前言
5月12日,国家互联网信息办公室(下称国家网信办)发布了《汽车数据安全管理若干规定(征求意见稿)》(下称意见稿或新规)。国家网信办表示,为加强个人信息和重要数据保护,规范汽车数据处理活动,根据《网络安全法》等法律法规,会同相关部门制定了意见稿,向社会公开征求意见,意见反馈截止时间为2021年6月11日。
意见稿不长,一共21条内容,但具有较强的前瞻性。中国智能汽车产业蓬勃发展,除了传统车厂,科技公司也在智能汽车赛道上摩拳擦掌。今年来,百度、小米、滴滴先后官宣变身整车制造商。在产业快速发展时期,对数据安全问题及时制定规则,让参与主体的数据处理活动有据可依,对个人信息保护和维护国家安全有重大意义。
整体而言,意见稿主要涉及运营者对个人信息和重要数据的收集、处理、存储、出境、删除。同时,对“运营者”、“个人信息”、“重要数据”的具体所指作了明确。本文对意见稿重点亮点解读如下。
一.
意见稿适用对象
二.
个人信息和重要数据的范围
个人信息和重要数据,是新规保护的两大核心。《个人信息保护法(草案)(二次审议稿)》规定,个人信息是以电子或其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
三.
汽车数据处理原则
合法、正当和必要,是《网络安全法》明文确立的收集、使用个人信息的基本原则。意见稿和《网络安全法》一脉相承,核心原则一致。具体到汽车数据的业务场景,新规要求每次驾驶时默认不收集消费者数据,驾驶人的同意只对本次驾驶有效,驾驶结束(驾驶人离开驾驶席)后本次授权自动失效。数据原则上车内处理,确实有必要向车外提供的,应该尽可能匿名化和脱敏处理。
此外,关联着必要性原则,运营者应当根据所提供的功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率,并且根据所提供的功能服务分类型确定数据保存期限。
四.
汽车数据的收集和删除
在当前可落地的智能汽车量产成果中,“智能座舱”和“自动驾驶”是竞争的两条金线。无论哪条竞争线,都离不开对个人信息的收集。
五.
汽车数据的存储和出境
六.
汽车数据安全管理年度报告
除了关注数据处理活动,新规为特定运营者设置了年度数据安全管理情况报告义务。处理个人信息涉及个人信息主体超过10万人或处理重要数据的运营者,应该向省网信部门和有关部门按年度报告。报告内容除了涉及数据处理,还包括数据安全事故、相关用户投诉和处理。若涉及数据出境,报告内容还包括国外接受者和数据境外存储使用等事项。
汽车越来越智能,人们期待出行生活越来越安全。一方面,是车联网平台下的道路交通安全和车辆安全;另一方面,则是车辆智能化中个人信息和数据安全。在这个意义上,我们期待看到规则的价值和力量。
本微信文章仅为交流探讨之目的,不得视为广悦律师事务所或其律师出具的正式法律意见,任何仅依照本文的全部或部分内容而做出的行为及因此带来的后果均由行为人自行负责。