前不久,有媒体报道某国际知名品牌的网联汽车被禁止驶入军区大院、军事单位等敏感部门。加之,围绕汽车数据的收集和使用等问题,某汽车厂商与消费者之间的争议,汽车数据及其处理问题引发了社会的广泛关注。
中国作为全球最大的汽车市场,汽车产业在我国国民经济中的重要地位不言而喻。汽车已经进入千家万户,与公众生活息息相关。数据在汽车领域的应用和发展催生了汽车产品、技术、业态以及使用模式等诸多重大变化。在产业发展、产品技术升级的同时,汽车数据的安全问题无法忽视。
此次,国家互联网信息办公室(以下称“网信办”)于2021年5月12日发布了《汽车数据安全管理若干规定(征求意见稿)》(以下称“《汽车数据安全管理意见稿》”),是我国关于汽车数据安全管理领域的首个法律规范性文件的征求意见稿,对于规范和管理汽车行业的数据处理活动乃至指引产业发展方向,具有重要意义。本文试图结合相关法律法规等的规定,对于《汽车数据安全管理意见稿》进行简要评析,希望对相关领域的企业提供参考和借鉴。
一、汽车数据安全管理的规范体系
2017年正式实施的《网络安全法》是我国网络安全领域的基础性法律,该法对于网络运行安全和网络信息安全等方面的原则性规定普遍适用于各个行业的相关管理工作。正在立法过程中,最近向社会公开征求意见的《个人信息保护法(二审稿)》和《数据安全法(二审稿)》是专门针对个人信息保护和数据安全,并突破网络运营者适用范围限定的基础性法律。这两部法律一旦正式生效实施,将与《网络安全法》一起构成我国关于网络安全和数据保护领域规范的顶层法律。《汽车数据安全管理意见稿》根据《网络安全法》制定,其中很多内容也反映了《个人信息保护法(二审稿)》和《数据安全法(二审稿)》的基本要求。
2020年9月工业和信息化部发布了《车联网信息服务 数据安全技术要求》(YD/T 3751-2020)《车联网信息服务 用户个人信息保护要求》(YD/T 3746-2020)(以下称“《车联网用户个人信息要求》”),2021年4月国家市场监督管理总局和国家标准化管理委员会发布了《信息安全技术 网联汽车 采集数据的安全要求(草案)》(以下称“《采集数据安全要求》”)。这些行业标准和国家标准,虽然不具有强制性法律效力,但是其不仅适用于相关企业的数据处理活动,而且适用于相关部门的监管、评估工作,同样是汽车数据安全管理规范的重要组成部分。
二、《汽车数据安全管理意见稿》的重点内容
1、适用范围
《汽车数据安全管理意见稿》的适用范围具有全行业和全流程的特点。全行业是指规定中的运营者适用于包括汽车制造商、部件和软件提供者、经销商、维修机构、网约车企业、保险公司等在内的汽车设计、制造、服务企业或者机构[1]。全流程是指适用于前述企业或机构在中华人民共和国境内设计、生产、销售、运维、管理汽车的全部过程[2]。
2、管理对象
《汽车数据安全管理意见稿》的管理对象主要是个人信息和重要数据及其处理活动。
(1)个人信息
根据《汽车数据安全管理意见稿》的规定,汽车数据中的个人信息主体包括车主、驾驶人、乘车人、行人等[3],这与《采集数据安全要求》中的“交通参与者”的范围基本一致,而大于《车联网用户个人信息要求》中主要限定于汽车产品和服务用户的范围。
《汽车数据安全管理意见稿》对于个人信息的定义是能够推断个人身份、描述个人行为等的各种信息[4]。我们理解该定义与《信息安全技术 个人信息安全规范》(GB/T 35273-2020)(以下称“《个人信息安全规范》”)中 “能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息”的定义比较接近,似乎也符合《个人信息安全规范》附录A中“识别”与“关联”的个人信息判断途径。但是,对照《个人信息保护法(二审稿)》中关于个人信息“已识别”或者“可识别”的定义,结合前述《汽车数据安全管理意见稿》中个人信息主体的范围较大的特点,“描述个人行为”的信息是否全部属于个人信息,可能有必要结合具体的应用场景进行个别判断。
(2)重要数据
《汽车数据安全管理意见稿》结合汽车行业的数据特点,针对适用范围对于重要数据进行了相对具体明确的规定[5]。该规定符合《数据安全法(二审稿)》中重要数据的基本概念,是“数据分类分级保护制度”的具体体现。根据《数据安全法(二审稿)》的规定,各地区、各部门可能会在此基础上进一步制定重要数据的具体目录。
(3)处理活动
《汽车数据安全管理意见稿》规定个人信息和重要数据的处理包括收集、分析、存储、传输、查询、利用、删除以及向境外提供[6]。该规定与《个人信息保护法(二审稿)》和《数据安全法(二审稿)》中对于数据处理的定义有些许差异,我们理解其意图在于强调对于个人信息和重要数据全生命周期活动全覆盖的同时,根据汽车数据的应用和管理特点突出“分析”、“向境外提供”等重点处理活动,但是该定义的完整性和科学性存在商榷余地。
3、规范内容
(1)个人信息和重要数据的处理原则
《网络安全法》及其后相关法律法规中确立的个人信息处理的基本原则是合法、正当和必要。《汽车数据安全管理意见稿》以此为基础,规定了处理个人信息或重要数据的目的应当合法、具体、明确,与汽车的设计、制造、服务直接相关[7],并结合汽车数据应用的实际内容和特点,进一步规定了车内处理原则、匿名化处理原则、最小保存期限原则、精度范围适用原则、默认不收集原则及其要求内容[8]。
同时,在原则性要求中,《汽车数据安全管理意见稿》特别强调了“应当落实网络安全等级保护制度”的内容。这既是对《网络安全法》第二十一条国家实行网络安全等级保护制度的体现,也与《数据安全法(二审稿)》第二十六条中开展数据处理活动,应以网络安全等级保护制度为基础的相关规定保持了统一,体现了主管部门对数据和网络进行分级分类管理和采取相应保护措施的总体思路。
(2)个人信息和重要数据的处理要求
作为前述处理原则的具体落实,《汽车数据安全管理意见稿》结合汽车数据的应用场景和实际需要,对于个人信息和重要数据的处理要求进行了具体规定。包括处理个人信息的告知方式和内容(第七条)、收集和向车外提供敏感个人信息等时的具体要求(第八条)、收集个人信息的合法基础和例外处理规则(第九条)、收集个人生物特征数据的目的限定要求和提供替代方式的要求(第十条)、处理重要数据的事前报告和报告内容(第十一条)、个人信息或重要数据的本地化存储要求以及确需向境外提供时,安全评估及其他相应责任和义务(第十二条~十六条)、运营者的报告义务和内容(第十七条~十八条)等。
特别需要提示的是,对于汽车数据中个人信息或者重要数据的跨境提供,《汽车数据安全管理意见稿》中规定以本地化存储为原则,确需提供时,应当通过国家网信部门组织的数据出境安全评估。《网络安全法》中对于关键信息基础设施运营者的个人信息和重要数据跨境提供进行了类似的规定[9]。《个人信息保护法(二审稿)》中针对关键信息基础设施运营者的个人信息跨境提供也做出了同样的规定[10]。《数据安全法(二审稿)》的第七条,与第一审稿相比,在重点行业中再次明确追加了“交通”行业。我们认为汽车行业的运营者,特别是建设运营或运维包含大量数据的网络系统的运营者,很有可能被最终认定为关键信息基础设施运营者,在网络安全和数据保护方面承担更高的监管要求。
三、我们的建议
随着数字经济的迅猛发展,作为重要生产要素的数据与产业的深度融合,网络安全和数据保护问题的重要性日益凸显。作为专门性基础法律的《个人信息保护法》《数据安全法》有望在年内正式出台,明年开始实施。将极大带动相关配套立法的推进及执法监管工作的加强。
作为落实基础性法律要求和推动相关工作的监管,行业主管部门结合各个行业的具体实际进行针对性规范化活动如同箭在弦上。汽车行业关系国计民生,随着“物联网”“网联汽车”“自动驾驶”等新技术的发展和应用,汽车数据的规范势必成为重点关注领域。《汽车数据安全管理意见稿》正是在此背景下出台的。
对于汽车行业的相关运营者而言,落实相关法律法规关于网络安全和数据保护的要求已经成为企业合规,甚至是企业新价值创造的核心课题之一。我们的建议包括(1)关注相关立法的动向,结合法律法规的变动情况,包括《汽车数据安全管理意见稿》的施行内容,并参照相关国家标准和行业标准,对企业的实际处理活动进行适时调整;(2)开展对自身网络安全管理和数据处理情况的调查和分析,及早着手网络安全等级保护和数据分级分类等必要的工作部署;(3)结合应用场景,对个人信息和重要数据的使用、共享、跨境提供等重要处理活动,开展安全评估,并结合法律法规的立法内容和外部专家的专业意见,提前进行预案的设计和调整。
注释:
[1] 《汽车数据安全管理若干规定(征求意见稿)》第三条
[2] 《汽车数据安全管理若干规定(征求意见稿)》第二条
[3] 《汽车数据安全管理若干规定(征求意见稿)》第三条
[4] 同上
[5] 《汽车数据安全管理若干规定(征求意见稿)》第三条第三款:“本规定所称重要数据包括:(一)军事管理区、国防科工等涉及国家秘密的单位、县级以上党政机关等重要敏感区域的人流车流数据;(二)高于国家公开发布地图精度的测绘数据;(三)汽车充电网的运行数据;(四)道路上车辆类型、车辆流量等数据;(五)包含人脸、声音、车牌等的车外音视频数据;(六)国家网信部门和国务院有关部门明确的其他可能影响国家安全、公共利益的数据。”
[6] 《汽车数据安全管理若干规定(征求意见稿)》第二条
[7] 《汽车数据安全管理若干规定(征求意见稿)》第四条
[8] 《汽车数据安全管理若干规定(征求意见稿)》第六条
[9] 《网络安全》第三十七条
[10] 《个人信息保护法(二审稿)》第四十条
