股市瞬息万变，投资难以决策？来#A股参谋部#超话聊一聊，[点击进入超话]

原标题：五部门发布汽车数据安全新规 减少无序收集和违规滥用

本报记者 裴昱 北京报道

随着智能化、网联化程度的不断提高，汽车成为数据收集的重要来源之一，数据安全隐患日益突出。在此背景下，汽车数据安全的相关规定也按下了快进键。

近日，国家网信办等五部门联合发布《汽车数据安全管理若干规定（试行）》（以下简称《规定》），自2021年10月1日起施行。

《规定》首次对处理汽车相关重要数据、个人信息提出了具体要求，对实操的指引性非常具体。“《规定》既管数据又管个人信息，几乎涉及到汽车行业的整个产业链，对相关企业影响很大，也拉开了行业数据监管的序幕。”金诚同达律师事务所高级合伙人彭凯告诉《中国经营报》记者。

明确重要数据定义

在汽车数据规模庞大，数据处理能力越来越强大的同时，过度收集重要数据；未经用户同意，违规处理个人信息；未经安全评估，违规出境重要数据等问题也越来越突出，为了防范化解汽车数据安全风险，《规定》应运而生。

“从4月份征求意见稿到《规定》最终颁布，可以说是非常快的，监管层正在加速弥补新技术带来的立法空白。”一位数据安全领域的资深律师告诉记者。

《规定》共十九条，倡导汽车数据处理者在开展汽车数据处理活动中坚持“车内处理”“默认不收集”“精度范围适用”“脱敏处理”等数据处理原则，减少对汽车数据的无序收集和违规滥用。

《规定》明确了汽车数据、汽车数据处理的定义，包括汽车数据的收集、存储、使用、加工、传输、提供、公开等，涉及汽车数据处理的全生命周期。“这对行业的影响是很大的，几乎所有汽车相关企业都要根据《规定》作出新的合规安排。”彭凯说。

在目前的数据安全管理体系中，对数据的识别有一个重要维度，就是要区分是重要数据还是普通数据，不同行业可以制定自己的重要数据识别指南。《规定》对汽车行业的重要数据作出了定义式的列明，彭凯认为：“对特定行业重要数据作出定义，这在其他法律法规中是没有的，非常具有实操性。”

《规定》第三条对汽车数据、汽车数据处理者、个人信息、敏感个人信息和重要数据都作出了说明。其中，明确了重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益或者个人、组织合法权益的数据，包括汽车充电网的运行数据、涉及个人信息主体超过10万人的个人信息等在内共6类。

重要数据是否包含个人信息的争议一直存在，一位法律专家表示，分类中包含涉及个人信息主体超过10万人的个人信息，表明个人信息、尤其是超过一定体量的个人信息也属于重要数据，澄清了这一争议。

“《规定》对重要数据的认定方式，对其他行业做数据识别指南时也有重要的参考意义。”彭凯说。

“我们在做数据识别的时候，往往比较难区分哪些是重要数据，明确定义对我们下一步的合规工作有指导性。”一位汽车企业的相关工作人员说。

个人信息收集应征得同意

目前智能汽车收集信息的行为大都是默认的，人脸识别、疲劳监测、辅助驾驶等功能的应用，提高了驾驶安全性和用户体验，但也在用户信息安全上产生一些隐患和漏洞。

对此，《规定》作出了相应要求，在个人信息保护上也遵循了告知同意原则，这一原则是个人信息保护的主要合法性来源。《规定》将个人信息主体的同意方式交由个人信息主体自主决定。

《规定》第六条第二款的默认不收集原则，除非驾驶人自主设定，每次驾驶时默认设定为不收集状态。第八条规定，汽车数据处理者处理个人信息应当取得个人同意或者符合法律、行政法规规定的其他情形。

此外，涉及个人敏感信息的，第九条的相关规定中还包括应当取得个人单独同意，个人可以自主设定同意期限。

“《规定》中关于个人信息的处理是很有汽车行业特色的，除了前置同意外，第八条第二款还说明了一些例外情况，就是为了保证行车安全时，无法征得个人同意采集到的车外个人信息且向车外提供的，要进行匿名化处理。”彭凯认为，现实中，自动驾驶、辅助驾驶等功能的实现都需要通过摄像头等收集汽车内外部数据，通过这几条规定，对车内车外的收集个人信息的情况都做了规定。

值得注意的是，对于个人敏感信息的相关要求中提到，个人要求删除的，汽车数据处理者应在10个工作日内删除。

彭凯告诉本报记者，现在对于个人信息的处理，行业内通行的做法是15个工作日删除，《规定》将个人敏感信息的处理要求规定为10个工作日，更严格了。

重要数据本地化存储

“当前国家对重要数据的保护一再强调本地化存储，确有需要出境的要进行安全评估，这一点无论是《规定》还是《数据安全法》《个人信息保护法》都遵循这一大原则。”前述法律专家说。

《规定》第十一条、十二条就明确了重要数据应当依法在境内存储，因业务需要确需向境外提供的，应当通过国家网信部门会同国务院有关部门组织的安全评估。通过安全评估后，汽车数据处理者还要确保向境外提供重要数据，不得超出出境安全评估时明确的目的、范围、方式和数据种类、规模等。

今年5月，《规定》在征求意见稿阶段，特斯拉官方就发布消息称，目前，特斯拉已经在中国建立数据中心，以实现数据存储本地化，并将陆续增加更多本地数据中心。所有在中国大陆市场销售车辆所产生的数据，都将存储在境内。

而今年早些时候颁布的《信息安全技术网联汽车采集数据的安全要求（草案）》也提到网联汽车通过摄像头、雷达等传感器从车外环境采集的道路、建筑、地形、交通参与者等数据， 以及车辆位置、轨迹相关数据， 不得出境，细化了不得出境的汽车数据。可见，近年来国家层面对于汽车数据安全非常重视。

对于重要数据的处理，《规定》还明确了报送义务，即第十条规定汽车数据处理者开展重要数据处理活动时的风险评估与报送义务，并且明确要求需要向主管部门告知所处理的重要数据的种类、数量、范围、保存地点与期限、使用方式，开展数据处理活动情况以及是否向第三方提供，面临的数据安全风险及其应对措施等。

第十三条还提到了每年12月25日要向有关部门报送重要数据处理情况。这些固定化、常态化的监管措施会强化事中监管的效果，也是下一步企业合规的重要方向。

2021年7月发布的《中国互联网发展报告（2021）》显示，2020年，中国智能网联汽车销量为303.2万辆，同比增长107%，渗透率在15%左右。

伴随着一系列法律法规的发布，面向智能网联汽车数据安全和信息安全的标准体系正在逐步形成。“除了在创新研发上的投入，未来智能网联汽车的发展也将越来越规范化。”一位汽车行业分析师说。

责任编辑：王翔