汽车数据安全管理亟需规范，五部门出手了！专家这样解读

每经记者 李硕

随着智能网联汽车的普及率日渐提高，数据安全和隐私泄露成为汽车领域的新“风险点”。如何明确汽车数据处理者责任和义务，规范汽车数据处理活动成为智能网联汽车发展之中的当务之急。如今，汽车数据安全管理迎来新规。

日前，国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合发布《汽车数据安全管理若干规定（试行）》（以下简称《规定》），自2021年10月1日起施行。国家互联网信息办公室有关负责人表示，出台《规定》旨在规范汽车数据处理活动，保护个人、组织的合法权益，维护国家安全和社会公共利益，促进汽车数据合理开发利用。

“智能网联汽车与传统汽车和电动汽车的生态环境不同，智能和网联都要建立在功能安全、信息安全、数据安全、网络、大数据等基础之上，如果没有这些方面的安全，智能网联汽车与传统汽车相比，就没有进步和便捷性可言。因此，需要从生态环境、生态系统角度考虑。”武汉理工大学汽车学院副教授杨胜兵在接受《每日经济新闻》记者采访时表示。

值得注意的是，《规定》中对汽车数据和个人信息等概念做出了明确定义：汽车数据是指汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据；所称汽车数据处理，包括汽车数据的收集、存储、使用、加工、传输、提供、公开等，涉及汽车数据处理的全生命周期。此外，《规定》还进一步明确了汽车数据中的个人信息、敏感个人信息、重要数据以及汽车数据处理者的含义和类型。

同时，《规定》倡导汽车数据处理者在开展汽车数据处理活动中坚持“车内处理”、“默认不收集”、“精度范围适用”、“脱敏处理”等原则，减少对汽车数据的无序收集和违规滥用，鼓励汽车数据依法合理有效利用，促进汽车行业健康有序发展。

“用户对于智能汽车收集信息的行为大多数时候是默认同意的，这好像也是大家习以为常的事情。但这并不安全，侵犯了用户的个人隐私。比如特斯拉之前公开发布了一些驾驶者的个人信息以展示驾驶者在车辆使用过程中的状态和行为，这其实都是违法的。”全国乘用车市场信息联席会秘书长崔东树认为，人脸钥匙、Face ID、驾驶员疲劳监测等技术已经在汽车上实现落地应用。这些技术在一定程度上提升了用户的使用体验和驾驶安全，但同时用户的数据安全问题也受到挑战。

对于汽车数据处理者的责任和义务，《规定》明确，汽车数据处理者应当履行个人信息保护责任，充分保护个人信息安全和合法权益。开展个人信息处理活动，汽车数据处理者应当通过显著方式告知个人相关信息，取得个人同意或者符合法律、行政法规规定的其他情形。处理敏感个人信息，汽车数据处理者还应当取得个人单独同意，满足限定处理目的、提示收集状态、终止收集等具体要求或者符合法律、行政法规和强制性国家标准等其他要求。汽车数据处理者具有增强行车安全的目的和充分的必要性，方可收集指纹、声纹、人脸、心律等生物识别特征信息。

此外，《规定》强调，汽车数据处理者开展重要数据处理活动，应当遵守依法在境内存储的规定，加强重要数据安全保护；落实风险评估报告制度要求，积极防范数据安全风险；落实年度报告制度要求，按时主动报送年度汽车数据安全管理情况。因业务需要确需向境外提供重要数据的，汽车数据处理者应当落实数据出境安全评估制度要求，不得超出出境安全评估结论违规向境外提供重要数据，并在年度报告中补充报告相关情况。

事实上，今年以来，汽车数据安全相关管理规定接连出台。此前《智能网联汽车道路测试与示范应用管理规范（试行）》发布，后续《关于加强智能网联汽车生产企业及产品准入管理的意见》出台，意在加强汽车数据安全、网络安全、软件升级、功能安全和预期功能安全管理，并特别强调在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当按照有关法律法规规定在境内存储。

国信证券分析师认为，当前政策层面对于网络安全的重视程度空前，数据已成为核心生产要素。各类IT系统的网络、数据等信息安全审查和投入有望实现质的提升。

责任编辑：李墨轩