前不久�����,有媒體報道某國際知名品牌的網聯汽車被禁止駛入軍區大院��、軍(jun)事(shi)單(dan)位(wei)等(deng)敏(min)感(gan)部(bu)門(men)。加(jia)之(zhi)���,圍(wei)繞(rao)汽(qi)車(che)數(shu)據(ju)的(de)收(shou)集(ji)和(he)使(shi)用(yong)等(deng)問(wen)題(ti)�����,某(mou)汽(qi)車(che)廠(chang)商(shang)與(yu)消(xiao)費(fei)者(zhe)之(zhi)間(jian)的(de)爭(zheng)議(yi)�,汽(qi)車(che)數(shu)據(ju)及(ji)其(qi)處(chu)理(li)問(wen)題(ti)引(yin)發(fa)了(le)社(she)會(hui)的(de)廣(guang)泛(fan)關(guan)注(zhu)。
中zhong國guo作zuo為wei全quan球qiu最zui大da的de汽qi車che市shi場chang��,汽qi車che產chan業ye在zai我wo國guo國guo民min經jing濟ji中zhong的de重zhong要yao地di位wei不bu言yan而er喻yu。汽qi車che已yi經jing進jin入ru千qian家jia萬wan戶hu�����,與yu公gong眾zhong生sheng活huo息xi息xi相xiang關guan。數shu據ju在zai汽qi車che領ling域yu的de應ying用yong和he發fa展zhan催cui生sheng了le汽qi車che產chan品pin��、技術����、業態以及使用模式等諸多重大變化。在產業發展���、產品技術升級的同時����,汽車數據的安全問題無法忽視。
此次����,國家互聯網信息辦公室(以下稱“網信辦”)於2021年5月12日發布了《汽車數據安全管理若幹規定(征求意見稿)》(以下稱“《汽車數據安全管理意見稿》”)����,是shi我wo國guo關guan於yu汽qi車che數shu據ju安an全quan管guan理li領ling域yu的de首shou個ge法fa律lv規gui範fan性xing文wen件jian的de征zheng求qiu意yi見jian稿gao�,對dui於yu規gui範fan和he管guan理li汽qi車che行xing業ye的de數shu據ju處chu理li活huo動dong乃nai至zhi指zhi引yin產chan業ye發fa展zhan方fang向xiang���,具ju有you重zhong要yao意yi義yi。本ben文wen試shi圖tu結jie合he相xiang關guan法fa律lv法fa規gui等deng的de規gui定ding����,對dui於yu《汽車數據安全管理意見稿》進行簡要評析����,希望對相關領域的企業提供參考和借鑒。
一���、汽車數據安全管理的規範體係
2017年正式實施的《網絡安全法》是(shi)我(wo)國(guo)網(wang)絡(luo)安(an)全(quan)領(ling)域(yu)的(de)基(ji)礎(chu)性(xing)法(fa)律(lv)���,該(gai)法(fa)對(dui)於(yu)網(wang)絡(luo)運(yun)行(xing)安(an)全(quan)和(he)網(wang)絡(luo)信(xin)息(xi)安(an)全(quan)等(deng)方(fang)麵(mian)的(de)原(yuan)則(ze)性(xing)規(gui)定(ding)普(pu)遍(bian)適(shi)用(yong)於(yu)各(ge)個(ge)行(xing)業(ye)的(de)相(xiang)關(guan)管(guan)理(li)工(gong)作(zuo)。正(zheng)在(zai)立(li)法(fa)過(guo)程(cheng)中(zhong)�,最(zui)近(jin)向(xiang)社(she)會(hui)公(gong)開(kai)征(zheng)求(qiu)意(yi)見(jian)的(de)《個人信息保護法(二審稿)》和《數據安全法(二審稿)》是專門針對個人信息保護和數據安全���,並突破網絡運營者適用範圍限定的基礎性法律。這兩部法律一旦正式生效實施��,將與《網絡安全法》一起構成我國關於網絡安全和數據保護領域規範的頂層法律。《汽車數據安全管理意見稿》根據《網絡安全法》製定���,其中很多內容也反映了《個人信息保護法(二審稿)》和《數據安全法(二審稿)》的基本要求。
2020年9月工業和信息化部發布了《車聯網信息服務 數據安全技術要求》(YD/T 3751-2020)《車聯網信息服務 用戶個人信息保護要求》(YD/T 3746-2020)(以下稱“《車聯網用戶個人信息要求》”)�,2021年4月國家市場監督管理總局和國家標準化管理委員會發布了《信息安全技術 網聯汽車 采集數據的安全要求(草案)》(以下稱“《采集數據安全要求》”)。這些行業標準和國家標準��,雖然不具有強製性法律效力��,但是其不僅適用於相關企業的數據處理活動�����,而且適用於相關部門的監管����、評估工作�,同樣是汽車數據安全管理規範的重要組成部分。
二���、《汽車數據安全管理意見稿》的重點內容
1�����、適用範圍
《汽車數據安全管理意見稿》的適用範圍具有全行業和全流程的特點。全行業是指規定中的運營者適用於包括汽車製造商����、部件和軟件提供者����、經銷商���、維修機構�����、網約車企業���、保險公司等在內的汽車設計����、製造��、服務企業或者機構[1]。全流程是指適用於前述企業或機構在中華人民共和國境內設計����、生產����、銷售��、運維����、管理汽車的全部過程[2]。
2�����、管理對象
《汽車數據安全管理意見稿》的管理對象主要是個人信息和重要數據及其處理活動。
(1)個人信息
根據《汽車數據安全管理意見稿》的規定�����,汽車數據中的個人信息主體包括車主���、駕駛人��、乘車人�、行人等[3]�����,這與《采集數據安全要求》中的“交通參與者”的範圍基本一致�,而大於《車聯網用戶個人信息要求》中主要限定於汽車產品和服務用戶的範圍。
《汽車數據安全管理意見稿》對於個人信息的定義是能夠推斷個人身份��、描述個人行為等的各種信息[4]。我們理解該定義與《信息安全技術 個人信息安全規範》(GB/T 35273-2020)(以下稱“《個人信息安全規範》”)中 “能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息”的定義比較接近�����,似乎也符合《個人信息安全規範》附錄A中“識別”與“關聯”的個人信息判斷途徑。但是��,對照《個人信息保護法(二審稿)》中關於個人信息“已識別”或者“可識別”的定義���,結合前述《汽車數據安全管理意見稿》中個人信息主體的範圍較大的特點���,“描述個人行為”的信息是否全部屬於個人信息���,可能有必要結合具體的應用場景進行個別判斷。
(2)重要數據
《汽車數據安全管理意見稿》結合汽車行業的數據特點�,針對適用範圍對於重要數據進行了相對具體明確的規定[5]。該規定符合《數據安全法(二審稿)》中重要數據的基本概念��,是“數據分類分級保護製度”的具體體現。根據《數據安全法(二審稿)》的規定��,各地區����、各部門可能會在此基礎上進一步製定重要數據的具體目錄。
(3)處理活動
《汽車數據安全管理意見稿》規定個人信息和重要數據的處理包括收集���、分析��、存儲��、傳輸�、查詢����、利用�、刪除以及向境外提供[6]。該規定與《個人信息保護法(二審稿)》和《數據安全法(二審稿)》zhongduiyushujuchulidedingyiyouxiexuchayi����,womenlijieqiyituzaiyuqiangtiaoduiyugerenxinxihezhongyaoshujuquanshengmingzhouqihuodongquanfugaidetongshi�,genjuqicheshujudeyingyongheguanlitediantuchu“分析”�、“向境外提供”等重點處理活動�,但是該定義的完整性和科學性存在商榷餘地。
3���、規範內容
(1)個人信息和重要數據的處理原則
《網絡安全法》及其後相關法律法規中確立的個人信息處理的基本原則是合法�、正當和必要。《汽車數據安全管理意見稿》以此為基礎�,規定了處理個人信息或重要數據的目的應當合法����、具體�����、明確���,與汽車的設計�����、製造����、服務直接相關[7]�����,並結合汽車數據應用的實際內容和特點���,進一步規定了車內處理原則�、匿名化處理原則�、最小保存期限原則��、精度範圍適用原則����、默認不收集原則及其要求內容[8]。
同時�����,在原則性要求中�����,《汽車數據安全管理意見稿》特別強調了“應當落實網絡安全等級保護製度”的內容。這既是對《網絡安全法》第二十一條國家實行網絡安全等級保護製度的體現�,也與《數據安全法(二審稿)》第(di)二(er)十(shi)六(liu)條(tiao)中(zhong)開(kai)展(zhan)數(shu)據(ju)處(chu)理(li)活(huo)動(dong)���,應(ying)以(yi)網(wang)絡(luo)安(an)全(quan)等(deng)級(ji)保(bao)護(hu)製(zhi)度(du)為(wei)基(ji)礎(chu)的(de)相(xiang)關(guan)規(gui)定(ding)保(bao)持(chi)了(le)統(tong)一(yi)����,體(ti)現(xian)了(le)主(zhu)管(guan)部(bu)門(men)對(dui)數(shu)據(ju)和(he)網(wang)絡(luo)進(jin)行(xing)分(fen)級(ji)分(fen)類(lei)管(guan)理(li)和(he)采(cai)取(qu)相(xiang)應(ying)保(bao)護(hu)措(cuo)施(shi)的(de)總(zong)體(ti)思(si)路(lu)。
(2)個人信息和重要數據的處理要求
作為前述處理原則的具體落實��,《汽車數據安全管理意見稿》結合汽車數據的應用場景和實際需要��,對於個人信息和重要數據的處理要求進行了具體規定。包括處理個人信息的告知方式和內容(第七條)�、收集和向車外提供敏感個人信息等時的具體要求(第八條)�、收集個人信息的合法基礎和例外處理規則(第九條)�����、收集個人生物特征數據的目的限定要求和提供替代方式的要求(第十條)���、處理重要數據的事前報告和報告內容(第十一條)��、個人信息或重要數據的本地化存儲要求以及確需向境外提供時�����,安全評估及其他相應責任和義務(第十二條~十六條)�、運營者的報告義務和內容(第十七條~十八條)等。
特別需要提示的是���,對於汽車數據中個人信息或者重要數據的跨境提供�,《汽車數據安全管理意見稿》中規定以本地化存儲為原則��,確需提供時���,應當通過國家網信部門組織的數據出境安全評估。《網絡安全法》中對於關鍵信息基礎設施運營者的個人信息和重要數據跨境提供進行了類似的規定[9]。《個人信息保護法(二審稿)》中針對關鍵信息基礎設施運營者的個人信息跨境提供也做出了同樣的規定[10]。《數據安全法(二審稿)》的第七條����,與第一審稿相比����,在重點行業中再次明確追加了“交通”行(xing)業(ye)。我(wo)們(men)認(ren)為(wei)汽(qi)車(che)行(xing)業(ye)的(de)運(yun)營(ying)者(zhe)�����,特(te)別(bie)是(shi)建(jian)設(she)運(yun)營(ying)或(huo)運(yun)維(wei)包(bao)含(han)大(da)量(liang)數(shu)據(ju)的(de)網(wang)絡(luo)係(xi)統(tong)的(de)運(yun)營(ying)者(zhe)�����,很(hen)有(you)可(ke)能(neng)被(bei)最(zui)終(zhong)認(ren)定(ding)為(wei)關(guan)鍵(jian)信(xin)息(xi)基(ji)礎(chu)設(she)施(shi)運(yun)營(ying)者(zhe)�,在(zai)網(wang)絡(luo)安(an)全(quan)和(he)數(shu)據(ju)保(bao)護(hu)方(fang)麵(mian)承(cheng)擔(dan)更(geng)高(gao)的(de)監(jian)管(guan)要(yao)求(qiu)。
三�、我們的建議
隨sui著zhe數shu字zi經jing濟ji的de迅xun猛meng發fa展zhan��,作zuo為wei重zhong要yao生sheng產chan要yao素su的de數shu據ju與yu產chan業ye的de深shen度du融rong合he���,網wang絡luo安an全quan和he數shu據ju保bao護hu問wen題ti的de重zhong要yao性xing日ri益yi凸tu顯xian。作zuo為wei專zhuan門men性xing基ji礎chu法fa律lv的de《個人信息保護法》《數據安全法》有望在年內正式出台����,明年開始實施。將極大帶動相關配套立法的推進及執法監管工作的加強。
作zuo為wei落luo實shi基ji礎chu性xing法fa律lv要yao求qiu和he推tui動dong相xiang關guan工gong作zuo的de監jian管guan�,行xing業ye主zhu管guan部bu門men結jie合he各ge個ge行xing業ye的de具ju體ti實shi際ji進jin行xing針zhen對dui性xing規gui範fan化hua活huo動dong如ru同tong箭jian在zai弦xian上shang。汽qi車che行xing業ye關guan係xi國guo計ji民min生sheng��,隨sui著zhe“物聯網”“網聯汽車”“自動駕駛”等新技術的發展和應用���,汽車數據的規範勢必成為重點關注領域。《汽車數據安全管理意見稿》正是在此背景下出台的。
對dui於yu汽qi車che行xing業ye的de相xiang關guan運yun營ying者zhe而er言yan��,落luo實shi相xiang關guan法fa律lv法fa規gui關guan於yu網wang絡luo安an全quan和he數shu據ju保bao護hu的de要yao求qiu已yi經jing成cheng為wei企qi業ye合he規gui�,甚shen至zhi是shi企qi業ye新xin價jia值zhi創chuang造zao的de核he心xin課ke題ti之zhi一yi。我wo們men的de建jian議yi包bao括kuo(1)關注相關立法的動向���,結合法律法規的變動情況����,包括《汽車數據安全管理意見稿》的施行內容����,並參照相關國家標準和行業標準�,對企業的實際處理活動進行適時調整���;(2)開展對自身網絡安全管理和數據處理情況的調查和分析��,及早著手網絡安全等級保護和數據分級分類等必要的工作部署�����;(3)結合應用場景�,對個人信息和重要數據的使用�����、共享���、跨境提供等重要處理活動����,開展安全評估���,並結合法律法規的立法內容和外部專家的專業意見���,提前進行預案的設計和調整。
注釋:
[1] 《汽車數據安全管理若幹規定(征求意見稿)》第三條
[2] 《汽車數據安全管理若幹規定(征求意見稿)》第二條
[3] 《汽車數據安全管理若幹規定(征求意見稿)》第三條
[4] 同上
[5] 《汽車數據安全管理若幹規定(征求意見稿)》第三條第三款:“本規定所稱重要數據包括:(一)軍事管理區�����、國防科工等涉及國家秘密的單位�����、縣級以上黨政機關等重要敏感區域的人流車流數據����;(二)高於國家公開發布地圖精度的測繪數據�;(三)汽車充電網的運行數據����;(四)道路上車輛類型�����、車輛流量等數據��;(五)包含人臉����、聲音����、車牌等的車外音視頻數據�;(六)國家網信部門和國務院有關部門明確的其他可能影響國家安全�、公共利益的數據。”
[6] 《汽車數據安全管理若幹規定(征求意見稿)》第二條
[7] 《汽車數據安全管理若幹規定(征求意見稿)》第四條
[8] 《汽車數據安全管理若幹規定(征求意見稿)》第六條
[9] 《網絡安全》第三十七條
[10] 《個人信息保護法(二審稿)》第四十條
