数据安全新规出炉，或对智能汽车带来重磅“打击” 近期针对于智能电动汽车颁布

近期针对于智能电动汽车颁布了一项非常重要的法规《汽车数据安全管理若干规定(试行)》，新规将于2021年10月1日实施，意味着很早前就引发广泛关注和讨论的汽车数据安全保护正式落地。由于牵扯面很大，汽车人参考通过比较征求意见稿和正式稿，可以初步探索出监管逻辑。

文章图片

文章图片
首次定义重要数据
新规对汽车行业的重要数据进行了界定，相比于征求意见稿，增加了“车外人脸、车牌等视频、图像数据” ，删除了“音频数据” ，或许是因为音频数据无法准确识别；增加了“重要敏感区域地理信息”, 删除了“高于国家公开发布地图精度的测绘数据” ，定义的范围进一步扩大；增加了“涉及个人信息主体超过10万人的个人信息” ，首次确定了10万的量级；将“车辆类型、车辆流量数据”改为“车流、物流等反映经济运行情况的数据” ，定义范围更加精准。

文章图片

文章图片
【数据安全新规出炉，或对智能汽车带来重磅“打击”】重要的数据保护主体虽然删除了“保险公司” ，但依然囊括了汽车厂商/汽车制造商、零部件供应商、第三方供应商、经销商、维修机构以及出行服务机构，适用范围十分宽泛。
数据处理原则
倡导“车内处理”、“默认不收集”、“脱敏处理”、“精度范围适用”四项非强制性原则。
针对于“车内处理”和“脱敏处理” ，删除了“确有必要向车外提供时需要进行匿名化和脱敏处理”的表述，统一要求均应当“尽可能采用匿名化和去标识化处理”, 而不再仅仅局限于“向车外提供这一场景” 。
“精度范围适用” 汽车数据处理者有必要根据具体的服务场景, 对摄像头、雷达等的覆盖范围、分辨率进行颗粒度划分。

文章图片

文章图片
针对于“默认不收集”原则，将“无论临时使用, 还是长期使用, 必须在每次处理个人信息和重要数据前, 获得驾驶人的同意”改为了“除非驾驶人自主设定, 每次驾驶时默认设定为不收集状态”, 删除了“驾驶人同意授权只对本次驾驶有效”的时效性规定，要求总体有所放松，也更加具有可操作性。
取消了征求意见稿中的“确有必要下可以默认设定为收集状态”表述，将默认收集的选择权交还给了驾驶人，同时也删除了“最小保存期限”的原则。
如何告知用户
搜集数据告知用户方式为“通过用户手册、车载显示面板、语音、汽车使用相关应用程序等显著方式” ，再次强调了车外行人的音视频信息，需要进行匿名化处理。
将征求意见稿中的“驾驶人要求处理者删除时, 处理者在2周内删除敏感个人信息和用于判断违法违规驾驶数据”的要求, 修改为“个人要求删除的, 汽车数据处理者应当在十个工作日内删除” 。

文章图片

文章图片
同时规定了，个人信息和重要数据应当存储在境内, 境外传输则需要通过国家网信部门组织的数据出境安全评估。
汽车人参考总结
汽车数据安全新规，其制定背景是在《数据安全法》的基础上针对于汽车行业的进一步细化，首次界定了汽车行业内的重要数据范围以及相关处理原则，对其他行业其实具有参考意义；需要指出的是，虽然新规中对数据保护的主体进行了大范围定义，但对于一旦发生数据安全问题责任的认定并没有进行清晰的阐述和划分。