過去的一年�����,是數據合規(guī)領域的監(jiān)管規(guī)則拼圖補全�����、基礎監(jiān)管框架全面落地的一年。這一特點,也同樣影響到汽車出行行業(yè)的數據合規(guī)工作?����;诖?����,海問律師事務所傅鵬律師項目組特撰寫《汽車出行行業(yè)數據合規(guī)監(jiān)管年度盤點(2022年)》���,盤點過去一年汽車行業(yè)的監(jiān)管思路與趨勢��,總結年度監(jiān)管的要點與亮點。從數據處理安全、個人信息安全���、行業(yè)運行安全��、自動駕駛安全四個方面��,對汽車出行行業(yè)的數據合規(guī)立法與實踐進行詳細分析。
年度監(jiān)管思路與趨勢:壓實合規(guī)義務�,釋放合規(guī)價值
(一) 合規(guī)義務得到進一步壓實
(二) 合規(guī)價值逐步釋放
年度監(jiān)管要點與亮點:圍繞“四個安全”��,描繪合規(guī)基線
(一) 數據處理安全
1. 汽車數據“車內處理”之困
2. 測繪地理信息:智能網聯汽車與自動駕駛路測的合規(guī)焦點
3. 汽車出行企業(yè)資本項目運作:釋放合規(guī)價值的“探索之旅”
4. 數據出境合規(guī):系統(tǒng)化申報監(jiān)管的“第一課”
(二) 個人信息安全
1. 二手車交易與車聯網服務信息:汽車行業(yè)個人信息保護的“潘多拉魔盒”
2. 汽車出行行業(yè)APP整治:個人信息保護領域的“無限戰(zhàn)爭”
3. 人臉識別:個人信息保護領域的“高危地帶”
(三) 行業(yè)運行安全
1. 數據分類分級:分類分級管理與汽車重要數據處理者年報
2. 漏洞安全防護:汽車出行行業(yè)企業(yè)的網絡安全漏洞管理責任
3. 網絡安全定級:車聯網網絡安全定級備案
4. 安全保障與支撐的重要環(huán)節(jié):車聯網卡實名登記
5. 交通行車安全:更高的數據治理與信息推送底線
(四) 自動駕駛安全
1. 對智能網聯汽車產品企業(yè)的數據合規(guī)及網絡安全要求
2. 關于智能網聯汽車產品準入的數據合規(guī)和網絡安全要求
3. 試點城市對智能網聯汽車的數據合規(guī)要求
(如下為部分內容節(jié)選,歡迎掃碼文末二維碼���,獲取更多信息)
一、年度監(jiān)管思路與趨勢:壓實合規(guī)義務���,釋放合規(guī)價值
(一)合規(guī)義務得到進一步壓實
首先,由于法律規(guī)則總體補全����、實施框架全面落地�,監(jiān)管部門開始具有較為全面性和系統(tǒng)性的抓手及法律依據�����,對汽車出行行業(yè)的數據處理者采取監(jiān)管措施����。
例如���,《中華人民共和國網絡安全法》(下稱“網絡安全法”)���、《中華人民共和國數據安全法》(下稱“數據安全法”)和《中華人民共和國個人信息保護法》(下稱“個人信息保護法”)等數據合規(guī)領域的“三大基本法”在2021年臨近結尾時全部頒布并生效��?��!叭蠡痉ā钡於烁餍袠I(yè)數據合規(guī)監(jiān)管的主要基礎制度,這同樣也適用于汽車出行行業(yè)種類多樣��、錯綜復雜的數據處理行為�����?��!叭蠡痉ā毕嗷パa充���,構建了相對全面的數據處理活動監(jiān)管體系�。
“三大基本法”齊備所帶來的監(jiān)管態(tài)勢變化較為明顯。例如��,在網絡安全法于2017年施行之際����,雖然規(guī)定了關于個人信息保護的若干基本原則,但是缺乏系統(tǒng)性的監(jiān)管規(guī)則架構和執(zhí)行細節(jié)��,也沒有較為嚴重的違法后果��,使得大量企業(yè)相對而言可以在個人信息保護的更多環(huán)節(jié)與方面持觀望的態(tài)勢����。甚至在相當一段時間內��,基于網絡安全法開展的個人信息保護合規(guī)活動需要在很大程度上依賴《信息安全技術 個人信息安全規(guī)范》等不具有強制約束力的推薦性國家標準的指導來完成��。但是,在個人信息保護法于2021年施行后�,個人信息保護的原則以及合法性基礎��、個人信息主體權利、違反個人信息保護法的違法后果等一系列規(guī)定得到了明確�����,廣大企業(yè)負有明確的一系列法律合規(guī)義務���。又如���,網絡安全法提出了“重要數據”的概念����,但是僅限于關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據應當在境內存儲這一事項的要求��,也沒有比較系統(tǒng)性地提出數據分類分級等類似概念或制度要求����。但是�,隨著數據安全法及一系列配套規(guī)定的頒布,廣大數據處理者有義務采取數據分類分級等工作�,并且有義務對重要數據采取更強的保護措施�、負有更高的合規(guī)義務�。此外,還有一系列制度,在2017年網絡安全法頒布時并不存在,或并沒有具體的要求,但是隨著2021年個人信息保護法和數據安全法的施行,成為數據處理者硬性的合規(guī)義務��。
以上規(guī)定���,壓實了廣大企業(yè)的數據合規(guī)義務����,這一方面給廣大企業(yè)提出了更高的要求,另一方面也給廣大企業(yè)的數據合規(guī)建設提供了更為明確的方向和更有幫助的指導。
此外���,“三大基本法”之外,與汽車出行行業(yè)有關的監(jiān)管細則、甚至是一系列行業(yè)垂直監(jiān)管規(guī)定,都在2021年陸續(xù)出臺�。如下文第“二�����、年度監(jiān)管要點與亮點:圍繞“四個安全”��,描繪合規(guī)基線”部分所詳述��,這一系列監(jiān)管細則,在更大程度上,塑造了汽車出行行業(yè)數據合規(guī)日常實踐的具體面貌。以《汽車數據安全管理若干規(guī)定(試行)》為例�����,第一次提出了“車內處理”“精度范圍適用”等行業(yè)數據處理原則��,為行業(yè)中的數據處理者提出了專項的�、區(qū)別于其他行業(yè)實踐的具體要求;第一次為行業(yè)重要數據的認定,提出了生效��、有法律約束力的規(guī)定層面的細節(jié)規(guī)定���,在一定程度上初步劃定了行業(yè)重要數據的種類和大致范圍�。類似的規(guī)定和例子還有很多。這些行業(yè)監(jiān)管細則,是汽車出行行業(yè)數據處理者需要格外注意的垂直監(jiān)管要求���。
上述基礎規(guī)則和行業(yè)監(jiān)管細則的出臺,相應奠定或創(chuàng)設了汽車出行行業(yè)數據處理者日常的一系列申報、登記、備案事項,相當于為本行業(yè)數據處理者增加了一系列日常需要定期完成的“規(guī)定動作”。例如每個行業(yè)的數據處理者就其向境外傳輸數據的行為在達到相應的門檻或個人信息處理數量時需要申報數據出境安全評估�����,汽車行業(yè)重要數據處理者應每年進行年度汽車數據安全管理情況報送�����,車聯網業(yè)務經營單位應當進行車聯網網絡安全定級備案�����,與車聯網運營相關的主體應注意完成車聯網卡實名登記等。
因此����,不論是以上的基礎規(guī)則,還是行業(yè)監(jiān)管細則��,還是與汽車出行行業(yè)有關的申報�����、登記�����、備案事項,在過去的一年中�,都經歷了在其奠定之初的第一年實踐“試水”過程�。實踐操作中�,主管機關或數據處理者發(fā)現了存在的一系列問題,也反映出規(guī)則或制度層面一系列有待進一步修訂或完善的部分�。
二�����、 年度監(jiān)管要點與亮點:圍繞“四個安全”,描繪合規(guī)基線
(一) 數據處理安全
對汽車出行行業(yè)企業(yè)的數據處理活動提出更細致和更高的治理要求��,是監(jiān)管的方向和趨勢之一����。在過去一年多的時間里,汽車出行行業(yè)企業(yè)在日常數據處理�����、數據出境���、資本運作或投融資項目的數據處理合規(guī)等方面�,發(fā)生了一系列重要事件,折射出數個富有行業(yè)特點的數據處理關注要點����。
1. 汽車數據“車內處理”之困
汽車數據應當以“車內處理”作為最重要的處理原則之一,是《汽車數據安全管理若干規(guī)定(試行)》明確提出的汽車出行行業(yè)數據處理原則���。過去一年中,從業(yè)者和監(jiān)管者就車內處理的含義�、范圍�、合規(guī)要求以及在具體項目中的實踐把握尺度��,做出了不少嘗試����。
(1) 與汽車出行行業(yè)企業(yè)需要遵循“車內處理”原則有關的若干事件
● 2022年3月����,比亞迪汽車APP關閉遠程查看車外攝像頭影像的“千里眼”功能,在比亞迪汽車APP中打開此功能會提示“根據國家最新法規(guī)要求,車外影像功能正在升級�����,敬請期待”?���!扒Ю镅邸笔潜葋喌螪iLink智能網聯系統(tǒng)為用戶提供的遠程影像系統(tǒng)�����,可以通過車輛四周的攝像頭查看汽車周邊環(huán)境。[1]
● 2022年5月�����,高合汽車被曝光其“車車互聯”功能可被用于由車主A遠程調取車主B行車記錄儀畫面(畫面含車外人員的個人信息)��。同月���,高合汽車發(fā)文回復“車車互聯”功能屬于車隊出行、車路協同系統(tǒng)組成部分��,出廠時默認關閉�,通過二次確認隱私條款彈窗后才能開啟。[2]
● 2022年5月,小鵬汽車表示�����,應主管部門發(fā)布的相關數據安全法規(guī)的要求��,公司暫?��!癆pp端遠程查看車外攝像頭功能”���。[3]
(2) 如何理解“車內處理”原則����,以及該原則的例外
《汽車數據安全管理若干規(guī)定(試行)》要求汽車數據處理者在開展汽車數據處理活動中堅持“車內處理”原則���。即�����,除非確有必要�����,不向車外提供。《汽車數據安全管理若干規(guī)定(試行)》進一步規(guī)定����,因保證行車安全需要�����,無法征得個人同意采集到車外個人信息且向車外提供的����,應當進行匿名化處理,包括刪除含有能夠識別自然人的畫面�����,或者對畫面中的人臉信息等進行局部輪廓化處理等���。
上述規(guī)定����,構成了汽車出行行業(yè)“車內處理”原則的基本內容。其核心監(jiān)管思路在于�����,由于智能網聯汽車的高速發(fā)展,車體包含了越來越多的傳感器,也相應能夠收集越來越多的車外數據和座艙數據。此類數據可能包含的個人信息相對敏感���,實踐中也難以就處理行為獲得個人的同意。因此,如果沒有經過匿名化處理��,則難以避免成為不具有合法性基礎的處理活動��。
全國信息安全標準化技術委員會于2022年10月�、國家市場監(jiān)督管理總局并國家標準化管理委員會于2022年11月發(fā)布的《汽車采集數據處理安全指南(TC260-001)》����、《信息安全技術 汽車數據處理安全要求》,在“車內處理”原則的基本框架和理念下,列示了更為具體�、可適用性更強的例外情形���。總體來看�����,控制車外處理數據的有限場景�����、對向車外提供的數據開展自動匿名化處理工作���,可能是汽車出行行業(yè)企業(yè)具體落實該原則的可用途徑��。
1.《知名汽車宣布:停用遠程攝像頭功能》,網址:https://rmh.pdnews.cn/Pc/ArtInfoApi/article?id=27712308�,最后訪問日期:2022年11月20日��。
2.《行車記錄全暴露!高合汽車陷隱私泄露風波����,律師:畫面需脫敏》����,網址:https://new.qq.com/rain/a/20220507A0CR0Y00�����,最后訪問日期:2022年11月17日�。
3.《車上的遠程攝像頭不能用了�����?小鵬汽車:應相關數據安全法規(guī)要求》網址:https://new.qq.com/rain/a/20220523A09S6000;最后訪問日期:2022年11月20日����。
