《汽车数据安全管理若干规定》正式发布

2021年8月16日，国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部和交通运输部共同颁布《汽车数据安全管理若干规定》（以下简称“《汽车数据规定》”），距离2021年5月12日国家互联网信息办公室会同有关部门发布该规定的征求意见稿才过去短短3个月的时间。在智能网联汽车行业如火如荼发展、个人信息保护、数据安全等基础立法有重大突破的2021年，汽车数据的行业规定来得迅猛又及时。

《汽车数据规定》将于2021年10月1日起生效，留给涉及汽车数据的企业开展自查、合规工作的时间并不充裕。

《汽车数据规定》的法律依据主要包括《网络安全法》（以下简称“《网安法》”）和《数据安全法》（以下简称“《数安法》”），从规定的全文来看，《汽车数据规定》落实了上述法律确立的若干基本制度在汽车行业内实际施行的方式和途径，包括个人信息处理的必要性原则、获取数据主体的同意的具体方式要求、重要数据出境的审批规则等。

一、 什么是汽车数据？

汽车数据，包括汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据。

个人信息：以电子或者其他方式记录的与已识别或者可识别的车主、驾驶人、乘车人、车外人员等有关的各种信息，不包括匿名化处理后的信息。

重要数据：一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益或者个人、组织合法权益的数据，包括：

1、军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据；

2、车辆流量、物流等反映经济运行情况的数据；

3、汽车充电网的运行数据；

4、包含人脸信息、车牌信息等的车外视频、图像数据；

5、涉及个人信息主体超过10万人的个人信息；

6、国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。

可以看出，个人信息的定义主要沿用了《个人信息保护法》（以下简称“《个保法》”）的定义。

重要数据的概念从2017年《网安法》提出以来，始终没有明确的划定范围。《数安法》（详情请见《数据安全法）正式发布）中，明确了数据分类分级保护的制度，要求各地区、各部门根据数据在经济社会发展中的重要程度确定本地区、本部门、相关行业领域的重要数据目录。

《汽车数据规定》是有强制性法律效力的法规文件中首次明确圈定某个特定行业的重要数据范围，这对于汽车行业相关数据处理者判断哪些数据属于重要数据，需要遵守《数安法》、《网安法》下的特定义务有明确的指导意义。

但我们同时也看到，重要数据的范围和定义仍存在一定的不明确，例如，哪些数据构成“反映经济运行情况的数据”？如何界定“涉及个人信息主体超过10万人的个人信息”？这些在实践中如何解释仍有待主管部门的进一步解释说明。

另外，“涉及个人信息主体超过10万人的个人信息”落入重要数据的范围，也是第一次在法律法规层面提出重要数据可能包含有个人信息的集合这一情形。这一点与过往几年时间内出台的有关重要数据的若干法律法规征求意见稿均不相同，甚至2019年发布的《数据安全管理办法（征求意见稿）》中还专门提出过“重要数据一般不包括企业生产经营和内部管理信息、个人信息等”，可见，监管机关对于重要数据和个人信息的关系的考虑发生了较大的变化。

二、 谁需要遵守《汽车数据规定》？

开展汽车数据处理活动的组织均需要遵守。5月12日发布的征求意见稿中规定的义务主体“运营者”是指汽车设计、制造、服务企业或者机构，而《汽车数据规定》则更为科学的将适用聚焦在数据本身。但凡处理“汽车数据”的处理者即需要遵守《汽车数据规定》。

《汽车数据规定》也列举了主要的汽车数据处理者，包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等。

三、 处理汽车数据需要遵守哪些要求？

1、 合法、正当、具体、明确

根据《汽车数据规定》的规定，汽车数据处理者处理汽车数据应当合法、正当、具体、明确，与汽车的设计、生产、销售、使用、运维直接相关。（第4条）虽然此处并未直接使用《民法典》、《网安法》中的合法、正当、必要原则的表述，但从内容上看是前述三项基本原则在汽车数据处理活动中的适用。

2、 网络安全等级保护和数据安全

《数安法》要求数据处理者落实网络安全等级保护制度，这一要求在《汽车数据规定》中亦有体现，其要求“利用互联网等信息网络开展汽车数据处理活动，应当落实网络安全等级保护等制度，加强汽车数据保护，依法履行数据安全义务”。（第5条）

3、 特定的处理原则

《汽车数据规定》第6条规定，“国家鼓励汽车数据依法合理有效利用，倡导汽车数据处理者在开展汽车数据处理活动中坚持：

（一）车内处理原则，除非确有必要不向车外提供；

（二）默认不收集原则，除非驾驶人自主设定，每次驾驶时默认设定为不收集状态；

（三）精度范围适用原则，根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率；

（四）脱敏处理原则，尽可能进行匿名化、去标识化等处理。”

这一部分的规定采用了比较软性的词汇“鼓励”、“倡导”，仅从文义来看，似乎并未强制汽车数据处理者遵守这些要求。但是，考虑到《个保法》对于处理敏感个人信息要求开展个人信息保护影响评估的要求，我们理解，企业如要突破上述原则，亦需要有充分理由、并采取足够的保护措施以降低对个人权益的影响。

4、 具体的个人信息处理要求

告知

“汽车数据处理者处理个人信息应当通过用户手册、车载显示面板、语音、汽车使用相关应用程序等显著方式，告知个人以下事项：　　 

（一）处理个人信息的种类，包括车辆行踪轨迹、驾驶习惯、音频、视频、图像和生物识别特征等；

（二）收集各类个人信息的具体情境以及停止收集的方式和途径；

（三）处理各类个人信息的目的、用途、方式；

（四）个人信息保存地点、保存期限，或者确定保存地点、保存期限的规则；

（五）查阅、复制其个人信息以及删除车内、请求删除已经提供给车外的个人信息的方式和途径；

（六）用户权益事务联系人的姓名和联系方式；

（七）法律、行政法规规定的应当告知的其他事项。”（第7条）

同意以及其他合法性基础

与征求意见稿不同的是，《汽车数据规定》明确增加了处理个人信息除同意以外的其他法律基础，第8条规定，“汽车数据处理者处理个人信息应当取得个人同意或者符合法律、行政法规规定的其他情形”，这与《个保法》的内容相呼应，也更加符合网联汽车这一特定场景的需求。

由于智能网联汽车运行中，对车辆运行数据、车外环境数据的收集、处理与汽车质量、车辆行驶安全、汽车事故责任分配等有密不可分的关系，如一味要求以授权同意为基础，可能会影响汽车对必要数据的采集。结合这一实际情况，《汽车数据规定》第8条还特别规定，“因保证行车安全需要，无法征得个人同意采集到车外个人信息且向车外提供的，应当进行匿名化处理，包括删除含有能够识别自然人的画面，或者对画面中的人脸信息等进行局部轮廓化处理等。”

敏感个人信息的处理

《汽车数据规定》第9条规定了汽车数据处理者处理敏感个人信息的特别要求：“

（一）具有直接服务于个人的目的，包括增强行车安全、智能驾驶、导航等；

（二）通过用户手册、车载显示面板、语音以及汽车使用相关应用程序等显著方式告知必要性以及对个人的影响；

（三）应当取得个人单独同意，个人可以自主设定同意期限；

（四）在保证行车安全的前提下，以适当方式提示收集状态，为个人终止收集提供便利；

（五）个人要求删除的，汽车数据处理者应当在十个工作日内删除。

汽车数据处理者具有增强行车安全的目的和充分的必要性，方可收集指纹、声纹、人脸、心律等生物识别特征信息。”

可以看出，以上要求基本是《个保法》中既有的要求，但10个工作日内应要求删除是《汽车数据规定》提出的新要求。

处理重要数据的风险评估和报告义务

根据《汽车数据规定》第10-14条的规定，重要数据的处理应当开展风险评估，并向网信部门和有关部门报送风险评估报告（第10条）；重要数据应当在境内存储，出境需通过安全评估（第11条）；汽车数据处理者必须按照出境安全评估时明确的目的、范围、方式、数据种类和规模等出境重要数据，国家网信部门会同国务院有关部门以抽查方式核验（第12条）；同时，汽车数据处理者应履行年度重要数据安全管理情况的报告义务（第13条、第14条）。

根据第15条的规定，国家网信部门、国务院发展改革、工业和信息化、公安、交通运输等有关部门将依据职责，对汽车数据处理者开展数据安全评估。

四、 我们的观察

近来网联汽车、自动驾驶、新势力造车等话题持续升温，但与此同时，智能汽车带来的隐私问题、数据安全问题也屡见不鲜，引起了社会的广泛关注。在国家网信办有关负责人就《汽车数据规定》答记者问中提到，汽车产业涉及国家经济、装备制造、金融、交通运输、生产生活等诸多领域，汽车数据处理能力日益增强、汽车数据规模庞大，同时暴露出的汽车数据安全问题和风险隐患也日益突出。

《汽车数据规定》基本沿用了我国现行法律法规中对于个人信息与重要数据保护的基本框架，但同时结合汽车产业的具体情况提出了新的要求与规定。对于智能网联汽车企业，以及其他可能处理汽车数据的相关企业而言，在落实《网安法》、《数安法》和《个保法》的要求过程中，需要关注本规定对汽车数据的特别要求。

《数安法》即将于9月1日生效，《汽车数据规定》将于10月1日生效，《个保法》亦将于11月1日生效。接下来的几个月，汽车行业的企业面临的合规压力不可谓不显著。如企业过去已有数据合规流程、个人信息保护制度的，则需要考虑查漏补缺，重新审阅和补充相关内容；如尚未建立相关制度的，我们建议企业启动合规项目建设。