《 汽 车数据安全管理若干规定(试行)》(下称“ 《规定》 ”)已经于2021年10月1日起生效实施。 5月份的 《 汽车数据安全管理若干规定( 征求意 见稿)》 (下称“ 《 意 见稿 》 ”)一公布,就引发了热议。我们当时也对 《 意见稿 》 进行了解读,有兴趣请点: 《汽车数据安全管理若干规定(征求意见稿)》评析(上) 。
经过3个月的意见反馈和修改,《规定》有哪些变化和合规难点值得注意?我们一起来学习一下:
一、适用对象
《 规定 》 进一步明确了属地原则,根据第二条: 在中华人民共和国境内开展汽车数据处理活动及其安全监管 ,应当遵守相关法律、行政法规和本规定的要求。
第三条中,将 《 意 见稿 》 中的“运营者”概念改为“汽车数据处理者”:
概念
定义
汽车数据处理者
是指开展汽车数据处理活动的组织,包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等。
评析 :
- 不管是白猫黑猫,只要在中国境内从事了汽车数据相关活动,都要受监管。所以,一众外资企业对 《规定》 的出台都比较紧张;
- 汽车行业链条上所有的经营者都纳入了《规定》的适用范围,除了常见的整车厂、零部件厂商、经销商、售后厂商和网约车之外, 大量的软件服务供应商被纳入监管范围,比如导航、自动驾驶、车内娱乐系统提供商等等 ;
- 和《意见稿》相比,《规定》删除了保险机构。不是说保险机构可以豁免,应该是立法者经过考量之后,觉得保险、银行这种机构毕竟是金融系统的娃,由金融行业的爸爸去监管更合适。就是部门法之间的一个协调。
二、重要数据是什么?
根据《规定》第三条,汽车数据包括 个人信息数据 和 重要数据 ,重要数据的定义如下:
概念
定义
重要数据
- 军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据 ;
- 车辆流量、物流等反映经济运行情况的数据 ;
- 汽车充电网的运行数据 ;
- 包含人脸信息、车牌信息等的车外视频、图像数据 ;
- 涉及个人信息主体超过10万人的个人信息 ;
- 国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据
评析 :
- 和《意见稿》相比, 删除了高清地图的测绘数据 ,不是说这些数据不重要,相反,是非常重要。智能汽车 的各类传感器(比如毫米波雷达和摄像头)收集路况和车外数据,与高清地图相结合,再反馈到汽车进行决策,这一过程可能会被视为测绘行为,其中处理的数据可能涉及郭嘉秘密。
郭嘉对测绘数据有一套严格的法律规范和程序,估计 在《规定》中就不再对测绘数据重复规定了;
- 增加了一条“ 涉及个人信息主体超过10万人的个人信息 ”。
三、 数据处理的原则
根据《规定》第六条,汽车数据处理者在开展汽车数据处理活动中要坚持下述原则:
原则
具体内容
车内处理原则
除非确有必要不向车外提供
默认不收集原则
除非驾驶人自主设定,每次驾驶时默认设定为不收集状态
精度范围适用原则
