引
言
2021年5月12日,国家互联网信息办公室发布了《汽车数据安全管理若干规定(征求意见稿)》(以下简称“《规定》”)并公开征求意见。结合之前网信办的立法惯例,本《规定》在今年通过并正式颁布的可能性很大。该《规定》是首个汽车行业数据安全方面的管理规定,上位法依据为《网络安全法》(以下简称“《网安法》”),开启了汽车行业数据保护强监管的序幕,其亮点如下:
1、将《网安法》中关于个人信息和重要数据保护的原则和要求在汽车行业场景应用中进一步细化,对智能网联汽车产业发展所带来的数据保护问题进行针对性规定;
2、首次明确汽车行业中重要数据的范围,对于汽车数据收集进行车内车外双场景的区分,强调最小必要原则和目的限制原则,提出数据全生命周期的处理要求;
3、结合数据的敏感程度,强化车主或驾驶员对于自身数据的知情权和控制权;
4、明确汽车行业数据本地化存储的原则要求和跨境数据传输的具体要求;
5、要求处理一定数量的个人信息和/或重要数据的企业定期报送相关处理情况给省级网信部门和有关部门。
我们将在下文详细解读相关核心规定的影响以及如何应对,以帮助汽车行业相关企业更好地了解制度沿革和未来的立法、执法趋势。
?
要点1
立法目的与适用范围:全产业链监管
《规定》第一条点明立法目的为:“加强个人信息和重要数据保护,规范汽车数据处理活动,维护国家安全和公共利益。”在第二条中进一步明确了汽车数据处理活动的概念:“在中华人民共和国境内设计、生产、销售、运维、管理汽车过程中,收集、分析、存储、传输、查询、利用、删除以及向境外提供(以下统称处理)个人信息或重要数据。”《规定》强调汽车全产业链运维过程中的个人信息和重要数据处理行为作为本规定的规制对象,与《网安法》和《民法典》等上位概念相衔接。
《规定》中第三条规定的核心概念如下:
点击可查看大图
要点2
数据处理的基本原则
《规定》第四条要求运营者处理信息的目的应合法、具体、明确,与汽车的设计、制造、服务直接相关。该规定奠定了全文目的限制的基调,与《个人信息保护法(草案二次审议稿)》和《数据安全法(草案二次审议稿)》的规定相互呼应。我们理解,鉴于目前自动驾驶和智能网联技术仍在不断的发展,很多服务类型仍在摸索实验的过程中,目的具体明确的要求对于智能网联汽车的研发工作可能会带来不小的挑战,可能需要在开发过程中适用Privacy by Design的方法论,将相关影响控制到较低限度。
《规定》第五条重申了运营者应当按照《网安法》要求贯彻等级保护要求,承担网络安全保护义务。第六条中倡导运营者在处理个人信息和重要数据过程中坚持以下原则:
点击可查看大图
综上,上述具体原则中强化了必要性和安全性原则,强调车主/驾驶人的控制权,其中关于保存期限的区分和设定以及单次授权的问题可能对企业实践操作带来挑战,也可能会影响用户的使用体验,但是目前仅采用“倡导”的措辞,所以我们初步建议企业参照该等原则进行合规管理,适当评估不合规动作的程度及可能产生的影响,并进行记录。
要点3
区分车内车外场景的个人信息保护
《规定》第七条到第十条分别从车外和车内两种场景对于新型智能网联汽车目前的数据处理情况进行具体规制,首次对于自动驾驶场景中难以取得行人同意的合规挑战进行回应。具体列表如下:
点击可查看大图
要点4
跨境传输:数据本地化势在必行
在《网安法》第三十七条对于数据跨境传输作出规定之后,汽车行业关键基础设施运营者的认定和重要数据的认定一直是争议热点,本《规定》正式回应了相关问题,鉴于目前汽车智能化、网联化的趋势必将导致海量数据的收集和利用,所以《规定》规定了汽车行业运营者个人信息和重要数据的本地化存储为原则,如需向境外提供需要通过监管机构主导的安全评估的基本要求,体现了对于汽车行业数据安全的从严跨境监管趋势。具体如下:
点击可查看大图
要点5
配合监管、持续报送
除了对于具体数据处理行为的合规管理之外,《规定》还提出了运营者的报告备案要求,具体如下:
点击可查看大图
总结和建议
《规定》对于汽车行业数据处理要求的详细程度和严格程度都远远超出了之前所有涉及汽车行业数据保护的法律法规,汽车数据处理强监管的大幕即将拉开。结合工信部和信安标委等监管机构近期的立法和执法动作,体现了监管机构对于汽车行业数据保护从严监管的决心。本《规定》在重要数据界定、车内外数据处理场景区分、数据本地化和跨境传输方面不乏亮点,但也存在着修改和提升的空间。综合来看,我们建议汽车行业相关企业密切关注《规定》的立法进展,积极参与意见征询,尽快开展自查自纠,考虑数据本地化的实施方案,进行数据分类分级及相关合规治理工作,结合自身数据处理活动的风险和合规程度,尽早采取应对措施。