智能网联汽车测绘信息安全管理再加强

汽车行业的智能化发展方向完全契合国家关于新质生产力的发展定位，并且在推动内需增长和保障产业链安全方面发挥了重要作用。我国在不断推出各类政策性文件鼓励智能网联汽车的发展的同时，也出台了一系列文件对智能网联汽车研发、使用等全生命流程中产生的个人隐私、数据合规、国家安全等问题予以规制。2024年7月26日，自然资源部印发《关于加强智能网联汽车有关测绘地理信息安全管理的通知》（自然资发〔2024〕139号，以下简称“《139号通知》”），这也是自然资源部自2022年8月25发布《自然资源部关于促进智能网联汽车发展维护测绘地理信息安全的通知》（自然资规〔2022〕1号，以下简称“《1号通知》”）以来，为维护测绘地理信息安全、促进智能网联汽车发展而印发的又一项重要通知。 

 《139号通知》并未在现有测绘、地图等法律框架的基础上新增法律义务，而是根据实践发展，对目前智能网联汽车行业中的一些问题做了针对性的回复和进一步解释，厘清了特定场景下企业的合规责任。我们认为以下几点值得智能网联汽车行业的企业予以特别关注。

1、进一步明确测绘行为的认定

《中华人民共和国测绘法》对测绘有相对模糊的定义，“测绘”是指“对自然地理要素或者地表人工设施的形状、大小、空间位置及其属性等进行测定、采集、表述，以及对获取的数据、信息、成果进行处理和提供的活动。”这一定义自2002年的《测绘法》即未曾修改过。

2016年，主管部门发布了相对简短的《关于加强自动驾驶地图生产测试与应用管理的通知》，该通知并未就智能网联汽车沿路收集数据是否构成测绘行为作出直接回应。直到2022年《1号通知》明确提出，“智能网联汽车安装或集成了卫星导航定位接收模块、惯性测量单元、摄像头、激光雷达等传感器后，在运行、服务和道路测试过程中对车辆及周边道路设施空间坐标、影像、点云及其属性信息等测绘地理信息数据进行采集、存储、传输和处理的行为，属于《中华人民共和国测绘法》规定的测绘活动，应当依照测绘法律法规政策进行规范和管理。各类车载传感器以及智能网联汽车的制造、集成、销售等，不属于法定的测绘活动。”

《139号通知》第1条与《1号通知》的规定基本相同，仅在细节处做了修改，删除了对传感器的列举，增加了实景影像（视频和影像等环境感知数据）、道路拓扑数据等具体采集的数据类型举例，使得智能网联汽车相关的测绘行为的定义更加明确。

2、加强和明确对测绘资质要求、对车企与图商合作模式的要求

根据《测绘法》第27条，国家对从事测绘活动的单位实行测绘资质管理制度。因此，在认定智能网联汽车对车辆及周边信息的采集、存储、传输和处理行为构成测绘行为的基础上，自然可推导出上述测绘行为需要相应的测绘资质。

《139号通知》明确指出，“智能网联汽车使用的基础地图、高级辅助驾驶地图、高精度地图、自动驾驶地图等属于导航电子地图”。根据2021年自然资源部印发的《测绘资质管理办法》和《测绘资质分类分级标准》，制作导航电子地图的行为主体需具有导航电子地图制作测绘资质。

根据《1号通知》第3-4条的规定，属于内资企业的，应依法取得相应测绘资质，或委托具有相应测绘资质的单位开展相应测绘活动；属于外商投资企业的，应委托具有相应测绘资质的单位开展相应测绘活动。这是因为外商投资企业被禁止从事地面移动测量、导航电子地图编制。

2022年以来，甲类导航电子地图测绘资质收紧，仅19家企业的甲级资质获得确认，其中滴滴旗下的滴图(北京)科技有限公司、小鹏收购的江苏智途科技股份有限公司、上汽和东风投资的江苏晶众信息科技有限公司以及京东等企业均未能通过复审¹。因此，目前汽车厂商多数采用的方式是与有资质的图商合作，但实务中图商的地图迭代速度、采集效率等难以满足车企实践需求。²后续无测绘资质的车企如何寻求合规的测绘方案将成为自动驾驶研发过程中的关键问题。

值得注意的是，《139号通知》第5条还专门强调，“智能网联汽车采集、收集的用于导航相关活动以及地图制作、更新的地理信息数据，直接传输至具备导航电子地图制作测绘资质的单位管理，其他单位或个人不得接触”。因此，无测绘资质的车企在与图商的合作中，还需特别注意合作技术细节方面的安排，包括数据的采集不得进入车企机房，应直接传输至图商，且车企、车企员工不得接触该等原始数据。

3、严格涉密、敏感地理信息数据管理

测绘数据在我国监管框架下可能触发多层监管要求，例如，2021年发布的《汽车数据安全管理若干规定》定义了汽车领域的重要数据范围，其中就包括“军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据”，“包含人脸信息、车牌信息等的车外视频、图像数据”。同时，从国家秘密的角度，测绘数据应根据《测绘地理信息管理工作国家秘密范围的规定》、《测绘地理信息管理工作国家秘密目录》等文件明确涉密测绘成果范围。

《139号通知》进一步强调了涉密涉敏地理信息数据的管理，提出了三方面要求：一是各地对测绘资质单位的监督；二是强化涉密涉敏地理信息数据管理，不得擅自提供涉密或敏感地理信息；三是提出通过未经国家认定的地理信息保密处理技术处理的数据，其秘密等级不得降低。

4、首次明确提出地理信息数据本地化存储要求

《1号通知》第5条要求，“目前已在提供智能网联汽车售后和运营服务的企业，存在向境外传输相关空间坐标、影像、点云及其属性信息等测绘地理信息数据行为或计划的，应严格执行国家有关法律法规，依法履行对外提供审批或地图审核程序等，在此之前应停止数据境外传输行为。”但即便是《1号通知》该条也未明确说明“地理信息数据必须存储于境内”。《139号通知》出台前，在现行法律法规框架下，对于非涉密、涉敏测绘数据，如也未落入重要数据范围，是否必须本地化其实并无定论。但《139号通知》第5条明确提出“地理信息数据必须存储于境内”，并且，“申请向境外提供地理信息数据的，必须严格履行对外提供审批或地图审核程序，并落实数据出境安全评估等有关规定”。但实践中该等提供的审批、审核程序与数据出境安全评估程序如何衔接，测绘主管部门与网信部门如何协调合作仍有待检验。

5、鼓励地理信息安全应用探索

尽管《139号通知》的整体基调是进一步加强对智能网联汽车涉及测绘管理规定的合规要求，但也花了不少篇幅强调对相关行业创新和应用的支持。例如，第7条提到，“在确保安全合规的前提下，支持车企、服务单位探索智能网联汽车地理信息数据众源采集、实时更新、在线分发、安全传输等安全合规技术路线”。因此，尽管相关细节尚未出台落地，我们理解，《139号通知》的本质目的仍然是希望在合规基础上促进、鼓励相关行业的发展。

我们的观察

如上文所述，《139号通知》实质上并未在现行法律法规框架下增设企业的合规义务，实际上，《139号通知》提出的诸多要求本是我国测绘相关法律法规、国家秘密、重要数据等相关法律法规下的应有之义，其出台主要是为进一步明确、澄清和加强相关要求。我们建议从业企业根据这些重申要点进一步对目前的数据采集、处理、与图商的合作模式、数据存储等方面开展合规自查，在严守安全底线的前提下谋求企业的进一步健康发展。

* 实习生庞怡凡对本文亦有贡献

1. https://cj.sina.com.cn/articles/view/1700827801/65609299001017jdb

2. https://m.ofweek.com/auto/2022-09/ART-70109-8420-30574115.html