作者:宁宣凤 吴涵 张凯勋 姚敏侣 金杜律师事务所合规业务部

 

引言

2021年8月20日,国家互联网信息办公室(以下简称“国家网信办”)、国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合发布《汽车数据安全管理若干规定(试行)》(以下简称《规定》)。《规定》全文共计十九条,将自2021年10月1日起施行。在此前的5月份,《汽车数据安全管理若干规定(征求意见稿)》(以下简称“征求意见稿”)全文在国家网信办官方网站上公布,已经向社会传达出了将严格管理和保护汽车行业数据安全的明确监管态势,《规定》的颁布将正式拉开行业数据监管的序幕。

但相比于征求意见稿,《规定》在汽车数据相关概念的基本定义、汽车数据处理者的法律义务、重要数据的识别与认定,以及个人信息主体授权的获取方式等具体规则上存在较为突出的变化。本文将结合汽车行业不同市场主体的数据安全保护实践,探讨汽车数据合规中的普遍性义务与重点问题,并为汽车企业做好数据合规和监管配合提出可行意见。

《规定》出台的背景及其关键概念

    • 法律与事实背景

《规定》出台具有较强的现实与法律背景。在全球数据主权竞争和个人信息保护合规浪潮下,近期我国的网络与数据安全立法立规举措不断。继《网络安全法》之后,《数据安全法》已于今年6月表决通过,成为我国数据安全领域的基础性法律,也成为了国家安全法律体系下的一部重要法律(对《数据安全法》的详细解读可参见团队此前文章 )。最终出台的《规定》亦将《数据安全法》作为上位法依据。在个人信息保护领域,在与《规定》发布的同日,我国个人信息保护首部专门立法《个人信息保护法》经历了三审后正式由全国人大常委会通过,11月1日生效后将成为保护个人信息的“安全锁”。[1]根据相关部门负责人的说法,此次《规定》“定位于若干规范要求,聚焦汽车领域个人信息和重要数据的安全风险,就若干重点问题作出规定。”[2]由此可见,《规定》基于数据安全和个人信息保护相关法律、行政法规的基本原则,以期进一步实现对汽车行业领域内数据处理活动中的重要安全风险予以事前预防、事中监管和事后处罚,规范和促进汽车数据的合理开发利用。

相关重要概念定义

  1. 首次对“汽车数据”进行规章层面上的定义

《规定》第一条第一款对“汽车数据”作出了明确的概念阐释,即包括汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据。从定义上看,相比于征求意见稿,《规定》进一步明确了汽车数据既包括了个人信息数据,也包括重要数据。其中,以《民法典》和《个人信息保护法》中的个人信息定义为参照,《规定》使用“个人信息数据”的概念,从文意解释上可能既包括个人信息的内容(如车主姓名、姓名和联系方式等),也包括对个人信息的记录的各种结构化或者非结构化的相关数据。尽管在理论上对“信息”和“数据”的概念还存在进一步讨论的空间,但根据《数据安全法》对“数据”的定义(任何以电子或者其他方式对信息的记录),由此,对个人信息收集、存储以及使用加工等处理活动的记录本身也成为了一类数据,且该类型数据与个人信息主体密切相关,两者是互为表里、相辅相成的关系。《规定》将上述数据看作为整体并以一种独立的数据类型归纳为“个人信息数据”,体现了概念定义上的延展性与全面性。

  1. 澄清重要数据与个人信息的内涵关系

《规定》中关于“汽车数据”的定义问题,也引发数据、重要数据与个人信息之间的关系问题讨论。首先可以明确的是,《数据安全法》等上位法相关规定没有将个人信息排除出数据或者重要数据的范畴;而《规定》则通过“汽车数据”的概念定义中更加明确地认为,个人信息属于一种特殊类型的数据。此外,根据《规定》第三条条第六款,超过一定体量(10万个人信息主体)的个人信息还将构成重要数据

基于上述认识,本文认为相关主管部门通过《规定》进一步澄清了由来已久的“重要数据不包含个人信息”的争议或者误解。为澄清前述误解,还需联系国家网信办于2019年公布的《数据安全管理办法(征求意见稿)》第三十八条第五项[3]中对“重要数据”的定义,其中规定了“重要数据一般不包括企业生产经营和内部管理信息、个人信息等。”但联系该条规定的具体语义环境,对照此次《规定》中对于“个人信息数据”的提法不难发现,所谓的“不包括个人信息”应当解释为不包含企业生产经营和内部的个人信息。换言之,如果汽车企业在开展生产和经营活动过程中处理达到一定量级的客户或者消费者的个人信息,将不排除被认定为重要数据的处理行为。对这一关键概念与法律关系的厘清,也体现了此次《规定》出台的重要价值和意义。

  1. 与上位法依据做好规则层面上的衔接

如上所述,作为《网络安全法》《数据安全法》以相关上位法在汽车数据安全管理规范中的配套部门规章,最终出台的《规定》多处体现了在规则层面上的接榫和自洽。就本文的观察而言,主要存在以下几个关键方面:

  • 首先,在立法思路上,《规定》呼应了《数据安全法》以行为规范而非主体规范的适用逻辑与立法定位,将适用对象规定为汽车数据处理活动,即凡是在境内开展汽车数据处理活动,均需满足《规定》的相关要求,由此,适用《规定》的关键在于判断是否涉及“汽车数据的收集、存储、使用、加工、传输、提供、公开等”处理行为,而非局限于狭隘地认定汽车行业相关运营主体的资格范围问题。
  • 其次,在适用主体的认定上,《规定》与《数据安全法》保持一致,以“汽车数据处理者”囊括了汽车相关行业及产业上下游的市场主体,尤其是涵盖了利用互联网等信息通讯技术开展汽车服务的市场主体等,所达成的实质立规目标是实现对汽车行业全生态的数据安全风险管理。而事实上,考虑到数据作为流动资源的特殊性质,APP数据安全治理等不同监管专题中已经体现了“生态圈”监管的思路,对于各垂直行业内的数据安全管理和立法立规活动,必然将引发全行业、多主体和复杂产业生态的数据合规义务。
  • 最后,在汽车行业的个人信息和重要数据的识别和分类上,《规定》遵循《个人信息保护法》中根据信息敏感程度区分保护的法律规则,将汽车数据处理过程中可能涉及的敏感个人信息设计了更为严格的安全保护要求。在重要数据各部门落实分类分级保护制度的过程中,《规定》中率先对汽车行业的重要数据以列举的形式作出规定,旨在实现汽车重要数据处理的加强型保护。
  • 《规定》下汽车数据处理者的义务责任梳理

对于汽车行业的相关市场主体而言,严格落实和遵循《规定》中对处理个人信息、 敏感个人信息和重要数据的安全管理义务,成为合规经营不可或缺的组成部分。下文将对其中重点需要关注和履行的汽车数据处理者义务与责任进行表格形式的梳理,帮助企业更好地理解与适用《规定》中的具体合规要求。

个人信息保护

 

合规义务 具体条文 简要解释
告知义务

第七条 汽车数据处理者处理个人信息应当通过用户手册、车载显示面板、语音、汽车使用相关应用程序等显著方式,告知个人以下事项:

(一)处理个人信息的种类,包括车辆行踪轨迹、驾驶习惯、音频、视频、图像和生物识别特征等;

(二)收集各类个人信息的具体情境以及停止收集的方式和途径;

(三)处理各类个人信息的目的、用途、方式;

(四)个人信息保存地点、保存期限,或者确定保存地点、保存期限的规则;

(五)查阅、复制其个人信息以及删除车内、请求删除已经提供给车外的个人信息的方式和途径;

(六)用户权益事务联系人的姓名和联系方式;

(七)法律、行政法规规定的应当告知的其他事项。

汽车数据处理者处理个人信息应当告知处理个人信息种类、收集情境、停止收集方式途径等相关信息
征得同意义务与匿名化要求

第八条 汽车数据处理者处理个人信息应当取得个人同意或者符合法律、行政法规规定的其他情形。

因保证行车安全需要,无法征得个人同意采集到车外个人信息且向车外提供的,应当进行匿名化处理,包括删除含有能够识别自然人的画面,或者对画面中的人脸信息等进行局部轮廓化处理等。

汽车数据处理者处理个人信息应当取得个人同意或者符合法律、行政法规规定的其他情形。因保证行车安全需要,无法征得个人同意采集到个人信息且向车外提供的,应当进行匿名化处理
敏感个人信息强化保护要求

第九条 汽车数据处理者处理敏感个人信息,应当符合以下要求或者符合法律、行政法规和强制性国家标准等其他要求:

(一)具有直接服务于个人的目的,包括增强行车安全、智能驾驶、导航等;

(二)通过用户手册、车载显示面板、语音以及汽车使用相关应用程序等显著方式告知必要性以及对个人的影响;

(三)应当取得个人单独同意,个人可以自主设定同意期限;

(四)在保证行车安全的前提下,以适当方式提示收集状态,为个人终止收集提供便利;

(五)个人要求删除的,汽车数据处理者应当在十个工作日内删除。

汽车数据处理者具有增强行车安全的目的和充分的必要性,方可收集指纹、声纹、人脸、心律等生物识别特征信息。

在履行告知、征得个人单独同意等义务基础上,汽车数据处理者处理敏感个人信息还应当满足限定处理目的、提示收集状态、为个人终止收集提供便利等具体要求。针对个人生物识别特征信息,明确汽车数据处理者具有增强行车安全的目的和充分的必要性方可收集

 

重要数据处理安全

 

合规义务 具体条文 简要解释
开展风险自评估并向主管部门报送报告

第十条 汽车数据处理者开展重要数据处理活动,应当按照规定开展风险评估,并向省、自治区、直辖市网信部门和有关部门报送风险评估报告。

风险评估报告应当包括处理的重要数据的种类、数量、范围、保存地点与期限、使用方式,开展数据处理活动情况以及是否向第三方提供,面临的数据安全风险及其应对措施等。

汽车数据处理者开展重要数据处理活动,应当按照规定开展风险评估,并向省、自治区、直辖市网信部门和有关部门报送风险评估报告
通过主管部门出境安全评估

第十一条 重要数据应当依法在境内存储,因业务需要确需向境外提供的,应当通过国家网信部门会同国务院有关部门组织的安全评估。未列入重要数据的涉及个人信息数据的出境安全管理,适用法律、行政法规的有关规定。

我国缔结或者参加的国际条约、协定有不同规定的,适用该国际条约、协定,但我国声明保留的条款除外。

重要数据应当依法在境内存储,因业务需要确需向境外提供的,应当通过国家网信部门会同国务院有关部门组织的安全评估
配合主管部门抽查核验与数据安全评估

第十二条 汽车数据处理者向境外提供重要数据,不得超出出境安全评估时明确的目的、范围、方式和数据种类、规模等。

国家网信部门会同国务院有关部门以抽查等方式核验前款规定事项,汽车数据处理者应当予以配合,并以可读等便利方式予以展示。

 

第十五条第一款 国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门依据职责,根据处理数据情况对汽车数据处理者进行数据安全评估,汽车数据处理者应当予以配合。

国家网信部门会同国务院有关部门以抽查等方式核验汽车数据出境评估有关事项,或者根据处理数据情况开展数据安全评估,汽车数据处理者应当予以配合
年度报告

第十三条 汽车数据处理者开展重要数据处理活动,应当在每年十二月十五日前向省、自治区、直辖市网信部门和有关部门报送以下年度汽车数据安全管理情况:

(一)汽车数据安全管理负责人、用户权益事务联系人的姓名和联系方式;

(二)处理汽车数据的种类、规模、目的和必要性;

(三)汽车数据的安全防护和管理措施,包括保存地点、期限等;

(四)向境内第三方提供汽车数据情况;

(五)汽车数据安全事件和处置情况;

(六)汽车数据相关的用户投诉和处理情况;

(七)国家网信部门会同国务院工业和信息化、公安、交通运输等有关部门明确的其他汽车数据安全管理情况。

 

第十四条 向境外提供重要数据的汽车数据处理者应当在本规定第十三条要求的基础上,补充报告以下情况:

(一)接收者的基本情况;

(二)出境汽车数据的种类、规模、目的和必要性;

(三)汽车数据在境外的保存地点、期限、范围和方式;

(四)涉及向境外提供汽车数据的用户投诉和处理情况;

(五)国家网信部门会同国务院工业和信息化、公安、交通运输等有关部门明确的向境外提供汽车数据需要报告的其他情况。

汽车数据处理者应当在每年十二月十五日前向省、自治区、直辖市网信和有关部门报送年度汽车数据安全管理情况;如涉及向境外提供重要数据的汽车数据处理者,还应当补充报告相关情况

 

法律责任

《规定》明确汽车数据处理者违反本规定的,由省级以上网信、工业和信息化、公安、交通运输等有关部门依照《网络安全法》、《数据安全法》等法律、行政法规的规定进行处罚;构成犯罪的,依法追究刑事责任。例如,根据《网络安全法》六十六条,关键信息基础设施运营者未按照要求在本地存储数据或数据出境时未进行安全评估的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。而在《数据安全法》下,违反上述规定向境外提供重要数据的,可能被处以最高一千万元的罚款。

《规定》中的亮点解读与重要法律问题分析

    • 汽车数据中重要数据处理安全相关问题
  1. 重要数据的认定

如前所述,对比《数据安全管理办法(征求意见稿)》,《规定》在规章层面澄清了“重要数据”的外延也可能涵盖个人信息,即个人信息也可能属于重要数据的范畴尤其是超过一定体量的个人信息。《规定》第三条明确了涉及个人信息主体超过10万人的个人信息,属于汽车数据处理者处理的重要数据。这就意味着,处理超过10万人个人信息主体的个人信息的汽车数据处理者,需要在满足个人信息保护要求的基础上,遵从于重要数据安全处理规范。值得注意的是,《规定》在定义上也是首次在生效规章层面将“可能危害个人和组织的合法权益”纳入重要数据认定或者识别的概念性描述和考量因素之一,并且在汽车行业率先对重要数据的范畴以列举形式进行了明确。这对于指导汽车行业的各市场参与主体内部梳理和确认是否涉及重要数据、是否需要遵循重要数据处理安全一系列法律义务,具有较强的现实指导意义。

上述重要数据外延的扩展,与《数据安全法》第二十一条对“核心数据”与“重要数据”的概念区分或许也有一定联系。在此前的规范性文本中,对重要数据的识别基准主要关注的可能还仅是关系国家安全、经济发展和公共利益这一侧面,但《数据安全法》在此基础上加以细化,即“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。”而与此同时,考虑大体量个人信息的处理风险也可能涉及对个人、组织合法权益遭到减损或者危害结果,因此《规定》将其也纳入了重要数据的保护范围。在数字化生产时代,这更贴合了产业发展实际规律,因为大量个人信息的非法处理也可能对于个人或者有关组织产生严重的事实影响或者后果,体现出了立法立规工作对于重要数据的认识在不断深化。除《规定》外,下表将对以往关于重要数据识别认定的相关规范性依据予以简要归纳。

规范名称 公布时间与机构 所涉条款 简要概括
《网络安全法》 2017·全国人大常委会 第三十七条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。 首次提出重要数据的概念,同时规定了重要数据本地化存储和出境安全评估要求。
《个人信息和重要数据出境安全评估办法(征求意见稿)》 2017·国家网信办 第十七条 本办法下列用语的含义:重要数据,是指与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照国家有关标准和重要数据识别指南。 赋予对《网络安全法》中的“重要数据”描述式的法律定义。
《信息安全技术 数据出境安全评估(草案)》 2017·信安标委

《附录A:重要数据识别指南》

重要数据是指我国政府、企业、个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据),一旦未经授权披露、丢失、滥用、篡改或销毁,或汇聚、整合、分析后,可能造成以下后果:……

首次提出了重要数据的完整定义,并列举了27个行业的重要数据类型、范围。
《数据安全管理办法(征求意见稿)》 2019·国家网信办

第三十八条 本办法下列用语的含义:(五)重要数据,是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。

 

对重要数据做出法律概念解释,但通过反面列举,将“企业生产经营和内部管理信息、个人信息”排除在重要数据的范围之外。
《数据安全法》 2021·全国人大常委会

第二十一条 ……国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。

关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。

各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。

强调对国家核心数据、重要数据的区分以及严格管理、强化保护要求,再次明确各部分、各地区依照数据分类分级保护制度,确定本地区、本部门及相关行业、领域的重要数据目录。

 

  1. 重要数据处理情况的报送义务

国家加强对重要数据保护的一个重要体现,即通过备案或者要求重要数据处理者报送情况的形式,以强化对重要数据处理风险的防范。早在2019年《数据安全管理办法(征求意见稿)》中,即规定(第十五条)处理重要数据和敏感个人信息应当向所在地网信部门备案。《规定》中进一步明确和细化重要数据处理情况的报送义务,第十条规定汽车数据处理者开展重要数据处理活动时的风险评估与报送义务,并且明确要求需要向主管部门告知所处理的重要数据的种类、数量、范围、保存地点与期限、使用方式,开展数据处理活动情况以及是否向第三方提供,面临的数据安全风险及其应对措施等。此外,《规定》第十三条和第十四条规定了每年定期的情况报告义务,进一步强化了主管部门的备案要求。

综合上述,向网信等主管部门通过自评估报告、管理情况说明等形式,汇报汽车企业所涉及的重要数据处理情况,以达成强化备案和事中监管的效果,将成为汽车企业接下去合规调整期间的一项必须面对的、较为重要且必须落实的法定义务。

  1. 重要数据的本地化存储问题探析

从《规定》的具体条文中不难看出,国家对于重要数据的保护,将愈发强调与重申本地化存储,以及确有业务需要时应当通过出境安全评估的基本监管原则。出境安全评估由国家网信部门会同国务院有关部门组织。通过安全评估后,汽车数据处理者还需要确保在向境外提供重要数据,不得超出出境安全评估时明确的目的、范围、方式和数据种类、规模等。

《规定》第十一条所使用的具体表述为“应当依法在境内存储”。由此可见,对于汽车数据处理过程中的重要数据本地化存储原则,应当与《网络安全法》、《数据安全法》及相应的法律、行政法规相衔接。目前,《网络安全法》第三十七条和《数据安全法》第三十一条第一款均规定了关键信息基础设施运营者对于重要数据原则上本地化存储的强制性义务。但与此同时,《数据安全法》第三十一条第二款规定,其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。

结合《数据安全管理办法(征求意见稿)》第二十八条规定,网络运营者发布、共享、交易或向境外提供重要数据前,应当评估可能带来的安全风险,并报经行业主管监管部门同意;行业主管监管部门不明确的,应经省级网信部门批准;以及《个人信息和重要数据出境管理办法(征求意见稿)》第二条规定,网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。因业务需要,确需向境外提供的,应当按照本办法进行安全评估。虽然上述相关数据出境安全管理的规定均未实际生效,且条款所用主语均仅限于“网络运营者”,但我们可以预见的是,在《数据安全法》出台后,各行业的数据处理者将成为主要的规制对象,而一系列数据安全配套法规将进入研究、制定和颁布的序列,届时将为汽车数据出境安全评估等要求提供更为坚实的法律基础。

此外,《规定》第十一条第二款要求:“未列入重要数据的涉及个人信息数据的出境安全管理,适用法律、行政法规的有关规定。”我们认为,已经于20日公布的《个人信息保护法》第三章中的第三十八至四十三条,共计六个条款将成为汽车数据处理活动中个人信息跨境提供规则的基础法律依据。

总之,尽管本地化存储义务适用范围尚有不确定性,但值得注意的是,第一、对于非关键信息基础设施运营在境内收集和产生的重要数据尚未有明确法律法规要求其必须在境内存储;第二、结合出境安全评估义务来看,本地化存储和处理重要数据无疑是国家和企业推荐的实践做法,有利于重要数据的安全防护和行政监管。

汽车数据中个人信息主体授权相关问题

  1. 由个人自主设定同意的具体方式与效力期限

告知同意原则是个人信息保护的基础与主要的合法性来源。与征求意见稿相比,此次最终通过的《规定》对于个人信息主体的授权获取方式和时效问题做出了更符合个人信息主体利益需求和汽车企业实践的规定。征求意见稿第六条第五项中规定的“默认不收集原则”要求:除非确有必要,每次驾驶时默认为不收集状态,驾驶人的同意授权只对本次驾驶有效;此外,征求意见稿第八条第四项中关于敏感个人信息的授权法定要求为:每次都应当征得驾驶人同意授权,驾驶结束(驾驶人离开驾驶席)后本次授权自动失效。总结上述要求来看,对于汽车企业收集个人信息的要求基本可以概括为“每次opt-in授权+驾驶人离开驾驶席自动失效”。

但上述规则或许在实施落地环节存在一定的困难,此外,考虑到汽车驾驶通常的事实情况,在最终通过的《规定》中,上述要求经过了灵活调整,将个人信息主体的同意具体方式以及授权有效性判断,交由个人信息主体自主决定,具体表现为:

  • 处理一般个人信息,需遵循《规定》第六条第二项:默认不收集原则,除非驾驶人自主设定,每次驾驶时默认设定为不收集状态;(除非驾驶人自主设定为“opt-out”授权,否则应当单独opt-in授权)
  • 处理敏感个人信息,还需额外遵循《规定》第九条:汽车数据处理者处理敏感个人信息,应当符合以下要求或者符合法律、行政法规和强制性国家标准等其他要求:……(三)应当取得个人单独同意,个人可以自主设定同意期限;(单独opt-in授权+个人自主设置有效同意期限)
  1. 无法获得个人授权时应当匿名化处理

《规定》第八条在规定汽车数据处理者处理个人信息原则上应当遵循知情同意或者其他合法性依据的基础上,在第二款中明确:因行车安全需要但无法征得同意时,采集车外个人信息并对外提供的情形下,应当进行匿名化处理。实践中该款规定最为典型的适用场景如在汽车自动驾驶道路测试环境下,为了完成道路场景模拟和算法训练,为设计和完善自动驾驶系统模型而提供车外图像采集信息服务的技术供应商或合作商,除了必须具备开展业务所必需的资质条件下,还需要满足《规定》中的匿名化的个人信息保护要求,具体为:其一,删除含有能够识别自然人的画面;其二,对画面中可能包含的人脸信息等进行轮廓化处理等。该要求实际上是个人信息处理和对外提供的最小够用原则在汽车数据处理中的具体化。

此外,最终通过的《规定》区分了脱敏、匿名化和去标识化处理。征求意见稿中在该款对应的条文中保留了“脱敏处理”作为匿名化处理的替代选项,但在《规定》中,脱敏已经作为一种原则性要求,其实践做法包括匿名化和去标识化不同的方式。这一变化符合了《个人信息保护法》对“匿名化”的定义以及敏感个人信息的处理要求。

汽车数据中特殊类型的数据管理和保护问题

  1. 汽车事件数据

汽车事件数据记录器(Event Data Recorder)是基于多个车载电子模块(Electronic Control Units)构成,具有监测、采集并记录碰撞事件发生前、发生时和发生后短时间内车辆和乘员保护系统的数据的设备。汽车事件数据通常会包含车辆速度、车辆制动系统(ABS等)、车辆识别代码(VIN)等数据[4],但不包含车辆行程轨迹。汽车事件数据通常以二进制方式存储,需要汽车事件数据提取工具对原始数据进行鉴别、转译,才能形成可读报告。通过记录上述数据,在处理交通事故时,可以全面并客观地分析车辆相关系统的介入程度、人员操作等多重因素,或者结合其他信息,用于司法鉴定目的等。

通常而言,因为可以通过汽车事件数据与第三方数据结合识别特定自然人,包括车主、驾驶人、乘车人,汽车事件数据很可能被视为个人信息,但对于其是否属于敏感个人信息这一问题,《规定》并未专门对此作出明确说明。此前,鉴于汽车事件数据可以“用于判断违法违规驾驶”的特征,征求意见稿曾将汽车事件数据参照敏感个人信息的标准给予保护。如根据征求意见稿第八条规定,运营者收集和向车外提供敏感个人信息,包括车辆位置、驾驶人或乘车人音视频等,以及可以用于判断违法违规驾驶的数据等,应当符合……。此外,征求意见稿还明确要求,科研和商业合作伙伴查询和利用汽车事件数据应当受到严格的限制。

理论上说,不论汽车事件数据是否属于敏感个人信息,在读取、转译汽车事件数据并形成汽车事件记录报告时,均应当获得个人信息主体(一般是“车主”)的同意,或者根据法律法规的要求向执法部门提供。此外,如果跨国汽车企业的汽车事件数据转译能力部署在境外,在形成汽车事件报告时涉及向境外传输汽车事件数据原始数据的,应当向车主告知境外接收方名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得车主的单独同意。[5]

但实践中,产生汽车事件数据的主体并不一定都是车主,多人使用同一车辆的情况在生活中较为常见,如近亲朋友、代驾司机等。因此,在获得处理汽车事件数据的同意时,可能存在授权主体和个人信息主体不一致的情况。就此问题,美国联邦《司机隐私保护法案(2015)》(Driver Privacy Act of 2015)规定了任何从汽车事件数据记录器中读取的数据,均属于车主或者车辆承租人,并且除特定情形外,读取汽车事件数据必须经过车主或者车辆承租人同意,以立法的形式对上述问题作出了明确回应。而目前《规定》还未对此问题进行明确规定,有待后续立法、司法和执法的进一步澄清。但出于审慎合规之目的,汽车企业应当在处理汽车事件数据时获得车主的同意。

此外,汽车事件数据一旦遭到篡改,会影响到当事人事故鉴定的结果,从而对当事人的合法权益产生直接影响。因此,根据《规定》对重要数据的定义,目前并不能完全排除汽车事件数据作为重要数据的可能性,汽车企业亦有可能需要满足重要数据处理义务。如同《规定》将涉及个人信息主体超过10万人的个人信息新增列为重要数据,个人信息和重要数据的范围可能有一定的重合,汽车企业应当根据数据泄露或者毁坏可能造成的后果开展数据分级分类工作。

  1. 车辆流量、物流等反映经济运行情况的数据

相较于征求意见稿,《规定》将车辆流量、物流等能够反映经运行情况的数据纳入了重要数据的范畴,通过分析大量此类数据,可以形成直接反映国家战略储备、工业生产等重要领域运行状况的数据,或者间接体现各个省市整体经济发展水平的数据。例如,通过分析车辆流量可以直接反映各省市高速中客车和货车的百分比,以及去年同期的变化值,侧面印证各省市的经济发展状况;通过分析物流数据也可以获得反映产业发展和运行的数据;基于互联网信息技术提供网约汽车或者货车等出行服务企业,在提供服务中可能涉及用作上述用途的车辆流量和物流数据。

鉴于汽车产业供应链长而复杂,尤其在“十三五”期间,我国整车和零部件产业体系日渐完善[6],物流数据在实践中涉及的主体可能较多,包括各级供应商、整车制造商、第三方汽车物流企业和平台等。一级供应商的采购订单、整车制造商生产时的生产计划和零部件采购订单、物流配送企业的生产经营统计数据,均有可能属于物流数据。出于供应链精益、准时(just in time)管理之必要,整车制造商和与供应链伙伴之间需要达成高度协同,而正是基于对零部件供应商进行密集管控,大量数据交互的需求应运而生,而此类数据交互也均可能涉及物流信息。

尽管《规定》并未做穷尽列举,但是对此类重要数据限定了“反映经济运行情况”的前提。由此可见,并非所有的车流、物流数据均落入重要数据的范畴,但可以肯定的是,上述数据经过统计分析后形成的统计级的车辆流量、生产经营计划、各类电子信息设备(如芯片)的销售情况,以及根据上述信息发布的报告等,由于与特定行业发展状态联系紧密,而很可能构成《规定》界定下的重要数据。客观说来,这对于跨国汽车企业和供应商全球统一订单或销售管理的模式构成了一定的风险与挑战,因此需要企业在内部自评估的基础上,满足《规定》中对处理重要数据的相关义务,并且开始认真对待乃至考虑本地化部署相关订单和销售系统的必要性问题。

  1. 智能网联汽车数据

根据工业和信息化部联合公安部和交通运输部于2021年7月27日发布了《智能网联汽车道路测试与示范应用管理规范(试行)》,智能网联汽车是指搭载先进的车载传感器、控制器、执行器等装置,并融合现代通信与网络技术,实现车与X(人、车、路、云端等)智能信息交换、共享,具备复杂环境感知、智能决策、协同控制等功能,可实现安全、高效、舒适、节能行驶,并最终可实现替代人来操作的新一代汽车。

因为智能网联汽车涉及各类数据交互能力以及决策能力,相较于传统汽车,智能网联汽车产生的数据更加多样化,且车辆安全相关基本特征、技术参数仍在不断变化,对汽车数据处理者的网络安全和数据安全管理也提出了更高的要求。

智能网联汽车数据安全

作为《规定》中的新增条款,《规定》第十六条强调了国家推动智能网联汽车网络平台的建设,开展智能网联汽车运行和安全保证服务等,并协同汽车数据处理者加强智能网联汽车网络和数据安全防护。此外,国家工业和信息化部(以下简称“工信部”)近期发布的《关于加强智能网联汽车生产企业及产品准入管理的意见》(以下简称“《意见》”),再次强调了对智能网联汽车生产企业的网络安全和数据安全要求,与此前发布的《智能网联汽车生产企业及产品准入管理指南(试行)》(征求意见稿)保持基本一致,智能网联汽车生产企业应当建立数据资产管理台账,实施数据分类分级管理,加强个人信息与重要数据保护,并且应当落实网络安全等级保护制度和车联网卡实名登记管理要求,建立汽车网络安全管理制度,依法落实网络安全等级保护制度和车联网卡实名登记管理要求,明确网络安全责任部门和负责人。此外,《意见》对在线升级(OTA升级)场景下的汽车数据处理者也提出了一定的告知义务,即向车辆用户告知在线升级的目的、内容、所需时长、注意事项、升级结果等信息。

为了确认配备自动驾驶功能的智能网联汽车的安全性能,《意见》提出此类汽车应当具有事件数据记录系统和自动驾驶数据记录系统,满足相关功能、性能和安全性要求,用于事故重建、责任判定及原因分析等。其中,自动驾驶数据记录系统记录的数据应包括车辆及系统基本信息、车辆状态及动态信息、自动驾驶系统运行信息、行车环境信息、驾乘人员操作及状态信息、故障信息等。虽然《意见》没有对事件数据记录系统应当记录的数据进行规定,但工信部在2020年就发布了强制性国家标准GB 39732—2020《汽车事件数据记录系统》,对M1类车辆的汽车事件数据记录系统应当采集的数据类别、数据格式等进行了详细的规定。

综合以上,智能网联汽车生产企业应当根据相关法律法规的要求,加强数据和网络安全管理能力、规范软件在线升级、加强产品管理,落实完善保障措施,在开展新兴科技业务的同时,坚守数据安全的法律底线。

自动驾驶相关数据处理要求

自动驾驶发展浪潮已经经过了12个年头的发展,无论是传统整车制造厂商还是新兴的互联网科技公司,都已经投入了这场颠覆性的技术革命中。作为前沿科技和传统汽车的结合,发展自动驾驶已经上升到国家战略层面,以期抢占技术和产业的高点。

自动驾驶以实现完全代替人类司机为目标,因此需要不断感知车辆周边环境并实时进行决策。在自动驾驶技术研发过程中,车辆需要配备各类传感器(比如LiDAR、毫米波雷达和摄像头),并通过传感器融合的方式感知并收集大量的真实场景数据,以不断的训练自动驾驶算法,提高识别和决策能力。此外,自动驾驶技术还需要依赖于高精地图,即相较于传统GPS地图,具有厘米级精度以及更多数据维度的地图。自动驾驶算法需要通过传感器捕捉的各类信息将与高精地图融合后重建三维场景,并根据融合后的数据进行决策。[7]

因此,无论是在研发自动驾驶技术的过程中还是最终实现自动驾驶的目标,均涉及将传感器捕捉的信息传输至终端进行计算、验证并且反馈决策结果至车辆的过程,而这一过程可能被认定为测绘行为,并且此过程处理的数据可能属于测绘成果,从而可能涉及国家秘密。对于跨国汽车企业而言,出于统一管理自动驾驶算法技术优化之目的,可能会涉及将境内采集的相关数据向境外传输。在此过程中,应当注意国家对外提供测绘成果的相关要求,比如《测绘成果管理条例》第十八条规定,对外提供属于国家秘密的测绘成果,应当按照国务院和中央军事委员会规定的审批程序,报国务院测绘行政主管部门或者省、自治区、直辖市人民政府测绘行政主管部门审批。

我们注意到,最终通过的《规定》在界定重要数据时,删去了征求意见稿中将“高于国家公开发布地图精度的测绘数据”作为重要数据的规定,但我们理解,如上所述,可能是由于该类型的数据精度较高,反而可能构成原本就受到强监管和保护的地图和测绘成果及相关保密信息,而又考虑到我国测绘相关的法律法规已相较完善,对该种类型数据的保护或许也更高于对重要数据的处理安全性要求,为了使得《规定》更具针对性和聚焦性,从而略去了征求意见稿的上述规定。因此,我们一方面不能理所当然地从中解读出“测绘数据不是重要数据”的观点;另一方面,鉴于兜底条款,基于自动驾驶所需的各类传感器捕捉的数据亦有可能属于重要数据。

此外,自动驾驶汽车在行使过程中,传感器会捕捉周围行人的个人信息,并可能需要对此类数据进行分析以进行行为分析和意图预测,但出于现实原因限制,此过程无法获取行人的授权同意。针对此情况,《规定》第八条第二款也做出了一定回应:因保证行车安全需要,无法征得个人同意采集到车外个人信息且向车外提供的,应当进行匿名化处理,包括删除含有能够识别自然人的画面或者对画面中的人脸信息等进行局部轮廓化处理。本款结合第六条的脱敏处理原则,对汽车企业保护个人信息指出了方向。但对涉及行人的画面或者人脸信息进行删除或者模糊化处理,首先需要识别具体某一帧画面包含行人或人脸信息,而自动驾驶车辆通过多个高速摄像头采集数据,每秒可能产生几百帧画面,这意味着将需要付出大量的数据处理活动和时间,也对汽车企业和地图服务商提出了技术难度上的更高要求。

鉴于以上,汽车企业在开展自动驾驶业务时,应当注重数据合规要求,在系统研发和部署时通过设计保护隐私(Privacy by Design),并且与地图服务提供商深入讨论具体的业务开展方案,在合作协议中明确约定技术细节和双方的数据安全责任,以确保地图服务商和汽车企业双方均具备足够的数据处理安全能力,满足相关法律法规要求。

写在最后的话——纵深监管下的汽车行业数据合规与企业应对

汽车行业数据安全与行业发展息息相关,自2020年以来,国家密集部署“新基建”政策,智能网联汽车迎来发展黄金期,但在大力发展新兴科技的同时,汽车企业也需要认真考虑《网络安全法》、《数据安全法》、《个人信息保护法》以及《规定》下的数据安全与个人信息保护的要求,在满足强制性规定的同时寻求优化数据资产管理的空间。随着智能网联汽车行业的快速发展,我们可以预见相关的立法和监管将日趋完善,进一步加强智能网联车技术的实际应用能力,在技术发展和法律要求的不断迭代发展中,推动着工业时代的汽车被电动化、网联化、智能化等全新概念重塑。

而《规定》作为《网络安全法》与《数据安全法》的重要配套规章,明确了汽车数据安全的基本原则与具体要求,作为行业垂直监管的典型,体现了网络安全和数据安全正在从一般性法律规则向具体和细分行业纵深发展的趋势。正如我们在此前数据安全法评析文章中指出,重要数据的识别是数据安全工作的重中之重,各行业主管部门会根据行业发展变化,结合考虑诸多因素,确定各行业涉及的重要数据以及相应的重要数据管理要求。随着我国数据安全制度的逐步完善,此类行业垂直监管的趋势必将向其他行业产生辐射效果,最终形成以《数据安全法》为框架,各行业数据安全管理规定为内容的数据安全合规体系。而在激烈的市场合规经营竞争中,企业自应当打起十二分精神,准备迎接数据安全治理与保护的新纪元。

[1] 北京青年报:《依法打造个人信息保护“安全锁”》,载“光明网” https://m.gmw.cn/2021-08/21/content_35097911.htm 最后访问日期:2021年8月21日。

[2] 国家网信办:国家互联网信息办公室有关负责人就《汽车数据安全管理若干规定(试行)》答记者问,http://www.cac.gov.cn/2021-08/20/c_1631049985019087.htm最后访问日期:2021年8月20日。

[3] 第三十八条 本办法下列用语的含义:……(五)重要数据,是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。

[4] 汽车事件数据的定义可以参见强制性国家标准GB 39732 – 2020《汽车事件数据记录系统》。

[5] 法律依据为 《个人信息保护法》第三十九条 个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。

[6]中国汽车工业协会,《2020年中国汽车工业经济运行报告》,http://lwzb.stats.gov.cn/pub/lwzb/tzgg/202107/W020210723348607396983.pdf 最后访问日期:2021年8月20日。

[7] 除预先录入高精地图外,某些汽车企业的自动驾驶技术还可以通过传感器,获取各类交通信息并实时构建地图。