五、对个人敏感信息的保护

第八条和第十条专门针对个人敏感信息的特别规定:

评析:

  1. 把 GPS定位、车内语音视频等敏感信息的收集严格限定用于服务驾驶人或乘车者的目的,并且驾驶人 单次授权、随时终止、方便查看、限时删除 ;
  2. 为车主提供方便、结构化查询敏感个人信息的途径是个重大突破。在 之前车展特斯拉车主维权案中,关于“不能识别出个人身份 的 驾驶数据”所有权究竟属于驾驶人还是车企的问题,一直都有争议(有兴趣点这里: 特斯拉车展维权的数据之争 ),《规定》没有正面回答这个问题,但至少, 现在车主可以理直气壮 地要求车企提供行车数据了 。而 特斯拉也已经表示会上线车主平台,允许车主查看行车数据;

六、数据本地化储存

评析:

  1. 按照《个保法草案》,非关键信息基础设施运营者处理个人信息的数量达到网信办规定时,需要将个人信息在境内存储,并在出境时履行安全评估程序。但《规定》中并没有就个人信息设置数量门槛,规定 个人信息和重要数据应当一律在境内存储 ,通过国家网信部门组织的数据出境安全评估才能出境;
  2. 第十三到十五条是对数据出境的一般要求,第十六条单独对科研和商业合作作了特别规定,意图是什么,笔者现在还没看懂;
  3. 数据本地化储存势在必行 。所以特斯拉第一时间响应,并开始在国内建云。虽然和现有法规在数据出境的标准和门槛上存在不一致,但统一只是时间问题。

跨国企业需要慎重考虑 IT 服务器的架设,已经存在国外的数据要考虑迁移到国内 。当然,对国内提供云储存服务的企业则是大大的利好,比如阿里云。

七、监管报告要求

评析:

  1. 处理重要数据前需要事先报告;
  2. 处理个人信息涉及个人信息主体超过 10 万人、或者处理重要数据的运营者除了工商年检,现在多了一个数据年报的要求

八、结束语

《规定》分别从国家安全层面、公共利益层面和个人信息保护三个层面形成了一个完善的汽车数据保护体系。 在重要数据范围、敏感数据处理规则、数据本地化和出境监管方面都开创性地提出了明确要求,但细节还需要等待有关部门提供进一步澄清和指导细则。(完)