8月20日，网信办等五部门发布《汽车数据安全管理若干规定（试行）》（以下简称“《规定》”），聚焦汽车领域个人信息和重要数据的安全风险，对汽车数据处理的重点问题做了规定。

《规定》明确，汽车数据处理包括了数据收集、存储、使用、加工、传输、提供、公开等行为，汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等都须遵守《规定》内容。《规定》对处理个人信息、敏感个人信息分别做出了具体要求。

南都记者注意到，《规定》和三个月前网信办发布的《汽车数据安全管理若干规定（征求意见稿）》相比有不少变化，删除了“最小保存期限”原则和“收集敏感个人信息每次都应当征得驾驶人同意授权”等内容。专家分析，修订后的《规定》更容易落地，也更好地体现了防范风险和技术发展的平衡。

个人信息默认不收集，收集需驾驶人单独同意

《规定》明确，国家鼓励汽车数据依法合理有效利用，处理汽车数据应坚持车内处理、默认不收集、精度范围适用、脱敏处理四大原则。

具体来说，“车内处理”指除非确有必要不向车外提供；“默认不收集”指除非驾驶人自主设定，每次驾驶时默认设定为不收集状态；“精度范围适用”指根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率；“脱敏处理”指尽可能进行匿名化、去标识化等处理。

浙江大学教授、工信部信息通信经济专家委员会委员王春晖认为，这几项原则整体上体现了汽车数据发展和安全并重，一方面要严格保护个人数据权益，另一方面也鼓励了对数据的开发利用。

《规定》明确了处理个人信息、敏感个人信息的具体要求。针对个人信息，一是告知义务，汽车数据处理者处理个人信息应当告知处理个人信息种类、收集情境、停止收集方式途径等相关信息。二是征得同意义务，汽车数据处理者处理个人信息应当取得个人同意或者符合法律、行政法规规定的其他情形。三是匿名化要求，因保证行车安全需要，无法征得个人同意采集到个人信息且向车外提供的，应当进行匿名化处理。

针对敏感个人信息，在履行告知、征得个人单独同意等义务基础上，汽车数据处理者处理敏感个人信息还应当满足限定处理目的、提示收集状态、为个人终止收集提供便利等具体要求。针对个人生物识别特征信息，明确汽车数据处理者具有增强行车安全的目的和充分的必要性方可收集。

《规定》特别强调了汽车数据的出境问题，要求重要数据应当依法在境内存储，因业务需要确需向境外提供的，应当通过国家网信部门会同国务院有关部门组织的安全评估。

专家：修订方向更强调数据保护和技术发展平衡

对于《规定》出台的背景，网信办介绍，一是汽车数据安全问题和风险隐患日益突出，比如，汽车数据处理者超越实际需要，过度收集重要数据；未经用户同意，违规处理个人信息，特别是敏感个人信息；未经安全评估，违规出境重要数据等。二是出于保障汽车数据依法合理有效利用的客观需要。

简单来说，《规定》要达到的目的是保护数据安全的同时促进发展，从不少具体的条款中也能看出，二者的平衡非常关键。

南都记者注意到，今年5月12日，网信办曾发布关于《汽车数据安全管理若干规定（征求意见稿）》公开征求意见的通知。三个多月后正式出台的《规定》，和此前的《征求意见稿》相比，发生了一些变化。

其中的一个显著变化是，《征求意见稿》中对汽车数据的“最小保存期限”原则在《规定》中被删除。此外，《征求意见稿》提到收集敏感信息“每次都应当征得驾驶人同意授权，驾驶结束（驾驶人离开驾驶席）后本次授权自动失效”，在《规定》中改为“个人可以自主设定同意期限”。

为何会有这些变动？这些变动将对汽车数据管理带来哪些影响？安理律师事务所汽车和数据业务负责人何姗姗分析，《规定》整体修订的方向是使规定更加容易落地。此前的《征求意见稿》主要是从数据保护的角度来做规定，但事实上，促进技术发展也是很重要的问题。因此，为了在汽车技术发展和安全保障之间达到较好的平衡，《规定》做了更加精细化、更加积极的一些调整。

以删除“最小保存期限”为例，何姗姗介绍，在实际操作中，基于研发的需求、事故处理的需求，汽车数据在保存期限上很难做“一刀切”的安排。因此，《规定》没有采用“最小保存期限”原则，保存期限可以根据具体情况做不同的设定，这样的规定更加灵活，也更容易落地。

《规定》删除了“每次都应当征得驾驶人同意授权”的内容，在何姗姗看来，这也是一种灵活性的体现。在默认不收集的前提下，将选择权交给用户，让用户可以自行决定收集信息的期限。这提升了用户体验和车辆驾驶过程中的安全性，同时也达到了保护用户个人信息的目的。

王春晖也认为，《规定》的出台整体上体现了既要维护和保护个人数据合法权利，从而维护国家和社会安全，也要促进汽车数据的开发和利用。

承接现有法律，首次对汽车重要数据做清晰界定

网信办介绍，网络安全法、数据安全法对数据安全、个人信息保护作了基本规定，此次出台《规定》，是在汽车数据安全管理领域出台有针对性的规章制度。

南都记者注意到，《规定》中不少内容都承接了相关法律。全国人大刚刚通过的个人信息保护法，对敏感个人信息做出了规定，其中的“只有在具有特定目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息”“处理敏感个人信息应取得个人的单独同意”等内容，在《规定》中均有所体现。

此外，网络安全法有关数据出境的规定，也出现在本次《规定》中。网络安全法第三十七条明确，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。

王春晖认为，《规定》在国家立法的基础上对汽车数据管理有了针对性规定，将规范汽车数据的处理活动。但将来监管部门可能还需要出台相关技术规范，并定期对汽车数据的处理者组织评估，防止重要数据和大量个人的敏感数据泄露和遭到破坏。

他肯定了《规定》中针对汽车数据处理活动建立投诉举报渠道的重要性。《规定》明确，开展汽车数据处理活动造成用户合法权益或者公共利益受到损害的，汽车数据处理者应当依法承担相应责任。王春晖认为，将来检察院对公共数据处理活动也可以提起公益诉讼，保障用户权益。

何姗姗表示，这是我国法规体系中首次对汽车重要数据做了比较清晰明确的界定，是一次具有创新性的积极尝试。不过，她认为，新规对车企可能是不小的挑战。

“《规定》10月1号就将正式施行，而涉及的主体众多，从车辆制造、零部件和软件供应、销售到维修和出行服务等的各个涉及汽车数据的主体，全部需要在一个多月之内合规，要求比较严格，相关企业要积极调整。”她说。

采写：南都记者李娅宁 马嘉璐

编辑：蒋琳