《汽车数据安全管理若干规定（试行）》要点解读

作者：

丁恒 崔贤今 王诗梦 金享

2021年8月16日，国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合发布《汽车数据安全管理若干规定（试行）》（以下简称《规定》），自2021年10月1日起施行。《规定》在《网络安全法》等法律法规既有规定的基础上，对实践中汽车行业关注较大的数据安全问题进行了规定。本文将对《规定》的9大要点进行分析。

国家互联网信息办公室有关负责人表示，出台《规定》旨在规范汽车数据处理活动，保护个人、组织的合法权益，维护国家安全和社会公共利益，促进汽车数据合理开发利用。

要点1：概念更迭、适用对象覆盖全行业、全链条

相较于国家互联网信息办公室于2021年5月12日发布的《规定（征求意见稿）》（以下简称《征求意见稿》），正式施行的《规定》中将原有的“运营者”概念转换为“汽车数据处理者”，“运营者”概念可能是派生自《网络安全法》中的“网络运营者”，而转换为“汽车数据处理者”则更贴近汽车行业实务中对数据的处理模式。

因此，从产品的研发设计到销售给终端客户后的管理汽车的全生命周期中，汽车数据处理者均应当按照《规定》的要求处理个人信息或重要数据。我们认为，《规定》在进一步精简、概括的基础上，将整个汽车行业全链条上几乎所有的经营者都纳入了《规定》的适用范围。

要点2：受保护的信息范围呈现汽车行业特征

我们认为，上述规定与《信息安全技术 网联汽车 采集数据的安全要求（草案）》（以下简称《网联汽车 采集数据的安全要求》）第3.3条交通参与者[1]的定义相似，应当理解为所有可能被车辆收集到个人信息的主体。

此前，对于重要数据的定义及范围，《网络安全法》、《数据安全法》（2021年9月1日生效）、《个人信息和重要数据出境安全评估办法（征求意见稿）》[2]（以下简称“《评估办法》”）等相关规定，都未能予以清晰的界定。虽然《信息安全技术 数据出境安全评估指南（征求意见稿）》的附录A《重要数据识别指南》定义并列举了各行业（领域）重要数据的范围，但由于汽车行业未作为一个单独的行业包含在《重要数据识别指南》之内，此前实务中往往是依据地理信息这一大分类来判断重要数据，存在一定的不准确性。

本次《规定》以列举的方式更加有针对性地明确了汽车行业中的重要数据，对汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等均提供了重要指引。其中，《规定》删除了《征求意见稿》中的“高于国家公开发布地图精度的测绘数据”，新增了“车辆流量、物流等反映经济运行情况的数据”。将汽车充电网的运行数据、人脸、车牌等定义为重要数据，对智能网联汽车相关企业在数据的收集与管理过程中的合规工作具有重要影响。

对于重要数据处理活动，《规定》第十条要求汽车数据处理者应当按照规定开展风险评估，并向省、自治区、直辖市网信部门和有关部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量、范围、保存地点与期限、使用方式，开展数据处理活动情况以及是否向第三方提供，面临的数据安全风险及其应对措施等。

要点3：新增“车内”、“车外”的区域概念，契合汽车特有场景

作为高速发展的智能化产物，汽车在车内可以收集车主、驾驶员及乘客的隐私信息，车外可以收集行人、沿途道路及城市的数据信息，确需加以区域划分。就个人信息及重要数据的跨区域提供问题，《网络安全法》《数据安全法》等均主要着力于境内向境外提供这一数据出境的场景，而《规定》在前述规定的基础上新增了“车内”、“车外”的区域概念，契合了汽车行业特有的场景，与今年内发布的《网联汽车 采集数据的安全要求》一同，对汽车数据处理者做出了更明确具体的要求。

结合《规定》第六条及第八条，汽车数据处理者在处理个人信息和重要数据时，首先应坚持车内处理的原则，除非确有必要不向车外提供；确有必要向车外提供的，应尽可能地进行匿名化。其次，《规定》第九条指出，汽车数据处理者处理敏感个人信息时，还应当取得个人单独同意、在保证行车安全的前提下以适当方式提示收集状态，为个人终止收集提供便利等六大要件（详见下述要点5）。这些也将促使汽车数据处理者进一步提高自身的车内处理技术。

要点4：明确汽车数据处理者处理个人信息和重要数据的原则

值得注意的是，《规定》删除了此前《征求意见稿》中的“最小保存期限原则”及“驾驶人的同意授权只对本次驾驶有效”的规定，并将“匿名化处理原则”改为“脱敏处理原则”。我们理解，这是对汽车行业以及车联网产品现实情况的回应，但不意味着监管部门对汽车数据处理监管态度的放宽。

智能网联汽车产业对数据需求量巨大，其采集的数据包括车辆数据、用户数据、地图数据、位置数据、视觉数据、路况数据、业务数据和第三方数据等。《规范》倡导个人信息和重要数据的车载端本地化存储及本地化处理，确有必要向车外提供的，应本着脱敏处理原则，尽可能地进行匿名化和脱敏处理，这将对车载芯片计算能力及车辆本地存储能力提高了更高的要求。

要点5：细化个人敏感信息的处理要求

关于个人敏感信息，是指一旦泄露或者非法使用，可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的个人信息，包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。与个人信息相同，个人敏感信息的范围也扩大至除车主以外的驾驶人、乘车人、车外人员等。

相比于《征求意见稿》，《规定》对于敏感个人信息相关规定进行了较大修改，删除了《征求意见稿》中提到的“默认不收集、每次都应当征得驾驶人同意授权，驾驶结束（驾驶人离开驾驶席）后本次授权自动失效”的规定，增加了“取得个人单独同意，个人可以自主设定同意期限”的要求。我们认为，《规定》的上述要求较《征求意见稿》而言更为灵活，将同意期限的决定权交给个人，代替每次都须取得同意的要求。

此外，关于保存时间，《网络安全法》及《个人信息安全规范》对个人信息的删除期限没有明确规定。《规定》要求个人要求汽车数据处理者删除时，汽车数据处理者应当在十个工作日内删除。在《网联汽车 采集数据的安全要求》中规定的保存时间则更短，要求网联汽车采集的车辆位置、轨迹相关数据在车内存储设备、远程信息服务平台（TSP）中保存时间均不得超过7天。而在《个人信息安全规范》中，则要求在验证个人信息主体身份后，应及时响应个人信息主体提出的删除信息请求，应在30天内或法律法规规定的期限内作出答复及合理解释，并告知个人信息主体外部纠纷解决途径。

要点6：明确了个人信息与重要数据跨境传输的相关要求

根据《规定》第十一条，重要数据应当在境内存储，因业务需要确需向境外提供的，应当通过国家网信部门会同国务院有关部门组织的安全评估。

本次《规定》删除了《征求意见稿》中要求个人信息原则上应当在境内存储的要求，仅对重要数据的境内存储义务进行了规定。对于未列入重要数据的涉及个人信息数据的出境安全管理，适用法律、行政法规的有关规定。我国缔结或者参加的国际条约、协定有不同规定的，适用该国际条约、协定，但我国声明保留的条款除外。

关于个人信息的存储问题，根据《个人信息保护法》第四十条的规定，“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定。”实践中，由于车企往往会收集处理大量个人信息，不排除被认定为关键信息基础设施运营者的可能性，此时，汽车数据处理者仍将承担将个人信息存储在境内的义务。

并且，关于个人信息的跨境提供，《个人信息保护法》第三十八条中则提到，“个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：

（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；

（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；

（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；

（四）法律、行政法规或者国家网信部门规定的其他条件。

中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。

个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。”

同时，个人信息处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。（《个人信息保护法》第三十九条）。

《网联汽车 采集数据的安全要求》第7条也提到，“网联汽车通过摄像头、雷达等传感器从车外环境采集的道路、建筑、地形、交通参与者等数据，以及车辆位置、轨迹相关数据，不得出境。网联汽车行驶状态参数、异常告警信息等数据如需出境，应当符合国家关于数据出境的相关规定。网联汽车通过加密方式跨境传输数据的，当监管部门开展抽查验证时，应提供传输的数据格式、加密方式等信息，并按要求明文提供相关数据内容。”

此外，《规定》针对汽车数据处理者向境外提供重要数据还提出了如下要求：

1. 汽车数据处理者向境外提供重要数据，不得超出出境安全评估时明确的目的、范围、方式和数据种类、规模等。

2. 国家网信部门会同国务院有关部门以抽查等方式核验上述规定事项，汽车数据处理者应当予以配合，并以可读等便利方式予以展示。

3. 在每年向省、自治区、直辖市网信部门和有关部门报送年度汽车数据安全管理情况时（应当于每年十二月十五日前），应当补充报告接收者的基本情况；出境汽车数据的种类、规模、目的和必要性；汽车数据在境外的保存地点、期限、范围和方式；涉及向境外提供汽车数据的用户投诉和处理情况；国家网信部门会同国务院工业和信息化、公安、交通运输等有关部门明确的向境外提供汽车数据需要报告的其他情况。

要点7：明确了用户同意的特殊规定

无论是在《民法典》《网络安全法》《个人信息保护法》还是本次发布的《规定》，收集、使用个人信息应当取得被收集人同意是共通的基本规定。但在《规定》发布之前，汽车行业确实面临实际操作中无法完全符合“取得用户同意”之规定的困境。如在自动驾驶技术中，需要集成大量的摄像头、雷达、测速仪、导航仪等各类传感器，通过实时获取路况、环境、车辆及用户数据等数据来完成，在此过程中，无法避免地会收集到行人的个人信息，而要取得行人的明示同意在实践操作中是不可能完成的。

就此，《规定》第八条规定，“因保证行车安全需要，无法征得个人同意采集到车外个人信息且向车外提供的，应当进行匿名化处理，包括删除含有能够识别自然人的画面，或者对画面中的人脸信息等进行局部轮廓化处理等。”

要点8：数据安全年报制度

本次《规定》删除了《征求意见稿》对于“涉及个人信息主体超过10万人”这一范围的限定，将数据安全年报报送义务主体扩大至所有汽车数据处理者。

要点9：加强数据安全管理的平台建设、建立投诉举报通道

关于汽车数据安全监督管理和保障，《规定》此次新增了明确国家加强智能（网联）汽车网络平台建设，开展智能（网联）汽车入网运行和安全保障服务等，协同汽车数据处理者加强智能（网联）汽车网络和汽车数据安全防护。（《规定》第十六条）国家互联网信息办公室有关负责人也指出，汽车数据安全管理需要政府、汽车数据处理者、个人等多方主体共同参与，各有关部门在汽车数据安全管理过程中，将加强协调和数据共享，形成工作合力。

并且，《规定》也对汽车数据处理者开展汽车数据处理活动提出了新的要求，即应当建立投诉举报渠道，设置便捷的投诉举报入口，及时处理用户投诉举报。相较于《征求意见稿》，《规定》进一步扩大了接受用户投诉举报的范围，不仅局限于“向境外提供个人信息或者重要数据”，并对汽车数据处理者的投诉应对及损害赔偿作出了明确规定。

此外，该条规定催生了数据安全年报制度，《规定》实施后，车企都不可避免须在年底提交数据年报，很大程度上也愈加规范了汽车数据处理者对汽车数据的合理合法使用及保护。

小结

整体来看，《规定》的内容基本与此前发布的个人信息及重要数据相关规定一脉相承，同时从汽车行业的各项场景实际出发，针对其复杂、繁多的数据主体，以汽车数据处理者及监管者为侧重，有的放矢地提出了各方面数据安全监管要求及措施，对于汽车领域的标准化、规范化数据安全发展来说，具有非常大的意义。

[注] 

[1] 交通参与者是指参与交通活动的人，例如行人，使用非机动车的人，驾驶或者乘坐机动车的人，以及使用其他交通工具的人。

[2] 根据第十七条，重要数据，是指与国家安全、经济发展，以及社会公共利益密切相关的数据，具体范围参照国家有关标准和重要数据识别指南。

The End

 作者简介

丁恒  律师

上海办公室  合伙人

业务领域：跨境投资并购, 反垄断和竞争法, 网络安全和数据保护

特色行业类别：能源与自然资源

崔贤今  

上海办公室   公司业务部

王诗梦  律师    

上海办公室   公司业务部 

金享 

上海办公室  公司业务部

作者往期文章推荐

《竞争者间信息交换的反垄断法风险浅析》

《解读自动驾驶行业准入法律门槛》

《一文详解企业复工实操及合规管理》

特别声明：

以上所刊登的文章仅代表作者本人观点，不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。

如需转载或引用该等文章的任何内容，请私信沟通授权事宜，并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权，不得转载或使用该等文章中的任何内容，含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨，欢迎与本所联系。

点击“阅读原文”，可查阅该专业文章官网版。