2023-02-20
汽車出行行業數據合規監管年度報告(2022)
作者:
傅鵬
劉嘉純 趙卿夢 俞沁 錢學悅
過去的一年,是數據合規領域的監管規則拼圖補全、基礎監管框架全面落地的一年。這一特點,也同樣影響到汽車出行行業的數據合規工作。基于此,海問律師事務所傅鵬律師項目組特撰寫《汽車出行行業數據合規監管年度盤點(2022年)》,盤點過去一年汽車行業的監管思路與趨勢,總結年度監管的要點與亮點。從數據處理安全、個人信息安全、行業運行安全、自動駕駛安全四個方面,對汽車出行行業的數據合規立法與實踐進行詳細分析。
報 告 目 錄
一
年度監管思路與趨勢:壓實合規義務,釋放合規價值
(一) 合規義務得到進一步壓實
(二) 合規價值逐步釋放
二
年度監管要點與亮點:圍繞“四個安全”,描繪合規基線
(一) 數據處理安全
1. 汽車數據“車內處理”之困
2. 測繪地理信息:智能網聯汽車與自動駕駛路測的合規焦點
3. 汽車出行企業資本項目運作:釋放合規價值的“探索之旅”
4. 數據出境合規:系統化申報監管的“第一課”
(二) 個人信息安全
1. 二手車交易與車聯網服務信息:汽車行業個人信息保護的“潘多拉魔盒”
2. 汽車出行行業APP整治:個人信息保護領域的“無限戰爭”
3. 人臉識別:個人信息保護領域的“高危地帶”
(三) 行業運行安全
1. 數據分類分級:分類分級管理與汽車重要數據處理者年報
2. 漏洞安全防護:汽車出行行業企業的網絡安全漏洞管理責任
3. 網絡安全定級:車聯網網絡安全定級備案
4. 安全保障與支撐的重要環節:車聯網卡實名登記
5. 交通行車安全:更高的數據治理與信息推送底線
(四) 自動駕駛安全
1. 對智能網聯汽車產品企業的數據合規及網絡安全要求
2. 關于智能網聯汽車產品準入的數據合規和網絡安全要求
3. 試點城市對智能網聯汽車的數據合規要求
內 容 節 選
(如下為部分內容節選,歡迎掃碼文末二維碼,獲取更多信息)
一、年度監管思路與趨勢:壓實合規義務,釋放合規價值
(一)合規義務得到進一步壓實
首先,由于法律規則總體補全、實施框架全面落地,監管部門開始具有較為全面性和系統性的抓手及法律依據,對汽車出行行業的數據處理者采取監管措施。
例如,《中華人民共和國網絡安全法》(下稱“網絡安全法”)、《中華人民共和國數據安全法》(下稱“數據安全法”)和《中華人民共和國個人信息保護法》(下稱“個人信息保護法”)等數據合規領域的“三大基本法”在2021年臨近結尾時全部頒布并生效。“三大基本法”奠定了各行業數據合規監管的主要基礎制度,這同樣也適用于汽車出行行業種類多樣、錯綜復雜的數據處理行為。“三大基本法”相互補充,構建了相對全面的數據處理活動監管體系。
“三大基本法”齊備所帶來的監管態勢變化較為明顯。例如,在網絡安全法于2017年施行之際,雖然規定了關于個人信息保護的若干基本原則,但是缺乏系統性的監管規則架構和執行細節,也沒有較為嚴重的違法后果,使得大量企業相對而言可以在個人信息保護的更多環節與方面持觀望的態勢。甚至在相當一段時間內,基于網絡安全法開展的個人信息保護合規活動需要在很大程度上依賴《信息安全技術 個人信息安全規范》等不具有強制約束力的推薦性國家標準的指導來完成。但是,在個人信息保護法于2021年施行后,個人信息保護的原則以及合法性基礎、個人信息主體權利、違反個人信息保護法的違法后果等一系列規定得到了明確,廣大企業負有明確的一系列法律合規義務。又如,網絡安全法提出了“重要數據”的概念,但是僅限于關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據應當在境內存儲這一事項的要求,也沒有比較系統性地提出數據分類分級等類似概念或制度要求。但是,隨著數據安全法及一系列配套規定的頒布,廣大數據處理者有義務采取數據分類分級等工作,并且有義務對重要數據采取更強的保護措施、負有更高的合規義務。此外,還有一系列制度,在2017年網絡安全法頒布時并不存在,或并沒有具體的要求,但是隨著2021年個人信息保護法和數據安全法的施行,成為數據處理者硬性的合規義務。
以上規定,壓實了廣大企業的數據合規義務,這一方面給廣大企業提出了更高的要求,另一方面也給廣大企業的數據合規建設提供了更為明確的方向和更有幫助的指導。
此外,“三大基本法”之外,與汽車出行行業有關的監管細則、甚至是一系列行業垂直監管規定,都在2021年陸續出臺。如下文第“二、年度監管要點與亮點:圍繞“四個安全”,描繪合規基線”部分所詳述,這一系列監管細則,在更大程度上,塑造了汽車出行行業數據合規日常實踐的具體面貌。以《汽車數據安全管理若干規定(試行)》為例,第一次提出了“車內處理”“精度范圍適用”等行業數據處理原則,為行業中的數據處理者提出了專項的、區別于其他行業實踐的具體要求;第一次為行業重要數據的認定,提出了生效、有法律約束力的規定層面的細節規定,在一定程度上初步劃定了行業重要數據的種類和大致范圍。類似的規定和例子還有很多。這些行業監管細則,是汽車出行行業數據處理者需要格外注意的垂直監管要求。
上述基礎規則和行業監管細則的出臺,相應奠定或創設了汽車出行行業數據處理者日常的一系列申報、登記、備案事項,相當于為本行業數據處理者增加了一系列日常需要定期完成的“規定動作”。例如每個行業的數據處理者就其向境外傳輸數據的行為在達到相應的門檻或個人信息處理數量時需要申報數據出境安全評估,汽車行業重要數據處理者應每年進行年度汽車數據安全管理情況報送,車聯網業務經營單位應當進行車聯網網絡安全定級備案,與車聯網運營相關的主體應注意完成車聯網卡實名登記等。
因此,不論是以上的基礎規則,還是行業監管細則,還是與汽車出行行業有關的申報、登記、備案事項,在過去的一年中,都經歷了在其奠定之初的第一年實踐“試水”過程。實踐操作中,主管機關或數據處理者發現了存在的一系列問題,也反映出規則或制度層面一系列有待進一步修訂或完善的部分。
二、 年度監管要點與亮點:圍繞“四個安全”,描繪合規基線
對汽車出行行業企業的數據處理活動提出更細致和更高的治理要求,是監管的方向和趨勢之一。在過去一年多的時間里,汽車出行行業企業在日常數據處理、數據出境、資本運作或投融資項目的數據處理合規等方面,發生了一系列重要事件,折射出數個富有行業特點的數據處理關注要點。
汽車數據應當以“車內處理”作為最重要的處理原則之一,是《汽車數據安全管理若干規定(試行)》明確提出的汽車出行行業數據處理原則。過去一年中,從業者和監管者就車內處理的含義、范圍、合規要求以及在具體項目中的實踐把握尺度,做出了不少嘗試。
● 2022年3月,比亞迪汽車APP關閉遠程查看車外攝像頭影像的“千里眼”功能,在比亞迪汽車APP中打開此功能會提示“根據國家最新法規要求,車外影像功能正在升級,敬請期待”。“千里眼”是比亞迪DiLink智能網聯系統為用戶提供的遠程影像系統,可以通過車輛四周的攝像頭查看汽車周邊環境。[1]
● 2022年5月,高合汽車被曝光其“車車互聯”功能可被用于由車主A遠程調取車主B行車記錄儀畫面(畫面含車外人員的個人信息)。同月,高合汽車發文回復“車車互聯”功能屬于車隊出行、車路協同系統組成部分,出廠時默認關閉,通過二次確認隱私條款彈窗后才能開啟。[2]
● 2022年5月,小鵬汽車表示,應主管部門發布的相關數據安全法規的要求,公司暫停“App端遠程查看車外攝像頭功能”。[3]
《汽車數據安全管理若干規定(試行)》要求汽車數據處理者在開展汽車數據處理活動中堅持“車內處理”原則。即,除非確有必要,不向車外提供。《汽車數據安全管理若干規定(試行)》進一步規定,因保證行車安全需要,無法征得個人同意采集到車外個人信息且向車外提供的,應當進行匿名化處理,包括刪除含有能夠識別自然人的畫面,或者對畫面中的人臉信息等進行局部輪廓化處理等。
上述規定,構成了汽車出行行業“車內處理”原則的基本內容。其核心監管思路在于,由于智能網聯汽車的高速發展,車體包含了越來越多的傳感器,也相應能夠收集越來越多的車外數據和座艙數據。此類數據可能包含的個人信息相對敏感,實踐中也難以就處理行為獲得個人的同意。因此,如果沒有經過匿名化處理,則難以避免成為不具有合法性基礎的處理活動。
全國信息安全標準化技術委員會于2022年10月、國家市場監督管理總局并國家標準化管理委員會于2022年11月發布的《汽車采集數據處理安全指南(TC260-001)》、《信息安全技術 汽車數據處理安全要求》,在“車內處理”原則的基本框架和理念下,列示了更為具體、可適用性更強的例外情形。總體來看,控制車外處理數據的有限場景、對向車外提供的數據開展自動匿名化處理工作,可能是汽車出行行業企業具體落實該原則的可用途徑。
1.《知名汽車宣布:停用遠程攝像頭功能》,網址:https://rmh.pdnews.cn/Pc/ArtInfoApi/article?id=27712308,最后訪問日期:2022年11月20日。
2.《行車記錄全暴露!高合汽車陷隱私泄露風波,律師:畫面需脫敏》,網址:https://new.qq.com/rain/a/20220507A0CR0Y00,最后訪問日期:2022年11月17日。
3.《車上的遠程攝像頭不能用了?小鵬汽車:應相關數據安全法規要求》網址:https://new.qq.com/rain/a/20220523A09S6000;最后訪問日期:2022年11月20日。
京ICP備05019364號-1 
京公網安備110105011258
