汽车数据安全新规启航
发布时间:2024-01-27 | 发布者: 东东工作室 | 浏览次数: 次(原标题:汽车数据安全新规启航)
十月一日,是国庆节,就在这个普天同庆的节日里,由国家互联网信息办公室、国家发改委、工业和信息化部、公安部和交通运输部联合发布的《汽车数据安全管理若干规定(试行)》(以下称《规定》)正式生效。今天,飒姐团队便对这部新生效的部委规章进行简要分析,让大家全面了解《规定》的重要内容。
《规定》出台的背景和意义
自从互联网时代到来,信息,或者说数据,发挥着越来越重要的作用,任何人无论做任何事,都会产生许多数据,对于这些数据的制造者和收集者而言,如何合法适当地利用这些数据,以及相对的,国家如何保障他人的权利在利用数据的过程中不被侵犯便成为值得讨论的问题。于是,数据安全、个人信息保护领域的立法便成为必要,今年已经生效的《数据安全法》以及即将生效的《个人信息保护法》便是该领域最核心的两部法律。
但,上述两部法律的规定毕竟过于宽泛,在具体的应用领域中如何对相关数据进行保护仍然是一个需要探讨的问题。而汽车,作为人们出行最常使用的交通工具,不可避免地收集了诸多数据,对这些数据的安全保护以及合理利用问题需要相关法律法规进行明确规定。因此,在这样的需求和背景下,《规定》便诞生了,不仅为上述问题提供了基本的解决思路,而且在《规定》的实践中也能给立法者反馈,帮助他们建立其他领域的数据保护规则。
重要概念的释明
一部法律法规要想实际发挥它的作用,头一件重要的事,就是对关键概念进行界定。因此《规定》第三条就对汽车数据领域的重要概念进行了释明,包括汽车数据、汽车数据处理、个人信息、重要数据等。对这部分内容,有三点需要指出。
其一,《规定》中的汽车数据仅仅包括个人信息数据和重要数据。根据第三条第一款的规定,所谓汽车数据,指的是包括汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据。这说明,并不是所有与汽车有关的数据都被《规定》所规范,而仅仅是其中的个人信息数据和重要数据。当然,这并不意味着其他与汽车有关的数据便不值得被保护,如果该数据处于其他法律法规的保护范围,对其的不正当处理行为仍然涉嫌违法。
其二,汽车数据中的个人信息数据和重要数据的定义有特殊的范围限制。通过与未生效的《个人信息保护法》中个人信息定义的对比,显然《规定》中的个人信息仅限于与汽车有关联的主体的个人信息,如果主体与汽车并无关联,那么其信息不属于《规定》中的个人信息。这一点在对重要数据的界定中也很突出,如《规定》认为,重要数据包括车辆流量、物流等反映经济运行情况的数据,显然这些都与汽车有密切关联。
其三,明确了个人信息与重要数据的关系。在对重要数据进行界定时,列举了六种类型,其中明确规定,涉及个人信息主体超过10万人的个人信息属于重要数据,可见两者的概念有重合部分,只要满足特定条件,个人信息便能被认定为重要数据。
汽车处理的基本规范
1、根据《规定》第四条,合法、正当、具体、明确,与汽车的设计、生产、销售、使用、运维等直接相关,是汽车处理者处理汽车数据的最基本规范。
2、基于此,《规定》还倡导汽车数据处理者在开展汽车数据处理活动中坚持四项原则。
其一,车内处理原则,即汽车车内数据非必要不向车外提供。此项原则突破性地以车内车外作为数据的划分标准,对隐私属性更强的车内数据赋予了更强的保护。
其二,默认不收集原则,即除非驾驶人自主设定,每次驾驶时默认设定为不收集数据状态。这也是对驾驶人的信息数据的保护,防止汽车数据处理者暗中收集驾驶人数据、损害驾驶人利益。
其三,精度范围适用原则,即根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率。这种处理原则实际上与信息收集领域中规定的最小必要原则一脉相承,都是为了防止过度收集信息或数据。
其四,脱敏处理原则,即尽可能进行匿名化、去标识化等处理。这也是出于保护个人信息或重要数据的考虑,一旦此种数据被匿名化、去标识化处理,那么就很难追及个人损害个人的权益。当然,这并不意味着,数据经匿名化处理就能随意使用,仍然要符合其他法律规定。
应当注意的是,《规定》仅是“倡导”汽车数据处理者遵从以上四项原则,但并没有进行强制。不过从合规的角度考虑,在实际处理过程中,相关主体坚持以上四项原则能够大幅度减少法律风险,坚持该四项原则的收益更高。
3、此外,如果处理者利用互联网等开展汽车数据处理活动,应当落实网络安全等级保护等制度,承担相应义务。
汽车处理的具体规范
根据所处理的数据的具体类型,《规定》针对个人信息和重要数据分别进行了较为具体的规范,包括个人信息中,处理者的告知义务(第七条)、处理个人信息的前提条件(第八条)、处理敏感个人信息的要求(第九条)以及重要数据中,风险评估义务(第十条)、向境外提供数据的安全评估义务(第十一、十二条)、报告义务(第十三、十四条),内容清晰明确,故不再赘述。飒姐团队仅就其中部分重要内容进行提示:
1、告知内容中包括“删除车内、请求删除已经提供给车外的个人信息的方式和途径”。对本项的理解需要结合车内处理原则。根据该原则,个人信息既然已经提供给车外,则说明此时应当属于确有必要提供的情况,似乎个人并不能请求删除此时已经提供的信息。但一方面处理者判断可能出现错误,另一方面车内数据的隐私性应当更值得保护,因此,此时告知个人请求的方式和途径,实际上是确保了对车内处理原则的正确适用。
2、应当注意,因保证行车安全需要,无法征得个人同意采集到车外个人信息且向车外提供的,《规定》指出应当进行匿名化处理。亦即,在此种情况下必须采取匿名化处理。但是依据《民法典》第1036条的规定,如果该情况同时符合其他法律规定的合理使用个人信息的条件,那么由于《规定》的效力等级仅是部委规章,则其他法律规定优先适用,不必再进行匿名化处理。
3、对重要数据而言,最重要的是对向境外提供重要数据的情况进行严格把控。之所以如此,是因为此类数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益。故而实践中对于此类数据一定要谨慎使用,依照相关规定处理。
写在最后
尽管对各大企业而言,汽车数据并不是它们数据处理的对象,但是对于处理汽车数据的有关规范仍然具有借鉴意义。企业在实际处理数据过程中可以参考其中的规则,建立自己的数据处理体系,合规合法处理数据。
本文系未央网专栏作者:肖飒 发表,内容属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!转载请标注:东东工作室——汽车数据安全新规启航