5 月25日晚,特斯拉官微发布消息:已在中国建立数据中心,以实现数据存储本地化。
公众形象一向傲慢的特斯拉这回这么乖巧,反应这么神速,官 微里提到的 《汽车数据安全管理若干规定(征求意见稿)》(“ 《规定》 ”)究竟是什么内容,值得我们来回顾一下。
2021年5月12日,国家网信办公布了《汽车数据安全管理若干规定(征求意见稿)》(“ 《规定》 ”),向社会公开征求意见。
现在智能汽车的数据安全问题越来越让人关注,《 规定 》作为中国第一个汽车行业数据安全管理的部门规章, 解决的就是和汽车相关的数据应该如何收集、 传输、处理和存储的问题 。
我们来对《 规定 》的重点和亮点进行解读:
一、谁必须遵守?
根据意见稿第二条,适用的主体是 在中华人民共和国境内设计、生产、销售、运维、管理汽车过程中,收集、分析、存储、传输、查询、利用、删除以及向境外提供(以下统称处理)个人信息或重要数据的运营者 。
第三条明确了 运营者的定义:
评析 :
- 对汽车数据的监管已经覆盖到汽车行业全产业链, 值得注意的是, 网约车企业 也明确被 @ ;
- 有些主体没有提及,像购车环节必不可少的汽车金融机构,比如提供汽车贷款的银行、汽车金融公司、融资租赁机构等, 但按逻辑,所有汽车相关的生产商和服务提供商应该都是要受到监管的。
二、 “重要数据”是什么?
根据 《 规定 》 的规定,汽车数据主要包括两部分: 个人信息 和 重要数据 。
个人信息 包括车主、驾驶人、乘车人、行人等的个人信息,以及能够推断个人身份、描述个人行为等的各种信息。这和《网络安全法》和《民法典》对个人信息的定义类似,没有什么大变化。
值得注意的是“重要数据”,这个概念在《网络安全法》、《个人信息和重要数据出境安全评估办法(征求意见稿)》(下称“ 《 2017 评估办法》 ”)以及2019年《数据安全管理办法(征求意见稿)》中都有过笼统描述,但 《 规定 》 是第一次明确列举了重要数据的范围:
评析:
- 一直有网传,特斯拉被禁止进入机关大院,现在终于出现明确的法规支持了 ;
- 自动驾驶 离不开 高精地图,自动驾驶是智能汽车的必然趋势,相关企业头上被套上紧箍咒;
- 根据这一条,凡是外置摄像头、雷达传感器记录的数据,如果没有脱敏处理,都会被划到“重要数据”的范围,这些相关企业面临更高的合规要求。
三、数据处理的原则
第6条提出了运营者处理个人信息和重要数据的几项基本原则,即车内处理原则、匿名化处理原则、最小保存期限原则、精度范围适用原则和默认不收集原则,基本上是《网络安全法》《个保法草案》和《数安法草案》中规定的正当性、必要性和最小化原则的进一步的细化:
评析:
- 车内处理 ,在实践中,除了车内存储设备,不少企业会把汽车数据存储在 远程信息服务平台 或 云端 进行处理。如果 《 规定 》 最终稿对于“车内”的定义仅限于车内存储设备,相关企业会相当脑壳疼;
- 匿名化和最小保存期限 ,技术上实现并不难,但对企业的数据存储、分类和脱敏处理有比较高的要求;
- 精度范围 这条要求就很高了,摄像头和雷达的覆盖范围、分辨率在不同场景下要求不一样,该怎么切换?还是一律从高?
- 默认不收集 强调驾驶人对单次授权的控制, 但如果太频繁,估计驾驶人自己会嫌烦。
四、个人信息处理
第七到第十条分别对车内车外两种场景的个人信息收集做了规定:
评析:
- 强调了驾驶人的知情权和控制权;
- 汽车摄像头收集车外音视频信息的合规问题一直是个绕不过的坑。这些信息对于辅助驾驶或自动驾驶功能是必需的,但车开在马路上,摄像头会捕捉到无数个路人甲的脸,怎么去获得每个路人的同意?在现实中根本很难实现;
《规定》提供了解决方案,即只要进行脱敏处理,比如删除能够识别人脸的画面或对人脸进行局部轮廓化处理即可。
(未完待续)

