据报告要求。处理个人信息涉及个人信息主体超过10万人、或者处理重要数据的运营者,应当在每年十二月十五日前将年度数据安全管理情况报省级网信部门和有关部门。(第十七条)
3、 对外提供数据报告义务。如果存在向境外提供数据的情况,运营者应当在《汽车数据管理草案》第十七条基础上,报告相关信息。(第十八条)
七、 责任承担与处罚后果
根据《汽车数据管理草案》第二十条的规定,运营者违反本规定的,由省级以上网信部门和有关部门依照《中华人民共和国网络安全法》等法律法规的有关规定进行处罚。构成犯罪的,依法追究刑事责任。
八、 我们的观察
近来网联汽车、自动驾驶、新势力造车等话题持续升温,但与此同时,智能汽车带来的隐私问题、数据安全问题也屡见不鲜,引起了社会的广泛关注。《汽车数据管理草案》对汽车处理活动中收集和产生的个人信息与重要数据提出了明确的约束,这是对重要数据安全隐患问题的回应,也是对相关个人数据滥用问题提出的解决方案。
《汽车数据管理草案》基本沿用了我国现行法律法规中对于个人信息与重要数据保护的基本框架,但同时结合汽车产业的具体情况提出了新的要求与规定。
从个人信息的角度,相比起过去出台的部门性的、行业性的个人信息保护的规范,《汽车数据管理草案》提出了非常高的标准和要求,例如,驾驶人的同意仅对单次驾驶有效、收集时应通过显示面板或语音等方式告知正在收集敏感个人信息、允许车主方便查看、结构化查询被收集的敏感个人信息、个人信息和重要数据原则上不出车、驾驶人要求删除时运营者应于2周内删除等。
从重要数据的角度,《汽车数据管理草案》明确列举了5类重要数据,根据目前的规定,未来相关运营者在处理这些重要数据前,均须向网信部门和有关部门报告。
《汽车数据管理草案》要求所有运营者均应将个人信息或者重要数据依法在境内存储,确需向境外提供的,应当通过国家网信部门组织的数据出境安全评估。并且要求处理个人信息涉及个人信息主体超过10万人、或者处理重要数据的运营者每年履行报告义务,如存在数据出境情形的,需要汇报接收者的名称和联系方式、出境数据的类型、数量及目的、数据在境外的存放地点、使用范围和方式及涉及向境外提供数据的用户投诉及处理情况。国家网信部门会同国务院有关部门以抽查方式核验向境外提供个人信息或重要数据的类型、范围等,运营者还应当以明文、可读方式予以展示。
以上规定未来在实践中如何落地、如何与即将出台的《个人信息保护法》协调一致,仍有待进一步观察。
前不久,工信部刚发布了《智能网联汽车生产企业及产品准入管理指南(试行)》,其中亦包括网络安全及数据本地化的要求等,这体现出未来汽车产业领域的数据安全问题可能将成为监管部门的监管重点,我们建议落入《汽车数据管理草案》适用范围的企业密切关注本规定的立法进程,并提前做好相关的合规工作准备。我们也会进一步观察和跟踪汽车领域数据安全相关立法的最新进展。