汽车数据处理如何合规?——《汽车数据安全管理若干规定(试行)》相关问题分析

标签: 企业数据合规 数据合规官 IAPP 浏览量:0 2023-04-10

按:《汽车数据安全管理若干规定(试行)》作为部门规章,由国家网信办、国家发改委、工信部、公安部、交通运输部联合发布,将于2021年10月1日起实施。恰逢《个人信息保护法》、《数据安全法》等数据立法的集中立法期,有必要结合具体条文对相关法律适用问题进行梳理。


e256d50fa4ba119f752906ea1c501642


1 汽车数据中的个人信息数据


《若干规定》第三条规定,汽车数据包括汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据。汽车数据处理,包括汽车数据的收集、存储、使用、加工、传输、提供、公开等。从定义来看,上述第三条规定的汽车数据包含个人信息。其次,根据《个人信息保护法》对个人信息处理活动的定义,在上述第三条规定的七个环节之外,还包括“删除”这一环节。由于《若干规定》是针对汽车数据及处理活动的统一立法,若《个人信息保护法》对于个人信息的处理更为具体,应优先适用《个人信息保护法》的规定。


与此同时,《若干规定》第四条规定了汽车处理者处理汽车数据的基本原则,应当合法、正当、具体、明确,与汽车的设计、生产、销售、使用、运维等直接相关。对于涉及个人信息的处理,除了应当满足第四条规定的基本原则,还应当符合《个人信息保护法》的规定。


2“汽车数据处理者”与“个人信息处理者”


《若干规定》第三条规定,汽车数据处理者是指开展汽车数据处理活动的组织,包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等。由于汽车数据中包含个人信息,因此《若干规定》规定的“汽车数据处理者”与“个人信息处理者”的范围有一定重合。但是否只要上述所列举的主体,进行了处理汽车数据中个人信息的活动,就应认定为汽车数据中个人信息的处理者呢?根据《个人信息保护法》的规定,答案是否定的。《个人信息保护法》规定,个人信息处理者是在个人信息处理活动中自主决定个人信息处理目的、处理方式的组织、个人。此外,受委托处理个人信息的受托人与共同个人信息处理者在义务范围方面是不同的。因此,《若干规定》第七条至第九条规定的,汽车数据处理者处理个人信息时应履行义务的规定,所针对的主体,应限于根据《个人信息保护法》被界定为个人信息处理者的组织。总体而言,涉及汽车数据中个人信息处理活动相关主体性质的界定,应当适用《个人信息保护法》关于个人信息处理者、共同个人信息处理者、受委托处理个人信息的受托人的规定,进而明确各方的权利、义务、责任。


3 智能网联汽车相关场景的特殊规定与理解


《若干规定》第七条至第九条,针对行车、驾驶、导航等相关场景,规定了汽车数据处理者处理个人信息与敏感个人信息的义务,主要涉及告知同意与必要性方面的具体规则。其中,第八条第二款规定,因保证行车安全需要,无法征得个人同意采集到车外个人信息且向车外提供的,应当进行匿名化处理,包括删除含有能够识别自然人的画面,或者对画面中的人脸信息等进行局部轮廓化处理等。这一规定是在无法获取个人信息主体同意的情况下,具备其他合法性事由处理个人信息的具体规定。


此外,智能网联汽车驾驶场景的个人信息交互,与移动智能端场景下一人对一端的情况不同。智能网联汽车驾驶场景中,可能涉及多个个人信息主体(驾驶人与乘客)与一个智能端进行信息交互。因此,针对移动智能端场景设计的告知同意规则,可能难以在智能网联汽车的场景下实现。在移动智能端的信息交互场景中,个人信息主体可以根据自身需求,合理控制收集的时间节点。而在多人对一个智能终端的情况下,为了保证服务质量与服务效率,则较难实现在信息交互之前让每个个人信息主体确认同意。另一方面,从顺序上讲,收集个人信息作为处理个人信息的起始点,应为个人信息处理者向个人信息主体发起的施动行为。收集应当符合主动性与客观的行为标准,非主动多收、误收以及纯用户设备本地端的个人信息交互都应排除在“收集”之外。然而,在一端对多人的场景中,依然应当符合个人信息处理的基本原则,保障个人信息主体的权益,例如《若干规定》第九条第五项规定,在保证行车安全的前提下,以适当方式提示收集状态,为个人终止收集提供便利。


4 重要数据与个人信息安全评估机制的衔接


《若干规定》第三条第六款第四项规定,重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益的数据,包括:(四)包含人脸信息、车牌信息等的车外视频、图像数据;(五)涉及个人信息主体超过10万人的个人信息。上述两项规定的重要数据中,人脸信息属于个人生物识别信息,车牌信息属于个人信息,涉及超过10万人个人信息主体的个人信息都属于个人信息。根据《个人信息保护法》与《数据安全法》的规定,个人信息处理者对于特定类型的个人信息处理活动,具有进行个人信息保护影响评估的义务,重要数据处理者则对重要数据处理活动有风险评估义务。根据《个人信息保护法》第五十六条的规定,个人信息保护影响评估,在合法性维度之外,主要从个人信息权益影响与个人信息安全风险评估两个维度进行,这与重要数据风险评估主要从包含对国家安全、公共安全等风险方面进行的评估不同。


其实,从个人信息的敏感度和数量级考虑,其发生泄露、损毁等安全事件的后果是不同的。《若干规定》第三条第六款规定的,很大概率会包含大量人脸信息与车牌信息的车外视频和图像数据,以及超过10万人个人信息主体的个人信息一旦泄露,可能会影响公共安全、甚至国家安全。因此,对这些数据进行安全评估,在数据处理活动本身的安全性之外,还应当从后果维度综合考虑整个数据处理活动中,存在的威胁国家安全、公共安全的因素。因此,对于涉及处理大量个人信息的组织,其在数据安全方面的组织建设、人员配置、管理措施,需强于一般意义上的数据安全机制,不应局限于仅评估个人信息主体权益影响程度与数据处理活动本身的安全性。考虑到个人信息与重要数据在范围上存在一定重合,后续相关主体在进行个人信息保护影响评估时,应考虑纳入重要数据的安全评估的维度,综合评估对个人信息主体权益的负面影响,数据处理活动本身的安全性,以及国家安全与公共安全的因素,适当衔接个人信息保护影响评估与重要数据安全评估,有效节省《个人信息保护法》、《数据安全法》的合规成本。


5 针对重要数据的风险评估与报送义务


关于重要数据处理者的风险评估义务与风险评估报告的报送义务,《数据安全法》第三十条已经进行了规定。《数据安全法》第三十条第二款规定,风险评估报告应当包括处理的重要数据的种类、数量,开展重要数据处理活动的情况,面临的数据安全风险以及应对措施。《若干规定》第十三条的规定,汽车数据处理者应报送年度汽车数据安全管理的情况。值得注意的是,汽车数据处理者报送的内容不仅限于重要数据的风险评估报告。后续在《若干规定》实施的过程中,应关注第十三条的实施情况。此外,《若干规定》第十四条规定了向境外提供重要数据的汽车数据处理者应当在十三条基础上,补充报告以下情况:(一)接收者的基本情况;(二)出境汽车数据的种类、规模、目的和必要性;(三)汽车数据在境外的保存地点、期限、范围和方式;(四)涉及向境外提供汽车数据的用户投诉和处理情况;(五)国家网信部门会同国务院工业和信息化、公安、交通运输等有关部门明确的向境外提供汽车数据需要报告的其他情况。


6 重要数据本地化与向境外提供的规定


《若干规定》第十一条规定,重要数据应当依法在境内存储,因业务需要确需向境外提供的,应当通过国家网信部门会同国务院有关部门组织的安全评估。值得关注的是,该条规定的重要数据本地化存储与数据向境外提供的安全评估义务,并未明确义务主体与重要数据的范围,但规定了“依法”作为限定。因此,该条主要作为衔接性条文。目前关于重要数据本地化存储于向境外提供的规定主要是《网络安全法》第37条,其对于重要数据本地化与向境外提供的安全评估义务的规定,将义务主体限于关键信息基础设施运营者,将重要数据的范围限于关键信息基础设施运营者在中国境内运营中收集和产生的重要数据。当然,第十一条“应当依法”的表述,也有利于保障后续重要数据本地化存储与向境外提供的立法灵活性。

数据隐私认证

热点资讯

直播公开课 更多>

    免费试听 查看更多>

    • IAPP CIPP/E欧盟隐私法GDPR

      试听

    • 工程与隐私Engineering and Privacy

      试听

    • IAPP 之Information Provision Obligations信息提供义务

      试听

    IAPP咨询报名

    IAPP报名