2021年8月20日，国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合发布《汽车数据安全管理若干规定（试行）》（以下简称“《汽车数据规定》”）。《汽车数据规定》全文共计十九条，将自2021年10月1日起施行。本期专题将结合汽车行业的数据安全保护实践，探讨汽车数据合规中的普遍性义务与重点问题，并为汽车企业做好数据合规和监管配合提出可行意见。

• 道路千万条，数说十九条：《汽车数据安全管理若干规定（试行）》重点解读　[宁宣凤、吴涵、张凯勋、姚敏侣，金杜律师事务所]

一、《汽车数据规定》出台的背景及其关键概念

二、《汽车数据规定》下汽车数据处理者的义务责任梳理

1、个人信息保护　

2、重要数据处理安全　

3、法律责任

《汽车数据规定》明确汽车数据处理者违反本规定的，由省级以上网信、工业和信息化、公安、交通运输等有关部门依照《网络安全法》、《数据安全法》等法律、行政法规的规定进行处罚；构成犯罪的，依法追究刑事责任。例如，根据《网络安全法》六十六条，关键信息基础设施运营者未按照要求在本地存储数据或数据出境时未进行安全评估的，由有关主管部门责令改正，给予警告，没收违法所得，处五万元以上五十万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。而在《数据安全法》下，违反上述规定向境外提供重要数据的，可能被处以最高一千万元的罚款。

三、《汽车数据规定》中的亮点解读与重要法律问题分析

（一）汽车数据中重要数据处理安全相关问题

1、重要数据的认定　

2、重要数据处理情况的报送义务

国家加强对重要数据保护的一个重要体现，即通过备案或者要求重要数据处理者报送情况的形式，以强化对重要数据处理风险的防范。早在2019年《数据安全管理办法（征求意见稿）》中，即规定（第十五条）处理重要数据和敏感个人信息应当向所在地网信部门备案。《汽车数据规定》中进一步明确和细化重要数据处理情况的报送义务，第十条规定汽车数据处理者开展重要数据处理活动时的风险评估与报送义务，并且明确要求需要向主管部门告知所处理的重要数据的种类、数量、范围、保存地点与期限、使用方式，开展数据处理活动情况以及是否向第三方提供，面临的数据安全风险及其应对措施等。此外，《汽车数据规定》第十三条和第十四条规定了每年定期的情况报告义务，进一步强化了主管部门的备案要求。

综合上述，向网信等主管部门通过自评估报告、管理情况说明等形式，汇报汽车企业所涉及的重要数据处理情况，以达成强化备案和事中监管的效果，将成为汽车企业接下去合规调整期间的一项必须面对的、较为重要且必须落实的法定义务。

3、重要数据的本地化存储问题探析

《汽车数据规定》第十一条所使用的具体表述为“应当依法在境内存储”。由此可见，对于汽车数据处理过程中的重要数据本地化存储原则，应当与《网络安全法》、《数据安全法》及相应的法律、行政法规相衔接。目前，《网络安全法》第三十七条和《数据安全法》第三十一条第一款均规定了关键信息基础设施运营者对于重要数据原则上本地化存储的强制性义务。但与此同时，《数据安全法》第三十一条第二款规定，其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。

此外，《汽车数据规定》第十一条第二款要求：“未列入重要数据的涉及个人信息数据的出境安全管理，适用法律、行政法规的有关规定。”我们认为，已经于20日公布的《个人信息保护法》第三章中的第三十八至四十三条，共计六个条款将成为汽车数据处理活动中个人信息跨境提供规则的基础法律依据。

总之，尽管本地化存储义务适用范围尚有不确定性，但值得注意的是，第一、对于非关键信息基础设施运营在境内收集和产生的重要数据尚未有明确法律法规要求其必须在境内存储；第二、结合出境安全评估义务来看，本地化存储和处理重要数据无疑是国家和企业推荐的实践做法，有利于重要数据的安全防护和行政监管。

（二）汽车数据中个人信息主体授权相关问题

1、由个人自主设定同意的具体方式与效力期限

告知同意原则是个人信息保护的基础与主要的合法性来源。与征求意见稿相比，此次最终通过的《汽车数据规定》对于个人信息主体的授权获取方式和时效问题做出了更符合个人信息主体利益需求和汽车企业实践的规定。征求意见稿第六条第五项中规定的“默认不收集原则”要求：除非确有必要，每次驾驶时默认为不收集状态，驾驶人的同意授权只对本次驾驶有效；此外，征求意见稿第八条第四项中关于敏感个人信息的授权法定要求为：每次都应当征得驾驶人同意授权，驾驶结束（驾驶人离开驾驶席）后本次授权自动失效。总结上述要求来看，对于汽车企业收集个人信息的要求基本可以概括为“每次opt-in授权+驾驶人离开驾驶席自动失效”。

但上述规则或许在实施落地环节存在一定的困难，此外，考虑到汽车驾驶通常的事实情况，在最终通过的《汽车数据规定》中，上述要求经过了灵活调整，将个人信息主体的同意具体方式以及授权有效性判断，交由个人信息主体自主决定，具体表现为：

处理一般个人信息，需遵循《汽车数据规定》第六条第二项：默认不收集原则，除非驾驶人自主设定，每次驾驶时默认设定为不收集状态；（除非驾驶人自主设定为“opt-out”授权，否则应当单独opt-in授权）

处理敏感个人信息，还需额外遵循《汽车数据规定》第九条：汽车数据处理者处理敏感个人信息，应当符合以下要求或者符合法律、行政法规和强制性国家标准等其他要求：……（三）应当取得个人单独同意，个人可以自主设定同意期限；（单独opt-in授权+个人自主设置有效同意期限）

2、无法获得个人授权时应当匿名化处理

《汽车数据规定》第八条在规定汽车数据处理者处理个人信息原则上应当遵循知情同意或者其他合法性依据的基础上，在第二款中明确：因行车安全需要但无法征得同意时，采集车外个人信息并对外提供的情形下，应当进行匿名化处理。实践中该款规定最为典型的适用场景如在汽车自动驾驶道路测试环境下，为了完成道路场景模拟和算法训练，为设计和完善自动驾驶系统模型而提供车外图像采集信息服务的技术供应商或合作商，除了必须具备开展业务所必需的资质条件下，还需要满足《汽车数据规定》中的匿名化的个人信息保护要求，具体为：其一，删除含有能够识别自然人的画面；其二，对画面中可能包含的人脸信息等进行轮廓化处理等。该要求实际上是个人信息处理和对外提供的最小够用原则在汽车数据处理中的具体化。

此外，最终通过的《汽车数据规定》区分了脱敏、匿名化和去标识化处理。征求意见稿中在该款对应的条文中保留了“脱敏处理”作为匿名化处理的替代选项，但在《汽车数据规定》中，脱敏已经作为一种原则性要求，其实践做法包括匿名化和去标识化不同的方式。这一变化符合了《个人信息保护法》对“匿名化”的定义以及敏感个人信息的处理要求。

（三）汽车数据中特殊类型的数据管理和保护问题

1、汽车事件数据

2、车辆流量、物流等反映经济运行情况的数据

3、智能网联汽车数据
（1）智能网联汽车数据安全
（2）自动驾驶相关数据处理要求

• 《汽车数据安全管理若干规定（试行）》要点解读　[丁恒、崔贤今、王诗梦、金享，中伦律师事务所]

要点1：概念更迭、适用对象覆盖全行业、全链条

相较于国家互联网信息办公室于2021年5月12日发布的《汽车数据安全管理若干规定（征求意见稿）》（以下简称《征求意见稿》），正式施行的《汽车数据规定》中将原有的“运营者”概念转换为“汽车数据处理者”，“运营者”概念可能是派生自《网络安全法》中的“网络运营者”，而转换为“汽车数据处理者”则更贴近汽车行业实务中对数据的处理模式。

《汽车数据规定》第三条中所称汽车数据，是指汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据；汽车数据处理包括汽车数据的收集、存储、使用、加工、传输、提供、公开等；相应的该《汽车数据规定》的适用对象，即汽车数据处理者，是指开展汽车数据处理活动的组织，包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等。

因此，从产品的研发设计到销售给终端客户后的管理汽车的全生命周期中，汽车数据处理者均应当按照《汽车数据规定》的要求处理个人信息或重要数据。我们认为，《汽车数据规定》在进一步精简、概括的基础上，将整个汽车行业全链条上几乎所有的经营者都纳入了《汽车数据规定》的适用范围。

要点2：受保护的信息范围呈现汽车行业特征

根据《汽车数据规定》第三条，个人信息是指以电子或者其他方式记录的与已识别或者可识别的车主、驾驶人、乘车人、车外人员等有关的各种信息，不包括匿名化处理后的信息。

此外，《汽车数据规定》定义并列举了重要数据相关范围（第三条第六款）：

重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益或者个人、组织合法权益的数据，包括：

（一）军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据；
（二）车辆流量、物流等反映经济运行情况的数据；
（三）汽车充电网的运行数据；
（四）包含人脸信息、车牌信息等的车外视频、图像数据；
（五）涉及个人信息主体超过10万人的个人信息；
（六）国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。

要点3：新增“车内”、“车外”的区域概念，契合汽车特有场景

结合《汽车数据规定》第六条及第八条，汽车数据处理者在处理个人信息和重要数据时，首先应坚持车内处理的原则，除非确有必要不向车外提供；确有必要向车外提供的，应尽可能地进行匿名化。其次，《汽车数据规定》第九条指出，汽车数据处理者处理敏感个人信息时，还应当取得个人单独同意、在保证行车安全的前提下以适当方式提示收集状态，为个人终止收集提供便利等六大要件。这些也将促使汽车数据处理者进一步提高自身的车内处理技术。

要点4：明确汽车数据处理者处理个人信息和重要数据的原则

根据《汽车数据规定》第六条，倡导汽车数据处理者在开展汽车数据处理活动中坚持下述原则：

（一）车内处理原则，除非确有必要不向车外提供；
（二）默认不收集原则，除非驾驶人自主设定，每次驾驶时默认设定为不收集状态；
（三）精度范围适用原则，根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率；
（四）脱敏处理原则，尽可能进行匿名化、去标识化等处理。

要点5：细化个人敏感信息的处理要求

根据《汽车数据规定》第九条，汽车数据处理者处理敏感个人信息时，应当符合以下要求或者符合法律、行政法规和强制性国家标准等其他要求：

（一）具有直接服务于个人的目的，包括增强行车安全、辅助驾驶、导航等；
（二）通过用户手册、车载显示面板、语音以及汽车使用相关应用程序等显著方式告知必要性及对个人的影响；
（三）应当取得个人单独同意，个人可以自主设定同意期限；
（四）在保证行车安全的前提下，以适当方式提示收集状态，为个人终止收集提供便利；
（五）个人要求删除时，汽车数据处理者应当在十个工作日内删除。

汽车数据处理者具有增强行车安全的目的和充分的必要性，方可收集指纹、声纹、人脸、心律等生物识别特征信息。

要点6：明确了个人信息与重要数据跨境传输的相关要求

根据《汽车数据规定》第十一条，重要数据应当在境内存储，因业务需要确需向境外提供的，应当通过国家网信部门会同国务院有关部门组织的安全评估。

此外，《汽车数据规定》针对汽车数据处理者向境外提供重要数据还提出了如下要求：

1.汽车数据处理者向境外提供重要数据，不得超出出境安全评估时明确的目的、范围、方式和数据种类、规模等。

2.国家网信部门会同国务院有关部门以抽查等方式核验上述规定事项，汽车数据处理者应当予以配合，并以可读等便利方式予以展示。

3.在每年向省、自治区、直辖市网信部门和有关部门报送年度汽车数据安全管理情况时（应当于每年十二月十五日前），应当补充报告接收者的基本情况；出境汽车数据的种类、规模、目的和必要性；汽车数据在境外的保存地点、期限、范围和方式；涉及向境外提供汽车数据的用户投诉和处理情况；国家网信部门会同国务院工业和信息化、公安、交通运输等有关部门明确的向境外提供汽车数据需要报告的其他情况。

要点7：明确了用户同意的特殊规定

无论是在《民法典》《网络安全法》《个人信息保护法》还是本次发布的《汽车数据规定》，收集、使用个人信息应当取得被收集人同意是共通的基本规定。但在《汽车数据规定》发布之前，汽车行业确实面临实际操作中无法完全符合“取得用户同意”之规定的困境。如在自动驾驶技术中，需要集成大量的摄像头、雷达、测速仪、导航仪等各类传感器，通过实时获取路况、环境、车辆及用户数据等数据来完成，在此过程中，无法避免地会收集到行人的个人信息，而要取得行人的明示同意在实践操作中是不可能完成的。

就此，《汽车数据规定》第八条规定，“因保证行车安全需要，无法征得个人同意采集到车外个人信息且向车外提供的，应当进行匿名化处理，包括删除含有能够识别自然人的画面，或者对画面中的人脸信息等进行局部轮廓化处理等。”

要点8：数据安全年报制度

《汽车数据规定》第十三条要求，汽车数据处理者开展重要数据处理活动，应当在每年十二月十五日前向省、自治区、直辖市网信部门和有关部门报送以下年度汽车数据安全管理情况：

（一）汽车数据安全管理负责人、用户权益事务联系人的姓名和联系方式；
（二）处理汽车数据的种类、规模、目的和必要性；
（三）汽车数据的安全防护和管理措施，包括保存地点、期限等；
（四）向境内第三方提供汽车数据情况；
（五）汽车数据安全事件和处置情况；
（六）汽车数据相关的用户投诉和处理情况；
（七）国家网信部门会同国务院工业和信息化、公安、交通运输等有关部门明确的其他汽车数据安全管理情况。

要点9：加强数据安全管理的平台建设、建立投诉举报通道

关于汽车数据安全监督管理和保障，《汽车数据规定》此次新增了明确国家加强智能（网联）汽车网络平台建设，开展智能（网联）汽车入网运行和安全保障服务等，协同汽车数据处理者加强智能（网联）汽车网络和汽车数据安全防护。（《汽车数据规定》第十六条）国家互联网信息办公室有关负责人也指出，汽车数据安全管理需要政府、汽车数据处理者、个人等多方主体共同参与，各有关部门在汽车数据安全管理过程中，将加强协调和数据共享，形成工作合力。

• 汽车数据安全管理若干规定（试行）》要点解析　[秦英、营青，立方律师事务所]

要点一：监管范围更广

（1）《汽车数据规定》对于个人信息、敏感个人信息的规定与今年8月20日刚通过并将于11月1日起正式生效的《个人信息保护法》（以下简称《个保法》）以及《信息安全技术 个人信息安全规范》（以下简称《个人信息安全规范》）等规定的范围一致，但其进一步明确了与汽车行业有关的具体范围，个人信息以及敏感个人信息不仅包括与车主、驾驶人、乘车人员有关的信息，还包括通常理解上与汽车本身没有关系的“车外人员”的个人信息（敏感个人信息），这意味着通过汽车摄像头、雷达等方式记录的与已识别或可识别车外人员有关的信息也应受到《汽车数据规定》的规制。

（2）《汽车数据规定》规制的汽车数据处理者的范围较广，不仅包括传统意义上的汽车制造商、零部件和软件供应商、经销商、维修机构，还包括出行服务企业。与《征求意见稿》相比，《汽车数据规定》扩大了适用对象的范围，将“网约车企业”表述修改为“出行服务企业”。网约车企业主要包括如滴滴出行、首汽约车、曹操出行、美团出行等以互联网技术为依托构建服务平台提供网络预约出租汽车经营服务的企业，但正式生效的《汽车数据规定》进行了调整之后，结合第三条有关“敏感个人信息”的规定中列举了“车辆行踪轨迹”，如此一来，为汽车出行提供地图导航服务的企业也有较大可能被包含在出行服务企业的范围内。可见，相比《征求意见稿》，《汽车数据规定》中汽车数据处理者的定义范围更广。

要点二：监管力度更强

与《征求意见稿》相比，《汽车数据规定》新增对“重要数据”的界定，并且就重要数据的范围而言，新增“涉及个人信息主体超过10万人的个人信息”。《汽车数据规定》明确汽车数据处理者开展重要数据处理活动，应当按照规定开展风险评估，并向有关部门报送风险评估报告。因业务需要确需向境外提供的，应当通过国家网信部门会同国务院有关部门组织的安全评估。该数据出境的安全评估制度与《个保法》的规定保持了一致，但目前《个保法》并未对个人信息的数量作出明确界定，作为参考，网信办在2017年公布的《个人信息和重要数据出境安全评估办法（征求意见稿）》和今年7月公布的《网络安全审查办法（修订草案征求意见稿）》中，均要求对超过一定数量（详见下表）的个人信息运营者进行安全评估：

虽然以上两条规定暂未生效，但相比之下不难看出，《汽车数据规定》中要求涉及10万人的个人信息出境就要求进行安全评估，其标准明显更为严格，也充分表明立法机关对于汽车数据安全领域数据出境方面的监管力度更强。

要点三：监管规定更明确

（1）《汽车数据规定》第五条第五款规定个人要求删除敏感个人信息的，汽车数据处理者应当在十个工作日内删除。虽然《个保法》第四十七条以及《个人信息安全规范》第8.3条均规定了在某些特定情形下，个人信息主体有权请求个人信息处理者删除个人信息，但并未对时间做出具体要求，《汽车数据规定》进一步明确了数据处理者删除个人信息的时间限制，细化了上位法《个保法》的规定。此外，对于汽车数据处理者开展重要数据处理活动年度报告制度的规定，也细化了最迟报送时间为每年十二月十五日前。精确到具体时间的规制方式，为汽车数据处理者提供了具体明确的合规要求。

（2）《汽车数据规定》对于汽车数据处理者处理个人信息告知义务的具体告知事项，处理敏感个人信息的要求，处理重要数据活动年度报送制度的具体报送事项以及向境外提供重要数据的补充报送事项等问题都做出了更具体、明确、细致的规定，是对上位法《网络安全法》、《数据安全法》以及《个保法》的进一步补充。

• 解读《汽车数据安全管理规定》　[潘永建、杨迅、杨坚琪、沙莎，通力律师事务所]

1、汽车数据中的“个人信息”和“重要数据”

根据数据关联性的区分，通常的汽车数据可以分为两类：一类是关于车辆本身的数据，如各传统部件的数据、自动驾驶软硬件数据以及车辆外部的数据等；另一类是与行车人相关的个人信息，如驾驶人的身份信息、使用车辆产生的行为数据、人脸和语音数据等。《汽车数据规定》则继承《网络安全法》和《数据安全法》的精神，划分出汽车行业的“个人信息”和“重要数据”，并根据其敏感性采取不同的分类监管措施。结合近期发布的《车联网信息服务 数据安全技术要求》和《车联网信息服务 用户个人信息保护要求》，我们整理了如下监管视角下不同类型的汽车数据：　

2、数据保护主体

在智能网联行业中，能够收集、使用、存储、利用、共享、运维汽车数据的主体类型多样，收集情况亦各有不同。为了保证数据处理的安全性，《汽车数据规定》明确要求汽车数据的处理者以“合法、正当、具体、明确”的方式处理个人信息。在正式生效的《汽车数据规定》下，履行数据保护义务的主体为“汽车数据处理者”，包括汽车厂商/汽车制造商、零部件供应商、第三方供应商、经销商、维修机构以及出行服务机构。从“汽车数据处理者”的范围来看，正式生效的《汽车数据规定》与此前的征求意见稿差异不大，但是将保险公司排除在了“汽车数据处理者”的范围之外，这可能是不同监管部门之间的执法协调安排后的结果。

尽管“保险机构”自正式生效的《汽车数据规定》中删除，但是《汽车数据规定》下的适用主体仍然非常宽泛：无论是“硬件工程”方面的传统整车厂企业和Tier-1的供应商，还是智能网联时代新兴玩家的“软件工程”服务商，亦或是销售环节的经销商，以及面向终端用户的应用程序开发者，只要其处理的数据落入了《汽车数据规定》的范围之内，就需要履行《汽车数据规定》下的数据保护义务。

3、处理“个人信息”与“重要数据”的基本要求

（1）基本原则

《汽车数据规定》“倡导”汽车数据处理者处理个人信息以及重要数据需要符合“车内处理”“默认不收集”“脱敏处理”“精度范围适用”四项非强制性原则，这反映了监管部门对于汽车数据处理者的合理期待。

（2）知情同意

在个人信息收集方面，《汽车数据规定》继承了《民法典》《网络安全法》以及《个人信息保护法》下的“告知同意”要求，即：汽车数据处理者收集个人信息，应当取得被收集人的同意，但法律法规规定不需要取得个人同意的除外。需要注意的是，即便是在不需要取得个人同意的“法律法规规定的例外”场景下，汽车数据处理者仍应当对收集个人信息的行为进行告知（即纳入到诸如隐私政策等文件中），并采取相应的保护措施。示例：　

（3）目的限制

依据个人信息的敏感性，《汽车数据规定》还特别针对不同的数据类型提出处理目的限制，实际上也是中国法律首次在法律层面对于个人信息处理的目的限制进行直接规定：　

在敏感个人信息方面，生效版的《汽车数据规定》删除了“娱乐”这一目的；在个人生物识别信息方面，生效版的《汽车数据规定》删除了“方便用户使用”这一目的，同时将“增加车辆电子和信息系统安全性”修改为“增强行车安全的目的和充分的必要性”。在此前的征求意见稿中，无论是“直接服务于驾驶人或乘车人”还是“方便用户使用”，其涵盖的范围可以十分广泛，《汽车数据规定》对征求意见稿的修订将企业获取敏感个人信息以及生物识别信息的场景进一步限缩，增强了对该等类型个人信息的保护。

（4）敏感个人信息删除要求

《汽车数据规定》将征求意见稿中的“驾驶人要求处理者删除时，处理者在2周内删除敏感个人信息和用于判断违法违规驾驶数据”的要求，修改为“个人要求删除的，汽车数据处理者应当在十个工作日内删除”。这一规定延续了征求意见稿所确认的驾驶人的删除权，对那些与人身、财产安全密切相关的个人信息和数据，予以更为严格的保护。

（5）境外传输要求

根据《汽车数据规定》的要求，个人信息和重要数据应当存储在境内，境外传输则需要通过国家网信部门组织的数据出境安全评估。《汽车数据规定》无疑对汽车行业个人信息和重要数据的出境提出更为严苛的要求。

《汽车数据规定》要求，向境外传输重要数据的，同样应当向省级网信部门等有关部门进行报告，这一要求也可结合“数据安全审查”制度综合理解。《数据安全法》规定，“国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查”，尽管目前尚未有“影响或可能影响国家安全”的判断标准和判断依据，但汽车数据处理者的业务中如果涉及处理大量的个人信息和重要数据，并将该等数据进行境外传输，则应当密切关注后续出台的配套法规，以判断自身是否可能落入被审查的范围。