汽车数据安全管理规定来了：不得违规向境外提供重要数据

杨海威

近日，国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合发布《汽车数据安全管理若干规定（试行）》（以下简称《规定》），自2021年10月1日起施行。

《规定》倡导，汽车数据处理者在开展汽车数据处理活动中坚持“车内处理”、“默认不收集”、“精度范围适用”、“脱敏处理”等数据处理原则，减少对汽车数据的无序收集和违规滥用。

随着智能汽车产业、车联网技术的快速发展，以自动辅助驾驶为代表的人工智能技术日益普及，汽车数据处理能力日益增强，暴露出的汽车数据安全问题和风险隐患日益突出。

出于为防范化解汽车数据安全风险、保障汽车数据依法合理有效利用的需要，也是为了维护国家安全利益、保护个人合法权益，亟需出台在汽车数据安全管理领域有针对性的规章制度。

国家互联网信息办公室有关负责人在答记者问时表示，《规定》中所称汽车数据，是指汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据；所称汽车数据处理，包括汽车数据的收集、存储、使用、加工、传输、提供、公开等，涉及汽车数据处理的全生命周期。《规定》还进一步明确了汽车数据中的个人信息、敏感个人信息、重要数据以及汽车数据处理者的含义和类型。

出台《规定》旨在规范汽车数据处理活动，保护个人、组织的合法权益，维护国家安全和社会公共利益，促进汽车数据合理开发利用。

《规定》明确汽车数据处理者违反本规定的，由省级以上网信、工业和信息化、公安、交通运输等有关部门依照《网络安全法》、《数据安全法》等法律、行政法规的规定进行处罚；构成犯罪的，依法追究刑事责任。

《规定》明确，汽车数据处理者应当履行个人信息保护责任，充分保护个人信息安全和合法权益。开展个人信息处理活动，汽车数据处理者应当通过显著方式告知个人相关信息，取得个人同意或者符合法律、行政法规规定的其他情形。处理敏感个人信息，汽车数据处理者还应当取得个人单独同意，满足限定处理目的、提示收集状态、终止收集等具体要求或者符合法律、行政法规和强制性国家标准等其他要求。汽车数据处理者具有增强行车安全的目的和充分的必要性，方可收集指纹、声纹、人脸、心律等生物识别特征信息。

《规定》强调，汽车数据处理者开展重要数据处理活动，应当遵守依法在境内存储的规定，加强重要数据安全保护；落实风险评估报告制度要求，积极防范数据安全风险；落实年度报告制度要求，按时主动报送年度汽车数据安全管理情况。因业务需要确需向境外提供重要数据的，汽车数据处理者应当落实数据出境安全评估制度要求，不得超出出境安全评估结论违规向境外提供重要数据，并在年度报告中补充报告相关情况。

《规定》提出，国家有关部门依据各自职责做好汽车数据安全管理和保障工作，包括开展数据安全评估、数据出境事项抽查核验、智能（网联）汽车网络建设等工作。对于违反本规定的汽车数据处理者，有关部门将依照《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律、行政法规的规定进行处罚。

国家互联网信息办公室有关负责人指出，汽车数据安全管理需要政府、汽车数据处理者、个人等多方主体共同参与。省级以上网信、发展改革、工业和信息化、公安、交通运输等有关部门在汽车数据安全管理过程中，将加强协调和数据共享，形成工作合力。