《汽車數據安全管理若干規定（試行）》10月1日起施行

　　近日，工信部相關負責人明確指出，隨著汽車智能化、網聯化的發展，網絡數據安全問題凸顯，如果監管措施不能及時跟上，將會產生未經授權的個人信息和重要數據采集利用等數據安全問題。因此要加大監管措施，堅守安全底線，優化發展環境。

　　的確，《網絡安全法》、《數據安全法》對數據安全、個人信息保護做了基本規定。汽車數據安全管理領域亟需出臺有針對性的規章制度，明確汽車數據處理者的責任和義務，規范汽車數據處理活動，促進汽車數據依法合理有效利用和汽車行業健康有序發展。

　　最近，在千呼萬喚中，國家互聯網信息辦公室等五部門聯合發布了《汽車數據安全管理若干規定（試行）》（以下簡稱《規定》），聚焦汽車領域個人信息和重要數據的安全風險，就若干重點問題做出規定，自2021年10月1日起施行，給汽車產業數據安全管理指明了方向。

　　數據幾何倍增長　安全問題凸顯

　　汽車產業涉及國家經濟、裝備制造、金融、交通運輸、生產生活等諸多領域，汽車數據規模龐大，同時暴露出的汽車數據安全問題和風險隱患也日益突出。

　　比如，汽車數據處理者超越實際需要，過度收集重要數據；未經用戶同意，違規處理個人信息，特別是敏感個人信息；未經安全評估，違規出境重要數據等。《規定》的出臺既是防范化解汽車數據安全風險的實踐需要，也是保障汽車數據依法合理有效利用的客觀需要。

　　愛馳汽車首席數據官、資深技術專家李海軍指出，燃油車時代，人們通常以出行的便捷為目的，交通工具的可用性、方便性是大多數人關注的重點，機械動力也決定了數據的有限性。隨著汽車新四化，用戶體驗訴求不斷加強，汽車傳感器數量成倍增長，數據以幾何倍速度產生，數據的多樣性融合，一時間讓我們無法有效、合理、正確地使用這些數據，從而暴露了很多問題。

　　比如，數據的采集沒有具體標準，車企理念不同，對數據訴求也不同，大多以汽車診斷、檢測為目的，少數考慮到用戶體驗訴求，各自按需采集。數據的傳輸也很隨意，車企需要多家配件供應商協作，實現多鏈路數據通訊，因為各自協議標準不統一，對數據的理解不同，通常無法有效保證數據安全、共享使用。

　　汽車數據處理應堅持四原則

　　《規定》中明確了汽車數據是指汽車設計、生產、銷售、使用、運維等過程中的涉及個人信息數據和重要數據；所稱汽車數據處理，包括汽車數據的收集、存儲、使用、加工、傳輸、提供、公開等，涉及汽車數據處理的全生命周期；還進一步明確了汽車數據中的個人信息、敏感個人信息、重要數據以及汽車數據處理者的含義和類型。

　　《規定》明確了汽車數據處理者開展汽車數據處理活動的一般要求。主要包括：一是處理汽車數據應當合法、正當、具體、明確，與汽車的設計、生產、銷售、使用、運維等直接相關。二是利用互聯網等信息網絡開展汽車數據處理活動，應當落實網絡安全等級保護等制度，加強汽車數據保護，依法履行數據安全義務。三是應當建立投訴舉報渠道，設置便捷的投訴舉報入口，及時處理用戶投訴舉報。

　　《規定》堅持安全和發展并重，倡導汽車數據處理者在開展汽車數據處理活動中堅持“車內處理”、“默認不收集”、“精度范圍適用”、“脫敏處理”等原則，減少對汽車數據的無序收集和違規濫用，鼓勵汽車數據依法合理有效利用，促進汽車行業健康有序發展。

　　《規定》亦明確了處理個人信息、敏感個人信息的具體要求。針對個人信息，一是告知義務，二是征得同意義務，三是匿名化要求。

　　《規定》特別強調，汽車數據處理者開展重要數據處理活動，應當遵守依法在境內存儲的規定。

　　《規定》比《征求意見稿》要求有所放松

　　汽車行業資深專家張楠指出，實際上，8月發布的《規定》比先前在5月發布的《汽車數據安全管理若干規定（征求意見稿）》（以下簡稱“《征求意見稿》”），在條款規定上要更為放松。

　　比如，《征求意見稿》中倡導運營者處理個人信息和重要數據過程中，默認不收集原則，除非確有必要，每次駕駛時默認為不收集狀態，駕駛人的同意授權只對本次駕駛有效。這意味著，如的確需要收集駕駛人數據，車企需要在駕駛人每次上車時都要獲得其同意，實際操作起來較為繁瑣。考慮到車企的接受程度，《規定》中取消了“駕駛人的同意授權只對本次駕駛有效”的時效性規定。

　　《征求意見稿》提到運營者處理個人信息應當通過用戶手冊、車載顯示面板或其他適當方式，告知負責處理用戶權益責任人的有效聯系方式；而《規定》中則將告知用戶的方式增加為“通過用戶手冊、車載顯示面板、語音、汽車使用相關應用程序等顯著方式”，為車企提供了更多可行途徑，也為車企應對降低了成本，更加符合汽車行業現實。

　　李海軍認為，《規定》明確了消費者對個人隱私信息、出行軌跡數據，以及日常駕駛行為、車內應用場景數據，具有知情權、處理權，個人根據自己體驗需求，可以自由、靈活地決定數據是否被采集、采集多少；針對這些采集的數據也具有要求刪除的權利，數據所有權歸屬用戶個人。

　　對于車企來說，將會在用戶知曉并被授權的情況下，以增強用戶體驗服務為目的，獲取用戶出行、駕乘數據；這些數據如何使用，向第三方服務商或者公共渠道提供數據公開等也將被約束。而對于整個汽車行業產業鏈，將會建立起從用戶到車企再到供應商、第三方服務商的全方位安全網，數據安全主管部門參與監管，切實保護用戶隱私和國家信息安全。

　　車企積極應對、主動達標

　　對于車企如何提升數據安全管理，李海軍表示，愛馳汽車從成立之初，就堅守歐盟GDPR和國家的安全標準，針對各項安全指標做到一一認證，接下來借助這些經驗，達到國家的安全標準相對容易很多。

　　李海軍建議，車企應當做到數據采集及時脫敏，從源頭避免重要信息泄漏。傳輸過程做好數據安全加密，數據一致性校驗；個人數據和車輛數據，多任務分離傳輸。同時以服務用戶為中心，具體場景具體處理，多問用戶是否愿意授權數據采集；數據是否被過度采集，為企業自身利益而為之；要給到用戶合理的、足夠的權限，能夠決定自己數據的去向。

　　張楠則建議，務必落實網絡安全等制度，開展汽車數據相關關鍵信息系統風險評估工作和報告制度，建立汽車數據投訴舉報系統并及時響應和處理用戶投訴、審核刪除用戶要求刪除的數據；做好汽車產品規劃，篩查采集用戶數量的類型，非必要不采集、默認不采集。

　　加大信息安全技術研發投入，加快匿名化、去標識化、輪廓化等關鍵脫敏技術的研發落地工作；針對未上市的車型，建議通過產品手冊、車機系統、車主App等途徑履行告知義務，發布告知內容，征得用戶同意，通過車機大屏、車主App等方式提供數據終止采集、期限設定的渠道。

　　針對已上市車型確已采集個人信息的，需對該款車型進行合規性整改，加裝交互設備、開發交互系統等方式滿足《規定》要求；建立端內數據存儲機制；評估出境數據的必要性，數據非必要不出境，必須出境的，應盡早聯系國家網信部門進行安全評估，取得出境許可。（記者 郝文麗）

　　轉自：中國汽車報

　　【版權及免責聲明】凡本網所屬版權作品，轉載時須獲得授權并注明來源“中國產業經濟信息網”，違者本網將保留追究其相關法律責任的權力。凡轉載文章及企業宣傳資訊，僅代表作者個人觀點，不代表本網觀點和立場。版權事宜請聯系：010-65363056。

延伸閱讀