《汽车数据安全管理若干规定(试行)》(下称“《规定》”)已经于2021年10月1日起生效实施。5月份的《汽车数据安全管理若干规定(征求意见稿)》(下称“《意见稿》”)一公布,就引发了热议。我们当时也对《意见稿》进行了解读,有兴趣请点:《汽车数据安全管理若干规定(征求意见稿)》评析(上)。
经过3个月的意见反馈和修改,《规定》有哪些变化和合规难点值得注意?我们一起来学习一下:
《规定》进一步明确了属地原则,根据第二条:在中华人民共和国境内开展汽车数据处理活动及其安全监管,应当遵守相关法律、行政法规和本规定的要求。
第三条中,将《意见稿》中的“运营者”概念改为“汽车数据处理者”:
概念 | 定义 |
汽车数据处理者 | 是指开展汽车数据处理活动的组织,包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等。 |
评析:
1. 不管是白猫黑猫,只要在中国境内从事了汽车数据相关活动,都要受监管。所以,一众外资企业对《规定》的出台都比较紧张;
2. 汽车行业链条上所有的经营者都纳入了《规定》的适用范围,除了常见的整车厂、零部件厂商、经销商、售后厂商和网约车之外,大量的软件服务供应商被纳入监管范围,比如导航、自动驾驶、车内娱乐系统提供商等等;
3. 和《意见稿》相比,《规定》删除了保险机构。不是说保险机构可以豁免,应该是立法者经过考量之后,觉得保险、银行这种机构毕竟是金融系统的娃,由金融行业的爸爸去监管更合适。就是部门法之间的一个协调。
根据《规定》第三条,汽车数据包括个人信息数据和重要数据,重要数据的定义如下:
概念 | 定义 |
重要数据 | (一)军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据; |
(二)车辆流量、物流等反映经济运行情况的数据; |
(三)汽车充电网的运行数据; |
(四)包含人脸信息、车牌信息等的车外视频、图像数据; |
(五)涉及个人信息主体超过10万人的个人信息; |
(六)国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据 |
评析:
1. 和《意见稿》相比,删除了高清地图的测绘数据,不是说这些数据不重要,相反,是非常重要。智能汽车的各类传感器(比如毫米波雷达和摄像头)收集路况和车外数据,与高清地图相结合,再反馈到汽车进行决策,这一过程可能会被视为测绘行为,其中处理的数据可能涉及郭嘉秘密。
郭嘉对测绘数据有一套严格的法律规范和程序,估计在《规定》中就不再对测绘数据重复规定了;
2. 增加了一条“涉及个人信息主体超过10万人的个人信息”。
根据《规定》第六条,汽车数据处理者在开展汽车数据处理活动中要坚持下述原则:
原则 | 具体内容 |
车内处理原则 | 除非确有必要不向车外提供 |
默认不收集原则 | 除非驾驶人自主设定,每次驾驶时默认设定为不收集状态 |
精度范围适用原则 | 根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率 |
匿名化处理原则 | 尽可能进行匿名化、去标识化等处理 |
评析:
1. 基本上是《网络安全法》《个保法草案》和《数安法草案》中规定的正当性、必要性和最小化原则的进一步的细化;
2. 笔者以为,除了“默认不收集原则”这一条比较好操作,其他几条都需要实施细则进一步细化。比如车内处理这一条,智能汽车收集的数据主要包括汽车数据、用户数据和路况数据三大类,数据量庞大。因为车内本地存储容量有限,企业把汽车数据存储在远程信息服务平台或云端进行处理是常见做法。什么才是“确有必要”能够向车外提供的情况?还需要后续的法规解释;
3. 删除了此前《意见稿》中的“最小保存期限原则”,但在第九条规定了“10天”的删除期限
四、个人信息处理
第七条和第八条分别对车内车外两种场景的个人信息收集做了规定:
场景 | 要求 |
车内场景 | 第七条 汽车数据处理者处理个人信息应当通过用户手册、车载显示面板、语音、汽车使用相关应用程序等显著方式,告知个人以下事项: (一)处理个人信息的种类,包括车辆行踪轨迹、驾驶习惯、音频、视频、图像和生物识别特征等; (二)收集各类个人信息的具体情境以及停止收集的方式和途径; (三)处理各类个人信息的目的、用途、方式; (四)个人信息保存地点、保存期限,或者确定保存地点、保存期限的规则; (五)查阅、复制其个人信息以及删除车内、请求删除已经提供给车外的个人信息的方式和途径; (六)用户权益事务联系人的姓名和联系方式; (七)法律、行政法规规定的应当告知的其他事项。 |
车外场景 | 第八条 汽车数据处理者处理个人信息应当取得个人同意或者符合法律、行政法规规定的其他情形。因保证行车安全需要,无法征得个人同意采集到车外个人信息且向车外提供的,应当进行匿名化处理,包括删除含有能够识别自然人的画面,或者对画面中的人脸信息等进行局部轮廓化处理等。 |
评析:
1. 第七条列明了处理数据时需要告知的事项范围;
2. 第八条针对采集的车外个人信息。因为征得路人同意难以实现,只要删除人脸画面或对人脸进行局部轮廓化处理即可。
今年4月底发布的《信息安全技术网联汽车采集数据的安全要求(草案)》的要求类似,人脸图像清晰度需转换为120万像素以下,只要认不出你是谁就行。但汽车驾驶时收集的车外人脸信息庞大,对每一个个体的人脸做处理,企业的合规难度可想而知。
五、对个人敏感信息的保护
根据《规定》第三条里的定义,“敏感个人信息”是指一旦泄露或者非法使用,可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的个人信息,包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。
第九条对处理个人敏感信息的目的和方式做了限制:
内容 | 要求 |
个人敏感信息 | 第九条 汽车数据处理者处理敏感个人信息,应当符合以下要求或者符合法律、行政法规和强制性国家标准等其他要求: |
(一)具有直接服务于个人的目的,包括增强行车安全、智能驾驶、导航等; |
(二)通过用户手册、车载显示面板、语音以及汽车使用相关应用程序等显著方式告知必要性以及对个人的影响; |
(三)应当取得个人单独同意,个人可以自主设定同意期限; |
(四)在保证行车安全的前提下,以适当方式提示收集状态,为个人终止收集提供便利; |
(五)个人要求删除的,汽车数据处理者应当在十个工作日内删除; |
汽车数据处理者具有增强行车安全的目的和充分的必要性,方可收集指纹、声纹、人脸、心律等生物识别特征信息 |
评析:
1. 收集个人敏感信息必须基于特定目的:在《个人信息保护法》的基础上,《规定》把处理个人信息的目的进一步细化为“具有直接服务于个人的目的”。汽车会采集到的敏感个人信息,常见的有:车辆行踪轨迹、音频、视频、图像和指纹、声纹、人脸、心律等生物识别特征。
实操中,如果有企业想通过采集人脸或声纹等方式,为个人提供定制化的投放服务,在《规定》出台之后,这部分企业得先面对这样的灵魂拷问:收集这些信息是否“具有增强行车安全的目的和充分的必要性”?
2. 个人敏感信息的最短存储期限:《规定》没有直接规定数据存储的最短期限,只是说如果个人要求删除的,汽车数据处理者应当在10个工作日内删除。对比《信息安全技术网联汽车采集数据的安全要求(草案)》的要求,网联汽车采集的车辆位置、轨迹相关数据保存时间不超过7天,草案的要求更严一些。
(未完待续)