里格简评《汽车数据安全管理若干规定(征求意见稿)》

2021. 5. 25

里格简评《汽车数据安全管理若干规定(征求意见稿)》

      随着当前智能汽车的智能化、电子化水平的提高,车载传感器能够收集的数据的多样性和数量呈指数级增长,大众对于涉及到其个人信息的汽车数据越发关心。为了加强对个人信息和重要数据的保护,规范汽车数据处理活动,中国国家互联网信息办公室于2021年5月12日发布《汽车数据安全管理若干规定(征求意见稿)》(下称“规定”),规定的出台,将会规范和管理智能汽车的发展,体现了监管机构对于汽车数据安全合规的决心。
      本文旨在帮助企业快速了解规定中值得关注的重点内容。

一、定义了运营者、个人信息、重要数据等(第三条)
      规定明确运营者指汽车设计、制造、服务企业或者机构,包括汽车制造商、部件和软件提供者、经销商、维修机构、网约车企业、保险公司等。
      个人信息包括车主、驾驶人、乘车人、行人等的个人信息,以及能够推断个人身份、描述个人行为等的各种信息。
      重要数据包括:
(一)军事管理区、国防科工等涉及国家秘密的单位、县级以上党政机关等重要敏感区域的人流车流数据;
(二)高于国家公开发布地图精度的测绘数据;
(三)汽车充电网的运行数据;
(四)道路上车辆类型、车辆流量等数据;
(五)包含人脸、声音、车牌等的车外音视频数据;
(六)国家网信部门和国务院有关部门明确的其他可能影响国家安全、公共利益的数据。
【A&Z】
      规定中,网约车企业、保险公司等虽然不属于汽车数据的核心运营者,但仍被列入规定的适用范围,相关企业应注意接触和处理汽车数据时,同样需要符合规定。企业对于智能汽车的数据进行收集并挖掘商业价值,蕴藏着大量的合规需求。
同时,个人信息和重要数据的定义需注意,个人信息定义涉及范围极广,重要数据主要是涉及国家安全和公共利益的相关数据,体现了监管机构对于国家安全的重视,企业需据此分辨收集的数据是否为重要数据,并按规定进行相应处理。

二、明确了运营者处理个人信息和重要数据的原则(第六条)
      规定倡导运营者处理个人信息和重要数据过程中坚持:
(一)车内处理原则,除非确有必要不向车外提供;
(二)匿名化处理原则,确有必要向车外提供的,尽可能地进行匿名化和脱敏处理;
(三)最小保存期限原则,根据所提供功能服务分类型确定数据保存期限;
(四)精度范围适用原则,根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率;
(五)默认不收集原则,除非确有必要,每次驾驶时默认为不收集状态,驾驶人的同意授权只对本次驾驶有效。
【A&Z】
      规定对于个人信息和重要数据的处理原则主要体现的就是“最小”、“必要”。企业需注意对于数据要匿名脱敏处理;缩短保存期限;缩小收集数据设备的覆盖范围和分辨率;每次收集数据前都征求驾驶人同意等数据处理的变化。

三、明确了运营者收集数据应当符合的要求(第八条)
      运营者收集和向车外提供敏感个人信息,包括车辆位置、驾驶人或乘车人音视频等,以及可以用于判断违法违规驾驶的数据等,应当符合以下要求:
(一)以直接服务于驾驶人或者乘车人为目的,包括增强行车安全、辅助驾驶、导航、娱乐等;
(二)默认为不收集,每次都应当征得驾驶人同意授权,驾驶结束(驾驶人离开驾驶席)后本次授权自动失效;
(三)通过车内显示面板或语音等方式告知驾驶人和乘车人正在收集敏感个人信息;
(四)驾驶人能够随时、方便地终止收集;
(五)允许车主方便查看、结构化查询被收集的敏感个人信息;
(六)驾驶人要求运营者删除时,运营者应当在2周内删除。
【A&Z】
      本条对于运营者收集数据的目的、默认不收集、授权、告知方式、终止、查询、删除期做出了规定,虽然敏感个人信息可以通过车内显示面板或语音等方式告知,但企业更需注意“告知-同意”如何留痕,以应对将来《个人信息保护法》生效后越来越多的诉讼。同时其他行业的企业也请注意2周的敏感个人信息删除期,其他行业的数据保护规定可能会借鉴此删除期。

四、数据出境安全评估制度(第十二、十三、十四、十五、十八条)
      规定明确运营者不得超出出境安全评估时明确的目的、范围、方式和数据类型、规模等,向境外提供个人信息或重要数据。
国家网信部门会同国务院有关部门以抽查方式核验向境外提供个人信息或重要数据的类型、范围等,运营者应当以明文、可读方式予以展示。
【A&Z】
      政府部门虽然会抽查个人信息和重要数据的跨境传输,并要求以“明文、可读”的方式展示,但其中基本不涉及企业的商业秘密,并且即使涉及商业秘密,政府部门对于得知的商业秘密会进行保密。若企业仍然对于商业秘密、数据安全存在担忧,请尽量避免此类数据的跨境传输。

客户登录

温馨提示:请输入账号和密码,如有问题请与本所客户担当联系。