汽车数据安全新规来了！数据能否收集、怎么保安全？专家这样解读

汽车数据安全的问题，将会有权威的规定。

发生于上个月中旬的特斯拉女车主维权事件还在被广泛讨论，不过，外界关注的重点已经从“刹车失灵”的真伪转向对车辆数据的争论。如今，关于汽车数据的问题，有了权威的说法。

5月12日，国家网信办就《汽车数据安全管理若干规定（征求意见稿）》公开征求意见。上述意见稿对运营者能不能收集车辆信息、如何收集信息、信息如何使用等问题作出了规定，比如其中提到，运营者收集个人信息应当取得被收集人同意，法律法规规定不需取得个人同意的除外；运营者处理重要数据，应当提前向省级网信部门和有关部门报告数据类型、规模、范围、保存地点与时限、使用方式，以及是否向第三方提供等。

“信息安全如今愈发受到国家重视”，中国政法大学传播法中心研究员、副教授朱巍表示，本次规定的法律位阶比较低，但是国家网信管理部门可以以此作为抓手进行管理。规定中尚未提及的处罚办法，可以依据个人信息保护法进行处罚和处理，这对于汽车数据安全管理具有重大意义。

1.特斯拉车主维权事件助推了新规的出台？

特斯拉女车主维权事件演化出一场关于汽车数据的讨论。

中汽协秘书长助理兼技术部部长王耀博士日前在接受新京报记者专访时表示，这次事件（特斯拉车主维权）暴露出来很多问题，相信会加快相关立法、完善现有的安全监管体系。

“特斯拉被投诉刹车失灵是一个独立事件，但对此次征求意见稿的出炉应该也起到了些许推动作用。”朱巍向贝壳财经记者介绍道。

朱巍表示，本次汽车数据安全管理规定的征求意见稿，主要是拟对包括特斯拉在内的智能汽车的数据安全作出规定，包括收集数据需要经过驾驶人同意、数据用在哪些方面、匿名化处理等。

不过，朱巍也表示，征求意见稿的出炉经过了长时间的讨论，特斯拉被投诉刹车失灵只是一个推手，更大的背景在于2017年网络安全法的落地和民法典关于个人信息保护方面的修订。

朱巍介绍，网络安全法落地的其中一个意义，在于国家保护关键信息基础设施免受攻击、侵入、干扰和破坏。此外，民法典二审稿的修改中，也将个人信息管理的主体归给了国家各级网信管理部门。“正因为有了权限和法律背景上的改变，本次汽车数据安全管理规定的征求意见稿才孕育而生”。

实际上，在今年3月19日，国家互联网信息办副主任杨小伟在答记者问时也提及，随着数字经济时代的到来，数据成为一种新型的生产要素和社会财富被不断分享、分析、利用，随之而来的个人隐私安全问题也成为数字社会首要关注点。

杨小伟也表示，几年来，我国一直持续加强在当前大数据快速发展环境下的数据安全和个人隐私保护，其中就包括全国范围内深入实施网络安全法，进一步加强了在政策、法律、监管等多方面的统筹协调工作，从而在法律层面为数据安全和个人隐私保护提供法律保障。

2.为何规定默认不收集用户数据？

征求意见稿的第二条明确了“运营者在中华人民共和国境内设计、生产、销售、运维、管理汽车过程中，收集、分析、存储、传输、查询、利用、删除以及向境外提供（以下统称处理）个人信息或重要数据，应当遵守相关法律法规和本规定的要求。”

中国汽研专家郑光伟博士表示，运营方能够收集个人汽车数据。对于上路运行的车辆，主机厂即运营方需要对车况、行驶数据有一个整体把控，在了解车辆的基本信息后，也可以提供更好的服务。

不过，值得注意的是，本次征求意见稿中，对隐私保护尤为看重，其中第六条指出，倡导运营者处理个人信息和重要数据过程中坚持默认不收集原则，除非确有必要，每次驾驶时默认为不收集状态，驾驶人的同意授权只对本次驾驶有效。

此外还提及，个人信息或者重要数据应当依法在境内存储，确需向境外提供的，应当通过国家网信部门组织的数据出境安全评估。

运营者向境外提供个人信息或者重要数据的，应当采取有效措施明确和监督接收者按照双方约定的目的、范围、方式使用数据，保证数据安全。

郑光伟表示：“运营方应在保证消费者知情权与授权，对重要信息进行脱敏的情况下进行数据收集。”

朱巍对此解释称，这些规定不仅涉及用户隐私，也涉及国家安全。他举例称，如果一辆车进入军管区或涉及国防类的涉密单位，车辆内的探测、检测设备也会跟着一起进入，如何保证车辆不会将涉密内容泄密，不会传输到境外，也是本次规定需要探讨的一个问题。

实际上，本次征求意见稿中也提及，规定所称重要数据包括军事管理区、国防科工等涉及国家秘密的单位、县级以上党政机关等重要敏感区域的人流车流数据等。

“现在我们不仅仅是要求车企‘能而不欲’，而且是要求车企‘欲而不能’，要限制车企探测涉密机构和用户隐私，从制度上进行规范，从技术上进行限制”，朱巍表示。

近日，特斯拉就曾被质疑通过摄像头监控车主，对此，特斯拉向媒体表示，特斯拉用户使用的车辆不存在通过车内摄像头侵犯用户个人隐私的行为。特斯拉表示，所有中国市场上的特斯拉用户车辆均未开启车内摄像头，也不涉及FSD Beta的测试。特斯拉的隐私保护政策遵守国家的法律法规。

3.如何使用和保护汽车数据？

对于用户来说，如何查看和使用自己的汽车数据？征求意见稿第七条明确：运营者处理个人信息应当通过用户手册、车载显示面板或其他适当方式，告知负责处理用户权益责任人的有效联系方式，以及收集数据的类型，包括车辆位置、生物特征、驾驶习惯、音视频等，并提供以下信息：

（一）收集每种类型数据的触发条件以及停止收集的方法；

（二）收集各类型数据的目的、用途；

（三）数据保存地点、期限，或者确定保存地点、期限的规则；

（四）删除车内、请求删除已经提供给车外的个人信息的方法步骤。

郑光伟对此解释道，对用户来讲，征求意见稿最大的价值之一就在于可以管理个人车内敏感数据，以前运营商对数据的采集、使用是几乎跳过用户授权的。对于用户来说，自己被收集的信息是个黑盒，更别提怎么用了。征求意见稿的有关规定，保障了用户对车辆数据的使用权，用户可时常查看自己被采集的数据，并有选择地管理部分数据，在卖车时，也可以提前删除车内个人数据。

汽车数据一旦被收集，如何保护也是一个重要的问题。征求意见稿的第五条明确：运营者应当落实网络安全等级保护制度，加强个人信息和重要数据保护，依法履行网络安全义务；第十七条提到：处理个人信息涉及个人信息主体超过10万人、或者处理重要数据的运营者，应当在每年十二月十五日前将年度数据安全管理情况报省级网信部门和有关部门。

郑光伟对此表示：“一方面汽车数据的保护应当是全生命周期的，设计、生产、销售、运维、管理汽车过程中，另一方面企业要加强用户的知情权，车企利用大数据进行商业化运作不可避免，但在使用数据时，要保障用户的知情权的同时，对关键信息进行脱敏处理。

4.对车辆数据的规定会影响哪些企业 ？

征求意见稿的第三条提到：规定所称运营者指汽车设计、制造、服务企业或者机构，包括汽车制造商、部件和软件提供者、经销商、维修机构、网约车企业、保险公司等。

在郑光伟看来，除了车企外，将数据存储地点建立在境外的云服务商也会受到影响。因为第十二条也明确：个人信息或者重要数据应当依法在境内存储，确需向境外提供的，应当通过国家网信部门组织的数据出境安全评估。所以一些在境外建立数据存储基地的企业需要重新布局，比如多家车企都在使用的阿里云，阿里云在全球布局，但未来数据存储需要转移到境内。目前有些车企将充电信息、高清地图信息等数据传输到境外，确实带来了一定的国家安全风险。

随着上述规定的出台，境内的云服务供应商也会有新的机会。郑光伟说：“目前这一规定主要是对主机厂（车企）进行规范与管理的，对技术型零部件供应商影响有限。”

征求意见稿提到：运营者在中华人民共和国境内设计、生产、销售、运维、管理汽车过程中，收集、分析、存储、传输、查询、利用、删除以及向境外提供（以下统称处理）个人信息或重要数据，应当遵守相关法律法规和本规定的要求。

究竟什么是重要数据，本次征求意见稿中提及，高于国家公开发布地图精度的测绘数据；

汽车充电网的运行数据；道路上车辆类型、车辆流量等数据；包含人脸、声音、车牌等的车外音视频数据，都在本次规定的管理范围之内。

对此，朱巍表示，除了特斯拉等车企之外，百度、小米、大疆、OPPO等一众加入造车行列的科技公司也会受到这一规定的限制。

新京报贝壳财经记者 林子 白昊天