原標題：智能汽車數據安全監管趨嚴 專家預測未來車企合規成本提高

對智能網聯汽車的數據安全監管趨嚴。5月12日，國家網信辦發佈《汽車數據安全管理若干規定（徵求意見稿）》（以下簡稱“徵求意見稿”）。

《徵求意見稿》倡導運營者採取“默認不收集”原則。除非確有必要，每次駕駛時默認爲不收集狀態，駕駛人的同意授權只對本次駕駛有效。這意味每次司機上車除了系安全帶之外，還需要再授權“同意收集”一次。

對於車輛位置、駕駛人或乘車人音視頻等敏感個人信息，如果駕駛人要求運營者刪除時，運營者應當在兩週內刪除。對於依賴上下游產業鏈支持的車企，要求刪除的數據可能並不在車企內部，互聯網行業隱私科技專家王磊認爲，這一條款將增加車企的合規成本。

清華大學汽車研究所所長陳全世接受21世紀經濟報道採訪時表示，智能網聯汽車帶來便利的同時，也帶來了隱私風險以及國家安全挑戰。對智能網聯汽車進行約束規範是正確的。“但現在發佈規範還是晚了些，智能汽車發展標準和法規應該走在前面，儘早佈局。”

網約車採集圖像、信息脫敏等迎難題

《徵求意見稿》是專門針對汽車數據安全的規定，明確了汽車數據處理活動場景中的個人信息和重要數據概念。

個人信息包括車主、駕駛人、乘車人、行人等個人信息，以及能夠推斷個人身份、描述個人行爲等的各種信息。

重要數據則包括軍事管理區、國防科工等涉及國家祕密的單位、縣級以上黨政機關等重要敏感區域的人流車流數據；高於國家公開發布地圖精度的測繪數據；道路上車輛類型、車輛流量等數據；包含人臉、聲音、車牌等的車外音視頻數據等。

王磊認爲《徵求意見稿》中所稱的“個人信息”和“重要數據”，分別與審議中的《個人信息保護法》和《數據安全法》相銜接，分別保護“個人信息權益”和“國家主權、安全和發展利益，個人組織合法權益”這兩個不同的法益。

運營者在處理個人信息和重要數據過程中，倡導進行車內處理原則，除非確有必要不向車外提供；匿名化處理原則，確有必要向車外提供的，儘可能地進行匿名化和脫敏處理；最小保存期限原則，根據所提供功能服務分類型確定數據保存期限；默認不收集原則等。

比如“車內處理原則”，王磊解釋道，像高精地圖和攝像頭採集的車外信息，原則上不能傳到雲端，除非確有必要。

諸如敏感區域的人流車流以及地理測繪數據等，也已是智能網聯汽車數據安全規範的重中之重。此前，《信息安全技術 網聯汽車 採集數據的安全要求》草案提出，網聯汽車通過攝像頭、雷達等傳感器從車外環境採集的道路、建築、地形、交通參與者等數據，以及車輛位置、軌跡相關數據，不得出境。

值得注意的是，《徵求意見稿》也明確了運營者的範圍：汽車設計、製造、服務企業或者機構，包括汽車製造商、部件和軟件提供者、經銷商、維修機構、網約車企業、保險公司等。

全國乘用車市場信息聯席會祕書長崔東樹告訴21世紀經濟報道記者，該規定不僅規範了車企或智能網聯車企，對滴滴等相關運營企業都提出了要求。給網約車、出租車如何採集圖像、信息處理脫敏、保證隱私安全等帶來了挑戰。

賦予駕駛人刪除信息權

《徵求意見稿》中對個人信息和重要數據的處理都有了更嚴格的規定。

倡導的“默認不收集原則”，除非確有必要，每次駕駛時默認爲不收集狀態，駕駛人的同意授權只對本次駕駛有效。這也意味着每次司機上車除了系安全帶之外，還需要授權“同意收集”一次。

此外，運營者收集個人信息應當取得被收集人同意，法律法規規定不需取得個人同意的除外。實踐上難以實現的（如通過攝像頭收集車外音視頻信息），且確需提供的，應當進行匿名化或脫敏處理，包括刪除含有能夠識別自然人的畫面，或對這些畫面中的人臉等進行局部輪廓化處理等。

這對人臉這一敏感信息在汽車採集數據的場景下做出了規範。記者瞭解到，此前線下場景中對人臉採集的濫用便有爭議。由於人臉信息採集是非接觸性的、隱蔽的，很難像App等線上軟件一樣規制，也很難取得個人的單獨同意。

對於車輛位置、駕駛人或乘車人音視頻等敏感信息，《徵求意見稿》允許車主查看、結構化查詢被收集的敏感個人信息，並且如果駕駛人要求運營者刪除時，運營者應當在兩週內刪除。

王磊分析稱，車企的情況跟互聯網公司不太一樣，一些研發車企可能會依賴上下游產業鏈的支持，比如車機系統，不一定是車企自己研發的。那麼駕駛人要求運營者刪除數據時，數據可能沒有存儲在車企內部，車企還要聯繫第三方合作商完成數據刪除。所以個人信息刪除權對車企的合規影響很大，甚至合規成本要高於互聯網企業。

特斯拉、蔚來等智能車企每年需彙報數據管理情況

《徵求意見稿》中規定，處理個人信息涉及個人信息主體超過10萬人，或者處理重要數據的運營者，應當在每年十二月十五日前將年度數據安全管理情況報省級網信部門和有關部門。

彙報的內容包括處理數據的類型、規模、目的及必要性；數據的安全防護和管理措施，包括保存地點、期限等；與境內第三方共享數據情況；數據安全事故及處理情況；與個人信息和數據相關的用戶投訴及處理情況。

哪些企業會被納入這一例行彙報要求的管理範圍？王磊表示，特斯拉、蔚來、小鵬等做自動駕駛的車企，都需要有高精地圖才能完成自動導航駕駛，均是重要數據的運營者。而累計銷售的、有采集個人信息功能的車輛超過10萬輛，那麼傳統車企可能也會被納入。

北京市盈科（深圳）律師事務所律師梅林認爲，這一規定和對App運營者的管理相比嚴格了很多。“一方面是因爲汽車數據安全對個人和國家的影響比一般App大很多，另一方面也是因爲汽車行業都是大公司，有財力做這些事情。”

智能汽車發展標準和法規要走在前面

近期，百度、小米、360、華爲等紛紛宣佈跨界造車，造車似乎成爲資本的風口。

據IDC預測，2035年全球智能駕駛汽車產業規模將突破1.2萬億美元，中國智能駕駛汽車規模也將超過2000億美元。

陳全世表示，智能網聯汽車的發展是雙刃劍，一方面帶來了便利，但另一方面行車軌跡、車內信息等面臨隱私風險，並且汽車攝像頭採集的精細地圖數據對國家安全的影響也需重視。

記者梳理發現，2020年2月，中央網信辦等11部門聯合發佈《智能汽車創新發展戰略》，明確提出要確保用戶信息、車輛信息、測繪地理信息等數據安全可控。完善數據安全管理制度，加強監督檢查，開展數據風險、數據出境安全等評估。

今年起，關於智能網聯汽車的政策更爲密集。

4月7日，工信部發布《智能網聯汽車生產企業及產品准入管理指南（試行）》（徵求意見稿）。

4月28日，全國信息安全標準化技術委員會公佈《信息安全技術 網聯汽車 採集數據的安全要求》標準草案，被視爲我國首個網聯汽車採集數據國家標準。

5月12日，國家網信辦發佈關於《汽車數據安全管理若干規定（徵求意見稿）》。

梅林分析稱，工信部公開徵求意見的《智能網聯汽車生產企業及產品准入管理指南（試行）》是針對智能網聯汽車產品的整體性要求，其中包括了對數據和網絡安全方面的規定，該規定除了對數據出境有具體要求外，其他數據方面的規定是概述性的。信安委發佈的標準草案則是一個推薦標準，可以給行業提供操作思路，但不具有強制性。 

“此次國家網信辦的《徵求意見稿》是具有強制性的、專門針對汽車數據安全的規定，規定更詳細、指導性更強。”梅林表示。

陳全世認爲，目前對智能網聯汽車進行約束規範是正確的。“但還是晚了些，應該在一年前或兩年前着手，智能汽車發展標準和法規要走在前面。”

（作者：王俊，張雅婷，實習生郭美婷 編輯：李博）