新规视角：车联网系统下的汽车数据合规

新规视角：车联网系统下的汽车数据合规本站　　2021 年 5 月 12 日，为了加强个人信息和重要数据保护，规范汽车数据处理活动，维护和公共利益，国家互联网信息办公室发布《汽车数据安全管理若干规定（征求意见稿）》（以下简称《征求意见稿》）

　　2021 年 5 月 12 日，为了加强个人信息和重要数据保护，规范汽车数据处理活动，维护和公共利益，国家互联网信息办公室发布《汽车数据安全管理若干规定（征求意见稿）》（以下简称《征求意见稿》）。该规定在明确适用范围、处理原则的基础上，对运营者信息和数据处理规则、境内存储规则、数据出境规则以及监督报告要求等进行了细化规定。本文就结合将《征求意见稿》、《网络安全法》、《个人信息安全规范》、《个人信息保（草案）》（二次审议稿）、《个人信息出境安全评估办法（征求意见稿）》等相关法律、法规逐一进行梳理，并从汽车行业运营者的企业信息、数据安全和管理角度进行专业解读。

　　（一）地域范围，即只约束发生在中国境内的信息处理行为，其中主体向境外提供数据的，也只约束其在境内的行为。

　　（二）主体范围，即运营者。《征求意见稿》以不完全列举的方式对运营者进行了定义，包括汽车制造商、部件和软件提供者、经销商、维修机构、网约车企业、保险公司等。该定义极为宽泛，几乎涵盖了智能汽车行业的全部上下游主体。举例而言，以比亚迪汽车制造商为起点，作为其部件和软件提供者之一的华为公司，作为经销商和维修机构的比亚迪汽车各地4S店及维修店，提供网约车服务的滴滴出行、神州专车、美团打车等企业，以及中国平安、太平洋保险等保险公司，都将处于《征求意见稿》所规范的主体链条上，《车联网信息服务用户个人信息保护要求》第3.1条就是最好的印证。基于此，我们认为在未来的行业监管中只要是涉及到汽车设计、生产、销售、运维、管理过程的各个主体，都将受到《征求意见稿》的强制约束。

　　（三）对象范围，即汽车数据中的个人信息和重要数据。对于个人信息，《征求意见稿》第三条第二款规定包括车主、驾驶人、乘车人、行人等的个人信息，并以“能推断个人身份、描述个人行为”作为界定个人信息的标准。《车联网信息服务用户个人信息保护要求》第3.1条对于车联网信息服务用户个人信息进行了特别定义，即车联网产业相关的汽车厂商、零部件和元器件提供商、软件提供商、数据和内容提供商在提供服务过程中收集的能够单独或与其他信息结合识别用户和涉及用户个人隐私的信息。

　　所谓重要数据，主要是指汽车交通运输活动时周围的环境情况数据以及其本身依赖的基础设施的情况数据，包括①军事管理区、国防科工等涉及国家秘密的单位、县级以上党政机关等重要敏感区域的人流车流数据；②高于国家公开发布地图精度的测绘数据；③汽车充电网的运行数据；④道路上车辆类型、车辆流量等数据；⑤包含人脸、声音、车牌等的车外音视频数据；⑥国家网信部门和国务院有关部门明确的其他可能影响、公共利益的数据。

　　在《信息安全技术数据出境安全评估指南（征求意见稿）》的附录A（规范性附录）重要数据识别指南中，对重要数据的具体识别进行了详细规定，运营者在实践中可以参考该指南进行数据类别划分。

　　《征求意见稿》第四条、第五条、第六条对于汽车运营者数据处理制定了两项强制性原则和五项倡导性原则：

　　一是进行了目的要求，即处理个人信息或重要数据的目的应当是与汽车设计、制造、服务直接相关的。此处强调处理目的与相关生产、服务直接相关，而非间接相关，不同产业链的上下游主体之间合作，针对不同阶段主体生产的合作是否是直接相关有待观察。

　　二是进行了责任落实，即将数据保护的责任落实到收集数据、使用数据、持有数据的主体身上。《个人信息保（征求意见稿）》提出“共同处理者”，智能汽车生产、制造环节较多，共同合作的机率较高，一旦被认定为共同处理者各主体就需要注意相关合作机构之间针对数据合规的权利与义务、责任分工等。

　　相较于上述两项强制性原则，《征求意见稿》又提出了更具体的五项倡导性原则，包括：（1）车内处理原则，除非确有必要不向车外提供；（2）匿名化处理原则，确有必要向车外提供的，尽可能地进匿名化和脱敏处理；（3）最小保存期限原则，根据所提供功能服务分类型确定数据保存期限；（4）精度范围适用原则，根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率；（5）默认不收集原则，除非确有必要，每次驾驶时默认为不收集状态，驾驶人的同意授权只对本次驾驶有效。

　　本文将运营者采集的信息、数据按照采集场景、个人信息的重要程度以及环境数据的类型不同进行分类梳理：

　　均应当在境内存储。同时为了防止数据流失、维护数据安全，运营者应当在其科研和商业合作伙伴查询利用存储数据时，严格限制其对用户重要数据、个人敏感信息以及可用于判断违法违规驾驶的数据进行查询利用。

　　由于智能汽车收集的数据包含测绘的地理数据、气象数据、个人的生物数据等，一旦涉及到出境，或者数据出境未严格保护拟出境的数据，都有可能会对相关行业和造成一定影响。因此，《征求意见稿》区别于《个人信息保（征求意见稿）》，要求只要涉及数据出境都应当通过国家网信部门的安全评估（本所在 2020 年曾帮助客户完成国内首个数据出境行政评估案例），对运营者向境外提供信息、数据的情形，制定了以下具体要求：

　　第二，不得向境外提供超出评估时确定的目的、范围、方式和数据类型、规模的信息和数据。且在接受国家网信部门会同国务院有关部门的抽查核验时，运营者应当以明文、可读的方式展示相关内容。

　　2019年国家互联网信息办公室发布的《个人信息出境安全评估办法（征求意见稿）》，对上述规定中的数据处境安全评估、监督接收方的具体内容和方式等都进行了细化规定。从风险规避角度看，为了减少用户授权的获取程序、避免承担跨境传输造成他人或公共利益损害的法律责任，本文建议运营者在采集的数据时严格遵循本地存储原则，管理和约束好上下游企业，并且完善相关数据出境内部管理制度，聘请专业律师积极与监管部门沟通，建立常态化审核机制，最大化服务于业务发展，最小化规避数据出境法律风险。

　　对于处理个人信息主体超过10万人、处理重要数据以及向境外提供数据的运营者，《征求意见稿》要求其每年十二月十五日前向省级网信部门和有关部门报告年度数据安全管理情况，并对报告的具体内容进行了明确：

　　对于处理个人信息涉及个人信息主体超过10万人、或者处理重要数据的运营者，其报告应当包括：（1）数据安全负责人以及负责处理用户权益相关事务责任人的姓名和联系方式；（2）处理数据的类型、规模、目的及必要性；（3）数据的安全防护和管理措施，包括保存地点、期限等；（4）与境内第三方共享数据情况；（5）数据安全事故及处理情况；（6）与个人信息和数据相关的用户投诉及处理情况；（7）国家网信部门明确的其他数据安全情况。

　　对于存在向境外提供数据情况的运营者，应当在上述报告要求的基础上，补充报告以下内容：（1）接收者的名称和联系方式；（2）出境数据的类型、数量及目的；（3）数据在境外的存放地点、使用范围和方式；（4）涉及向境外提供数据的用户投诉及处理情况；（5）国家网信部门明确的向境外提供数据需要报告的其他情况。

　　虽然《征求意见稿》仍然会进行修改和完善，但结合《个人信息保》、《数据安全法》等法律法规的立法动态来看，一旦《个人信息保》《数据安全法》出台，赋予行业内部门和地方立法工作将会拉开序幕，汽车行业立法也表明未来部门立法将以迫切需求为先后，针对特殊行业、特定需求而逐步开展，相关规定也一定会越来越细化，更具实操性。

　　根据《征求意见稿》的相关规定，可以推断《汽车数据安全管理若干规定》的正式稿与征求意见稿之间内容变动不会很大，但由于正式稿还未颁布，我们建议汽车行业的相关市场主体在关注《汽车数据安全管理若干规定》的立法进程的同时，着手准备企业数据安全管理的合规工作，尽快将企业运营风险降到最低。