国家互联网信息办公室2021年5月12日就《汽车数据安全管理若干规定》（以下简称“若干规定”）向社会公开征求意见，在《数据安全法》即将于9月1日开始实施的背景下，作为智能化程度领先的汽车行业，其数据保护的紧迫性也日益凸显。今年四月上海车展的“车顶维权”事件中，各方就新能源汽车行车数据是否属于车主知情权的范畴产生争议，网上也流传着因为担心某外资品牌新能源汽车摄像头采集的数据可能外泄，而禁止其进入某些机构场所的传闻。国家互联网信息办公室此时发布《若干规定》向社会征求意见，具有很强的现实意义，笔者现就《若干规定》的相关问题进行解读。

《若干规定》首次明确了在汽车设计、生产、销售、运维、管理等全产业链进行监管的思路，监管行为包括汽车数据的收集、分析、存储、传输、查询、利用、删除以及向境外提供等，监管的对象为汽车数据，涵盖个人信息与重要数据两个类别。

其中，个人信息是指车主、驾驶人、乘车人、行人等的个人信息，以及能够推断个人身份、描述个人行为等的各种信息。

《若干规定》对个人信息的定义没有采用《个人信息保护法》（草案）的表述，与2020年发布的《信息安全技术 个人信息安全规范》（GB/T3573-2020）（以下简称“个人信息规范”）所称的“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息”更为接近。《若干规定》所要规制的个人信息的主体并不限于车主或驾驶人，还包括乘车人、行人等车内、外人员。

《若干规定》确认的重要数据包括：（一）军事管理区、国防科工等涉及国家秘密的单位、县级以上党政机关等重要敏感区域的人流车流数据；（二）高于国家公开发布地图精度的测绘数据；（三）汽车充电网的运行数据；（四）道路上车辆类型、车辆流量等数据；（五）包含人脸、声音、车牌等的车外音视频数据；（六）国家网信部门和国务院有关部门明确的其他可能影响国家安全、公共利益的数据。

虽然重要数据的概念最初在《网络安全法》中已有提及，《数据安全法》第二十一条也表示要对数据实行分类分级保护，并确定重要数据目录，但《若干规定》首次对汽车行业的重要数据进行了列举。关于重要数据的定义，可参考2017年8月发布的《信息安全技术 数据出境安全评估指南》（征求意见稿）的规定，即：相关组织、机构和个人在境内收集、产生的不涉及国家秘密，但与国家安全、经济发展以及公共利益密切相关的数据（包括原始数据和衍生数据）。

从以上分析来看，《若干规定》所规制的汽车数据，并不仅限于车辆本身，而是包含与车辆运行各个环节相关联的车、人、物等数据。但据笔者观察，其重要数据的范围又明显小于《车联网信息服务 数据安全技术要求》（YD/T3751-2020）（以下简称“车联网数据安全要求”）中的数据类型，《车联网数据安全要求》所列举的基础属性类数据、车辆工况类数据、环境感知类数据、车控类数据、应用服务类数据中未落入重要数据范畴的部分，笔者理解将不受《若干规定》的约束，只能通过行业标准进行规范。

《若干规定》提出了运营者的概念，运营者是指汽车设计、制造、服务企业或者机构，包括汽车制造商、部件和软件提供者、经销商、维修机构、网约车企业、保险公司等，其性质与《数据安全法》中的数据处理者是相同的。

《若干规定》要求运营者在处理个人信息或重要数据时应具有合法、具体、明确的目的，并需加强对数据安全的保护。特别地，《若干规定》第六条还倡导运营者处理个人信息和重要数据应坚持几个原则，归纳为：（1）车内处理原则；（2）匿名化处理原则；（3）最小保存期限原则；（4）精度范围适用原则；（5）默认不收集原则。

上述原则对汽车行业来说，都非常具有针对性。如车内处理原则，要求除非确有必要，车内数据不得向车外提供。限制车内数据对外提供，一方面可以确保数据主体对其个人数据的有效控制，减少隐私被泄露的风险；另外，也更有利于减少网络安全风险，保障车辆的运行安全。匿名化处理原则，要求车内数据对外提供时，应尽可能地对数据进行匿名化或脱敏处理。精度范围适用原则，可用于解决智能网联汽车因车外摄像头、雷达的广泛使用所带来的数据风险问题，它要求根据所提供功能服务对数据精度的要求，确定摄像头、雷达等的覆盖范围、分辨率。默认不收集原则，要求每次驾驶时车辆处于默认不收集状态，这一原则有利于个人信息保护原则中“选择同意”原则的实现，对于车辆租赁或高度自动驾驶车辆的共享等使用场景，是非常有意义的。对于汽车数据的保存期限，最小保存期限原则要求根据所提供功能服务分类确定数据保存期限，但未给出具体的数据。2021年4月28日发布的《信息安全技术 网联汽车 采集数据的安全要求》（草案）（以下简称“网联汽车安全要求（草案）”）就网联汽车采集的车辆位置、轨迹相关数据在车内存储设备、远程信息服务平台中的保存期限确定为7天。

需要特别指出的是，《若干规定》所提出的五大原则均为倡导性原则，并不具有强制力，但可将其作为未来汽车设计、研发的指导方向。另外，五大原则中的部分内容与行业现状也还存在需调和之处，如我国智能网联汽车采取的是“车路协同”的路径，车内、外数据的交互是应有之意，严格执行“车内处理”原则，对智能网联汽车的发展会造成阻碍，《若干规定》若得以实施，现有智能网联汽车的生产、运营方需就此做好合规安排。

1、汽车数据的收集

运营者处理个人信息，应通过用户手册、车载显示面板或其他适当方式，保障数据主体的知情权。“选择同意”仍是汽车运营者对数据数据处理必须坚持的原则，但《若干规定》同时表示，若实践上难以实现（指取得被收集人同意）的，则应当进行匿名化或脱敏处理。

运营者收集和向车外提供敏感个人信息，包括车辆位置、驾驶人或乘车人音视频，以及可用于判断违法违规驾驶的数据等，《若干规定》第八条认为应符合以下要求：

1） 服务驾驶人或乘车人为目的；

2） 默认为不收集；

3） 通过车内设施告知驾驶人和乘车人正在收集敏感个人信息；

4） 驾驶人有终止收集权；

5） 车主可便捷查询被收集的敏感个人信息；

6） 驾驶人要求删除的，运营者在2周内必须删除。

本条虽称之为敏感个人数据“收集和向车外提供”的规范要求，但仔细分析，可以发现以上要求都仅针对收集行为而言，向车外提供时具体应执行何等要求是不明确的。另外，以上规定与《网联汽车安全要求（草案）》的相关内容也存在冲突之处，《网联汽车安全要求（草案）》要求：网联汽车如未经被收集者单独同意，不得通过网络、物理接口向车外传输包含个人信息的数据，但清晰度120万像素以下且已擦除可识别个人身份的人脸、车牌等信息的数据除外；不得将汽车座舱内采集的音频、视频、图像及经其处理得到的数据向车外传输。

对生物特征数据的收集问题，《若干规定》第十条表示，“仅当为了方便用户使用、增加车辆电子和信息系统安全性等目的”时，方可进行收集，同时应提供生物特征的替代方式。在《个人信息规范》中，生物特征数据被列为重要的个人敏感信息，而《若干规定》并未将其列入第八条敏感个人信息的范畴，仅就其收集问题做了规范。从以上条款逻辑推测，该等生物特征数据，不得向车外提供。

对于汽车数据中的敏感个人信息的保护，在今年3月9日欧洲数据保护委员会（EDPB）发布的《车联网车辆和出行相关应用环境下处理个人数据的指南2.0》（以下简称“EDPB指南”）也有类似规定。《EDPB指南》认为汽车制造商、服务提供商和其他数据控制者应特别关注的三类数据，分别是位置数据、生物识别数据以及可揭露犯罪行为或交通违法的数据。《EDPB指南》强调生物识别数据也应以车内处理为原则，并需提供非生物识别的替代方案，同时，其对地理位置信息的保护显得格外谨慎。如对地理位置的访问，对天气类应用来说，即使获得了数据主体的同意，也不应当每一秒都访问车辆的地理位置。可揭露犯罪行为或交通违法的数据则应适用GDPR第十条的保护原则，即仅能在官方机构的控制下或当处理经过欧盟法或成员国国内法授权时，并且为数据主体提供适当的保护时，方可进行处理。

2、数据出境

《若干规定》就汽车数据的出境提出以下要求：

1） 个人信息或重要数据以境内存储为原则，确需出境的应通过网信部门组织的数据出境安全评估；

2） 运营者采取措施保障接收者按规定使用出境数据，并保证数据安全；

3） 运营者应接受和处理用户投诉，造成用户损失的应予赔偿；

4） 国家网信部门可抽查核验出境数据的类型和范围。

作为《若干规定》上位法的《网络安全法》，就关键信息基础设施运营者收集和产生的个人信息和重要数据，规定应当在境内存储。工信部正在对外征求意见的《智能网联汽车生产企业及产品准入管理指南（试行）》（以下简称“智能网联汽车管理指南草案”），同样要求智能网联汽车生产企业对在中国境内收集和产生的个人信息与重要数据进行本地化存储，确需向境外提供的，应向行业主管部门报备。

综合以上规定可以确认，未来汽车数据将以境内存储为原则，境外提供为例外。对于外资智能网联汽车厂家而言，应对此早做规划。

另外，笔者注意到《网联汽车安全要求（草案）》规定网联汽车从车外采集的道路、建筑、地形、交通参与者等数据，以及车辆位置、轨迹相关数据，不得出境。而这些不得出境的数据，与《若干规定》的重要数据存在重合，此等文件间的矛盾后续如何处理，也应予以关注。

3、汽车数据的科研与商业利用

《若干规定》第十六条规定：科研和商业合作伙伴需要查询利用境内存储的个人信息和重要数据的，运营者应采取有效措施保证数据安全，防止流失；严格限制对重要数据以及车辆位置、生物特征、驾驶人或者乘车人音视频，以及可用于判断违法违规的数据等敏感数据的查询利用。

考虑到自动驾驶在世界范围内的发展正如火如荼，严格限制汽车重要数据等的查询利用，不利于行业间的信息共享。我国在去年2月发布了《智能汽车创新发展战略》，已将自动驾驶汽车的发展提升至国家战略层面，2025年要求实现有条件自动驾驶的规模化生产。要实现这一目标，应该创造更为开放、包容的汽车数据共享机制。

4、数据管理情况的通报

处理个人信息主体超过10万人，或者处理重要数据的运营者，应当：

1）在每年12月25日前将数据安全管理情况报省级网信部门；

2）涉及数据出境的，还需报告接收者的名称、联系方式，数据类型、数量、境外存放点等特殊信息。

《若干规定》未就汽车数据做整体上的定义，个人信息与重要数据显然并不是汽车数据的全部，对于未列入《若干规定》范围内的汽车数据，还有赖于正在审议中的《个人信息保护法》及其他大量行业标准、部门规范性文件进行规制。因汽车（特别是智能网联汽车）相关的标准及部门规范，很多仍处于征求意见阶段，行业标准、部门规范之间的矛盾与冲突，还需文件制定者予以重视。

当然，《若干规定》也不乏亮点，如草案首次采用列举的方式，为原来停留在概念中的重要数据划出了明确的边界；数据处理原则中的车内处理原则、精度范围适用原则、默认不收集原则也切中了汽车行业的痛点，提高了汽车数据合规的门槛，互联网行业长期被诟病的数据滥用问题，有希望在汽车行业被遏制。对于敏感数据的保护，《若干规定》与EDPB的标准相当，这有利于提高用户对整体行业的信心。