又一汽车数据安全重磅政策落地!
8月20日,国家网信办、公安部等五部门联合发布《汽车数据安全管理若干规定(试行)》(以下简称“《规定》”),自10月1日起施行。这是继8月12日工业和信息化部正式发布《关于加强智能网联汽车生产企业及产品准入管理的意见》之后,相关部门出台的又一部对汽车数据管理的文件。
《规定》解答行业热点关注
《规定》倡导,汽车数据处理者在开展汽车数据处理活动中坚持“车内处理”、“默认不收集”、“精度范围适用”、“脱敏处理”等数据处理原则,减少对汽车数据的无序收集和违规滥用。
《规定》明确,汽车数据处理者应当履行个人信息保护责任,充分保护个人信息安全和合法权益。开展个人信息处理活动,汽车数据处理者应当通过显著方式告知个人相关信息,取得个人同意或者符合法律、行政法规规定的其他情形。处理敏感个人信息,汽车数据处理者还应当取得个人单独同意,满足限定处理目的、提示收集状态、终止收集等具体要求或者符合法律、行政法规和强制性国家标准等其他要求。汽车数据处理者具有增强行车安全的目的和充分的必要性,方可收集指纹、声纹、人脸、心律等生物识别特征信息。
具体来看,针对个人信息,一是告知义务,汽车数据处理者处理个人信息应当告知处理个人信息种类、收集情境、停止收集方式途径等相关信息。二是征得同意义务,汽车数据处理者处理个人信息应当取得个人同意或者符合法律、行政法规规定的其他情形。三是匿名化要求,因保证行车安全需要,无法征得个人同意采集到个人信息且向车外提供的,应当进行匿名化处理。
《规定》强调,汽车数据处理者开展重要数据处理活动,应当遵守依法在境内存储的规定,加强重要数据安全保护;落实风险评估报告制度要求,积极防范数据安全风险;落实年度报告制度要求,按时主动报送年度汽车数据安全管理情况。因业务需要确需向境外提供重要数据的,汽车数据处理者应当落实数据出境安全评估制度要求,不得超出出境安全评估结论违规向境外提供重要数据,并在年度报告中补充报告相关情况。
《规定》提出,国家有关部门依据各自职责做好汽车数据安全管理和保障工作,包括开展数据安全评估、数据出境事项抽查核验、智能(网联)汽车网络平台建设等工作。
除了上述报告、评估、抽查核验等监督管理措施以外,《规定》还明确国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门依据职责,可根据处理数据情况对汽车数据处理者进行数据安全评估;明确国家加强智能(网联)汽车网络平台建设,开展智能(网联)汽车入网运行和安全保障服务等,协同汽车数据处理者加强智能(网联)汽车网络和汽车数据安全防护。
对于《规定》出台的背景,国家互联网信息办公室有关负责人介绍,出台《规定》主要基于以下两方面的考虑:一是防范化解汽车数据安全风险的实践需要。汽车产业涉及诸多领域,汽车数据处理能力日益增强、汽车数据规模庞大,同时暴露出的汽车数据安全问题和风险隐患也日益突出。比如,汽车数据处理者超越实际需要,过度收集重要数据;未经用户同意,违规处理个人信息,特别是敏感个人信息;未经安全评估,违规出境重要数据等。因此,亟需加强汽车数据安全管理,防范化解上述安全问题和风险隐患。二是保障汽车数据依法合理有效利用的客观需要。《网络安全法》、《数据安全法》对数据安全、个人信息保护作了基本规定。在汽车数据安全管理领域出台有针对性的规章制度,明确汽车数据处理者的责任和义务,规范汽车数据处理活动,有利于促进汽车数据依法合理有效利用和汽车行业健康有序发展。
业内解读:具里程碑式意义
北京中银律师事务所汽车法律事务部主任杨阳表示,随着智能汽车的数据处理能力及范围日益增强,汽车数据的安全问题和风险隐患也成为制约智能汽车行业健康发展的痛点。为了解决这一痛点,《规定》的出台既是对《网络安全法》、《数据安全法》及《个人信息保护法》在汽车行业的细化,也是对智能汽车新技术健康发展提供加速器作用,有效弥补这种新技术带来的立法空白。
ICMA智联出行研究院院长何姗姗指出,《规定》将起到里程碑式的作用。汽车作为移动终端,所收集的数据不管从体量上还是风险性上,都要比手机大且高。针对汽车行业出台数据安全的规定,也说明对于汽车行业,数据安全的重要性首当其冲。更重要的是,《规定》在指导汽车企业工作中有非常实际的意义,针对汽车新技术的发展,平衡了数据使用与安全管理。同时,《规定》的许多条款操作性很强,涉及各个汽车产业链中的各个环节,明确各方参与主体责任与义务,给出了非常清晰的流程。
北方工业大学汽车产业创新研究中心研究员、汽车分析师张翔比较关注车主个人隐私保护问题,他指出,原来车内的摄像头以及录音设备有可能未经车主同意就将录音录像上传至云端,还有车主的出行轨迹也被拿来进行分析,《规定》的出台进一步加强了个人隐私保护。不过,目前智能汽车很多服务是免费的,免费的背后就是数据的商业化应用。《规定》出台以后,一些免费的服务有可能变为收费服务。
轻舟智航市场总监洪泽鑫认为,《规定》的出台可以保障汽车数据依法合理有效利用,让智能汽车行业更好更快地发展。他指出,是否能在合法合规的前提下对智能汽车的数据进行有效利用,对于自动驾驶技术的高效迭代至关重要。这意味着相关企业需要拥有应对PB级海量数据的能力,以一整套自动驾驶数据流水线来作为支撑,这是智能汽车高效快速落地的根基。
有汽车高精地图专业人士注意到,《规定》在重要数据中关于测绘数据的表述已经删除。他分析可能的原因在于,自动驾驶并非当前最紧迫要解决的问题,删除是为了让规定更加具备可操作性,更能解决当前保障隐私和国家安全等方面面临的挑战。
新能源和智能网联汽车产业研究员曹广平表示,《规定》在“汽车数据国门、汽车数据处理者责任和义务、个人信息安全和合法权益”这三个层面,明确了管理原则、管理制度和管理内容,起到了对相关各方汽车数据活动的规范和指导作用。
曹广平进一步分析表示,第一,重要数据依法国内存储的规定,实际上是首次进行了“汽车数据国门”的原则性规定和具体体现,并且这方面的细则以后应该会越来越加强;第二,汽车数据处理者年报制度及相关规定内容,实际上开启了我国车企及车辆相关机构系统化管理的先河,并且以此为契机会越来越完善,指明了管理方向;第三,个人信息安全和合法权益方面,在各条规定中都得到了相当程度的原则性体现,比如对个人信息、敏感个人信息的定义,实际上隐含了个人对这些信息的所有权,在数据处理活动中按照几个原则也进行了具体的维护体现。
未来应该如何做?
国家互联网信息办公室有关负责人指出,汽车数据安全管理需要政府、汽车数据处理者、个人等多方主体共同参与。省级以上网信、发展改革、工业和信息化、公安、交通运输等有关部门在汽车数据安全管理过程中,将加强协调和数据共享,形成工作合力。
杨阳认为,汽车数据处理者应当严格执行包括《规定》在内的我国目前已经公布的网络安全、数据安全、个人信息等方面的法律规定,并对个人信息、重要数据相关规定、内容分类进行梳理,制定汽车数据安全保护的清单及执行方案。同时,汽车数据处理者应当设立专门数据安全部门,构建数据安全保护制度及体系,适时跟进国家发布的法律、政策及行业标准,提前预防汽车数据安全相关的民事纠纷、行政处罚或刑事责任风险。
何姗姗表示,针对重要数据,《规定》有一个从定性到定量的安排,要求企业做年度申报,基本上涉及了每个车企。所以对于车企来说,如果涉及数据出境,就一定要进行安全评估,需要建立一套数据安全风险管理体系。
张翔指出,新一代的智能网联汽车电气化程度不断提高,增加了大量传感器,也带来了数据安全的风险。从这个角度看,《规定》不仅提高了对个人隐私的保护,也进一步维护了国家安全利益。之前汽车数据管理较为粗放,也无具体政策约束。《规定》出台以后,数据服务与互联网供应商有条例可依,可根据具体内容进行进一步整改。
曹广平表示,企业的产品开发、运营与售后服务等经营活动都应遵守此规定。那么接下来,企业内部要进行《规定》的宣贯、学习与执行,要进行企业标准的相应修订工作,各相关业务部门也要对照各自的业务进行整改,加强管理,规范与优化相关数据活动。
前述汽车高精地图专业人士建议,自动驾驶企业和车企要继续在取得资质或者具备资质的地图供应商方面做一些储备。在这个过程中,不仅要熟悉国家关于测绘数据的相关法律,还要熟悉测绘行业与其他产业的关系,更为重要的是熟悉测绘管制与国家安全之间的明确联系点,以规避实际工作中因为细则并不明确而存在的相应风险。
他同时建议,在这样一个加强数据安全管理的历史契机,网络安全服务商,甚至是电信运营商,更应该敏锐抓住市场机遇,从网络链路(移动专用网络)、专用受控安全域等方面着手,在当前法规已经有相应安全等级规定的方面着手,联络相关单位逐步明确管理模式和细则,保障自动驾驶、数字座舱运营等的应用发展。
值得关注的是,就在今天,个人信息安全也有了专门法律保护!十三届全国人大常委会第三十次会议20日表决通过《中华人民共和国个人信息保护法》,自2021年11月1日起施行。《中华人民共和国个人信息保护法》明确不得过度收集个人信息、大数据杀熟,对人脸信息等敏感个人信息的处理作出规制,完善个人信息保护投诉、举报工作机制……这部专门法律充分回应了社会关切,为破解个人信息保护中的热点难点问题提供了强有力的法律保障。
据悉,近期还将有多项相关的国家标准将实施,智能网联汽车标准进入密集的制订期,并有望集中发布。