近日，工信部相关负责人明确指出，随着汽车智能化、网联化的发展，网络数据安全问题凸显，如果监管措施不能及时跟上，将会产生未经授权的个人信息和重要数据采集利用等数据安全问题。因此要加大监管措施，坚守安全底线，优化发展环境。

　　的确，《网络安全法》、《数据安全法》对数据安全、个人信息保护做了基本规定。汽车数据安全管理领域亟需出台有针对性的规章制度，明确汽车数据处理者的责任和义务，规范汽车数据处理活动，促进汽车数据依法合理有效利用和汽车行业健康有序发展。

　　最近，在千呼万唤中，国家互联网信息办公室等五部门联合发布了《汽车数据安全管理若干规定（试行）》（以下简称《规定》），聚焦汽车领域个人信息和重要数据的安全风险，就若干重点问题做出规定，自2021年10月1日起施行，给汽车产业数据安全管理指明了方向。

　　数据几何倍增长 安全问题凸显

　　汽车产业涉及国家经济、装备制造、金融、交通运输、生产生活等诸多领域，汽车数据规模庞大，同时暴露出的汽车数据安全问题和风险隐患也日益突出。

　　比如，汽车数据处理者超越实际需要，过度收集重要数据；未经用户同意，违规处理个人信息，特别是敏感个人信息；未经安全评估，违规出境重要数据等。《规定》的出台既是防范化解汽车数据安全风险的实践需要，也是保障汽车数据依法合理有效利用的客观需要。

　　爱驰汽车首席数据官、资深技术专家李海军指出，燃油车时代，人们通常以出行的便捷为目的，交通工具的可用性、方便性是大多数人关注的重点，机械动力也决定了数据的有限性。随着汽车新四化，用户体验诉求不断加强，汽车传感器数量成倍增长，数据以几何倍速度产生，数据的多样性融合，一时间让我们无法有效、合理、正确地使用这些数据，从而暴露了很多问题。

　　比如，数据的采集没有具体标准，车企理念不同，对数据诉求也不同，大多以汽车诊断、检测为目的，少数考虑到用户体验诉求，各自按需采集。数据的传输也很随意，车企需要多家配件供应商协作，实现多链路数据通讯，因为各自协议标准不统一，对数据的理解不同，通常无法有效保证数据安全、共享使用。

　　汽车数据处理应坚持四原则

　　《规定》中明确了汽车数据是指汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据；所称汽车数据处理，包括汽车数据的收集、存储、使用、加工、传输、提供、公开等，涉及汽车数据处理的全生命周期；还进一步明确了汽车数据中的个人信息、敏感个人信息、重要数据以及汽车数据处理者的含义和类型。

　　《规定》明确了汽车数据处理者开展汽车数据处理活动的一般要求。主要包括：一是处理汽车数据应当合法、正当、具体、明确，与汽车的设计、生产、销售、使用、运维等直接相关。二是利用互联网等信息网络开展汽车数据处理活动，应当落实网络安全等级保护等制度，加强汽车数据保护，依法履行数据安全义务。三是应当建立投诉举报渠道，设置便捷的投诉举报入口，及时处理用户投诉举报。

　　《规定》坚持安全和发展并重，倡导汽车数据处理者在开展汽车数据处理活动中坚持“车内处理”、“默认不收集”、“精度范围适用”、“脱敏处理”等原则，减少对汽车数据的无序收集和违规滥用，鼓励汽车数据依法合理有效利用，促进汽车行业健康有序发展。

　　《规定》亦明确了处理个人信息、敏感个人信息的具体要求。针对个人信息，一是告知义务，二是征得同意义务，三是匿名化要求。

　　《规定》特别强调，汽车数据处理者开展重要数据处理活动，应当遵守依法在境内存储的规定。

　　《规定》比《征求意见稿》要求有所放松

　　汽车行业资深专家张楠指出，实际上，8月发布的《规定》比先前在5月发布的《汽车数据安全管理若干规定（征求意见稿）》（以下简称“《征求意见稿》”），在条款规定上要更为放松。

　　比如，《征求意见稿》中倡导运营者处理个人信息和重要数据过程中，默认不收集原则，除非确有必要，每次驾驶时默认为不收集状态，驾驶人的同意授权只对本次驾驶有效。这意味着，如的确需要收集驾驶人数据，车企需要在驾驶人每次上车时都要获得其同意，实际操作起来较为繁琐。考虑到车企的接受程度，《规定》中取消了“驾驶人的同意授权只对本次驾驶有效”的时效性规定。

　　《征求意见稿》提到运营者处理个人信息应当通过用户手册、车载显示面板或其他适当方式，告知负责处理用户权益责任人的有效联系方式；而《规定》中则将告知用户的方式增加为“通过用户手册、车载显示面板、语音、汽车使用相关应用程序等显著方式”，为车企提供了更多可行途径，也为车企应对降低了成本，更加符合汽车行业现实。

　　李海军认为，《规定》明确了消费者对个人隐私信息、出行轨迹数据，以及日常驾驶行为、车内应用场景数据，具有知情权、处理权，个人根据自己体验需求，可以自由、灵活地决定数据是否被采集、采集多少；针对这些采集的数据也具有要求删除的权利，数据所有权归属用户个人。

　　对于车企来说，将会在用户知晓并被授权的情况下，以增强用户体验服务为目的，获取用户出行、驾乘数据；这些数据如何使用，向第三方服务商或者公共渠道提供数据公开等也将被约束。而对于整个汽车行业产业链，将会建立起从用户到车企再到供应商、第三方服务商的全方位安全网，数据安全主管部门参与监管，切实保护用户隐私和国家信息安全。

　　车企积极应对、主动达标

　　对于车企如何提升数据安全管理，李海军表示，爱驰汽车从成立之初，就坚守欧盟GDPR和国家的安全标准，针对各项安全指标做到一一认证，接下来借助这些经验，达到国家的安全标准相对容易很多。

　　李海军建议，车企应当做到数据采集及时脱敏，从源头避免重要信息泄漏。传输过程做好数据安全加密，数据一致性校验；个人数据和车辆数据，多任务分离传输。同时以服务用户为中心，具体场景具体处理，多问用户是否愿意授权数据采集；数据是否被过度采集，为企业自身利益而为之；要给到用户合理的、足够的权限，能够决定自己数据的去向。

　　张楠则建议，务必落实网络安全等制度，开展汽车数据相关关键信息系统风险评估工作和报告制度，建立汽车数据投诉举报系统并及时响应和处理用户投诉、审核删除用户要求删除的数据；做好汽车产品规划，筛查采集用户数量的类型，非必要不采集、默认不采集。

　　加大信息安全技术研发投入，加快匿名化、去标识化、轮廓化等关键脱敏技术的研发落地工作；针对未上市的车型，建议通过产品手册、车机系统、车主App等途径履行告知义务，发布告知内容，征得用户同意，通过车机大屏、车主App等方式提供数据终止采集、期限设定的渠道。

　　针对已上市车型确已采集个人信息的，需对该款车型进行合规性整改，加装交互设备、开发交互系统等方式满足《规定》要求；建立端内数据存储机制；评估出境数据的必要性，数据非必要不出境，必须出境的，应尽早联系国家网信部门进行安全评估，取得出境许可。