《汽车数据安全管理若干规定(征求意见稿)》简评
2021年5月12日,国家网信办公布了《汽车数据安全管理若干规定(征求意见稿)》(“《规定》”),向社会公开征求意见。《规定》在充分吸收和借鉴刚公布的《个人信息保护法(草案二次审议稿)》(“《个保法草案》”)和《数据安全法(草案二次审议稿)》(“《数安法草案》”)内容的基础上,对汽车行业重要数据的范围、本地化和数据出境要求、敏感个人信息处理规则、个人信息主体权利等重点问题进行了明确,并对实践中一些广泛存在的问题直接予以了回应,值得各车企、网约车企业、车辆软硬件提供商等各汽车行业的企业关注。本文我们简要梳理和总结了《规定》中的重点和亮点,以及待监管进一步明确的地方,供参考与讨论。
适用范围
《规定》第三条明确了其适用的主体范围涵盖“汽车设计、制造、服务企业或机构”,包括“汽车制造商、部件和软件提供者、经销商、维修机构、网约车企业、保险公司等”(“运营者”)。可以看出,《规定》的适用主体范围基本上涵盖了汽车行业全链条的参与者。不过,《规定》未明确列出汽车金融机构以及汽车行业的国家机关,也没有明确是否适用于境外主体。另外,关于运营者内部非汽车相关数据的处理,以及已经在产和已经上市的车辆是否也需要按照《规定》进行合规整改,有待于后续监管对此进一步明确。
个人信息的范围
关于个人信息的范围,《规定》相较现行规定和个保法草案没有给出更为细则的规定。之前工信部制定的行业标准YD/T 3746-2020《车联网信息服务 用户个人信息保护要求》中将车辆识别信息(如车辆识别码、发动机号)以及车辆运行状态等信息列为个人信息示例。但因为车辆与一般的手机、PC等移动设备不同,车辆与个人之间并不必然紧密绑定,单一车辆的信息可能并不能确保对应到具体个人或反映某单个人的情况,因此导致近期在特斯拉事件中[1],以及广州互联网法院近期审理的一起涉及二手车辆车况数据案件中[2],各界就不包含车主身份的车辆信息是否属于个人信息产生了不同的观点,也给企业合规带来了一定的不确定性。
明确了“重要数据”的范围
继2017年推荐性国家标准《信息安全技术 数据出境安全评估指南》之后,重要数据的范围一直没有得以明确。《规定》是首个从行业的角度明确重要数据范围的立法。
《规定》里列举的重要数据类型包括:
军事管理区、国防科工等涉及国家秘密的单位、县级以上党政机关等重要敏感区域的人流车流数据;
高于国家公开发布地图精度的测绘数据;
汽车充电网的运行数据;
道路上车辆类型、车辆流量等数据;
包含人脸、声音、车牌等的车外音视频数据;
国家网信部门和国务院有关部门明确的其他可能影响国家安全、公共利益的数据。
根据这里列举的范围,基本上车辆外装的摄像头和雷达等传感器记录的数据、以及车辆GPS定位数据如果未经脱敏处理都将可能落入重要数据的范围。实践中具体如何判断重要敏感区域、人流车流数据是否以超过一定时间和空间范围内的人流车流统计数据为限还是即时的人流车流数据即构成重要数据、重要敏感区域的车流数据和普通道路的车流数据是否区分处理、道路上的车辆类型的理解,可能还需要监管进一步提供指引。
必要原则和最小化原则的进一步明确
《规定》第6条提出了运营者处理个人信息和重要数据的几项基本原则,即车内处理原则、匿名化处理原则、最小保存期限原则、精度范围适用原则和默认不收集原则。虽然第6条是倡导性规定,但是作为《网络安全法》《个保法草案》和《数安法草案》中规定的正当性、必要性和最小化原则[3]的进一步的细化,企业可能也需要尽可能满足。特别是,对于车内处理原则,如果个人信息仅在车内进行处理,汽车制造商或者软件服务商均不直接访问或接触数据,按照标准YD/T 3746-2020《车联网信息服务 用户个人信息保护要求》将不视为收集个人信息,因此就该部分信息将可以豁免部分合规义务;在车辆本地处理和数据匿名化也可以尽可能地降低车辆数据传输过程中遭受未经授权访问或破坏从而危害行车安全的风险。
告知、同意要求
根据《规定》第7条的规定,运营者需要通过用户手册、车载显示面板或其他方式告知:
负责处理用户权益责任人的有效联系方式;
收集数据的类型,包括车辆位置、生物特征、驾驶习惯、音视频等;
收集每种类型数据的触发条件以及停止收集的方法;
收集各类型数据的目的、用途;
数据保存地点、期限,或者确定保存地点、期限的规则;
删除车内、请求删除已经提供给车外的个人信息的方法步骤。
对于车辆位置、驾驶人或乘车人音视频数据等敏感个人信息,以及可以用于判断违法违规驾驶的数据,《规定》还要求运营者通过车内显示面板或语音等方式告知驾驶人和乘车人正在收集该等数据;且收集上述敏感个人信息时需要每次取得授权,驾驶结束后重新开启时(以驾驶人离开驾驶席为标准)需要重新取得授权,并且需要为驾驶人提供可以随时、方便地终止收集的方式。这些要求都体现了对近来公众对智能设备隐私问题的担忧,但是具体在实践中如何兼顾用户便利性、驾驶安全可能需要企业共同探索。
此外,车外音视频数据收集的合规问题一直是令企业困惑的问题,因为长时间以来,我国个人信息处理的合法性基础仅有“同意”一项,对于车辆外装摄像头可能拍摄到的行人、车牌等个人信息,收集时很难做到告知和同意。《规定》对此予以了回应,明确如果对拍摄到的音视频数据经过脱敏处理不能再识别到具体个人,则可以不经同意向车外提供。另外,2021年4月29日公布的推荐性国家标准《信息安全技术 网联汽车 采集数据的安全要求(征求意见稿)》中也提到,清晰度转换为120万像素以下且擦除可识别个人身份的人脸、车牌等信息可以不经同意向车外提供。
处理敏感个人信息的特殊要求
除了上述告知和授权机制的特殊要求外,《规定》还对敏感个人信息收集使用的目的进行了限制。《规定》要求收集车辆位置、驾驶人或乘车人音视频等敏感个人信息以及可用于判断违法违规驾驶的数据,应当“以直接服务于驾驶人或者乘车人为目的”;以及“仅当为了方便用户使用、增加车辆电子和信息系统安全性等目的”,方可收集驾驶人指纹、声纹、人脸、心律等生物特征数据。这些要求可能会对目前实践中存在的部分业务场景造成限制,例如定制化保险服务(UBI)部分情况下可能不属于“直接服务于驾驶人或乘车人”,而是服务于“车主”;企业收集数据后提供商业化服务(如风控服务、二手车评估服务等),可能也将会受制于上述限制。此外,运营者为满足道路测试、产品准入、新能源汽车监测等监管要求也需要从车辆收集敏感数据。发生交通事故时这些数据的提取和固定对事故责任判断至关重要,因此,后续《规定》修订时可能需要为不同的应用场景保留空间。
《规定》还要求运营者为车主提供方便、结构化地查询敏感个人信息的途径,以及在驾驶人要求时,于两周内删除数据。近期特斯拉已经表示会上线车主平台,允许车主查看行车数据[4]。但是,考虑到车辆数据可能涉及车主、驾驶人、乘车人不同主体,届时查询人的身份验证可能是企业在设置行权通道时需要关注的问题。
本地化存储和出境要求
按照《个保法草案》,非关键信息基础设施运营者处理个人信息的数量达到网信办规定时,需要将个人信息在境内存储,并在出境时履行安全评估程序。但是《规定》中并没有就个人信息设置数量限制,仅规定个人信息和重要数据应当依法在境内存储,且出境需要经过网信部门组织的安全评估。目前暂不明确该规定是立法者基于汽车数据的重要性创设的本地化义务(类似于健康数据和个人金融数据),还是仅为宣誓性规定,具体要求仍会交由后续《个保法草案》和《数安法草案》等上位法规定予以明确。之前《智能网联汽车生产企业及产品准入管理指南(征求意见稿)》中第三条也有类似表述,希望监管后续可以进一步明确。
此外,《规定》还要求运营者在监管抽查时,以明文、可读方式展示向境外提供个人信息和重要数据的类型、范围。这也将需要运营者对企业内部的数据出境情况进行梳理,通过信息系统和接口传输和访问的,应当注意留存相关的日志记录。
《规定》第16条关于“科研和商业合作伙伴”利用查询境内个人信息和重要数据的规定,暂不明确是否仅限于境外的科研和商业合作伙伴,在一般出境规定之外进行单独规定的意图也有待监管进一步明确。
监管报告要求
《规定》对运营者还提出了向监管履行报告义务的要求。其中,第11条要求运营者处理重要数据时应提前向网信部门和其他部门汇报。该要求与《数安法草案》和《数据安全管理办法(征求意见稿)》的规定存在一定差异,《数安法草案》要求重要数据的处理者对数据处理活动定期开展风险评估,并报告安全评估报告(第29条),《数据安全管理办法(征求意见稿)》则要求以经营为目的收集重要数据的网络运营者,向网信部门进行备案。此外,《规定》第17条还规定了运营者的年度报告业务。如果处理的个人信息涉及10万人以上,或者处理重要数据的,应当每年12月25日之前报告数据处理情况。
总体而言,我们认为《规定》对很多重点问题都予以了明确规定,特别是对重要数据范围、敏感数据处理规则、数据本地化和出境等方面在《个保法草案》和《数安法草案》的基础上进行了细化。但仍存在一些问题有待后续监管部门进一步澄清和提供指引。
对于可能受到本《规定》影响的各企业,特别是主机厂和各类车载服务供应商,应尽快对内部车辆的收集和传输情况进行梳理和评估,特别是涉及敏感个人信息、重要数据、数据跨境以及个人信息主体行权方面的整改。目前《规定》并未明确其是否也适用于在产车辆和已经上市车辆,建议企业也可以尽早评估对存量汽车按照《规定》整改的技术可行性,并利用征求意见稿的过渡期及时向监管部门反馈。
1.《特斯拉“启示录”:智能网联汽车数据监管难题亟待解决》,载《新快报》,2021年4月28日刊。
2.“余某与北京酷车易美网络科技有限公司隐私权纠纷一审民事判决书”,广东互联网法院(2021)粤0192民初928号。
3.《网络安全法》第41条、《个人信息保护法(草案二次审议稿)第6条和《数据安全法(草案二次审议稿)第31条。
4.《特斯拉:数据平台年内上线,车主可自由查看》,
https://finance.sina.com.cn/chanjing/gsnews/2021-05-06/doc-ikmxzfmm0880244.shtml,
最后访问于2021年5月13日。
尹云霞(Kate Yin)
合伙人
kate.yin@fangdalaw.com
执业领域:专攻政府调查及公司合规业务
张毅(Gil Zhang)
合伙人
gil.zhang@fangdalaw.com
执业领域:专攻数据保护、网络安全、监管合规业务
张文豪(Katharina Zhang)
方达律师事务所
本微信公众号所发布的资讯或文章仅为交流讨论目的,不代表方达律师事务所出具的任何法律意见。任何依据本文的全部或部分内容而作出的判断或决定(无论作为或不作为)以及因此造成的法律后果,方达律师事务所不承担任何责任。如果您需要相关法律意见或法律服务,欢迎与方达律师事务所相关律师联系。