姚相振：《汽车数据安全管理若干规定（试行）》解读与思考

近年来，随着智能化、网联化程度的不断提高，汽车越来越多成为网络数据收集和产生的重要来源，类型覆盖重要敏感区域的地理信息、车流物流等反映经济运行情况的数据以及个人信息等，因此也越来越多关系到国家安全、国计民生、公共利益，安全风险不断凸显，受到社会各界持续广泛关注。

在此背景下，中央网信办等五部门近日发布《汽车数据安全管理若干规定（试行）》（以下简称《若干规定》），将于2021年10月1日起施行。《若干规定》的适时出台从政策法规层面为汽车数据安全保护提出要求，为有序开展汽车领域重要数据和个人信息保护工作指明了方向。

一、国内外汽车数据安全管理现状

美、欧等国家和地区均将汽车数据安全作为其数据安全监管的重点对象，部分国家已经出台针对汽车数据安全的规范性文件。美国的汽车数据安全管理遵循《隐私权法》《电子通讯隐私法》《加利福尼亚消费者隐私法案》等法律法规及地方法案的相关要求。欧盟在《通用数据保护条例》基础上，针对汽车数据安全管理进一步出台了《车联网个人信息保护指南》，围绕车内处理、持续告知、方便撤回同意等原则，提出生物特征、位置轨迹等敏感个人信息的保护要求。

我国高度重视重要数据以及个人信息保护工作，《网络安全法》《数据安全法》《个人信息保护法》等法律法规均提出了明确的保护要求。《网络安全法》首次从法律层面明确了重要数据安全和个人信息保护的要求；《数据安全法》明确国家数据安全基本制度体系，提出了加强重要数据安全保护;《个人信息保护法》则对个人信息的内涵、外延，以及保护要求、方法、机制进一步提出了要求。《若干规定》落实《网络安全法》《数据安全法》《个人信息保护法》，首次对处理汽车相关重要数据、个人信息提出了具体要求。

二、数据安全管理若干规定重点解读

《若干规定》共十九条，旨在维护国家安全和社会公共利益，保护个人、组织的合法权益，针对汽车领域个人信息和重要数据安全风险，明确了处理者的责任义务和汽车数据处理活动的要求，包括以下三个方面重点内容。

《若干规定》明确了汽车重要数据范围。《若干规定》给出6类重要数据，充分考虑了重要敏感区域、车流物流、充电网、车外视频图像、大规模个人信息等方面，体现了对国家安全、国计民生、公共利益等全方位的考虑。特别是《若干规定》将“涉及个人信息主体超过10万人的个人信息”明确为重要数据，在个人信息与重要数据的关系、保护公共利益与国家安全的关系方面做出了有益的探索，为其他领域开展重要数据安全和个人信息保护提供了参考。

《若干规定》为汽车领域个人信息保护工作明确了基本原则。《若干规定》在汽车领域个人信息保护方面提出了四项原则，包括车内处理原则、默认不收集原则、精度范围适用原则、脱敏处理原则。四项原则的提出，对保护汽车座舱内部视频、语音、图像等敏感个人信息，以及保护行人的人脸信息等重点难点问题提供了明确指引。

《若干规定》对汽车数据处理提出了具体管理要求。一是汽车数据处理者开展重要数据处理活动，应按照规定进行风险评估，并向省、自治区、直辖市网信部门和有关部门报送风险评估报告，同时每年应报送年度汽车数据安全管理情况。二是因业务需要确需向境外提供的重要数据，应当通过国家网信部门会同国务院有关部门组织的安全评估，同时数据处理者每年应报送相关情况。三是在有关部门以抽查等方式核验向境外提供重要数据情况时，以及在国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门依据职责进行数据安全评估时，相关汽车数据处理者应予以配合。

三、关于落实好若干规定的几点思考

汽车智能化产业正处于高速发展阶段，汽车数据安全问题已经成为产业发展中的焦点问题、难点问题。《若干规定》的落地实施为构建安全有序的汽车数据生态，推动汽车智能化产业良性发展提供了保障。

围绕《若干规定》的落地实施，笔者提出以下三点建议。

一是坚持问题导向，加快汽车数据安全相关标准建设。《若干规定》从政策法规层面明确了汽车数据处理者开展数据处理活动的要求。网络安全标准作为政策法规文件落地实施的有效技术支撑，发挥着基础性、规范性和引领性作用。为保障《若干规定》的有效落地，应当加快汽车数据网络安全标准建设，以提高汽车数据安全保护能力为目标，充分借鉴国内外先进标准化成果，加快汽车数据安全、个人信息保护、重要数据安全等重点方向的标准研制。

二是加强技术研发，强化汽车数据安全防护能力。加快开展智能（网联）汽车网络平台建设，不断加大技术研发投入，加快研制汽车数据脱敏、匿名化，以及自动化数据安全检测工具，充分运用隐私计算、同态加密、区块链等前沿技术，保护汽车敏感个人信息，促进数据安全先进技术创新应用和试点示范，提升汽车数据安全防护技术能力。

三是做好宣贯培训，推动行业安全意识提升。做好《数据安全法》《个人信息保护法》《若干规定》等法律法规、GB/T 35273《信息安全技术 个人信息安全规范》等网络安全国家标准的宣贯工作，开展自上而下梯度培训，提升汽车数据处理者、用户等相关方安全意识，促进《若干规定》要求实现闭环实施，推动形成汽车数据安全管理新局面。

文/中国电子技术标准化研究院网络安全研究中心主任 姚相振