在中国,随个人信息和数据安全相关法律法规的不断颁布,中国政府于2021年8月16日发布了《汽车数据安全管理若干规定(试行)》(《管理规定》),自2021年10月1日起施行。

《管理规定》对汽车数据采集和使用的全过程(包括集、存储、处理、传输、出站传输等)做出了详细规定,并在个人信息和重要数据保护方面对汽车领域的运营商提出严格的合规要求。

 

什么是汽车数据

汽车数据包括了汽车设计、生产、销售、使用、运维等过程中的个人信息数据和重要数据。

个人信息,是指以电子或者其他方式记录的与已识别或者可识别的车主、驾驶人、乘车人、车外人员等有关的各种信息,不包括匿名化处理后的信息。这一规定与《个人信息保护法》没有太大区别。

同时,《管理规定》是第一个明确提及哪些是重要数据的法规,包括:

(一)军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据;

(二)车辆流量、物流等反映经济运行情况的数据;

(三)汽车充电网的运行数据;

(四)包含人脸信息、车牌信息等的车外视频、图像数据;

(五)涉及个人信息主体超过10万人的个人信息。

 

谁需要遵守《管理规定》?

根据《管理规定》,所有处理汽车数据的处理者均应遵守该规定,包括但不限于汽车制造商、零部件和软件供应商、经销商、维修机构和以及出行服务公司等。

 

数据处理的基本原则

中国鼓励汽车数据依法合理有效利用,汽车数据处理者在开展汽车数据处理活动中应坚持如下原则:

(一)车内处理原则,除非确有必要不向车外提供;

(二)默认不收集原则,除非驾驶人自主设定,每次驾驶时默认设定为不收集状态;

(三)精度范围适用原则,根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率;

(四)脱敏处理原则,尽可能进行匿名化、去标识化等处理。

 

《数据安全法》于9月1日生效,《管理规定》于10月1日生效,而《个人信息保护法》亦将于11月1日生效。汽车行业企业面临的合规压力越来越严重。 如果企业过去已经制定了数据合规流程和个人信息保护制度,则需要进行查漏补缺,重新审核和补充相关内容; 如果相关制度尚未建立,建议相关企业启动合规项目建设。