智能汽车数据安全监管趋严 专家预测未来车企合规成本提高

　　对智能网联汽车的数据安全监管趋严。5月12日，国家网信办发布《汽车数据安全管理若干规定（征求意见稿）》（以下简称“征求意见稿”）。

　　《征求意见稿》倡导运营者采取“默认不收集”原则。除非确有必要，每次驾驶时默认为不收集状态，驾驶人的同意授权只对本次驾驶有效。这意味每次司机上车除了系安全带之外，还需要再授权“同意收集”一次。

　　对于车辆位置、驾驶人或乘车人音视频等敏感个人信息，如果驾驶人要求运营者删除时，运营者应当在两周内删除。对于依赖上下游产业链支持的车企，要求删除的数据可能并不在车企内部，互联网行业隐私科技专家王磊认为，这一条款将增加车企的合规成本。

　　清华大学汽车研究所所长陈全世接受21世纪经济报道采访时表示，智能网联汽车带来便利的同时，也带来了隐私风险以及国家安全挑战。对智能网联汽车进行约束规范是正确的。“但现在发布规范还是晚了些，智能汽车发展标准和法规应该走在前面，尽早布局。”

　　网约车采集图像、信息脱敏等迎难题

　　《征求意见稿》是专门针对汽车数据安全的规定，明确了汽车数据处理活动场景中的个人信息和重要数据概念。

　　个人信息包括车主、驾驶人、乘车人、行人等个人信息，以及能够推断个人身份、描述个人行为等的各种信息。

　　重要数据则包括军事管理区、国防科工等涉及国家秘密的单位、县级以上党政机关等重要敏感区域的人流车流数据；高于国家公开发布地图精度的测绘数据；道路上车辆类型、车辆流量等数据；包含人脸、声音、车牌等的车外音视频数据等。

　　王磊认为《征求意见稿》中所称的“个人信息”和“重要数据”，分别与审议中的《个人信息保护法》和《数据安全法》相衔接，分别保护“个人信息权益”和“国家主权、安全和发展利益，个人组织合法权益”这两个不同的法益。

　　运营者在处理个人信息和重要数据过程中，倡导进行车内处理原则，除非确有必要不向车外提供；匿名化处理原则，确有必要向车外提供的，尽可能地进行匿名化和脱敏处理；最小保存期限原则，根据所提供功能服务分类型确定数据保存期限；默认不收集原则等。

　　比如“车内处理原则”，王磊解释道，像高精地图和摄像头采集的车外信息，原则上不能传到云端，除非确有必要。

　　诸如敏感区域的人流车流以及地理测绘数据等，也已是智能网联汽车数据安全规范的重中之重。此前，《信息安全技术 网联汽车 采集数据的安全要求》草案提出，网联汽车通过摄像头、雷达等传感器从车外环境采集的道路、建筑、地形、交通参与者等数据，以及车辆位置、轨迹相关数据，不得出境。

　　值得注意的是，《征求意见稿》也明确了运营者的范围：汽车设计、制造、服务企业或者机构，包括汽车制造商、部件和软件提供者、经销商、维修机构、网约车企业、保险公司等。

　　全国乘用车市场信息联席会秘书长崔东树告诉21世纪经济报道记者，该规定不仅规范了车企或智能网联车企，对滴滴等相关运营企业都提出了要求。给网约车、出租车如何采集图像、信息处理脱敏、保证隐私安全等带来了挑战。

　　赋予驾驶人删除信息权

　　《征求意见稿》中对个人信息和重要数据的处理都有了更严格的规定。

　　倡导的“默认不收集原则”，除非确有必要，每次驾驶时默认为不收集状态，驾驶人的同意授权只对本次驾驶有效。这也意味着每次司机上车除了系安全带之外，还需要授权“同意收集”一次。

　　此外，运营者收集个人信息应当取得被收集人同意，法律法规规定不需取得个人同意的除外。实践上难以实现的（如通过摄像头收集车外音视频信息），且确需提供的，应当进行匿名化或脱敏处理，包括删除含有能够识别自然人的画面，或对这些画面中的人脸等进行局部轮廓化处理等。

　　这对人脸这一敏感信息在汽车采集数据的场景下做出了规范。记者了解到，此前线下场景中对人脸采集的滥用便有争议。由于人脸信息采集是非接触性的、隐蔽的，很难像App等线上软件一样规制，也很难取得个人的单独同意。

　　对于车辆位置、驾驶人或乘车人音视频等敏感信息，《征求意见稿》允许车主查看、结构化查询被收集的敏感个人信息，并且如果驾驶人要求运营者删除时，运营者应当在两周内删除。

　　王磊分析称，车企的情况跟互联网公司不太一样，一些研发车企可能会依赖上下游产业链的支持，比如车机系统，不一定是车企自己研发的。那么驾驶人要求运营者删除数据时，数据可能没有存储在车企内部，车企还要联系第三方合作商完成数据删除。所以个人信息删除权对车企的合规影响很大，甚至合规成本要高于互联网企业。

　　特斯拉、蔚来等智能车企每年需汇报数据管理情况

　　《征求意见稿》中规定，处理个人信息涉及个人信息主体超过10万人，或者处理重要数据的运营者，应当在每年十二月十五日前将年度数据安全管理情况报省级网信部门和有关部门。

　　汇报的内容包括处理数据的类型、规模、目的及必要性；数据的安全防护和管理措施，包括保存地点、期限等；与境内第三方共享数据情况；数据安全事故及处理情况；与个人信息和数据相关的用户投诉及处理情况。

　　哪些企业会被纳入这一例行汇报要求的管理范围？王磊表示，特斯拉、蔚来、小鹏等做自动驾驶的车企，都需要有高精地图才能完成自动导航驾驶，均是重要数据的运营者。而累计销售的、有采集个人信息功能的车辆超过10万辆，那么传统车企可能也会被纳入。

　　北京市盈科（深圳）律师事务所律师梅林认为，这一规定和对App运营者的管理相比严格了很多。“一方面是因为汽车数据安全对个人和国家的影响比一般App大很多，另一方面也是因为汽车行业都是大公司，有财力做这些事情。”

　　智能汽车发展标准和法规要走在前面

　　近期，百度、小米、360、华为等纷纷宣布跨界造车，造车似乎成为资本的风口。

　　据IDC预测，2035年全球智能驾驶汽车产业规模将突破1.2万亿美元，中国智能驾驶汽车规模也将超过2000亿美元。

　　陈全世表示，智能网联汽车的发展是双刃剑，一方面带来了便利，但另一方面行车轨迹、车内信息等面临隐私风险，并且汽车摄像头采集的精细地图数据对国家安全的影响也需重视。

　　记者梳理发现，2020年2月，中央网信办等11部门联合发布《智能汽车创新发展战略》，明确提出要确保用户信息、车辆信息、测绘地理信息等数据安全可控。完善数据安全管理制度，加强监督检查，开展数据风险、数据出境安全等评估。

　　今年起，关于智能网联汽车的政策更为密集。

　　4月7日，工信部发布《智能网联汽车生产企业及产品准入管理指南（试行）》（征求意见稿）。

　　4月28日，全国信息安全标准化技术委员会公布《信息安全技术 网联汽车 采集数据的安全要求》标准草案，被视为我国首个网联汽车采集数据国家标准。

　　5月12日，国家网信办发布关于《汽车数据安全管理若干规定（征求意见稿）》。

　　梅林分析称，工信部公开征求意见的《智能网联汽车生产企业及产品准入管理指南（试行）》是针对智能网联汽车产品的整体性要求，其中包括了对数据和网络安全方面的规定，该规定除了对数据出境有具体要求外，其他数据方面的规定是概述性的。信安委发布的标准草案则是一个推荐标准，可以给行业提供操作思路，但不具有强制性。

　　“此次国家网信办的《征求意见稿》是具有强制性的、专门针对汽车数据安全的规定，规定更详细、指导性更强。”梅林表示。

　　陈全世认为，目前对智能网联汽车进行约束规范是正确的。“但还是晚了些，应该在一年前或两年前着手，智能汽车发展标准和法规要走在前面。”