過去的一年,是數(shù)據(jù)合規(guī)領(lǐng)域的監(jiān)管規(guī)則拼圖補全、基礎(chǔ)監(jiān)管框架全面落地的一年。這一特點,也同樣影響到汽車出行行業(yè)的數(shù)據(jù)合規(guī)工作。基于此,海問律師事務(wù)所傅鵬律師項目組特撰寫《汽車出行行業(yè)數(shù)據(jù)合規(guī)監(jiān)管年度盤點(2022年)》,盤點過去一年汽車行業(yè)的監(jiān)管思路與趨勢,總結(jié)年度監(jiān)管的要點與亮點。從數(shù)據(jù)處理安全、個人信息安全、行業(yè)運行安全、自動駕駛安全四個方面,對汽車出行行業(yè)的數(shù)據(jù)合規(guī)立法與實踐進行詳細分析。
報 告 目 錄
一
年度監(jiān)管思路與趨勢:壓實合規(guī)義務(wù),釋放合規(guī)價值
(一) 合規(guī)義務(wù)得到進一步壓實
(二) 合規(guī)價值逐步釋放
二
年度監(jiān)管要點與亮點:圍繞“四個安全”,描繪合規(guī)基線
(一) 數(shù)據(jù)處理安全
1. 汽車數(shù)據(jù)“車內(nèi)處理”之困
2. 測繪地理信息:智能網(wǎng)聯(lián)汽車與自動駕駛路測的合規(guī)焦點
3. 汽車出行企業(yè)資本項目運作:釋放合規(guī)價值的“探索之旅”
4. 數(shù)據(jù)出境合規(guī):系統(tǒng)化申報監(jiān)管的“第一課”
(二) 個人信息安全
1. 二手車交易與車聯(lián)網(wǎng)服務(wù)信息:汽車行業(yè)個人信息保護的“潘多拉魔盒”
2. 汽車出行行業(yè)APP整治:個人信息保護領(lǐng)域的“無限戰(zhàn)爭”
3. 人臉識別:個人信息保護領(lǐng)域的“高危地帶”
(三) 行業(yè)運行安全
1. 數(shù)據(jù)分類分級:分類分級管理與汽車重要數(shù)據(jù)處理者年報
2. 漏洞安全防護:汽車出行行業(yè)企業(yè)的網(wǎng)絡(luò)安全漏洞管理責任
3. 網(wǎng)絡(luò)安全定級:車聯(lián)網(wǎng)網(wǎng)絡(luò)安全定級備案
4. 安全保障與支撐的重要環(huán)節(jié):車聯(lián)網(wǎng)卡實名登記
5. 交通行車安全:更高的數(shù)據(jù)治理與信息推送底線
(四) 自動駕駛安全
1. 對智能網(wǎng)聯(lián)汽車產(chǎn)品企業(yè)的數(shù)據(jù)合規(guī)及網(wǎng)絡(luò)安全要求
2. 關(guān)于智能網(wǎng)聯(lián)汽車產(chǎn)品準入的數(shù)據(jù)合規(guī)和網(wǎng)絡(luò)安全要求
3. 試點城市對智能網(wǎng)聯(lián)汽車的數(shù)據(jù)合規(guī)要求
內(nèi) 容 節(jié) 選
(如下為部分內(nèi)容節(jié)選,歡迎掃碼文末二維碼,獲取更多信息)
一、年度監(jiān)管思路與趨勢:壓實合規(guī)義務(wù),釋放合規(guī)價值
(一)合規(guī)義務(wù)得到進一步壓實
首先,由于法律規(guī)則總體補全、實施框架全面落地,監(jiān)管部門開始具有較為全面性和系統(tǒng)性的抓手及法律依據(jù),對汽車出行行業(yè)的數(shù)據(jù)處理者采取監(jiān)管措施。
例如,《中華人民共和國網(wǎng)絡(luò)安全法》(下稱“網(wǎng)絡(luò)安全法”)、《中華人民共和國數(shù)據(jù)安全法》(下稱“數(shù)據(jù)安全法”)和《中華人民共和國個人信息保護法》(下稱“個人信息保護法”)等數(shù)據(jù)合規(guī)領(lǐng)域的“三大基本法”在2021年臨近結(jié)尾時全部頒布并生效。“三大基本法”奠定了各行業(yè)數(shù)據(jù)合規(guī)監(jiān)管的主要基礎(chǔ)制度,這同樣也適用于汽車出行行業(yè)種類多樣、錯綜復雜的數(shù)據(jù)處理行為。“三大基本法”相互補充,構(gòu)建了相對全面的數(shù)據(jù)處理活動監(jiān)管體系。
“三大基本法”齊備所帶來的監(jiān)管態(tài)勢變化較為明顯。例如,在網(wǎng)絡(luò)安全法于2017年施行之際,雖然規(guī)定了關(guān)于個人信息保護的若干基本原則,但是缺乏系統(tǒng)性的監(jiān)管規(guī)則架構(gòu)和執(zhí)行細節(jié),也沒有較為嚴重的違法后果,使得大量企業(yè)相對而言可以在個人信息保護的更多環(huán)節(jié)與方面持觀望的態(tài)勢。甚至在相當一段時間內(nèi),基于網(wǎng)絡(luò)安全法開展的個人信息保護合規(guī)活動需要在很大程度上依賴《信息安全技術(shù) 個人信息安全規(guī)范》等不具有強制約束力的推薦性國家標準的指導來完成。但是,在個人信息保護法于2021年施行后,個人信息保護的原則以及合法性基礎(chǔ)、個人信息主體權(quán)利、違反個人信息保護法的違法后果等一系列規(guī)定得到了明確,廣大企業(yè)負有明確的一系列法律合規(guī)義務(wù)。又如,網(wǎng)絡(luò)安全法提出了“重要數(shù)據(jù)”的概念,但是僅限于關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)應(yīng)當在境內(nèi)存儲這一事項的要求,也沒有比較系統(tǒng)性地提出數(shù)據(jù)分類分級等類似概念或制度要求。但是,隨著數(shù)據(jù)安全法及一系列配套規(guī)定的頒布,廣大數(shù)據(jù)處理者有義務(wù)采取數(shù)據(jù)分類分級等工作,并且有義務(wù)對重要數(shù)據(jù)采取更強的保護措施、負有更高的合規(guī)義務(wù)。此外,還有一系列制度,在2017年網(wǎng)絡(luò)安全法頒布時并不存在,或并沒有具體的要求,但是隨著2021年個人信息保護法和數(shù)據(jù)安全法的施行,成為數(shù)據(jù)處理者硬性的合規(guī)義務(wù)。
以上規(guī)定,壓實了廣大企業(yè)的數(shù)據(jù)合規(guī)義務(wù),這一方面給廣大企業(yè)提出了更高的要求,另一方面也給廣大企業(yè)的數(shù)據(jù)合規(guī)建設(shè)提供了更為明確的方向和更有幫助的指導。
此外,“三大基本法”之外,與汽車出行行業(yè)有關(guān)的監(jiān)管細則、甚至是一系列行業(yè)垂直監(jiān)管規(guī)定,都在2021年陸續(xù)出臺。如下文第“二、年度監(jiān)管要點與亮點:圍繞“四個安全”,描繪合規(guī)基線”部分所詳述,這一系列監(jiān)管細則,在更大程度上,塑造了汽車出行行業(yè)數(shù)據(jù)合規(guī)日常實踐的具體面貌。以《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》為例,第一次提出了“車內(nèi)處理”“精度范圍適用”等行業(yè)數(shù)據(jù)處理原則,為行業(yè)中的數(shù)據(jù)處理者提出了專項的、區(qū)別于其他行業(yè)實踐的具體要求;第一次為行業(yè)重要數(shù)據(jù)的認定,提出了生效、有法律約束力的規(guī)定層面的細節(jié)規(guī)定,在一定程度上初步劃定了行業(yè)重要數(shù)據(jù)的種類和大致范圍。類似的規(guī)定和例子還有很多。這些行業(yè)監(jiān)管細則,是汽車出行行業(yè)數(shù)據(jù)處理者需要格外注意的垂直監(jiān)管要求。
上述基礎(chǔ)規(guī)則和行業(yè)監(jiān)管細則的出臺,相應(yīng)奠定或創(chuàng)設(shè)了汽車出行行業(yè)數(shù)據(jù)處理者日常的一系列申報、登記、備案事項,相當于為本行業(yè)數(shù)據(jù)處理者增加了一系列日常需要定期完成的“規(guī)定動作”。例如每個行業(yè)的數(shù)據(jù)處理者就其向境外傳輸數(shù)據(jù)的行為在達到相應(yīng)的門檻或個人信息處理數(shù)量時需要申報數(shù)據(jù)出境安全評估,汽車行業(yè)重要數(shù)據(jù)處理者應(yīng)每年進行年度汽車數(shù)據(jù)安全管理情況報送,車聯(lián)網(wǎng)業(yè)務(wù)經(jīng)營單位應(yīng)當進行車聯(lián)網(wǎng)網(wǎng)絡(luò)安全定級備案,與車聯(lián)網(wǎng)運營相關(guān)的主體應(yīng)注意完成車聯(lián)網(wǎng)卡實名登記等。
因此,不論是以上的基礎(chǔ)規(guī)則,還是行業(yè)監(jiān)管細則,還是與汽車出行行業(yè)有關(guān)的申報、登記、備案事項,在過去的一年中,都經(jīng)歷了在其奠定之初的第一年實踐“試水”過程。實踐操作中,主管機關(guān)或數(shù)據(jù)處理者發(fā)現(xiàn)了存在的一系列問題,也反映出規(guī)則或制度層面一系列有待進一步修訂或完善的部分。
二、 年度監(jiān)管要點與亮點:圍繞“四個安全”,描繪合規(guī)基線
對汽車出行行業(yè)企業(yè)的數(shù)據(jù)處理活動提出更細致和更高的治理要求,是監(jiān)管的方向和趨勢之一。在過去一年多的時間里,汽車出行行業(yè)企業(yè)在日常數(shù)據(jù)處理、數(shù)據(jù)出境、資本運作或投融資項目的數(shù)據(jù)處理合規(guī)等方面,發(fā)生了一系列重要事件,折射出數(shù)個富有行業(yè)特點的數(shù)據(jù)處理關(guān)注要點。
汽車數(shù)據(jù)應(yīng)當以“車內(nèi)處理”作為最重要的處理原則之一,是《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》明確提出的汽車出行行業(yè)數(shù)據(jù)處理原則。過去一年中,從業(yè)者和監(jiān)管者就車內(nèi)處理的含義、范圍、合規(guī)要求以及在具體項目中的實踐把握尺度,做出了不少嘗試。
● 2022年3月,比亞迪汽車APP關(guān)閉遠程查看車外攝像頭影像的“千里眼”功能,在比亞迪汽車APP中打開此功能會提示“根據(jù)國家最新法規(guī)要求,車外影像功能正在升級,敬請期待”。“千里眼”是比亞迪DiLink智能網(wǎng)聯(lián)系統(tǒng)為用戶提供的遠程影像系統(tǒng),可以通過車輛四周的攝像頭查看汽車周邊環(huán)境。[1]
● 2022年5月,高合汽車被曝光其“車車互聯(lián)”功能可被用于由車主A遠程調(diào)取車主B行車記錄儀畫面(畫面含車外人員的個人信息)。同月,高合汽車發(fā)文回復“車車互聯(lián)”功能屬于車隊出行、車路協(xié)同系統(tǒng)組成部分,出廠時默認關(guān)閉,通過二次確認隱私條款彈窗后才能開啟。[2]
● 2022年5月,小鵬汽車表示,應(yīng)主管部門發(fā)布的相關(guān)數(shù)據(jù)安全法規(guī)的要求,公司暫停“App端遠程查看車外攝像頭功能”。[3]
《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》要求汽車數(shù)據(jù)處理者在開展汽車數(shù)據(jù)處理活動中堅持“車內(nèi)處理”原則。即,除非確有必要,不向車外提供。《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》進一步規(guī)定,因保證行車安全需要,無法征得個人同意采集到車外個人信息且向車外提供的,應(yīng)當進行匿名化處理,包括刪除含有能夠識別自然人的畫面,或者對畫面中的人臉信息等進行局部輪廓化處理等。
上述規(guī)定,構(gòu)成了汽車出行行業(yè)“車內(nèi)處理”原則的基本內(nèi)容。其核心監(jiān)管思路在于,由于智能網(wǎng)聯(lián)汽車的高速發(fā)展,車體包含了越來越多的傳感器,也相應(yīng)能夠收集越來越多的車外數(shù)據(jù)和座艙數(shù)據(jù)。此類數(shù)據(jù)可能包含的個人信息相對敏感,實踐中也難以就處理行為獲得個人的同意。因此,如果沒有經(jīng)過匿名化處理,則難以避免成為不具有合法性基礎(chǔ)的處理活動。
全國信息安全標準化技術(shù)委員會于2022年10月、國家市場監(jiān)督管理總局并國家標準化管理委員會于2022年11月發(fā)布的《汽車采集數(shù)據(jù)處理安全指南(TC260-001)》、《信息安全技術(shù) 汽車數(shù)據(jù)處理安全要求》,在“車內(nèi)處理”原則的基本框架和理念下,列示了更為具體、可適用性更強的例外情形。總體來看,控制車外處理數(shù)據(jù)的有限場景、對向車外提供的數(shù)據(jù)開展自動匿名化處理工作,可能是汽車出行行業(yè)企業(yè)具體落實該原則的可用途徑。
1.《知名汽車宣布:停用遠程攝像頭功能》,網(wǎng)址:https://rmh.pdnews.cn/Pc/ArtInfoApi/article?id=27712308,最后訪問日期:2022年11月20日。
2.《行車記錄全暴露!高合汽車陷隱私泄露風波,律師:畫面需脫敏》,網(wǎng)址:https://new.qq.com/rain/a/20220507A0CR0Y00,最后訪問日期:2022年11月17日。
3.《車上的遠程攝像頭不能用了?小鵬汽車:應(yīng)相關(guān)數(shù)據(jù)安全法規(guī)要求》網(wǎng)址:https://new.qq.com/rain/a/20220523A09S6000;最后訪問日期:2022年11月20日。
京ICP備05019364號-1 
京公網(wǎng)安備110105011258
近日,北京市海問律師事務(wù)所(“本所”)發(fā)現(xiàn),網(wǎng)絡(luò)上存在將一家名為“廣州海問睿律咨詢顧問有限公司”的主體與本所進行不當關(guān)聯(lián)的大量不實信息,導致社會公眾產(chǎn)生混淆與誤解,也對本所的聲譽及正常執(zhí)業(yè)活動造成不良影響。
本所特此澄清,本所與“廣州海問睿律咨詢顧問有限公司”(成立于2025年11月)不存在任何隸屬、投資、關(guān)聯(lián)、合作、授權(quán)或品牌許可關(guān)系,亦從未授權(quán)任何主體以“海問”的名義提供法律咨詢服務(wù),該公司的任何行為與本所無關(guān)。更多詳情,請點擊左下方按鈕查看。
