汽车数据安全的立法动态

　　□上海瀛东律师事务所  姚新亮

随着汽车这一交通工具的日益智能化，相关数据的安全问题也日益受到重视。但是，目前相关立法都处于草案及征求意见稿阶段。

2021年5月12日，国家互联网信息办公室（“网信办”）发布了《汽车数据安全管理若干规定（征求意见稿）》，针对汽车数据处理等进行了规定。

此前的2021年4月28日，全国信息安全标准化委员会（“信安标委”）发布了《信息安全技术  网联汽车  采集数据的安全要求（草案）》并公开征求意见。

而更早前的2020年11月，信安标委发布了《信息安全技术网络预约汽车服务数据安全指南（草案）》并公开征求意见。

结合上述制定中的法律规范，笔者对汽车数据安全方面的立法动态进行以下解读。

适用主体及范围

根据《汽车数据安全管理若干规定（征求意见稿）》第三条的规定，其适用主体包括汽车设计、制造、服务企业或者机构。

具体来说，包括汽车制造商、部件或者软件提供者、经销商、维修机构、网约车企业、保险机构。

该规定的适用主体相对要广泛一点，基本上涵盖了全部与汽车相关的生产、服务企业或机构。

而该征求意见稿规定的个人信息主体包括车主、驾驶人、乘车人、行人。

其中，行人作为交通参与人，往往会遭到被动收集，比如自动驾驶或辅助驾驶安装的用于识别行人或障碍物的摄像头等，可能收集到行人的人脸信息。

该征求意见稿对于重要数据采用了列举的方式进行定义，具体包括：（一）军事管理区、国防科工等涉及国家秘密的单位、县级以上党政机关等重要敏感区域的人流车流数据；（二）高于国家公开发布地图精度的测绘数据；（三）汽车充电网的运行数据；（四）道路上车辆类型、车辆流量等数据；（五）包含人脸、声音、车牌等的车外音视频数据；（六）国家网信部门和国务院有关部门明确的其他可能影响国家安全、公共利益的数据。

由于现行法律法规并未对重要数据的定义进行明确，相关定义存在于  《个人信息和重要数据出境安全评估办法（征求意见稿）》《信息安全技术  数据出境安全评估指南（征求意见稿）》，从前述规定总结，重要数据是指涉及国家安全、经济发展、公共利益等的数据。

此次征求意见稿并未直接对重要数据给出明确定义，而是采用列举的方式。该方式与《数据安全法（二审稿）》第二十条新增的“确定重要数据目录，加强对重要数据的保护”相契合。

值得注意的是，在上述征求意见稿规定的重要数据范围中，（一）至（四）项直接属于涉及国家安全、经济发展、公共利益等的数据，第（六）项为兜底条款。第（五）项虽然属于个体信息，但由于运营者收集的该类数据一旦累加形成“大数据”，也必然影响国家安全、公共利益等。

落实网络安全等级保护

根据上述征求意见稿的第五条，运营者应当落实网络安全等级保护制度。

《数据安全法（二审稿）》第二十六条增加了“在网络安全等级保护制度的基础上”这一表述。

由于《数据安全法（二审稿）》新增网络安全等级保护制度的规定，《汽车数据安全管理若干规定（征求意见稿）》也对此进行了规定。笔者认为，在后续个人信息保护和数据安全立法中，仍会参照这一规定。

处理原则

1.授权同意原则

《汽车数据安全管理若干规定（征求意见稿）》明确，汽车运营者对于个人信息的收集采用“授权-同意”原则，并且汽车运营者应当坚持默认不收集原则和单次授权原则。

具体体现在如下条文：

第六条第五项：默认不收集原则，除非确有必要，每次驾驶时默认为不收集状态，驾驶人的同意授权只对本次驾驶有效；

第八条第二项：运营者收集和向车外提供敏感个人信息，包括车辆位置、驾驶人或乘车人音视频等，以及可以用于判断违法违规驾驶的数据等，应当符合以下要求：（二）默认为不收集，每次都应当征得驾驶人同意授权，驾驶结束（驾驶人离开驾驶席）后本次授权自动失效；

第九条：运营者收集个人信息应当取得被收集人同意，法律法规规定不需取得个人同意的除外。实践上难以实现的（如通过摄像头收集车外音视频信息），且确需提供的，应当进行匿名化或脱敏处理，包括删除含有能够识别自然人的画面，或对这些画面中的人脸等进行局部轮廓化处理等。

根据上述规定我们可以总结以下要点：

首先，对于驾驶员和其他车内人员而言，运营者收集个人敏感信息应当获得被收集人的同意。对于敏感信息，如车辆位置、驾驶人或乘车人的音视频、可以用于判断违法违规驾驶的数据均应当获得驾驶员的单次授权。

其次，由于各汽车厂商或服务商已经发力辅助驾驶、自动驾驶等，会使用摄像头、雷达等用于识别路上行人、车辆或其他障碍物。这类技术的使用可能会自动收集车外行人的人脸、声音、车牌等信息。

对于路上行人、其他车辆而言，完全属于“被收集信息”，且无法获得信息主体的授权同意。

因此，《汽车数据安全管理若干规定（征求意见稿）》规定对于该部分信息确实需要提供的，应当通过匿名化或脱敏处理，如删除含有能够识别自然人的画面、对于这些画面中的人脸进行轮廓化处理。

而《网联汽车数据安全要求（草案）》中也有类似的规定，“未经被收集者的单独同意，网联汽车不得通过网络、物理接口向车外传输包含个人信息的数据。将清晰度转换为120万像素以下且已擦除可识别个人身份的人脸、车牌等信息的视频、图像数据除外”。

2.合法性原则

《汽车数据安全管理若干规定（征求意见稿）》还明确，汽车运营者收集个人信息应坚持合法性原则，主要体现在如下条文：

第四条：运营者处理个人信息或重要数据的目的应当合法、具体、明确，与汽车的设计、制造、服务直接相关。

第八条第一项：运营者收集和向车外提供敏感个人信息，包括车辆位置、驾驶人或乘车人音视频等，以及可以用于判断违法违规驾驶的数据等，应当符合以下要求：（一）以直接服务于驾驶人或者乘车人为目的，包括增强行车安全、辅助驾驶、导航、娱乐等；

第十条：仅当为了方便用户使用、增加车辆电子和信息系统安全性等目的，方可收集驾驶人指纹、声纹、人脸、心律等生物特征数据，同时应当提供生物特征的替代方式。

上述规定中尤其需要注意的是第四条规定的“直接相关”，即汽车运营者仅能收集与所提供的服务相关的信息和数据，不能收集与其服务不相关的信息或数据。

3.公开透明原则

《汽车数据安全管理若干规定（征求意见稿）》还规定了公开透明原则。主要体现在处理个人信息时应当公开个人信息收集、使用等规则及信息主体的权利等。

具体条文如下：

第七条：运营者处理个人信息应当通过用户手册、车载显示面板或其他适当方式，告知负责处理用户权益责任人的有效联系方式，以及收集数据的类型，包括车辆位置、生物特征、驾驶习惯、音视频等，并提供以下信息：（一）收集每种类型数据的触发条件以及停止收集的方法；（二）收集各类型数据的目的、用途；（三）数据保存地点、期限，或者确定保存地点、期限的规则；（四）删除车内、请求删除已经提供给车外的个人信息的方法步骤。

第八条第三项：运营者收集和向车外提供敏感个人信息，包括车辆位置、驾驶人或乘车人音视频等，以及可以用于判断违法违规驾驶的数据等，应当符合以下要求：（三）通过车内显示面板或语音等方式告知驾驶人和乘车人正在收集敏感个人信息；

4.最少必要原则

《汽车数据安全管理若干规定（征求意见稿）》对于最少必要原则的规定具体如下：

第六条：倡导运营者处理个人信息和重要数据过程中坚持：（三）最小保存期限原则，根据所提供功能服务分类型确定数据保存期限；（四）精度范围适用原则，根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率；（五）默认不收集原则，除非确有必要，每次驾驶时默认为不收集状态，驾驶人的同意授权只对本次驾驶有效。

第十条：仅当为了方便用户使用、增加车辆电子和信息系统安全性等目的，方可收集驾驶人指纹、声纹、人脸、心律等生物特征数据，同时应当提供生物特征的替代方式。

《汽车数据安全管理若干规定（征求意见稿）》根据汽车可能收集的数据，还提出了最小保存期限、精度范围使用、默认不收集等原则，但使用了“倡导”这一表述，不具有强制性。

此外《汽车数据安全管理若干规定（征求意见稿）》第八条第（六）项规定：“驾驶人要求运营者删除时，运营者应当在2周内删除”，赋予驾驶人删除权。

而《网络预约出租汽车经营服务管理暂行办法》第27条则规定，“网约车平台公司应当遵守国家网络和信息安全有关规定，所采集的个人信息和生成的业务数据，应当在中国内地存储和使用，保存期限不少于2年，除法律法规另有规定外，上述信息和数据不得外流”。网约车平台作为《汽车数据安全管理若干规定（征求意见稿）》适用的主体之一，需要在相关立法中做好“最少保存期限原则”及其具体规定的衔接。

5.车内处理原则

《汽车数据安全管理若干规定（征求意见稿）》基于汽车行业的特殊性，规定了运营者对于个人信息和重要数据在车内处理的原则，除非确有必要不得向车外提供。同时，对于确实需要向车外提供的，运营者要进行匿名化处理。

《网联汽车数据安全要求（草案）》第5.2条规定：“网联汽车不得通过网络、物理接口向车外传输汽车座舱内采集的音频、视频、图像等数据及经其处理得到的数据”，直接限制了汽车数据向车外传输。

同时，《汽车数据安全管理若干规定（征求意见稿）》赋予了驾驶人删除权、查询权等权利。

运营者报告制度

《汽车数据安全管理若干规定（征求意见稿）》规定运营者应当履行相应的报告制度，具体包括：

（1）处理重要数据时，提前向省级网信部门和有关部门报告，并且应当于每年12月25日前将年度数据安全管理情况报省级网信部门和有关部门。

（2）涉及个人信息主体超过10万人的，应当于每年12月25日前将年度数据安全管理情况报省级网信部门和有关部门。

（3）运营者存在向境外提供数据的，在该规定第17条的基础上增加相应的报告内容。

此外，《汽车数据安全管理若干规定（征求意见稿）》第12条至第16条规定了汽车数据出境的规定。

《汽车数据安全管理若干规定（征求意见稿）》作为我国首个汽车行业数据安全管理规定，确立了汽车数据监管的基本方向。

不过该规定并没有涉及全部的汽车数据，主要针对的是个人信息和重要数据，相应的规定更多也是原则性的。

而且该规定仍有完善的空间，比如对汽车数据分级、监管措施更加具体等等。

SourcePh" style="display:none">