新规速递:《汽车数据安全管理若干规定(征求意见稿)》要点解读
第十九届上海国际汽车工业展览会于2021年4月21日至28日在国家会展中心(上海)举行。开展前,作为华为公司正式进军智能汽车领域的标志性产品,搭载华为高阶自动驾驶ADS系统的阿尔法S 华为HI版正式发布,并在上海进行公开试乘。在新兴科技\人工智能不断纵深发展的时代,新能源汽车、自动驾驶、人工智能等已然成为各大科技企业争相抢占的新领域。我们也知道,在上海车展上发生的特斯拉车主车顶维权事件背后也同时产生了人工智能汽车等新技术与个人信息和汽车数据保护等法律争议问题,而针对汽车领域个人信息保护和数据安全也亟待进一步立法规范,确立相应的汽车数据保护规则和实践准则。
在以上汽车自动驾驶和人工智能技术不断进步、应用越来越广泛的时代背景下,2021年5月12日,国家互联网信息办公室发布了《汽车数据安全管理若干规定(征求意见稿)》(以下简称:《若干规定(征求意见稿)》),针对汽车数据处理等问题进行了专门的规范。
《若干规定(征求意见稿)》全文共21条,主要确立并明确了监管对象、适用范围、数据处理法定原则、告知同意要求、个人敏感信息收集规范、处理重要数据提前报告原则、数据本地化原则及跨境数据传输要求、数据安全要求以及年度数据安全管理报告要求、数据收集处理违规的法律责任等内容。
一、明确监管对象及适用范围
(一)监管对象基本涵盖汽车行业全部市场主体
根据《若干规定(征求意见稿)》第三条规定,包括汽车设计、制造、服务企业或者机构。具体而言,包括汽车制造商、部件或者软件提供者、经销商、维修机构、网约车企业、保险机构。该规定的适用主体相对要广泛一点,基本上涵盖了与汽车行业相关的设计、生产、服务企业或机构等全部市场主体。
(二)个人信息的主体范围界定广泛
《若干规定(征求意见稿)》规定的个人信息的主体包括车主、驾驶人、乘车人、行人。其中,行人作为交通参与人,往往会存在被动收集如人脸等信息,比如自动驾驶或辅助驾驶安装的用于识别行人或障碍物的摄像头等。
二、从立法层面首次明确界定汽车行业的“重要数据”范围
在之前的相关法律法规规范中,有些法律规定或提及“重要数据”概念,或仅从原则性角度出发宽泛界定“重要数据”概念,但在立法上对“重要数据”进行明确范围界定,这是第一次。《若干规定(征求意见稿)》第三条第三款对于“重要数据”采用了列举的方式进行定义,具体为:
(一)军事管理区、国防科工等涉及国家秘密的单位、县级以上党政机关等重要敏感区域的人流车流数据;
(二)高于国家公开发布地图精度的测绘数据;
(三)汽车充电网的运行数据;
(四)道路上车辆类型、车辆流量等数据;
(五)包含人脸、声音、车牌等的车外音视频数据;
(六)国家网信部门和国务院有关部门明确的其他可能影响国家安全、公共利益的数据。
如上所述,由于现行有效的法律法规并未对“重要数据”定义进行具体明确,在2017年4月11日发布的《个人信息和重要数据出境安全评估办法》(征求意见稿)第十七条将“重要数据”界定为:“与国家安全、经济发展,以及社会公共利益密切相关的数据”,我们可以看出之前相关法律法规对“重要数据”的界定都是从原则性、普适性的角度出发,而缺乏相应的实践区分度和具体的执行标准。相对来说,此次征求意见稿不同于以往原则性的界定方式,而是直接采用列举的方式,将“重要数据”的范围直接予以明确,给各大市场主体操作执行和司法实践以明确指引。
三、强调运营者应落实网络安全等级保护制度
《若干规定(征求意见稿)》第五条规范运营者应当落实网络安全等级保护制度,履行网络安全义务。
网络安全等级保护制度包括法律和技术制度企业仅靠自身力量实施的难度较大,适合聘请专业的律师团队以及有资质的技术机构协助落实。对于法律明确要求的义务企业应当依法制定内部信息安全管理制度和操作规程确定网络安全负责人;配套采取防范相关危害网络安全行为的技术措施;采取实时监测、记录以及跟踪处理网络安全事件的技术措施;做好相关网络安全管理和处置日志及相关档案管理工作;依法对相关网络数据采取数据分类、重要数据备份以及加密等措施。
四、明确处理汽车相关个人信息及重要数据原则
(一)授权同意原则
《若干规定(征求意见稿)》规定汽车运营者对于个人信息的收集依然采用“授权同意”原则,并且汽车运营者应当坚持默认不收集原则和单次授权原则。
首先,对于驾驶员和乘车人车内人员而言,运营者收集个人敏感信息应当获得被收集人的同意。对于敏感信息,如车辆位置、驾驶人或乘车人的音视频、可以用于判断违法违规驾驶的数据均应当获得驾驶员的授权同意。
其次,由于各个汽车厂商或服务商已经重点着力辅助驾驶、自动驾驶等技术领域,会使用摄像头、雷达等用于识别路上行人、车辆或其他障碍物,这类技术的使用也将会自动收集车外行人的人脸、声音、车牌等信息。对于这种完全属于被动收集信息且无法及时高效获得信息主体的授权同意。因此,《若干规定(征求意见稿)》规定对于实践上难以实现的(如通过摄像头收集车外音视频信息),且确需提供的,应当进行匿名化或脱敏处理,包括删除含有能够识别自然人的画面,或对这些画面中的人脸等进行局部轮廓化处理等。
最后,明确单次授权原则,默认不收集原则,除非确有必要,每次驾驶时默认为不收集状态,驾驶人的同意授权只对本次驾驶有效;每次都应当征得驾驶人同意授权,驾驶结束(驾驶人离开驾驶席)后本次授权自动失效;如需再次收集相关信息,则需要重新再次授权同意。
(二)合法性原则
《若干规定(征求意见稿)》第四条规定汽车运营者收集个人信息应坚持合法性原则。运营者处理个人信息或重要数据的目的应当合法、具体、明确,与汽车的设计、制造、服务直接相关,不能收集与其服务不相关的信息或数据。
(三)公开透明原则
《若干规定(征求意见稿)》第七条规定了公开透明原则,明确运营者处理个人信息应当通过用户手册、车载显示面板或其他适当方式,告知负责处理用户权益责任人的有效联系方式,以及收集数据的类型,包括车辆位置、生物特征、驾驶习惯、音视频等,并提供信息收集方法、保存规则、删除步骤等信息;同时,要求通过过车内显示面板或语音等方式告知驾驶人和乘车人正在收集敏感个人信息。
(四)最少必要原则
《若干规定(征求意见稿)》第六条及第十条,根据汽车行业驾驶过程中可能收集到的数据,提出了最小保存期限、精度范围使用原则、默认不收集原则,以进一步规范汽车数据收集的监管要求。。
(五)车内处理原则
《若干规定(征求意见稿)》基于汽车行业的特殊性,限定了运营者对于个人信息和重要数据在车内处理原则,除非确有必要不得向车外提供;对于确实需要向车外提供的,运营者要进行匿名化处理。同时,《若干规定(征求意见稿)》赋予了驾驶人知情权、查询权、删除权等权利,如运营者应当向驾驶人公开删除或请求删除个人信息的方法步骤;允许车主方便查看、结构化查询收集的敏感个人信息等内容。
五、运营者数据处理的监管报告制度
《若干规定(征求意见稿)》规定运营者应当向相关监管履行相应的报告制度,具体包括以下几个方面:
(1)处理重要数据的运营者,应当提前向省级网信部门和有关部门报告数据类型、规模、范围、保存地点与时限、使用方式,以及是否向第三方提供等;同时,应当在每年十二月十五日前将年度数据安全管理情况报省级网信部门和有关部门。
(2)处理个人信息涉及个人信息主体超过10万人应当在每年十二月十五日前将年度数据安全管理情况报省级网信部门和有关部门。
(3)运营者存在向境外提供数据的,在《若干规定(征求意见稿)》第十七条的基础上增加相应的报告接收者名称、联系方式、目的、数量等等详细内容。
六、明确汽车数据收集、处理违规的法律责任
《若干规定(征求意见稿)》第二十条明确了汽车数据收集处置违规的法律责任,即运营者违反本规定的,由省级以上网信部门和有关部门依照《中华人民共和国网络安全法》等法律法规的有关规定进行处罚。构成犯罪的,依法追究刑事责任。
这里的“等法律法规”可能则包含了正在审议、即将出台的《个人信息保护法》、《数据安全法》等相关法律规范,在未来相关法律法规进一步出台后,亦将对汽车科技智能化行业带来全新的调控方向和深远的影响。
《若干规定(征求意见稿)》作为我国首个汽车行业数据安全管理规定,确立了汽车数据监管的基本方向,明确了汽车数据收集原则和个人信息保护的一般规范要求。作为消费者,尤其是汽车运营者,应当及时关注该汽车行业的相关法律监管动态,及时调整个人信息和重要数据的处理方式,切实保障好消费者的合法权益,也使得企业在合规的场景下获得长足的发展。
作者:张明敏;为执业律师;
本文刊载于《客户世界》2021年6月刊。
转载请注明来源:新规速递:《汽车数据安全管理若干规定(征求意见稿)》要点解读
噢!评论已关闭。