具备刷脸开门、辅助驾驶、与信号灯实现信息交互等功能的智能网联汽车近年来发展迅速,获得了市场认同。今年7月发布的《中国互联网发展报告(2021)》显示,2020年,中国智能网联汽车销量为303.2万辆,同比增长107%,渗透率在15%左右。
为实现上述功能,智能网联汽车需要对用户、路况等数据进行大量收集。如何保证数据安全,引发用户和社会广泛关注。
近日,国家网信办、国家发改委、工信部、公安部、交通运输部联合发布《汽车数据安全管理若干规定(试行)》(以下简称《规定》),自2021年10月1日起施行。
国家网信办有关负责人表示,汽车产业涉及国家经济、装备制造、金融、交通运输、生产生活等诸多领域,汽车数据处理能力日益增强、汽车数据规模庞大,同时暴露出的汽车数据安全问题和风险隐患也日益突出。例如,汽车数据处理者超越实际需要,过度收集重要数据;未经用户同意,违规处理个人信息特别是敏感个人信息;未经安全评估,违规出境重要数据等。
《规定》的出台,既是出于防范化解汽车数据安全风险的实践需要,也是保障汽车数据依法合理有效利用的客观需要。
《规定》明确,汽车数据是指汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据;汽车数据处理,包括汽车数据的收集、存储、使用、加工、传输、提供、公开等,涉及汽车数据处理的全生命周期。《规定》倡导,汽车数据处理者在开展汽车数据处理活动中坚持“车内处理”“默认不收集”“精度范围适用”“脱敏处理”等数据处理原则,减少对汽车数据的无序收集和违规滥用。
“车内处理原则,就是要求除非确有必要不向车外提供;默认不收集原则,即除非驾驶人自主设定,每次驾驶时默认设定为不收集状态;精度范围适用原则,就是根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率;脱敏处理原则,要求尽可能进行匿名化、去标识化等处理。”上述负责人解释说。
同时,《规定》明确了汽车数据中的个人信息、敏感个人信息、重要数据以及汽车数据处理者的含义和类型。汽车数据处理者应当履行个人信息保护责任,充分保护个人信息安全和合法权益。开展个人信息处理活动,汽车数据处理者应当通过显著方式告知个人相关信息,取得个人同意或者符合法律、行政法规规定的其他情形。
为规范重要数据处理活动,《规定》明确了5项具体制度,包括风险评估报告制度、出境安全评估制度、抽查核验制度、年度报告制度以及年度补充报告制度。此外,《规定》明确了违反规定的罚则,由省级以上网信、工业和信息化、公安、交通运输等有关部门依照《网络安全法》《数据安全法》等法律、行政法规的规定进行处罚;构成犯罪的,依法追究刑事责任。