2021年8月20日,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合发布《汽车数据安全管理若干规定(试行)》(以下简称《规定》),自2021年10月1日起施行。本《规定》作为我国首个汽车行业数据安全方面的规章制度,以《网络安全法》、《数据安全法》等法律法规为上位法,开启了我国汽车数据安全强监管时代。《规定》共计十九条,聚焦汽车领域个人信息和重要数据的安全风险,《规定》非穷尽式地列举了汽车行业重要数据范围、明确了数据跨境规制办法等。相较《汽车数据安全管理若干规定(征求意见稿)》(简称“征求意见稿”),《规定》的亮点及主要变化如下:
1、立法目的与适用范围
《规定》新增《数据安全法》为立法依据,明确在中华人民共和国境内开展汽车数据处理活动及其安全监管,应当遵守相关法律、行政法规和本规定的要求。
2、注重与上位法的衔接
《规定》的基本定义与《民法典》、《数据安全法》以及《个人信息保护法》等保持一致。明确汽车数据处理,包括汽车数据的收集、存储、使用、加工、传输、提供、公开等。对个人信息的识别遵循“关联”标准,个人信息,是指以电子或者其他方式记录的与已识别或者可识别的车主、驾驶人、乘车人、车外人员等有关的各种信息,不包括匿名化处理后的信息。
3、明确数据本地化要求
《规定》第十一条在《网络安全法》第三十七条及《数据安全法》第三十一条基础上明确,重要数据应当依法在境内存储,因业务需要确需向境外提供的,应当通过国家网信部门会同国务院有关部门组织的安全评估。个人信息的出境安全管理,可依据《个人信息保护法》的相关规定。同时,汽车数据处理者对国家网信部门会同国务院有关部门以抽查等方式核验汽车数据出境评估有关事项,应当予以配合。
4、明确了处理重要数据的具体制度
一是风险评估报告制度:汽车数据处理者开展重要数据处理活动,应当按照规定开展风险评估,并向省、自治区、直辖市网信部门和有关部门报送风险评估报告。二是年度报告制度:汽车数据处理者应当在每年十二月十五日前向省、自治区、直辖市网信和有关部门报送年度汽车数据安全管理情况。向境外提供重要数据的汽车数据处理者应当依据《规定》第十四条补充报告相关情况。相较征求意见稿,《规定》本次未纳入处理重要数据的提前报告制度。
5、明确处理个人信息、敏感个人信息的具体要求
一是告知义务,汽车数据处理者处理个人信息应当告知处理个人信息种类、收集情境、停止收集方式途径等相关信息。二是合法性要求,汽车数据处理者处理个人信息应当取得个人同意或者符合法律、行政法规规定的其他情形。针对敏感个人信息,在履行告知、征得个人单独同意等义务基础上,汽车数据处理者处理敏感个人信息还应当满足限定处理目的、提示收集状态、为个人终止收集提供便利等具体要求。针对个人生物识别特征信息,明确汽车数据处理者具有增强行车安全的目的和充分的必要性方可收集。
值得注意的是,相较征求意见稿,《规定》在结合行业实际基础上,明确可通过汽车使用相关应用程序等显著方式履行告知义务,《规定》未纳入单次授权有效、随时终止个人信息收集等要求。
6、针对性规范智能网联汽车
《规定》新增第十六条,明确国家加强智能(网联)汽车网络平台建设,开展智能(网联)汽车入网运行和安全保障服务等,协同汽车数据处理者加强智能(网联)汽车网络和汽车数据安全防护。
7、注重消费者权益保护
《规定》回应社会关注热点,新增汽车数据处理者开展汽车数据处理活动,应当建立投诉举报渠道,设置便捷的投诉举报入口,及时处理用户投诉举报。开展汽车数据处理活动造成用户合法权益或者公共利益受到损害的,汽车数据处理者应当依法承担相应责任。
国家互联网信息办公室
中华人民共和国国家发展和改革委员会
中华人民共和国工业和信息化部
中华人民共和国公安部
中华人民共和国交通运输部
令
第7号
《汽车数据安全管理若干规定(试行)》已经2021年7月5日国家互联网信息办公室2021年第10次室务会议审议通过,并经国家发展和改革委员会、工业和信息化部、公安部、交通运输部同意,现予公布,自2021年10月1日起施行。
国家互联网信息办公室主任 庄荣文
国家发展和改革委员会主任 何立峰
工业和信息化部部长 肖亚庆
公安部部长 赵克志
交通运输部部长 李小鹏
2021年8月16日







