2021年10月1日,《汽车数据安全管理若干规定(试行)》正式施行,这是我国首个专门针对汽车行业数据安全管理的规范性文件。随着智能网联汽车的快速发展,汽车已经从单纯的交通工具演变为移动的数据采集终端,一辆智能汽车每天产生的数据量可达TB级别。这些数据涉及个人信息、地理信息、车辆状态甚至道路环境信息,安全管理的重要性不言而喻。很多汽车制造商、零部件供应商和车联网服务提供商都在问:这个规定到底管什么?企业需要做什么?这篇内容围绕规定核心条款进行解读。
汽车数据安全管理规定对汽车数据的定义非常宽泛,涵盖车辆行踪轨迹、音视频信息、车况数据、驾驶行为数据、环境感知数据等多种类型。其中特别关注重要数据的识别和分类,将军事管理区、国防科工等敏感区域的地理信息,车辆流量、物流等反映经济运行的数据,以及包含人脸信息、车牌信息等的车外视频数据,列入了重要数据的管理范畴。这意味着智能网联汽车企业需要对其采集的数据进行全面梳理,明确哪些属于重要数据。
规定对汽车数据处理提出了明确的边界要求。汽车数据处理者在使用车辆数据时,应当坚持车内处理原则,也就是尽可能在车内完成数据处理,减少数据向外传输的必要性。同时坚持默认不收集原则,除非确有必要,应当将出厂默认设置为不收集个人信息的状态。这两条原则对车联网产品设计产生了直接影响,企业需要从产品设计阶段就考虑数据的本地化处理方案。
规定对汽车数据出境作出了专门限制。汽车数据处理者向境外提供重要数据的,应当依法进行安全评估。对于未达到安全评估门槛的个人信息出境,可以通过标准合同或认证方式实现合规。但需要注意的是,汽车行业涉及的大量车辆轨迹数据、地理信息数据本身就属于重要数据,因此大多数智能网联汽车企业的数据出境都需要申报安全评估。
规定对汽车数据处理的告知同意方式提出了具体要求。企业在收集车辆数据之前,应当以显著方式告知用户数据处理的目的、方式和范围,并取得用户同意。对于涉及敏感个人信息的,需要取得用户的单独同意。对于车外收集的音视频信息,如果可能识别到行人的面部信息,还需要考虑是否属于敏感个人信息。实践中,很多车企在用户手册、车载屏幕和手机App中增加了数据收集的告知页面。
规定对汽车数据存储提出了限制要求。汽车数据处理者存储个人信息的期限不得超过实现处理目的所必需的最短时间。对于重要数据,应当在境内存储,确需向境外提供的应当进行安全评估。这要求车企建立数据生命周期管理制度,明确各类数据的存储期限和到期处理方式,避免数据长期无限制留存。
规定对汽车数据安全管理能力提出了要求。汽车数据处理者应当建立数据安全管理体系,采取必要的数据安全保护技术措施,定期开展数据安全风险监测和评估。对于涉及重要数据处理的,还应当设置专门的数据安全管理负责人和数据安全管理机构。从行业实践来看,主流车企和供应商已经纷纷设立了数据安全或隐私保护的专门岗位。
规定实施以来,汽车行业的数据合规监管力度不断增强。国家网信部门、工信部门和公安部门对智能网联汽车的数据安全开展了多轮专项检查。不合规的汽车数据处理活动可能面临责令改正、警告、罚款等处罚,情节严重的还可能被责令暂停相关业务。对于存在数据安全风险的车型,监管机构可以要求企业召回整改。
汽车企业可以从几个方面落实规定要求。第一,对全车数据采集点进行清查,制作数据资产地图。第二,评估数据出境情况,判断是否需要申报安全评估。第三,优化产品设计,实现车内处理和数据最小化采集。第四,完善用户告知同意流程,确保用户对数据收集有清晰的认知和选择权。第五,建立数据安全管理制度和应急预案,定期开展数据安全自评估。
汽车数据安全管理规定不仅是对企业的合规约束,更是推动汽车行业数据治理体系成熟的重要契机。企业可以借此机会重新审视自身的数据管理能力,将合规要求转化为数据管理能力提升的内在动力。
常见问题
Q1:新能源汽车企业如何判断哪些数据属于重要数据? A:建议参照规定中列出的重要数据类别,包括敏感区域地理信息、经济运行数据、车外视频数据等,并结合行业主管部门的指引进行判断。
Q2:OTA升级过程中的数据如何处理? A:OTA升级涉及的车辆状态数据、诊断数据等应当在确保安全的前提下传输,涉及个人信息的需要履行告知同意义务。
Q3:汽车数据可以存储在海外服务器吗? A:重要数据必须在境内存储。个人信息在符合跨境传输合规要求的前提下可以出境,但需要履行安全评估、标准合同或认证程序。
