凤凰网汽车

智能汽车的快速发展，引发了人们对于个人隐私及汽车数据安全等问题的高度关注。与此同时，我国智能汽车产业已经进入全新的发展阶段，随着相关技术和产品普及，汽车数据收集和处理能力不断增强，由此产生的汽车数据安全和风险隐患也越来越突出。

在这种情况下，出台更具有针对性的政策法规，为汽车数据收集和处理提供依据迫在眉睫。

8月20日，国家网信办、发改委等五部门联合发布了《汽车数据安全管理若干规定（试行）》（以下简称“《规定》”）。这成为继8月12日《关于加强智能网联汽车生产企业及产品准入管理的意见》发布之后，国内又一个针对汽车数据管理的重要政策文件。

我们先看一看《规定》中都讲了什么内容。

1、哪些活动会受到规范？

在我国境内开展汽车数据处理活动及其安全监管需符合《规定》要求。其中汽车数据处理活动，涉及汽车数据的收集、存储、使用、加工、传输、提供、公开等。

2、哪些企业将受到规范？

汽车制造商、零部件和软件供应商、经销商、维修机构、出行服务企业等。

3、涉及到的个人信息包括哪些？

《规定》中，汽车数据指的是汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据。

其中，个人信息是指以电子或者其他方式记录的与已识别或者可识别的车主、驾驶人、乘车人、车外人员等有关的各种信息，不包括匿名化处理后的信息。

4、敏感个人信息包括哪些？

个人信息中，一旦泄露或非法使用，可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的信息，包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。

5、重要数据包括哪些？

军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据；

车辆流量、物流等反映经济运行情况的数据；

汽车充电网的运行数据；

包含人脸信息、车牌信息等的车外视频、图像数据；

涉及个人信息主体超过10万人的个人信息；

有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。

6、汽车数据处理时，需要符合哪些一般要求？

处理汽车数据应当合法、正当、具体、明确，与汽车的设计、生产、销售、使用、运维等直接相关。

利用互联网等信息网络开展汽车数据处理活动，应落实网络安全等级保护等制度，加强汽车数据保护，依法履行数据安全义务。

建立投诉举报渠道，设置便捷的投诉举报入口，及时处理用户投诉举报。

7、对于汽车数据处理还有哪些合理期待？

《规定》倡导汽车数据处理者坚持：

车内处理原则，除非确有必要不向车外提供；

默认不收集原则，除非驾驶人自主设定，每次驾驶时默认设定为不收集状态；

精度范围适用原则，根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率；

脱敏处理原则，尽可能进行匿名化、去标识化等处理。

8、处理个人信息时，有哪些事情需要做到？

针对个人信息的处理，需汽车数据处理者履行告知义务、征得同意义务，并按规定满足匿名化要求。

通过用户手册、车载显示面板、语音、汽车使用相关应用程序等显著方式，告知个人以下事项：

处理个人信息的种类，包括车辆行踪轨迹、驾驶习惯、音频、视频、图像和生物识别特征等；

收集各类个人信息的具体情境以及停止收集的方式和途径；

处理各类个人信息的目的、用途、方式；

个人信息保存地点、保存期限，或者确定保存地点、保存期限的规则；

查阅、复制其个人信息以及删除车内、请求删除已经提供给车外的个人信息的方式和途径；

用户权益事务联系人的姓名和联系方式；

法律、行政法规规定的应当告知的其他事项。

汽车数据处理者处理个人信息应当取得个人同意或者符合法律、行政法规规定的其他情形。

因保证行车安全需要，无法征得个人同意采集到车外个人信息且向车外提供的，应当进行匿名化处理，包括删除含有能够识别自然人的画面，或者对画面中的人脸信息等进行局部轮廓化处理等。

9、处理敏感个人信息时，要做到哪些事情？

针对敏感个人信息，在履行告知、征得个人单独同意等义务基础上，还需要汽车数据处理者满足限定处理目的、提示收集状态、为个人终止收集提供便利等具体要求。

针对个人生物识别特征信息，具有增强行车安全的目的和充分的必要性才可以收集。

具体要求包括：

具有直接服务于个人的目的，包括增强行车安全、智能驾驶、导航等；

通过用户手册、车载显示面板、语音以及汽车使用相关应用程序等显著方式告知必要性以及对个人的影响；

应当取得个人单独同意，个人可以自主设定同意期限；

在保证行车安全的前提下，以适当方式提示收集状态，为个人终止收集提供便利；

个人要求删除的，汽车数据处理者应当在十个工作日内删除。

10、处理重要数据、数据出境需要满足哪些要求？

处理重要数据时，要按照规定开展风险评估，并向省、自治区、直辖市网信部门和有关部门报送风险评估报告。

重要数据依法在境内存储，由于业务需要确需向境外提供的，需要通过国家网信部门会同国务院有关部门组织的安全评估。未列入重要数据的涉及个人信息数据的出境安全管理，适用法律、行政法规的有关规定。

向境外提供重要数据，不能超出出境安全评估时明确的目的、范围、方式和数据种类、规模等。国家网信部门会同国务院有关部门以抽查等方式核验前款规定事项，汽车数据处理者应当予以配合，并以可读等便利方式予以展示。

处理重要数据，需要在每年十二月十五日前向省、自治区、直辖市网信部门和有关部门报送年度汽车数据安全管理情况。向境外提供重要数据的，应当在上述报告内容的基础上，补充报告：

(1)接收者的基本情况；

(2)出境汽车数据的种类、规模、目的和必要性；

(3)汽车数据在境外的保存地点、期限、范围和方式；

(4)涉及向境外提供汽车数据的用户投诉和处理情况；

(5)国家网信部门会同国务院工业和信息化、公安、交通运输等有关部门明确的向境外提供汽车数据需要报告的其他情况。

11、《规定》针对汽车数据安全监督管理和保障还提出了哪些具体措施？

《规定》还明确国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门依据职责，可以根据处理数据情况对汽车数据处理者进行数据安全评估。

另外，明确提出加强智能（网联）汽车网络平台建设，开展智能（网联）汽车入网运行和安全保障服务等，协同汽车数据处理者加强智能（网联）汽车网络和汽车数据安全防护。

12、违反规定会面临哪些处罚？

违反规定的，由省级以上网信、工业和信息化、公安、交通运输等有关部门依照《网络安全法》、《数据安全法》等法律、行政法规的规定进行处罚。构成犯罪的，依法追究刑事责任。

5月21日，《汽车数据安全管理若干规定（征求意见稿）》发布，共有21条内容。日前正式发布的试行版，内容缩减到19条，但同样对重要数据的范围，个人信息和重要数据的收集、传输原则做出了比较明确的规定。

试行版与征求意见稿相比，内容上做了调整。我们看看和日常用车比较相关的几个。

首先在监管对象方面，保险机构在试行版文件中被删除。但整车厂、供应商、经销商、软件服务商和开发者，仍然属于被监管对象。

涉及到使用体验的部分，征求意见稿中倡议“除非确有必要，每次驾驶时默认为不收集状态，驾驶人的同意授权只对本次驾驶有效”。换句话说，我们可能在短时间内，需要做多次授权操作。试行版对此进行了修订。而相对应的，这会要求汽车数据处理者学会结合自己的服务场景，设计和设置合适的授权机制。