望衡法评 |《汽车数据安全管理若干规定（试行）》要点导读

2021年8月20日，国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部五部门联合发布《汽车数据安全管理若干规定（试行）》（以下简称“《规定》”），将自2021年10月1日起施行。《规定》是我国首部针对汽车数据安全管理的部门规章，回应了智能汽车产业和车联网技术快速发展背景下日益突出的汽车数据安全问题。

《规定》共计19条，主要内容包括汽车数据的相关概念、汽车数据处理的原则、个人信息处理相关要求等，本文将对《规定》的重要内容进行梳理。

《规定》第三条明确，汽车数据包括汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据。

进一步，《规定》将汽车数据分为“个人信息”和“重要数据”两类，通过两个方向实现对汽车数据的全面保护，一方面，“个人信息”注重私权领域，强调对可识别到自然人的信息的保护；另一方面“重要数据”则注重对国家、社会层面有较大影响的数据保护。其中，个人信息指以电子或者其他方式记录的与已识别或者可识别的车主、驾驶人、乘车人、车外人员等有关的各种信息（包括车辆行踪轨迹、驾驶习惯、音频、视频、图像和生物识别特征），不包括匿名化处理后的信息。重要数据包括六类，主要包括可能危害国家安全、公共利益或者个人、组织合法权益的数据。值得注意的是，“个人信息”与“重要数据”的范围亦存在交叉，如涉及个人信息主体超过10万人的个人信息属于重要数据。

可见，《规定》在汽车数据定义上沿用了个人信息和重要数据两分法：一方面便于与《民法典》《个人信息保护法》等法律衔接，为在汽车数据管理领域适用个人信息权益和隐私权保护相关规定留出空间；另一方面便于与《数据安全法》和重要数据出境安全评估方面的规定相衔接，化解汽车数据安全风险、维护国家安全利益。

此外，《规定》第三条还给出了汽车数据中个人敏感信息的定义，即一旦泄露或者非法使用，可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的个人信息，包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。该条将车辆行踪轨迹、生物识别特征纳入个人敏感信息的范围进行保护，与《信息安全技术 个人信息安全规范》附录B的列举相符合，也体现出汽车行业个人敏感信息的特点。

《规定》第三条还明确汽车数据处理者为开展汽车数据处理活动的组织，包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等。

该“汽车数据处理者”定义非常广泛，不仅包含了汽车行业的整个产业链，还包括了与我们日常生活息息相关的出行服务行业。

《规定》确立了汽车数据处理的强制性和倡导性原则两类原则，并不限于《规定》第六条中规定的四大原则。

首先，《规定》作为部门规章，援引了其上位法《网络安全法》《数据安全法》《个人信息保护法》中的数据处理原则，此类原则为强制性原则，在《规定》的第四条、第五条、第七条中有所体现，如汽车数据处理者处理汽车数据应当合法、正当、具体、明确，再如个人信息处理的告知-同意原则。

其次，《规定》第六条中明确了汽车数据处理的四大倡导性原则，即车内处理原则（除非确有必要不向车外提供）、默认不收集原则（除非驾驶人自主设定，每次驾驶时默认设定为不收集状态）、精度范围适用原则（根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率）及脱敏处理原则（尽可能进行匿名化、去标识化等处理）。该四大倡导性原则既确立了汽车数据保护的原则方向，同时又免于加诸汽车数据处理者以严苛义务，对于保护行业发展和促进数据治理工作有重要意义。

《规定》细化了告知-同意原则，将《数据安全法》及《网络安全法》中的原则置于根据汽车行业的应用场景中，设立了细化和场景化的规则，明确了应告知个人的数据种类以及告知方式，具有较强的可操作性。

除告知-同意原则外，《规定》第八条亦明确匿名化处理原则。该原则能够有效保护汽车运行过程中采集到的车外人员的个人信息。

1、告知

《规定》第七条要求汽车数据处理者处理个人信息应当通过用户手册、车载显示面板、语音、汽车使用相关应用程序等显著方式告知个人，具体告知事项包括处理个人信息的种类，收集各类个人信息的具体情境以及停止收集的方式和途径，处理各类个人信息的目的、用途、方式等。

2、征得同意

《规定》第八条第一款明确汽车数据处理者处理个人信息应当取得个人同意，或者符合法律、行政法规规定的其他情形。“其他情形”应指《个人信息保护法》第十三条所规定的，当处理个人信息出现如为履行法定职责或者法定义务所必需等特殊事项时，不需取得个人同意。

3、匿名化处理

《规定》第八条第二款规定因保证行车安全需要，无法征得个人同意采集到车外个人信息且向车外提供的，应当进行匿名化处理，包括删除含有能够识别自然人的画面，或者对画面中的人脸信息等进行局部轮廓化处理等。

《规定》在重要数据处理方面规定了风险评估报告、出境安全评估、抽查核验、年度报告、年度补充报告等具体要求。此类要求在《数据安全法》《网络安全法》中均已有相关规定，而《规定》根据汽车行业的特征将上述规则进行细化，使其更适应实践需要。

1、风险评估报告

《规定》第十条要求汽车数据处理者开展重要数据处理活动应当按照规定开展风险评估，并向省、自治区、直辖市网信部门和有关部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量、范围、保存地点与期限、使用方式，开展数据处理活动情况以及是否向第三方提供，面临的数据安全风险及其应对措施等。

2、出境安全评估

《规定》第十一条规定重要数据应当依法在境内存储，因业务需要确需向境外提供的，应当通过国家网信部门会同国务院有关部门组织的安全评估。

3、年度报告

《规定》第十三条要求汽车数据处理者应当在每年十二月十五日前向省、自治区、直辖市网信和有关部门报送年度汽车数据安全管理情况。

4、年度补充报告

《规定》第十四条规定向境外提供重要数据的汽车数据处理者除年度报告外，还应当补充报告出境汽车数据的种类、规模、目的和必要性等相关情况。

5、抽查核验

《规定》第十五条规定国家网信部门会同国务院有关部门以抽查等方式核验汽车数据出境评估有关事项，汽车数据处理者应当予以配合。

《数据安全法》及《个人信息保护法》中均要求重要数据处理者或个人信息处理者应明确数据安全负责人或个人信息保护负责人。相应地，《规定》第七条、第十三条要求汽车数据处理者应有汽车数据安全管理负责人及用户权益事务联系人。

另，《规定》第十七条要求汽车数据处理者建立投诉举报渠道，并规定汽车数据处理者应对开展汽车数据处理活动造成用户合法权益或者公共利益受到损害承担相应责任。

《规定》的主要内容基本契合当下汽车行业发展过程中对汽车数据保护的需要，其公布将有利于防范化解汽车数据安全风险、保障汽车数据依法合理有效利用、促进汽车行业发展，具有重要的实践意义。目前《规定》仅处于试行阶段，未来与新出台的《个人信息保护法》等法律及大量行业标准如何协调适用，如何应对汽车行业的快速发展和层出不穷的数据处理场景，仍有一定挑战性，值得密切关注。