題21-1_畫板 1 副本.png)
題21-1_畫板 1.png)
過去的一年,是數(shù)據(jù)合規(guī)領(lǐng)域的監(jiān)管規(guī)則拼圖補(bǔ)全、基礎(chǔ)監(jiān)管框架全面落地的一年。這一特點(diǎn),也同樣影響到汽車出行行業(yè)的數(shù)據(jù)合規(guī)工作。基于此,海問律師事務(wù)所傅鵬律師項(xiàng)目組特撰寫《汽車出行行業(yè)數(shù)據(jù)合規(guī)監(jiān)管年度盤點(diǎn)(2022年)》,盤點(diǎn)過去一年汽車行業(yè)的監(jiān)管思路與趨勢(shì),總結(jié)年度監(jiān)管的要點(diǎn)與亮點(diǎn)。從數(shù)據(jù)處理安全、個(gè)人信息安全、行業(yè)運(yùn)行安全、自動(dòng)駕駛安全四個(gè)方面,對(duì)汽車出行行業(yè)的數(shù)據(jù)合規(guī)立法與實(shí)踐進(jìn)行詳細(xì)分析。
報(bào) 告 目 錄
一
年度監(jiān)管思路與趨勢(shì):壓實(shí)合規(guī)義務(wù),釋放合規(guī)價(jià)值
(一) 合規(guī)義務(wù)得到進(jìn)一步壓實(shí)
(二) 合規(guī)價(jià)值逐步釋放
二
年度監(jiān)管要點(diǎn)與亮點(diǎn):圍繞“四個(gè)安全”,描繪合規(guī)基線
(一) 數(shù)據(jù)處理安全
1. 汽車數(shù)據(jù)“車內(nèi)處理”之困
2. 測(cè)繪地理信息:智能網(wǎng)聯(lián)汽車與自動(dòng)駕駛路測(cè)的合規(guī)焦點(diǎn)
3. 汽車出行企業(yè)資本項(xiàng)目運(yùn)作:釋放合規(guī)價(jià)值的“探索之旅”
4. 數(shù)據(jù)出境合規(guī):系統(tǒng)化申報(bào)監(jiān)管的“第一課”
(二) 個(gè)人信息安全
1. 二手車交易與車聯(lián)網(wǎng)服務(wù)信息:汽車行業(yè)個(gè)人信息保護(hù)的“潘多拉魔盒”
2. 汽車出行行業(yè)APP整治:個(gè)人信息保護(hù)領(lǐng)域的“無(wú)限戰(zhàn)爭(zhēng)”
3. 人臉識(shí)別:個(gè)人信息保護(hù)領(lǐng)域的“高危地帶”
(三) 行業(yè)運(yùn)行安全
1. 數(shù)據(jù)分類分級(jí):分類分級(jí)管理與汽車重要數(shù)據(jù)處理者年報(bào)
2. 漏洞安全防護(hù):汽車出行行業(yè)企業(yè)的網(wǎng)絡(luò)安全漏洞管理責(zé)任
3. 網(wǎng)絡(luò)安全定級(jí):車聯(lián)網(wǎng)網(wǎng)絡(luò)安全定級(jí)備案
4. 安全保障與支撐的重要環(huán)節(jié):車聯(lián)網(wǎng)卡實(shí)名登記
5. 交通行車安全:更高的數(shù)據(jù)治理與信息推送底線
(四) 自動(dòng)駕駛安全
1. 對(duì)智能網(wǎng)聯(lián)汽車產(chǎn)品企業(yè)的數(shù)據(jù)合規(guī)及網(wǎng)絡(luò)安全要求
2. 關(guān)于智能網(wǎng)聯(lián)汽車產(chǎn)品準(zhǔn)入的數(shù)據(jù)合規(guī)和網(wǎng)絡(luò)安全要求
3. 試點(diǎn)城市對(duì)智能網(wǎng)聯(lián)汽車的數(shù)據(jù)合規(guī)要求
內(nèi) 容 節(jié) 選
(如下為部分內(nèi)容節(jié)選,歡迎掃碼文末二維碼,獲取更多信息)
一、年度監(jiān)管思路與趨勢(shì):壓實(shí)合規(guī)義務(wù),釋放合規(guī)價(jià)值
(一)合規(guī)義務(wù)得到進(jìn)一步壓實(shí)
首先,由于法律規(guī)則總體補(bǔ)全、實(shí)施框架全面落地,監(jiān)管部門開始具有較為全面性和系統(tǒng)性的抓手及法律依據(jù),對(duì)汽車出行行業(yè)的數(shù)據(jù)處理者采取監(jiān)管措施。
例如,《中華人民共和國(guó)網(wǎng)絡(luò)安全法》(下稱“網(wǎng)絡(luò)安全法”)、《中華人民共和國(guó)數(shù)據(jù)安全法》(下稱“數(shù)據(jù)安全法”)和《中華人民共和國(guó)個(gè)人信息保護(hù)法》(下稱“個(gè)人信息保護(hù)法”)等數(shù)據(jù)合規(guī)領(lǐng)域的“三大基本法”在2021年臨近結(jié)尾時(shí)全部頒布并生效。“三大基本法”奠定了各行業(yè)數(shù)據(jù)合規(guī)監(jiān)管的主要基礎(chǔ)制度,這同樣也適用于汽車出行行業(yè)種類多樣、錯(cuò)綜復(fù)雜的數(shù)據(jù)處理行為。“三大基本法”相互補(bǔ)充,構(gòu)建了相對(duì)全面的數(shù)據(jù)處理活動(dòng)監(jiān)管體系。
“三大基本法”齊備所帶來的監(jiān)管態(tài)勢(shì)變化較為明顯。例如,在網(wǎng)絡(luò)安全法于2017年施行之際,雖然規(guī)定了關(guān)于個(gè)人信息保護(hù)的若干基本原則,但是缺乏系統(tǒng)性的監(jiān)管規(guī)則架構(gòu)和執(zhí)行細(xì)節(jié),也沒有較為嚴(yán)重的違法后果,使得大量企業(yè)相對(duì)而言可以在個(gè)人信息保護(hù)的更多環(huán)節(jié)與方面持觀望的態(tài)勢(shì)。甚至在相當(dāng)一段時(shí)間內(nèi),基于網(wǎng)絡(luò)安全法開展的個(gè)人信息保護(hù)合規(guī)活動(dòng)需要在很大程度上依賴《信息安全技術(shù) 個(gè)人信息安全規(guī)范》等不具有強(qiáng)制約束力的推薦性國(guó)家標(biāo)準(zhǔn)的指導(dǎo)來完成。但是,在個(gè)人信息保護(hù)法于2021年施行后,個(gè)人信息保護(hù)的原則以及合法性基礎(chǔ)、個(gè)人信息主體權(quán)利、違反個(gè)人信息保護(hù)法的違法后果等一系列規(guī)定得到了明確,廣大企業(yè)負(fù)有明確的一系列法律合規(guī)義務(wù)。又如,網(wǎng)絡(luò)安全法提出了“重要數(shù)據(jù)”的概念,但是僅限于關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)這一事項(xiàng)的要求,也沒有比較系統(tǒng)性地提出數(shù)據(jù)分類分級(jí)等類似概念或制度要求。但是,隨著數(shù)據(jù)安全法及一系列配套規(guī)定的頒布,廣大數(shù)據(jù)處理者有義務(wù)采取數(shù)據(jù)分類分級(jí)等工作,并且有義務(wù)對(duì)重要數(shù)據(jù)采取更強(qiáng)的保護(hù)措施、負(fù)有更高的合規(guī)義務(wù)。此外,還有一系列制度,在2017年網(wǎng)絡(luò)安全法頒布時(shí)并不存在,或并沒有具體的要求,但是隨著2021年個(gè)人信息保護(hù)法和數(shù)據(jù)安全法的施行,成為數(shù)據(jù)處理者硬性的合規(guī)義務(wù)。
以上規(guī)定,壓實(shí)了廣大企業(yè)的數(shù)據(jù)合規(guī)義務(wù),這一方面給廣大企業(yè)提出了更高的要求,另一方面也給廣大企業(yè)的數(shù)據(jù)合規(guī)建設(shè)提供了更為明確的方向和更有幫助的指導(dǎo)。
此外,“三大基本法”之外,與汽車出行行業(yè)有關(guān)的監(jiān)管細(xì)則、甚至是一系列行業(yè)垂直監(jiān)管規(guī)定,都在2021年陸續(xù)出臺(tái)。如下文第“二、年度監(jiān)管要點(diǎn)與亮點(diǎn):圍繞“四個(gè)安全”,描繪合規(guī)基線”部分所詳述,這一系列監(jiān)管細(xì)則,在更大程度上,塑造了汽車出行行業(yè)數(shù)據(jù)合規(guī)日常實(shí)踐的具體面貌。以《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》為例,第一次提出了“車內(nèi)處理”“精度范圍適用”等行業(yè)數(shù)據(jù)處理原則,為行業(yè)中的數(shù)據(jù)處理者提出了專項(xiàng)的、區(qū)別于其他行業(yè)實(shí)踐的具體要求;第一次為行業(yè)重要數(shù)據(jù)的認(rèn)定,提出了生效、有法律約束力的規(guī)定層面的細(xì)節(jié)規(guī)定,在一定程度上初步劃定了行業(yè)重要數(shù)據(jù)的種類和大致范圍。類似的規(guī)定和例子還有很多。這些行業(yè)監(jiān)管細(xì)則,是汽車出行行業(yè)數(shù)據(jù)處理者需要格外注意的垂直監(jiān)管要求。
上述基礎(chǔ)規(guī)則和行業(yè)監(jiān)管細(xì)則的出臺(tái),相應(yīng)奠定或創(chuàng)設(shè)了汽車出行行業(yè)數(shù)據(jù)處理者日常的一系列申報(bào)、登記、備案事項(xiàng),相當(dāng)于為本行業(yè)數(shù)據(jù)處理者增加了一系列日常需要定期完成的“規(guī)定動(dòng)作”。例如每個(gè)行業(yè)的數(shù)據(jù)處理者就其向境外傳輸數(shù)據(jù)的行為在達(dá)到相應(yīng)的門檻或個(gè)人信息處理數(shù)量時(shí)需要申報(bào)數(shù)據(jù)出境安全評(píng)估,汽車行業(yè)重要數(shù)據(jù)處理者應(yīng)每年進(jìn)行年度汽車數(shù)據(jù)安全管理情況報(bào)送,車聯(lián)網(wǎng)業(yè)務(wù)經(jīng)營(yíng)單位應(yīng)當(dāng)進(jìn)行車聯(lián)網(wǎng)網(wǎng)絡(luò)安全定級(jí)備案,與車聯(lián)網(wǎng)運(yùn)營(yíng)相關(guān)的主體應(yīng)注意完成車聯(lián)網(wǎng)卡實(shí)名登記等。
因此,不論是以上的基礎(chǔ)規(guī)則,還是行業(yè)監(jiān)管細(xì)則,還是與汽車出行行業(yè)有關(guān)的申報(bào)、登記、備案事項(xiàng),在過去的一年中,都經(jīng)歷了在其奠定之初的第一年實(shí)踐“試水”過程。實(shí)踐操作中,主管機(jī)關(guān)或數(shù)據(jù)處理者發(fā)現(xiàn)了存在的一系列問題,也反映出規(guī)則或制度層面一系列有待進(jìn)一步修訂或完善的部分。
二、 年度監(jiān)管要點(diǎn)與亮點(diǎn):圍繞“四個(gè)安全”,描繪合規(guī)基線
對(duì)汽車出行行業(yè)企業(yè)的數(shù)據(jù)處理活動(dòng)提出更細(xì)致和更高的治理要求,是監(jiān)管的方向和趨勢(shì)之一。在過去一年多的時(shí)間里,汽車出行行業(yè)企業(yè)在日常數(shù)據(jù)處理、數(shù)據(jù)出境、資本運(yùn)作或投融資項(xiàng)目的數(shù)據(jù)處理合規(guī)等方面,發(fā)生了一系列重要事件,折射出數(shù)個(gè)富有行業(yè)特點(diǎn)的數(shù)據(jù)處理關(guān)注要點(diǎn)。
汽車數(shù)據(jù)應(yīng)當(dāng)以“車內(nèi)處理”作為最重要的處理原則之一,是《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》明確提出的汽車出行行業(yè)數(shù)據(jù)處理原則。過去一年中,從業(yè)者和監(jiān)管者就車內(nèi)處理的含義、范圍、合規(guī)要求以及在具體項(xiàng)目中的實(shí)踐把握尺度,做出了不少嘗試。
● 2022年3月,比亞迪汽車APP關(guān)閉遠(yuǎn)程查看車外攝像頭影像的“千里眼”功能,在比亞迪汽車APP中打開此功能會(huì)提示“根據(jù)國(guó)家最新法規(guī)要求,車外影像功能正在升級(jí),敬請(qǐng)期待”。“千里眼”是比亞迪DiLink智能網(wǎng)聯(lián)系統(tǒng)為用戶提供的遠(yuǎn)程影像系統(tǒng),可以通過車輛四周的攝像頭查看汽車周邊環(huán)境。[1]
● 2022年5月,高合汽車被曝光其“車車互聯(lián)”功能可被用于由車主A遠(yuǎn)程調(diào)取車主B行車記錄儀畫面(畫面含車外人員的個(gè)人信息)。同月,高合汽車發(fā)文回復(fù)“車車互聯(lián)”功能屬于車隊(duì)出行、車路協(xié)同系統(tǒng)組成部分,出廠時(shí)默認(rèn)關(guān)閉,通過二次確認(rèn)隱私條款彈窗后才能開啟。[2]
● 2022年5月,小鵬汽車表示,應(yīng)主管部門發(fā)布的相關(guān)數(shù)據(jù)安全法規(guī)的要求,公司暫停“App端遠(yuǎn)程查看車外攝像頭功能”。[3]
《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》要求汽車數(shù)據(jù)處理者在開展汽車數(shù)據(jù)處理活動(dòng)中堅(jiān)持“車內(nèi)處理”原則。即,除非確有必要,不向車外提供。《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》進(jìn)一步規(guī)定,因保證行車安全需要,無(wú)法征得個(gè)人同意采集到車外個(gè)人信息且向車外提供的,應(yīng)當(dāng)進(jìn)行匿名化處理,包括刪除含有能夠識(shí)別自然人的畫面,或者對(duì)畫面中的人臉信息等進(jìn)行局部輪廓化處理等。
上述規(guī)定,構(gòu)成了汽車出行行業(yè)“車內(nèi)處理”原則的基本內(nèi)容。其核心監(jiān)管思路在于,由于智能網(wǎng)聯(lián)汽車的高速發(fā)展,車體包含了越來越多的傳感器,也相應(yīng)能夠收集越來越多的車外數(shù)據(jù)和座艙數(shù)據(jù)。此類數(shù)據(jù)可能包含的個(gè)人信息相對(duì)敏感,實(shí)踐中也難以就處理行為獲得個(gè)人的同意。因此,如果沒有經(jīng)過匿名化處理,則難以避免成為不具有合法性基礎(chǔ)的處理活動(dòng)。
全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)于2022年10月、國(guó)家市場(chǎng)監(jiān)督管理總局并國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)于2022年11月發(fā)布的《汽車采集數(shù)據(jù)處理安全指南(TC260-001)》、《信息安全技術(shù) 汽車數(shù)據(jù)處理安全要求》,在“車內(nèi)處理”原則的基本框架和理念下,列示了更為具體、可適用性更強(qiáng)的例外情形。總體來看,控制車外處理數(shù)據(jù)的有限場(chǎng)景、對(duì)向車外提供的數(shù)據(jù)開展自動(dòng)匿名化處理工作,可能是汽車出行行業(yè)企業(yè)具體落實(shí)該原則的可用途徑。
1.《知名汽車宣布:停用遠(yuǎn)程攝像頭功能》,網(wǎng)址:https://rmh.pdnews.cn/Pc/ArtInfoApi/article?id=27712308,最后訪問日期:2022年11月20日。
2.《行車記錄全暴露!高合汽車陷隱私泄露風(fēng)波,律師:畫面需脫敏》,網(wǎng)址:https://new.qq.com/rain/a/20220507A0CR0Y00,最后訪問日期:2022年11月17日。
3.《車上的遠(yuǎn)程攝像頭不能用了?小鵬汽車:應(yīng)相關(guān)數(shù)據(jù)安全法規(guī)要求》網(wǎng)址:https://new.qq.com/rain/a/20220523A09S6000;最后訪問日期:2022年11月20日。
京ICP備05019364號(hào)-1 .png "備案圖標(biāo).png"){kind=small}
京公網(wǎng)安備110105011258
