《 汽 车数据安全管理若干规定(试行)》(下称“ 《规定》 ”)已经于2021年10月1日起生效实施。 5月份的 《 汽车数据安全管理若干规定( 征求意 见稿)》 (下称“ 《 意 见稿 》 ”)一公布,就引发了热议。我们当时也对 《 意见稿 》 进行了解读,有兴趣请点: 《汽车数据安全管理若干规定(征求意见稿)》评析(上) 。

经过3个月的意见反馈和修改,《规定》有哪些变化和合规难点值得注意?我们一起来学习一下:

一、适用对象

《 规定 》 进一步明确了属地原则,根据第二条: 在中华人民共和国境内开展汽车数据处理活动及其安全监管 ,应当遵守相关法律、行政法规和本规定的要求。

第三条中,将 《 意 见稿 》 中的“运营者”概念改为“汽车数据处理者”:

概念

定义

汽车数据处理者

是指开展汽车数据处理活动的组织,包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等。

评析 :

  1. 不管是白猫黑猫,只要在中国境内从事了汽车数据相关活动,都要受监管。所以,一众外资企业对 《规定》 的出台都比较紧张;
  2. 汽车行业链条上所有的经营者都纳入了《规定》的适用范围,除了常见的整车厂、零部件厂商、经销商、售后厂商和网约车之外, 大量的软件服务供应商被纳入监管范围,比如导航、自动驾驶、车内娱乐系统提供商等等 ;
  3. 和《意见稿》相比,《规定》删除了保险机构。不是说保险机构可以豁免,应该是立法者经过考量之后,觉得保险、银行这种机构毕竟是金融系统的娃,由金融行业的爸爸去监管更合适。就是部门法之间的一个协调。

二、重要数据是什么?

根据《规定》第三条,汽车数据包括 个人信息数据 和 重要数据 ,重要数据的定义如下:

概念

定义

重要数据

  1. 军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据 ;
  2. 车辆流量、物流等反映经济运行情况的数据 ;
  3. 汽车充电网的运行数据 ;
  4. 包含人脸信息、车牌信息等的车外视频、图像数据 ;
  5. 涉及个人信息主体超过10万人的个人信息 ;
  6. 国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据

评析 :

  1. 和《意见稿》相比, 删除了高清地图的测绘数据 ,不是说这些数据不重要,相反,是非常重要。智能汽车 的各类传感器(比如毫米波雷达和摄像头)收集路况和车外数据,与高清地图相结合,再反馈到汽车进行决策,这一过程可能会被视为测绘行为,其中处理的数据可能涉及郭嘉秘密。

郭嘉对测绘数据有一套严格的法律规范和程序,估计 在《规定》中就不再对测绘数据重复规定了;

  1. 增加了一条“ 涉及个人信息主体超过10万人的个人信息 ”。

三、 数据处理的原则

根据《规定》第六条,汽车数据处理者在开展汽车数据处理活动中要坚持下述原则:

原则

具体内容

车内处理原则

除非确有必要不向车外提供

默认不收集原则

除非驾驶人自主设定,每次驾驶时默认设定为不收集状态

精度范围适用原则