2021年5月12日，国家互联网信息办公室发布《汽车数据安全管理若干规定（征求意见稿）》并向社会公开征求意见。本期专题由安杰律师事务所详细解读该规定出台的背景、具体要求以及对相关企业的影响。

对于汽车行业的数据合规从业者而言，2021年是特殊的一年。一方面，《数据安全法》和《个人信息保护法》的二审稿公布，汽车行业作为收集和使用个人信息和其他数据的“大户”，无疑将受到较大影响；而另一方面，监管部门针对汽车行业也专门发布多个文件，在规范智能网联汽车道路测试、产品准入等问题的同时，也试图规范智能网联汽车的数据收集和使用行为：

-2021年1月，工业和信息化部（“工信部”）发布《智能网联汽车道路测试与示范应用管理规范（试行）》（征求意见稿）（以下简称“《管理规范》”），向社会征求意见。《管理规范》对智能网联汽车道路测试与示范应用进行规范，其中要求道路测试车辆、示范应用车辆应当具备车辆状态记录、存储及在线监控功能，能实时回传相关信息，自动记录和存储相关数据；

-2021年4月，工信部发布《智能网联汽车生产企业及产品准入管理指南（试行）》（征求意见稿）（“《管理指南》”），向社会征求意见。《管理指南》对具备有条件自动驾驶、高度自动驾驶功能的智能网联汽车生产企业和其产品提出了包括数据本地存储在内的合规要求；

-2021年4月，全国信息安全标准化技术委员会（“信安标委”）发布《信息安全技术 网联汽车 采集数据的安全要求（草案）》（“《安全要求》”）征求意见稿，向社会征求意见。《安全要求》对网联汽车采集数据的各环节（传输、存储、跨境）提出要求。

1. 地域范围

《征求意见稿》第二条中对地域范围的界定是“在中华人民共和国境内设计、生产、销售、运维、管理汽车过程中，收集、分析、存储、传输、查询、利用、删除以及向境外提供（以下统称处理）”，由此可见，《征求意见稿》原则上仅约束发生在中华人民共和国境内的个人信息和重要数据的处理行为，而不约束发生在境外的处理活动（对于向境外提供数据的行为，也仅约束出境方在境内的行为）。

2. 适用主体

《征求意见稿》第二条对于适用主体的表述为“运营者”，《征求意见稿》第三条对此作出定义：“本规定所称运营者指汽车设计、制造、服务企业或者机构，包括汽车制造商、部件和软件提供者、经销商、维修机构、网约车企业、保险公司等。”尽管第三条没有说明“运营者”具体运营的对象，但根据上下文，应理解为这些“运营者”运营的是汽车设计、制造、部件和软件提供、经销、维修、网约车、保险等业务（或服务）。

3. 适用对象

《征求意见稿》第二条明确“个人信息和重要数据”是本《征求意见稿》适用的具体对象。《征求意见稿》第三条对“个人信息”和“重要数据”分别作出定义：

（1）个人信息　

（2）重要数据　

（3）特殊类型的个人信息和重要数据　

无论运营者处理的是个人信息还是重要数据，《征求意见稿》对运营者均规定了通用的的数据保护原则。这些原则与《民法典》、《网络安全法》、《个人信息安全规范》、《个保法二审稿》和《数安法二审稿》中的数据保护原则基本一致。具体如下：

（1）处理个人信息或重要数据的目的应当合法、具体、明确，与汽车的设计、制造、服务直接相关：符合合法、正当、必要，目的明确，最小必要等原则；
（2）落实网络安全等级保护制度，加强个人信息和重要数据保护，依法履行网络安全义务：符合制定安全保障制度的相关规定。

此外，《征求意见稿》对汽车数据的数据保护也提出了更为具体的要求，要求运营者处理个人信息和重要数据过程中遵守：

（一）车内处理原则，除非确有必要不向车外提供；
（二）匿名化处理原则，确有必要向车外提供的，尽可能地进匿名化和脱敏处理；
（三）最小保存期限原则，根据所提供功能服务分类型确定数据保存期限；
（四）精度范围适用原则，根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率；
（五）默认不收集原则，除非确有必要，每次驾驶时默认为不收集状态，驾驶人的同意授权只对本次驾驶有效。

在《征求意见稿》中，“知情同意”仍是处理汽车领域个人信息的最主要的合法途径。《征求意见稿》规定了有关处理个人信息的告知和同意规则：

1. 一般个人信息

告知（第七条）：　

同意（第九条）：　

如上所述，《征求意见稿》将个人信息主体的知情同意作为处理个人信息的最主要的法律基础。而对于难以获得车外人知情同意等情况，《征求意见稿》亦设置了平衡方法，即运营者可以通过删除能够识别自然人的画面等匿名化方式、或对人脸进行局部轮廓化等脱敏处理方式予以解决。

需要注意的是，有关在车载场景下获取用户知情同意，国家标准《信息安全技术 个人信息告知同意指南（征求意见稿）》（“《告知同意指南》”）有专章附录对此作出规定【附录G（资料性附录）车载场景下的告知同意】，可供运营者在实践操作中参考。　

2. 敏感个人信息和可以用于判断违法违规驾驶的数据

相关法条：　

相较于其他一般个人信息，《征求意见稿》对收集和向车外提供敏感个人信息和可以用于判断违法违规驾驶的数据施加了额外合规义务：其中，应仅限于直接服务于驾驶人或乘车人的要求（最小必要原则）、通过车内显示面板或语音告知正在收集敏感信息（同步告知用户正在收集敏感信息）、驾驶人能够随时、方便地终止收集（撤回同意的便捷性）符合其他法律法规和相关文件规定的对收集使用个人信息/敏感个人信息的合规要求；而授权同意的单次有效性、允许车主方便查看、结构化查询被收集的敏感个人信息、信息删除应当在2周内完成均为《征求意见稿》新设的要求。

3. 生物特征数据

相关法条：　

该规定一方面限定了收集生物特征数据的目的和场景，另一方面要求运营者应当提供不收集生物特征数据的替代方案。但这些规定均不是新要求。目的限定原则一直是个人信息处理所需遵循的基本原则。而关于提供不收集生物特征数据的替代方案，在此前关于人脸信息收集使用的相关标准中亦有说明。《征求意见稿》将此要求从针对人脸信息扩展到范围更加广泛的生物特征数据，也较为符合监管部门对于特殊类别个人信息予以特别保护的原则。

此外，《征求意见稿》还对敏感数据的查询利用作出额外规定。根据《征求意见稿》第十六条，应当严格限制对重要数据以及车辆位置、生物特征、驾驶人或者乘车人音视频，以及可以用于判断违法违规驾驶的数据等敏感数据的查询利用。

相对于个人信息的合规要求来说，《征求意见稿》下运营者处理重要数据的合规要求较为简单：运营者应提前向省级网信部门和有关部门报告数据类型、规模、范围、保存地点与时限、使用方式，以及是否向第三方提供等。

类似的规定在《管理办法》中也有所体现。根据《管理办法》，网络运营者以经营为目的收集重要数据或个人敏感信息的，应向所在地网信部门备案。备案内容包括收集使用规则，收集使用的目的、规模、方式、范围、类型、期限等，不包括数据内容本身。

《征求意见稿》对数据的本地化和出境管理提出明确要求，包括数据本地存储和数据出境安全评估（第十二条）、国际条约、协议的适用问题（第十二条）、对接收方的管理和监督（第十三条）、响应用户请求（第十四条）、不得超范围向境外提供（第十五条）和政府部门的抽查核验（第十五条）。

其中有关数据本地存储和出境安全评估、对接收方的管理和监督、不得超范围提供的规定实际上是之前出台的若干文件中已经基本达成共识的要求。而针对国际条约和协议的适用、响应用户请求和抽查核验则有以下要点值得注意：

1. 关于国际条约和协议的适用问题：　

2. 关于响应用户请求：　

3. 关于抽查核验：　

《征求意见稿》规定，运营者处理个人信息涉及个人信息主体超过10万人、或者处理重要数据的运营者，应当在每年十二月十五日前将年度数据安全管理情况报省级网信部门和有关部门。报告的内容包括：（一）数据安全负责人以及负责处理用户权益相关事务责任人的姓名和联系方式；（二）处理数据的类型、规模、目的及必要性；（三）数据的安全防护和管理措施，包括保存地点、期限等；（四）与境内第三方共享数据情况；（五）数据安全事故及处理情况；（六）与个人信息和数据相关的用户投诉及处理情况；（七）国家网信部门明确的其他数据安全情况。（第十七条）

如果存在向境外提供数据的情况，运营者则还应当报告：（一）接收者的名称和联系方式；（二）出境数据的类型、数量及目的；（三）数据在境外的存放地点、使用范围和方式；（四）涉及向境外提供数据的用户投诉及处理情况；（五）国家网信部门明确的向境外提供数据需要报告的其他情况。（第十八条）

《数安法二审稿》要求重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告；且在发生数据安全事件时向主管部门进行报告。

《管理办法》要求网络运营者发布、共享、交易或向境外提供重要数据前应当进行安全风险评估，并报经行业主管监管部门同意； 如果发生个人信息泄露、毁损、丢失等数据安全事件，或者发生数据安全事件风险明显加大时，也应当按要求向行业主管监管部门和网信部门报告。

《征求意见稿》总体上是一部较为严格的规定，对于汽车产业链中的各企业、以及收集和处理与汽车场景相关数据的其他企业而言，《征求意见稿》提出了较高的合规要求，这些合规要求不但需要在法律文件层面（例如隐私政策、用户协议、内部管理制度）落实，还需要在数据管理体系和技术实现方式层面（例如车内显示屏展示告知内容、匿名化或脱敏处理敏感信息、向车主提供结构化的数据查询结果）进行落实。

虽然在正式出台之前《征求意见稿》仍会进一步修改和完善，但结合最近公布的《个保法二审稿》、《数安法二审稿》以及相关国家标准的征求意见稿，我们倾向于认为《征求意见稿》的规定基本符合我国最近数据立法/标准所体现的各项原则，集中反映了相关立法部门对汽车领域数据保护问题的态度，《汽车数据安全管理若干规定》正式稿的内容可能不会偏离《征求意见稿》太多。我们建议相关企业仔细分析《征求意见稿》的具体要求，并对企业现有数据合规实践进行梳理和差距分析，及时开展合规工作。

《征求意见稿》针对汽车领域的个人信息和重要数据处理活动提出一系列的合规要求，但其中的一些要求实际上在此前已发布的法律法规和相关文件（包括征求意见稿）中已有类似规定。相关企业在开展数据合规工作中不仅要考虑如何落实《征求意见稿》中的要求，还需要考虑这些要求与已发布的法律法规和相关文件（包括征求意见稿）的衔接问题。

更多内容请见：

• 汽车数据保护监管趋严，管理新规恰逢其时　[杨洪泉、陈扬，安杰律师事务所]